Вопрос или проблема
У меня есть Watchguard XTM 2, который в настоящее время выполняет функции межсетевого экрана и маршрутизатора для моей бизнес-сети. Я настроил WG в режиме смешанной маршрутизации и доволен текущей конфигурацией. Причина, почему я интересуюсь режимом drop-in, заключается в том, что я хотел бы использовать все интерфейсы на задней панели Watchguard для одной подсети.
Я понимаю, что режим drop-in объединит их все в одну подсеть, но из руководства неясно, будет ли маршрутизация/межсетевой экран/VPN по-прежнему работать как ожидалось.
Этот WG находится сразу за DSL-модемом, который настроен в режиме моста, так что WG обрабатывает все аутентификации PPPoE и маршрутизацию для сети.
У нас есть xtm21-w, и согласно документации в режиме drop-in все интерфейсы находятся в одной сети.
Из онлайн-документации Watchguard
В режиме drop-in:
- Вы должны назначить один и тот же основной IP-адрес всем интерфейсам вашего устройства Firebox или XTM (внешний, доверенный и дополнительный).
- Вы можете назначать вторичные сети на любом интерфейсе.
- Вы можете сохранить одни и те же IP-адреса и шлюзы по умолчанию для хостов в ваших доверенных и дополнительных сетях и добавить адрес вторичной сети к основному внешнему интерфейсу, чтобы ваше устройство Firebox или XTM могло правильно отправлять трафик к хостам в этих сетях.
- Общественные серверы за вашим устройством Firebox или XTM могут продолжать использовать публичные IP-адреса. Преобразование сетевого адреса (NAT) не используется для маршрутизации трафика из вашей сети к вашим публичным серверам.
Свойства конфигурации drop-in:
- Вы должны назначить и использовать статический IP-адрес на внешнем интерфейсе.
- Вы используете одну логическую сеть для всех интерфейсов.
- Вы не можете настраивать более одного внешнего интерфейса, когда ваше устройство Firebox или XTM настроено в режиме drop-in. Функциональность Multi-WAN автоматически отключена.
Ответ или решение
Выбор между Drop-in и Mixed-routing Mode для Watchguard XTM 2
Когда дело доходит до настройки брандмауэра и маршрутизатора Watchguard XTM 2, выбор между режимами Drop-in и Mixed-routing может оказать значительное влияние на работу вашей сети. Рассмотрим оба варианта более подробно, чтобы вы могли сделать обоснованный выбор.
Понимание режимов работы
Mixed-routing Mode:
- Гибкость настройки: Позволяет использовать разные подсети на каждом интерфейсе. Вы можете настроить внешние, доверенные и дополнительные интерфейсы разными способами, что удобно для сложных сетевых архитектур.
- Полный контроль: У вас есть больше возможностей для настройки маршрутизации и политики безопасности. Вы можете настраивать различные правила брандмауэра и маршруты для разных подсетей, что подходит для организаций с разнородными сетевыми требованиями.
- Подключение к нескольким WAN: Этот режим позволяет использовать функцию Multi-WAN, что является важным аспектом для обеспечения отказоустойчивости и балансировки нагрузки на уровне сети.
Drop-in Mode:
- Упрощенная конфигурация: Все интерфейсы находятся в одной логической сети, что упрощает управление. Ваша Watchguard будет работать в рамках единой подсети, и все IP-адреса на интерфейсах будут одинаковыми.
- Отсутствие NAT: В этом режиме брандмауэр не использует сеть с преобразованием адресов (NAT) для маршрутизации. Это означает, что ваши публичные серверы могут продолжать использовать публичные IP-адреса без дополнительных сложностей с маршрутизацией.
- Запрет на использование нескольких внешних интерфейсов: Вы не сможете использовать Multi-WAN, что может ограничить возможности вашей сети в случае, если вы захотите подключить несколько интернет-продуктов.
Плюсы и минусы
Mid- маршрутизация (Mixed-routing Mode):
- Плюсы:
- Более сложные и настраиваемые варианты маршрутизации.
- Поддержка Multi-WAN для повышения устойчивости.
- Минусы:
- Усложняет сетевую инфраструктуру, требует больше ресурсов для обслуживания.
Drop-in mode:
- Плюсы:
- Простота в установке и управлении.
- Удобно использовать все интерфейсы в одной подсети, что может быть полезно для небольшой организации.
- Минусы:
- Ограниченные возможности настройки маршрутов.
- Недоступность функции Multi-WAN.
Итог
Ваш выбор между режимами Drop-in и Mixed-routing в основном зависит от специфики ваших сетевых потребностей. Если ваша сеть относительно проста и вы хотите оптимизировать использование всех интерфейсов на одном уровне, Drop-in Mode может быть подходящим решением. Однако, если ваша сеть сложная, с разными требованиями по маршрутизации и подключению к нескольким интернет-провайдерам, Mixed-routing Mode, вероятно, будет лучшим выбором, обеспечивая гибкость и контроль.
Важно оценить вашу текущую конфигурацию и будущие потребности, чтобы сделать максимально информированный выбор. В конечном счёте, правильная настройка может значительно повысить эффективность и безопасность вашей сети.