Короче говоря, мы только что реализовали HA с 2 sonicwall nsa3600s ... у нас есть только 1 ISP-соединение на сайте ... поэтому нам нужен переключатель на стороне WAN, чтобы разделить соединение с обоими интерфейсами WAN на первичном и вторичном sonicwall .
ПРОБЛЕМА, у нас нет доступных переключателей! Мой босс одержим этой настройкой, однако он предлагает мне настроить vlan на нашем внутреннем стеке коммутаторов LAN и использовать его для сегментирования 3 портов для использования с этой целью.
Итак, предлагаемая топология заключается в том, что интернет-провайдер входит в свой собственный vlan через порт на нашем LAN SWITCHSTACK, затем разделяется обратно на WAN-интерфейсы на sonicwalls, а затем обратно в switchstack через интерфейс LAN sonicwalls.
Излишне говорить, что я считаю это ужасной идеей. Но у меня нет никаких неопровержимых фактов о том, ПОЧЕМУ это ужасная идея, кроме .... УСТРОЙСТВА ЛВС ДОЛЖНЫ ВСЕГДА ОСТАВЛЯТЬСЯ ЗА БРАНДВОЕЛЕМ .... Кто-нибудь может сказать мне о потенциальных опасностях и дырах в безопасности, которые это создает? Он утверждает, что именно так все было устроено на его последней работе ...
Некоторые потенциальные несоответствия, которые приходят в голову, заключаются в том, что vlan - это технология уровня 2, в то время как данные будут маршрутизироваться через эти коммутаторы ... как насчет широковещательных штормов и атак ddos? Я не знаю ... это кажется действительно неправильным.
То, что предлагает ваш начальник, будет работать без проблем с безопасностью.
КРОМЕ, что неправильная конфигурация вашего внутреннего коммутатора может непреднамеренно перебросить ненадежный трафик внутрь вашего брандмауэра.
А учитывая, что наиболее частым источником сетевых проблем является случайная неправильная конфигурация, это реальный риск. Убедитесь, что все хорошо задокументировано.
Конечно, ваш босс, вероятно, ответит, что правильная конфигурация коммутатора полностью ваша ответственность. Тебе придется с этим разобраться.
Остальные ваши возражения безосновательны. Нет проблемы "несогласованности". Любой внешний DoS или шторм приведет к насыщению канала WAN задолго до того, как повлияет на коммутатор.