Você não precisa de dois firewalls (a menos que suportem failover / alta disponibilidade) para iniciantes.
Obtenha um firewall de classe empresarial decente. Série Cisco ASA 5500, Sonicwall TZ 105, pfSense, etc.
Adicione as duas conexões WAN ao firewall único; Eu provavelmente os colocaria em pelo menos uma configuração de failover, mas que seja. Sua chamada.
Supondo que estamos lidando com um switch L3 que você já comprou, você pode criar uma interface VLAN para suas duas VLANs (VLAN 1: 192.168.1.0/24, interface VLAN: 192.168.1.1; VLAN 100: 10.1. Interface VLAN 1.0 / 24: 10.1.1.1). Estes se tornam o gateway padrão para os nós em cada VLAN, respectivamente. Se isso é DHCP ou não, fora do escopo desta questão.
Crie outra VLAN, digamos, VLAN 10. 172.16.0.0/29. Defina a interface de LAN do seu firewall para um IP nesta sub-rede (172.16.0.1/29) e crie uma interface de VLAN na mesma sub-rede (172.16.0.2/29). Atribua uma porta a esta VLAN e conecte-a ao seu firewall a partir dessa porta. Você deve conseguir executar ping na interface LAN do firewall a partir do console do switch L3.
Atualize / crie a rota padrão no switch L3, assim como 0.0.0.0 0.0.0.0 gw 172.16.0.1 (pseudo-sintaxe, obviamente, isso irá variar dependendo do switch make / model, mas nós queremos criar uma rota padrão para a interface LAN do firewall). / p>
No firewall, crie uma rota de volta para suas sub-redes de VLAN assim ( 192.168.1.0 255.255.255.0 gw 172.16.0.2 e, em seguida, 10.1.1.0 255.255.255.0 gw 172.16.0.2 ).
No firewall, você vai querer olhar para roteamento baseado em política, roteamento de política, roteamento baseado em fonte, etc. (depende do que você obtém, mas qualquer roteador / firewall decente deve suportar isso), mas basicamente você vai querer para adicionar uma regra / política de roteamento que examine a sub-rede de origem e atribua um gateway WAN adequadamente.
Se você não tiver um L3 e não estiver prevendo muito roteamento interVLAN (ou seja, centenas de estações de trabalho conversando com dezenas de servidores em diferentes VLANs), não gaste seu dinheiro em um. Qualquer firewall decente terá várias interfaces físicas (ou até mesmo uma funcionará com roteador em uma haste , mas novamente, depende dos requisitos de tráfego, etc.) e estes podem tomar o lugar das interfaces de VLAN: basta dividir um switch L2 em duas VLANs como já discutimos, mas em vez de atribuir interfaces (o que você provavelmente não pode) ao virtual VLAN interfaces, você vai estar ligando na interface LAN1 e LAN2 (ou qualquer outro) no firewall e deixe-o fazer o roteamento interVLAN e / ou o roteamento da Internet.
A menos que você esteja falando de vários switches troncados / etiquetados juntos, transportando VLANs de vários locais, eu nem me importaria com switches L2: você poderia facilmente fazer isso com apenas dois switches não gerenciados, um para cada interface de firewall. Eu prefiro os switches L2, pois há muito mais flexibilidade e opções de gerenciamento / monitoramento e preços razoáveis normalmente.