使用專用子網連接所有路由器/防火牆?
我的網路上有幾個有狀態的路由器/防火牆盒(pfSense、TMG 2010、ISA 2006)。現在,它們都在與大多數最終使用者設備和伺服器相同的子網上有一個介面。我將進行一些更改並將一些伺服器放在這些防火牆後面的自己的子網中,所以我想知道是否應該為路由器設置一個專用子網,以便將數據包相互路由。沒有路由協議,只有靜態路由。
我試圖避免非同步路由,這對於狀態防火牆來說可能是一個問題,因為流量以不同的路徑流入和流出網路。如果流量通過不同的路徑返回,並且該路徑中的防火牆在狀態表中沒有記錄,則流量可能會被阻止。
我的基本問題是:這是解決這個問題的理想方法嗎?為什麼或者為什麼不?在最佳實踐方面我找不到太多,但這種方法會在每個子網上只留下一個路由器,所以我會避免不同機器具有不同預設網關的目前情況。
目前的
Router 1 Router 2 Router 3 192.168.1.1/24 ------ 192.168.1.2/24 ------ 192.168.1.3/24 ------ All other devices | | | V V V 10.10.10.1/24 10.20.20.1/24 10.30.30.1/24建議的
Router 1 Router 2 Router 3 192.168.1.1/24 ------ All other devices 10.200.200.1/24 ----- 10.200.200.2/24 ----- 10.200.200.3/24 ------ Routers/Firewalls only | | | V V V 10.10.10.1/24 10.20.20.1/24 10.30.30.1/24
繼我的評論之後,像這樣
+----------+ +----------+ +----------+ | Router 1 | | Router 2 | | Router 3 | +-------+--+ +----+-----+ +--+-------+ | | | | | |10.200.200.0/24 | | | +--v------------v------------v-+ | Router A +-------------+ +-+---------+---------------+--+ | | | | | | | | | | | | | +------------v-+ +-----v-------+ +-----v-------+ +------v------+ |192.168.1.0/24| |10.10.10.0/24| |10.20.20.0/24| |10.30.30.0/24| +--------------+ +-------------+ +-------------+ +-------------+路由器 1 = 10.200.200.1
路由器 2 = 10.200.200.2
路由器 3 = 10.200.200.3
路由器 A = 10.200.200.254
這樣,底部的每個網路只有 1 個路由器,因此有 1 個預設路由。邊緣路由器只需要 1 條內部路由即可訪問內部子網。
內部路由器確實變得更加複雜,因為它需要了解多個上游路由器,並跟踪連接以避免非同步路由。我相信這樣做的好處是值得的:所有復雜性都包含在該路由器中,其餘的保持簡單。您可以完全控制該主機上的多個連接。例如,您可以 NAT 來自所有 3 個連接的流量到同一個內部伺服器,但伺服器不需要知道任何這些,內部伺服器將跟踪每個連接並適當地路由流量以避免非同步。
這與我工作中的設置非常相似,只是我們只有 2 個上游連接。路由器 A 是一對在 H/A 中執行的 Linux 機器。使用基於策略的路由來跟踪連接。我為 PBR 找到的最佳指南是:http ://www.cyber.com.au/~twb/doc/dual-uplink.txt