两个防火墙上的同一子网

网络工程 VLAN 防火墙 子网
2021-07-21 05:23:46

我以这种方式遇到了网络设置:

  1. ISP 提供的 Cisco 设备,用作光纤线路和 LAN 之间的桥梁。
  2. 从上面 Cisco 的端口 eth0 出来的电缆进入第 2 层交换机。
  3. 2 个防火墙连接到此交换机,均使用相同的公共 IP 范围/子网 255.255.255.240 设置 WAN 接口。

虽然我在两个防火墙上看不到任何重叠的 NAT 规则,这意味着每个单独的公共 IP 用于一个防火墙或另一个防火墙,但我担心所有数据包都会到达两个防火墙导致延迟?数据包丢失?他们似乎没有大问题,但我觉得这不是最佳实践,应该改变。不幸的是,他们不会像我建议的那样只留下防火墙并使用 VLAN,但是,在每个防火墙上设置 WAN 接口的子网仅包含该防火墙上使用的 IP 地址不是更好吗?(希望这是有道理的......)

或者,您还有其他推荐吗?

非常感谢。

1个回答

还行吧。ISP 发布了一个 /28 子网,其中两个 IP 将发送到路由器。通常,该子网上的两个路由器将用于故障转移,但它们也可以简单地用作两个或多个独立网络的出口点。假设它只是 ISP 的提供商边缘设备和那两个路由器,那么两个路由器将看到的唯一可能不是明确指定给它们的流量是该网段上的传统多播/广播流量。

其它你可能感兴趣的问题
上一篇JUNOS 的 sfid 流程的目的是什么? 下一篇hp switch 1910 的 PVID