查看图像时,交换机具有路由功能 (L3),并且是 LAN 中客户端的默认网关。我们计划引入一个新的防火墙,并提出一个问题,是否应该给它的 LAN 接口一个 LAN 子网的 IP 地址,或者我们是否应该在路由交换机和防火墙之间创建一个单独的传输子网?有什么优点/缺点还是没关系?
防火墙和路由交换机之间需要传输子网吗?
网络工程
路由
局域网
网络
子网
设计
2022-02-03 10:01:32
2个回答
L3 交换机通常以线速路由,因此将客户端的默认网关指向核心交换机不会花费您任何费用(即没有额外的 L2 跃点)。如果您不想打扰防火墙的其他网关(安全区域、其他建筑物……),则该默认网关也很有利。
连接防火墙不一定需要传输子网。您也可以与核心交换机放在同一个子网中——当然,除非您不希望客户端直接连接。
为了获得最大的灵活性,我会将所有 VLAN 中继到防火墙。然后,您可以设置(并允许)最适合您的性能和安全要求的默认网关(并可能拒绝/过滤其他网关/路由器)。
如果在交换机上配置了客户端的默认网关。然后您可以使用另一个IP地址在连接防火墙和交换机的接口上配置并确保
具体路由在防火墙中配置指向。切换入口接口。
默认路由需要在指向防火墙入口接口的交换机上配置。
但请确保您的交换机是 layer3 switch 。这样 ip 地址就可以分配给连接交换机和防火墙的接口,您甚至可以创建 VLAN 并在将来隔离 VLAN 之间的流量。