将第二个防火墙添加到具有多个子网的 ISP 连接？

我认为您最好的选择是联系您的 ISP，并准确说明他们通过 203.0.113.88/29 块为您提供了什么。没有理由因为这些 IP 地址的不确定性而使事情变得复杂。

最理想的情况是您将第二个防火墙连接到该交换机，并为其提供 203.0.113.88/29 网络上的 IP 之一，并在同一网络上使用默认网关。

您的 ISP 如何在您的网络中路由 203.0.113.88/29？不知何故，我怀疑情况是否如此。

如果您没有完全使用 192.0.2.144/29（或 203.0.113.88/29）网络，您应该能够在交换机上放置一个接口，并在该范围内打开 IP 地址。我建议使用 2 个 IP 地址（如果可用） - 例如：

开关1：

接口 FaX/X（您的新防火墙在此处连接）

ip地址 192.0.2.147 255.255.255.252 ！

然后在你的新防火墙上，你会放

接口 X/X 192.0.2.148 255.255.255.252

这将阐明您对默认网关的需求，您还可以在其上放置 /29 掩码并使用当前在您的交换机上使用的相同网关。

例如（假设您在交换机上使用 vlan 20）

vlan 20 ip地址 192.0.2.145 255.255.255.248

interface FaX/X (你的新防火墙连接在这里) switchport access vlan 20

在您的新防火墙上

ip地址192.0.2.147 255.255.255.248

关于无通信规则，您需要单独的子网或交换机上的 ACL。

希望这可以帮助

为实验室防火墙分配 192.0.2.144/29 或 203.0.113.88/29 内的地址是行不通的，除非它位于充当该地址空间网关的任何设备的后面，因为任何具有该广播地址的设备都会响应 ARP 请求。

您可能希望在 Watchdog 防火墙的上游分配地址，或者，与其让 Watchdog 宣传 /29 网络，不如将 /29 分解为 /30 网络。如果您不需要一个防火墙上的 /29 中的所有 8 个主机地址，则将 /30 分配给一个防火墙，将另一个 /30 分配给新的实验室防火墙。

我不知道你的防火墙的细节，但这就是我使用任何商业级防火墙的方式，两个防火墙是不必要的：

将203.0.113.88/29网络放在您的第一个防火墙上，放在单独的接口（或子接口，如果您可以使用 VLAN）上，并让防火墙相互保护网络。只需从网络块中为防火墙接口分配一个地址，这将是网络的网关。您将需要从网络到防火墙的 WAN 接口（或 ISP 路由器地址）的默认路由，然后就完成了。

NAT 真的与防火墙无关；防火墙通常只是方便进行 NAT 的地方。如果您不想，则不需要在网络上进行 NAT，而且我不会使用公共地址。

如果您的 ISP 将这两个范围都路由到您当前的防火墙，您应该能够在不使用其他软件的情况下设置所需的配置，具体取决于您的 Watchguard 型号。Watchguard 非常擅长处理这类问题。听起来您可能对 192 或 203 网络的配置不好，至少在将其用作公共网络方面。您应该在设备上获得至少一年的支持，如果不支付另一个费用，那么在为您设置此配置时值得他们指导。但首先让他们确认您当前的型号防火墙可以处理您可能期望来自两个网络的配置和流量负载。

关于您的 ISP，听起来他们只是将第二个网络范围转储到第一个网络范围之上。无论是谁提供了该服务，当时可能都无法在您的设施中配置两个端点并保持原样。从他们那里弄清楚这一点会有很大帮助。它将帮助您与 Watchguard 讨论您的配置。我个人会只使用一个防火墙，出于多种原因，一个是电力负载，但服务合同和其他经常性成本和支持需求是另一个原因。除非您确实有其他问题，例如您的开发项目出于某种原因需要重置单元，即开发网络管理软件。或者，如果当前单元的规模不足以支持两个网络的负载。考虑到这些问题。