您可以将 /27 子网划分为 /30 以用于 WAN 链接。这将为您留下另一个 /30、一个 /29 和一个 /28，供您在网络上分配。

像这样：

• 90.10.200.32/30用于 WAN，90.10.200.33用于 ISP 和 90.10.200.34用于您的 WAN 接口
• 90.10.200.36/30 对于具有 2 个主机的子网
• 90.10.200.40/29 对于具有 6 个主机的子网
• 90.10.200.48/28 对于具有 14 个主机的子网

是什么阻止您桥接这两个接口？简单的透明桥。

在这种情况下，您保存了 1 个 IP 地址。对于所有内部设备，GW 是路由器的 IP。对于外部设备，路由器后面的所有内容都是可见的，但您可以使用一些过滤策略对其进行调整。

您必须要求您的 ISP 调整网络掩码（例如：/29），因此 ISP-Router 和 Your-Router 之间的网络为

90.10.200.32 /29 255.255.255.248 0.0.0.7 net-to-isp
90.10.200.33 default-gw for you, ISP-Router
90.10.200.34 (free for future)
90.10.200.35 (free for future)
90.10.200.36 (free for future)
90.10.200.37 (free for future)
90.10.200.38 Your-Router
90.10.200.39 broadcast

让您的 ISP 将其他地址路由到您的路由器，即

ip route 90.10.200.40 255.255.255.248 90.10.200.38
ip route 90.10.200.48 255.255.255.240 90.10.200.38

此外，将以太网接口上的网络掩码更改为 /29。您的默认路由将是

ip route 0.0.0.0 0.0.0.0 90.10.200.33

剩余的 /29 和 /28 可以按以下方式使用：

第一个可以用作你的防火墙的接口，你将第二个路由到防火墙上（给它一个带有真实非自然 IP 地址的 DMZ）。

此外，您还有一些 ip 地址空间可用于更多设备或硬件冗余，例如两个路由器、防火墙集群……

编辑：为了清楚起见，问题是在 ISP 不更改其设备上的路由表的情况下这是否可行。因此，我真正想知道的是，这种形式的子网划分是否可以“透明地”完成，可以这么说，而无需更改下一个上游设备的配置。

是的

你需要的是“代理arp”。当 ISP 路由器为您的子网之一中的地址进行 arp 解析时，您的路由器会像响应主机一样响应 arp 请求。然后它将接收来自 Internet 的流量并能够根据需要对其进行路由。