我正试图想出一种方法将两台路由器合并为一台。 我有以下networkingconfiguration:
LAN <-- a/24 --> NAT Firewall <-- x/29 --> Router <-- y/30 --> Internet | LAN2 <-- b/24 --> NAT Firewall <--- 其中a / 24和b / 24是我的内部子网,x / 29是我们分配的一小部分公共IP地址,y / 30是ISP提供的互联网连接。
通常情况下,ISP将拥有路由器,但在这种情况下,我们将拥有NAT防火墙和路由器。 我想避免设置三个单独的pfSense设备,并希望将整个事情整合到这样的事情中:
LAN <-- a/24 --> Firewall/Router <-- y/30 --> Internet | LAN2 <-- b/24 <------
我仍然需要能够从x / 29块中分配一个地址作为每个局域网的外部NAT地址,并允许将这些地址上的端口转发到局域网上的服务器(例如:Web服务器)。
是否可以使用单个pfSense防火墙组合多个路由跳数?
更新:为了澄清,从ISP的angular度来看,x / 29是通过y / 30块路由的。 换句话说,x / 29的GW是y / 30块中的一个地址。
你的图表使用x / 29和y / 30,而文本使用y / 29和z / 30,而你的更新说x / 29使用ay / 30网关进一步混淆事物,因为你不能在另一个子网上使用网关。 也许增加IPs和掩码将有所帮助。 我将假定一个/ 24,b / 24,x / 29,y / 30,你所指的网关是带有x / 29和y / 30接口的路由器。
简短的答案是肯定的。 a / 24和b / 24子网只需要连接到防火墙的不同端口。 这可以使用多个适配器物理地完成,或者如果您的交换机支持,可以通过VLAN完成。 防火墙的外部接口可以给出现有路由器的y / 30地址。 现有的防火墙x / 29地址可以设置为虚拟IP地址,也可以设置x / 29的stub VLAN接口。 您将需要调整自动configuration的NAT规则和防火墙规则(例如LAN-> Any将需要重复为LAN2-> Any)。
我脑中更大的问题是路由器,x / 29和防火墙是按照原样devise的? 据推测,NAT24 / 24和24/24可能已经挂在y / 30路由器上,而b / 24可能已经挂掉了a / 24防火墙。 这里有其他的要求吗? 在现有的NAT后面有一个/ 24和b / 24是为了保持隔离(在这种情况下,你将需要更新新的防火墙规则来拒绝LAN-> LAN2和LAN2-> LAN),或者它们应该是平等和可路由的彼此? x / 29是否支持额外的(未来?)设备,如额外的隔离防火墙“c / 24”,通过允许第二个设备进行冗余,通过允许第二个设备进行维护和升级等。
除非y / 30路由器出现问题,否则我不会摆脱它(即它已经被支付了,大概不会被重复使用)。 x / 29networking提供了额外的灵活性,如果您将防火墙和路由器合并到一个设备中,这种灵活性将会丢失。 你是否需要这种灵活性是一个完全不同的问题。