嵌套重叠子网以保护硬件管理

网络工程 子网 网络
2022-02-05 07:22:00

我有一个关于嵌套子网的问题。我们有一个 ip-range 10.0.0.0\22 的开发环境,我应该保护我们的硬件。

我的第一个意图是创建一个包含所有设备的嵌套子网 10.0.3.0\24 以保护并通过软件防火墙将其连接到 10.0.0.0\22 网络(嵌套子网是重叠的)。IP-Range 10.0.3.x 将保留在开发环境中,因此不会出现IP冲突。我将启用 NAT 并使用端口转发来访问嵌套子网中的某些特定设备,并且嵌套子网中的设备将可以访问开发环境中的 NTP/DNS/..。如果软件防火墙出现故障,我可以轻松地将嵌套子网 (10.0.3.0\24) 连接到开发网络 (10.0.0.0\22),并且可以从我们的开发环境访问嵌套网络中的设备,只需更改嵌套子网中设备的默认网关和子网掩码,用于访问 NTP/DNS/..

经过一些研究,我发现应该避免嵌套子网,我不确定我是否可以设置 pfSense 以使用 WAN 和 LAN 端的重叠网络。

我期待着您的建议。

在此处输入图像描述

1个回答

最简单的方法:使用不在生产网络中的另一个子网(例如 10.0.4.0/24)。

第二种最简单的方法:将 10.0.0.0/22 拆分为(至少)10.0.0.0/23、10.0.2.0/24 和 10.0.3.0/24。

另一种方法是在您的交换机上使用 L3 ACL——如果它们支持的话。您可以允许某些源 IP 连接到同一子网内的10.0.3.0/24,同时拒绝所有其他 IP。

NAT 对您没有帮助 - 它可以跨路由器工作,只要您的客户认为目的地在同一个子网内,他们就不会使用路由器。您需要路由器代表目的地(似乎在同一子网中)回答 ARP 请求 - 这称为代理 ARP。NAT 和代理 ARP 都很混乱,应该避免。

其它你可能感兴趣的问题
上一篇如何建立一个ISP(互联网服务提供商)?需要哪些核心组件? 下一篇Cisco 和 PFSENSE 上的 IP VLAN 和子网