在过去的几年中,我们一直在相对较小的托pipe环境中使用Sonicwall PRO 2040防火墙。 但是我们希望升级到一个支持IPv6的更快的盒子,最好我们愿意留在Sonicwall(多年以来一直很好),并升级到NSA 2400。
所有这一次,我们已经在所谓的“透明模式”下运行这个防火墙。 这样防火墙对防火墙后的networking(即服务器)完全透明,但防火墙仍然保护networking。 在防火墙后面的服务器被configuration为防火墙不在那里,例如网关地址是防火墙外的路由器的地址。 这与VLAN (*)相结合,使我们能够以最透明的方式将每台服务器分别托pipe给客户。
(*)说明:在防火墙上,我们为每个服务器创build了虚拟接口并使用VLAN进行标记。 所有这些虚拟接口使用连接到交换机的单个物理接口。 此交换机也configuration了这些VLAN,并将所有通信分离为单独的物理端口。 例如,VLAN 5的stream量只能进入物理端口5,VLAN 8的stream量只能进入物理端口8等。唯一的公共端口是防火墙所连接的端口。 这确保服务器不能直接通信,只能通过防火墙,即使它们处于相同的IPnetworking空间。
现在我们正在转向新的IP地址空间,同时也希望支持IPv6,我们正在重新思考我们的解决scheme。 其中一个原因是IPv6的透明模式支持似乎非常less见或根本不存在。 所以如果我们想支持IPv6,我们必须使用路由模式。 有了这个,所有types的问题都会popup来,希望有人能够帮助我提供一些意见和/或答案。
路由或透明模式更常用于IPv4吗?
我们可以在IPv4上使用透明模式,在IPv6上使用路由模式,或者我们也必须在IPv4上使用路由模式?
使用路由模式,如果我们的IP范围是XXX0 / 26(即64个连续的IP地址),并且我们必须使用的数据中心网关是XXX1,那么我们是否将防火墙的广域网放在XXX2上,并将XXX3上的内部端口configuration服务器使用XXX3作为网关地址?
在路由模式下防火墙总是需要至less两个IP地址(对于内部和外部接口),而在透明模式下防火墙只需要一个IP地址(WAN),这是正确的吗?
我们是否仍然能够将所有服务器全部放入自己的VLAN中,并要求服务器之间的所有stream量都通过防火墙? 如果是这样,那么子网掩码必须是什么? 也就是说我们不想做的是把每个服务器放到它自己的IP网段中,因为这会花费我们每台服务器4个IP地址(networking,广播,网关和服务器本身)。
在透明模式下使用路由模式有什么好处吗? 或者相反呢?
我挖掘现有的devise,但它可能无法扩展,如果你开始虚拟化你的分割将烧毁很多端口。 你可以用中继和标记来实现它。
现在回答你的问题:
1)路由和透明模式都是常见的部署,通常取决于你有哪些路由设备以及你的NAT需要什么。
2)我不认为你可以混合他们。
3)使用路由模式时,如果从提供商处获得/ 26作为连接networking,则防火墙在您的公共网段上将占用三个地址。 对于每个防火墙和虚拟机来说,它们都是独一无二的,它们将在高可用性场景中来回传递。 你将不得不使用私人IP地址,并利用地址转换来完成这项工作。 但是,如果提供者使用/ 29networking连接到您,而使用/ 26连接到您,则可以使用/ 29networking连接,然后在内部接口上使用/ 26。
4)防火墙实际上可能需要3个IP地址。 VRRP故障转移的每个和每个独特的一个。 在透明模式下,每个节点实际上只需要一个内部IP,仅用于pipe理。
5)你将不得不使用类似的技术,但是因为你现在使用HA对,你的电缆数量会增加一倍。 您可能会更好地使用VLAN标记和子接口,但这也可能会导致服务器到服务器通信的电缆拥塞。
6)这两种技术都有好处,透明模式可以很好的处理NAT,但是你可以操纵的东西有限制,因为你不能做L3 / L4的决定,根本无法路由它。