NICs versus VIrtual IPs

Depends what you want to do with those IP's

How many do you have ?
Personally I don't see why you would add extra NIC's, or add them as virtual IP's.

What are you trying to achieve ?

If you are hosting web servers available to the public either config will work. If you are separating networks EI: DMZ, multiple private LANS or multiple publice ISPS multiple NICS will be your best option

Simon, I hope you mean that you don't see the need on a home network. Because multiple NICs and multiple IPs are a way of life in the real world. 

My home network is where I play with and learn about things I use at work. I currently have 2 ISPs with 5 static IPs from one and one dynamic IP from the other. I will be setting up a Net to Net VPN and hosting a couple of domains. On the inside, I plan on using multiple DMZs (don't want that friend's IIS machine anywhere near my Linux web server) and multiple private networks. 

Mike, I agree that the two ISPs would require separate NICs. It turns out that I will also need a NIC for the Net to Net VPN since it appers to work only with real interfaces. I also undertand that I could service the two domains with virtual interfaces (not sure if I can stack these on top of the NIC used for VPN). 

Still, I wonder. Do virtual interfaces offer any advantages over NICs (desides reducing wire clutter at the firewall)? Do NICs offer better security or performance than virtual interfaces? Your thoughts would be very welcome.

Farid

Simon, I hope you mean that you don't see the need on a home network. Because multiple NICs and multiple IPs are a way of life in the real world. 

My home network is where I play with and learn about things I use at work. I currently have 2 ISPs with 5 static IPs from one and one dynamic IP from the other. I will be setting up a Net to Net VPN and hosting a couple of domains. On the inside, I plan on using multiple DMZs (don't want that friend's IIS machine anywhere near my Linux web server) and multiple private networks. 

Mike, I agree that the two ISPs would require separate NICs. It turns out that I will also need a NIC for the Net to Net VPN since it appers to work only with real interfaces. I also undertand that I could service the two domains with virtual interfaces (not sure if I can stack these on top of the NIC used for VPN). 

Still, I wonder. Do virtual interfaces offer any advantages over NICs (desides reducing wire clutter at the firewall)? Do NICs offer better security or performance than virtual interfaces? Your thoughts would be very welcome.

Farid

I would assume you would save most of the IP's for server boxes in the DMZ ?

If you have two ISP's then of course you will want one IP on each NIC connected to the ISP's.

I'd plan your network out on paper first.

I have not configured a net-to-net VPN yet but I would agree that it would only work on real interfaces due to MAC addressing problems with virtual interfaces. Also Virtual interfaces do not always respond to ICMP packets properly and may drop ICMP packets when the FW is extremely busy.  

As far stacking the domain IPs on the VPN nic I can tell you this. One of my clients ASL boxes has 9 ips on a single nic. I use DNAT to get to 4 different servers and 2 domains we also use this ASL box for PPTP. I have never had any problems with the virtual IPs except that sometimes PPTP won't answer and I have to use a different virtual IF IP to connect via PPTP. A few days later the original IP will start working again.

I will be testing IPSEC to se if that happens and changing the PPTP timeout on ASL to see if that works.