添加第二个防火墙到多个子网的ISP连接？

我认为你最好的select就是联系你的ISP，并且明确说明他们给你的203.0.113.88/29块。 这些IP地址的不确定性没有任何理由会变得复杂。

最理想的scheme是将第二个防火墙连接到该交换机，并将203.0.113.88/29networking中的一个IP与同一networking上的默认网关连接起来。

您的ISP如何在您的networking中路由203.0.113.88/29？ 不知何故，我怀疑是这样的。

如果您没有完全使用您的192.0.2.144/29（或203.0.113.88/29）networking，则应该可以在该范围的ip地址上打开一个接口。 我build议使用2个IP地址（如果可用） – 例如：

交换机1：

界面FaX / X（您的新防火墙连接在这里）

IP地址192.0.2.147 255.255.255.252！

然后在你的新防火墙上放置

Interface X / X 192.0.2.148 255.255.255.252

这将阐明你需要一个默认网关，你也可以把/ 29掩码放在它上面，并使用交换机当前使用的网关。

所以例如（可以说你在你的交换机上使用vlan 20）

Vlan 20 ip address 192.0.2.145 255.255.255.248

接口FaX / X（您的新防火墙连接在这里）switchport access vlan 20

在你的新防火墙上

IP地址192.0.2.147 255.255.255.248

关于无通信规则，您需要在交换机上使用单独的子网或ACL。

希望这可以帮助

分配实验室防火墙的地址192.0.2.144/29或203.0.113.88/29内的地址将无法工作，除非它在任何设备作为该地址空间的网关后面，因为具有该广播地址的任何设备将响应ARP请求。

你可能想要分配你的看门狗防火墙上游的地址，或者不让看门狗通告/ 29networking，你可以把/ 29分配到/ 30。 如果一个防火墙上的/ 29中不需要全部8个主机地址，则将一个/ 30分配给一个防火墙，而将另一个分配给新的实验室防火墙。

我不知道你的防火墙的具体情况，但是这就是我如何去做任何商业级的防火墙，两个防火墙是不必要的：

将203.0.113.88/29networking放置在第一个防火墙上，在单独的接口上（如果可以使用VLAN，则是子接口），并使防火墙保护networking。 只要给防火墙接口分配一个来自networking块的地址，那将是networking的网关。 您将需要从networking到防火墙的WAN接口（或ISP路由器地址）的默认路由，然后您就完成了。

NAT确实与防火墙无关; 防火墙通常只是NAT的一个方便的地方。 你不需要在networking上的NAT，如果你不想，我也不会公开地址。

如果您的ISP将这两个示波器路由到当前的防火墙，您应该可以设置所需的configuration，而不需要额外的软件，具体取决于您的Watchguard型号。 Watchguard真的很擅长处理这类问题。 听起来你可能对192或203networking有一个不好的configuration，至less在将其用作公共networking方面是这样。 您应该至less有一年的设备支持，如果不支付另一个，这是非常值得他们为您设置此configuration的指导。 但是首先让他们确认你现在的模型防火墙可以处理你可能从这两个networking所期望的configuration和stream量负载。

对于你的ISP来说，这听起来像是把第二个networking作用域放在第一个networking上。 无论谁提供服务，可能当时都无法在您的设备上configuration两个端点，并保持现在的状态。 从他们那里清除会有很大的帮助。 这将有助于您与Watchguard讨论您的configuration。 我个人只会使用一个防火墙，出于多种原因，电气负载为一，但服务合同和其他经常性成本和支持需求是另一个原因。 除非你真的有另外一个问题，比如你的开发项目因为某些原因需要重新设置单元，例如开发networkingpipe理软件。 或者如果当前的单位在支持两个networking的负载方面的工作量不足。 考虑到这些问题。