我的互联网网关应该知道内部网络/VLAN 吗?

网络工程 路由 转变 VLAN 安全
2021-08-02 05:32:21

我有一个 Internet 网关,它目前正在为我的内部网络执行 NAT。为了更好地隔离我的内部网络,我在 L3 交换机上创建了 VLAN,并且对于每个子网,我在这个交换机上都有一个 IP,它充当所有这些子网的内部网关。

前任。:

[Internet Router (RouterOS v6.41.2)]
(172.16.1.1/252) 
       | (VLAN172)
 (172.16.1.2/252)
   [L3 Switch (Dell N2024 6.3.1.8)]
    |
    |- VLAN1 (192.168.1.254/24)
    |- VLAN2 (192.168.2.254/24)
    |- VLAN3 (192.168.3.254/24)

如果我在 VLAN3 (192.168.3.123) 上的 PC 上并且需要访问 VLAN1 (192.168.1.123) 上的 PC,我将通过 [L3 交换机],因为我在所有 VLAN3 计算机上的默认网关是 192.168.3.254。

我的 L3 交换机有 172.16.1.1 作为默认 GW,并将所有本地计算作为 L3 交换机转发到互联网,这就是我的疑问。

为此,我需要路由到我的 Internet 网关中的所有内部网络 (192.168.[123].0/24),对吗?因为它是执行 NAT 的 Internet 网关。

由于我将本地网关和互联网网关分开的目标是隔离网络,我认为这应该是一个更好的设计,我不需要在互联网路由器上提供内部网络的路由。

由于对该 Internet 网关的恶意攻击可以在可以避免的情况下提供有关我的内部网络的更多信息。

2个回答

为此,我需要路由到我的 Internet 网关中的所有内部网络 (192.168.[123].0/24),对吗?因为它是执行 NAT 的 Internet 网关。

是和否。

您需要在 Internet 网关中设置一条路由,以将流量带回 L3 交换机。

但是,互联网网关无需单独了解您的所有子网。假设您所有的内部网络都在 192.168.0.0/16 中,一条路由就足够了。

正如 Ron 指出的那样,如果您这样做,您还应该在 L3 交换机上为 192.168.0.0/16 添加一个空路由,这样如果寻址到不存在子网的数据包以某种方式进入网络,它就不会在 L3 之间来回反弹交换机和互联网网关。

路由器需要知道将流量转发到哪里。如果路由器不知道如何将流量转发到目的地,则它会丢弃流量。确保不丢弃流量的一种方法是配置0.0.0.0/0匹配所有目的地的默认路由 ( )。这在连接到公共 Internet 的路由器上很常见。该路由器会将所有没有更明确目的地的流量转发到默认路由的接口。除非您的 WAN 路由器具有完整的 Internet 路由表,否则它将需要一个指向 ISP 路由器的默认路由。

您的 WAN 路由器需要知道如何访问 LAN 路由器(第 3 层交换机)后面的网络。路由器通过三种方式学习路由:

  1. 直连网络
  2. 静态配置的路由
  3. 通过动态路由协议

由于您的 WAN 路由器没有直接连接到 LAN 路由器后面的网络,您需要为那些指向 LAN 路由器的网络配置静态路由,或者您需要在 LAN 和 WAN 路由器之间运行路由协议,以便LAN 路由器可以告诉 WAN 路由器其背后的网络。

您没有给我们提供网络设备型号和配置,我们无法为您提供具体配置。

另外,我不会在 LAN 和 WAN 路由器之间使用 VLAN。您可能应该将第 3 层交换机上的接口配置为路由接口,而不是交换接口。

其它你可能感兴趣的问题
上一篇以太网交换机对 IP 地址有什么作用 下一篇防止特定子网被发送到一个 ASN 的首选方法是什么