У меня следующая топология:
Нажмите здесь, к сожалению, у меня недостаточно репутации для публикации изображений
По сути, я хотел бы, чтобы поток пакетов шел с ПК1 на основной коммутатор, на пограничный коммутатор и на межсетевой экран. Мне нужно «проткнуть провод», чтобы заставить трафик проходить через IPS. В идеале я бы поместил его между краем и брандмауэром, но с этим есть проблемы (разные типы интерфейса), поэтому мне нужно сделать это таким образом.
Теория такова.
Пакет предназначен для Интернета, клиент не знает, как туда попасть, поэтому он направляет пакет по маршруту по умолчанию. Исходный MAC - это клиент, целевой Mac - это ПК.
Core siwtch получает его. Он проверяет свою таблицу CAM и знает, что MAC-адрес 10.1.0.1 находится где-то на порту 2.
Коммутатор Edge получает его, и в его таблице CAM нет прямой записи для MAC 10.1.0.1 в VLAN 10. Однако он знает, что это порт 3.
Через IPS идет.
Теперь пограничный коммутатор видит, что MAC-адрес 10.1.0.1 находится на порту 1.
Дело в том, что я не хочу «маршрутизировать» с порта 2 на 1 напрямую через объединительную плату, мне нужно заставить его пройти через IPS.
Вот моя предлагаемая конфигурация
Край:
int FastEthernet0/1
switchport mode access
switchport access vlan 20
int FastEthernet0/4
switchport mode access
switchport access vlan 20
int FastEthernet0/2
switchport mode access
switchport access vlan 10
int FastEthernet0/3
switchport mode access
switchport access vlan 10
Core:
int FastEthernet0/1
switchport mode access
switchport access vlan 10
int FastEthernet0/4
switchport mode access
switchport access vlan 10
Прежде чем вы смеетесь, я использую 2960 в качестве Edge и 3560 в качестве Core. Я тестирую это в лабораторных условиях;).
Это «правильно» или есть лучший способ сделать это?
Не вдаваясь в кровавые подробности, я просто отмечу следующие моменты:
1.
Вы не можете «маршрутизировать» трафик на уровне 2, маршрутизация происходит на уровне 3.
2.
Клиентский трафик будет умирать, даже не достигнув IPS или брандмауэра. Клиент обращается к ARP для шлюза по умолчанию, и поскольку шлюз по умолчанию находится в другой VLAN, он не получит ответа. Коммутатор не будет пересылать этот ARP-запрос из VLAN 10 в VLAN 20. Коммутатор будет пересылать ARP-запрос только на порты, которые находятся в VLAN 10. Есть несколько других технических проблем с предлагаемой вами конструкцией, но поскольку Пункт, который я только что сделал, является демонстрацией, я не собираюсь вдаваться в подробности ни о чем другом.
3.
Почему бы вам не использовать IPS в качестве шлюза по умолчанию для клиентов и не использовать брандмауэр в качестве шлюза по умолчанию для IPS?
4.
Какие проблемы с подключением IPS между коммутатором Edge и межсетевым экраном? Вы показываете, что они оба подключены к переключателю Edge. Я предполагаю, что они оба подключены к портам Ethernet на коммутаторе Edge. Если да, то почему вы не можете просто подключить их напрямую?