Конфигурация Watchguard, режим вставки или смешанной маршрутизации?

Вопрос или проблема

У меня есть Watchguard XTM 2, который в настоящее время выполняет функции межсетевого экрана и маршрутизатора для моей бизнес-сети. Я настроил WG в режиме смешанной маршрутизации и доволен текущей конфигурацией. Причина, почему я интересуюсь режимом drop-in, заключается в том, что я хотел бы использовать все интерфейсы на задней панели Watchguard для одной подсети.

Я понимаю, что режим drop-in объединит их все в одну подсеть, но из руководства неясно, будет ли маршрутизация/межсетевой экран/VPN по-прежнему работать как ожидалось.

Этот WG находится сразу за DSL-модемом, который настроен в режиме моста, так что WG обрабатывает все аутентификации PPPoE и маршрутизацию для сети.

У нас есть xtm21-w, и согласно документации в режиме drop-in все интерфейсы находятся в одной сети.

Из онлайн-документации Watchguard

В режиме drop-in:

  • Вы должны назначить один и тот же основной IP-адрес всем интерфейсам вашего устройства Firebox или XTM (внешний, доверенный и дополнительный).
  • Вы можете назначать вторичные сети на любом интерфейсе.
  • Вы можете сохранить одни и те же IP-адреса и шлюзы по умолчанию для хостов в ваших доверенных и дополнительных сетях и добавить адрес вторичной сети к основному внешнему интерфейсу, чтобы ваше устройство Firebox или XTM могло правильно отправлять трафик к хостам в этих сетях.
  • Общественные серверы за вашим устройством Firebox или XTM могут продолжать использовать публичные IP-адреса. Преобразование сетевого адреса (NAT) не используется для маршрутизации трафика из вашей сети к вашим публичным серверам.

Свойства конфигурации drop-in:

  • Вы должны назначить и использовать статический IP-адрес на внешнем интерфейсе.
  • Вы используете одну логическую сеть для всех интерфейсов.
  • Вы не можете настраивать более одного внешнего интерфейса, когда ваше устройство Firebox или XTM настроено в режиме drop-in. Функциональность Multi-WAN автоматически отключена.

Ответ или решение

Выбор между Drop-in и Mixed-routing Mode для Watchguard XTM 2

Когда дело доходит до настройки брандмауэра и маршрутизатора Watchguard XTM 2, выбор между режимами Drop-in и Mixed-routing может оказать значительное влияние на работу вашей сети. Рассмотрим оба варианта более подробно, чтобы вы могли сделать обоснованный выбор.

Понимание режимов работы

Mixed-routing Mode:

  1. Гибкость настройки: Позволяет использовать разные подсети на каждом интерфейсе. Вы можете настроить внешние, доверенные и дополнительные интерфейсы разными способами, что удобно для сложных сетевых архитектур.
  2. Полный контроль: У вас есть больше возможностей для настройки маршрутизации и политики безопасности. Вы можете настраивать различные правила брандмауэра и маршруты для разных подсетей, что подходит для организаций с разнородными сетевыми требованиями.
  3. Подключение к нескольким WAN: Этот режим позволяет использовать функцию Multi-WAN, что является важным аспектом для обеспечения отказоустойчивости и балансировки нагрузки на уровне сети.

Drop-in Mode:

  1. Упрощенная конфигурация: Все интерфейсы находятся в одной логической сети, что упрощает управление. Ваша Watchguard будет работать в рамках единой подсети, и все IP-адреса на интерфейсах будут одинаковыми.
  2. Отсутствие NAT: В этом режиме брандмауэр не использует сеть с преобразованием адресов (NAT) для маршрутизации. Это означает, что ваши публичные серверы могут продолжать использовать публичные IP-адреса без дополнительных сложностей с маршрутизацией.
  3. Запрет на использование нескольких внешних интерфейсов: Вы не сможете использовать Multi-WAN, что может ограничить возможности вашей сети в случае, если вы захотите подключить несколько интернет-продуктов.

Плюсы и минусы

Mid- маршрутизация (Mixed-routing Mode):

  • Плюсы:
    • Более сложные и настраиваемые варианты маршрутизации.
    • Поддержка Multi-WAN для повышения устойчивости.
  • Минусы:
    • Усложняет сетевую инфраструктуру, требует больше ресурсов для обслуживания.

Drop-in mode:

  • Плюсы:
    • Простота в установке и управлении.
    • Удобно использовать все интерфейсы в одной подсети, что может быть полезно для небольшой организации.
  • Минусы:
    • Ограниченные возможности настройки маршрутов.
    • Недоступность функции Multi-WAN.

Итог

Ваш выбор между режимами Drop-in и Mixed-routing в основном зависит от специфики ваших сетевых потребностей. Если ваша сеть относительно проста и вы хотите оптимизировать использование всех интерфейсов на одном уровне, Drop-in Mode может быть подходящим решением. Однако, если ваша сеть сложная, с разными требованиями по маршрутизации и подключению к нескольким интернет-провайдерам, Mixed-routing Mode, вероятно, будет лучшим выбором, обеспечивая гибкость и контроль.

Важно оценить вашу текущую конфигурацию и будущие потребности, чтобы сделать максимально информированный выбор. В конечном счёте, правильная настройка может значительно повысить эффективность и безопасность вашей сети.

Оцените материал
Добавить комментарий

Капча загружается...