Проведено много исследований, и все это сбивает с толку. Некоторые коммутаторы также являются межсетевыми экранами, большинство межсетевых экранов кажутся маршрутизаторами со своими собственными коммутаторами или без них, но все они разные в зависимости от производителя. Поэтому я прошу совета здесь!
Моя проблема:
У меня есть два порта, которые дают доступ к двум подсетям общедоступных IP-адресов.
Я хочу иметь возможность подключать к ним серверы и запускать ipfilter в качестве брандмауэра, но некоторые из них я бы хотел заблокировать трафик в зависимости от IP, прежде чем доставлять пакеты на машину.
Теперь коммутаторы cisco уровня 3, похоже, обладают этой функциональностью (ACL: s - это то, что они называют функциональностью межсетевого экрана, верно?). Я управлял cisco ACL: s раньше через CLI на cisco pix (давным-давно), так что я думаю, что это примерно то же самое.
Смогу ли я подключить такой коммутатор к двум портам моей подсети, чтобы все машины, подключенные к коммутатору, могли украсть IP-адреса из любой из подсетей?
Сетевые устройства, которые мне не нужны напрямую в WAN, - это контроллеры удаленного доступа, которые, как известно, полны дыр в безопасности. Возможно, было бы лучше поставить перед этими интерфейсами «тупой» коммутатор, а затем дешевый маршрутизатор, а не продвинутый коммутатор с функциями межсетевого экрана?
Это должна быть сеть для малого бизнеса с 2-4 серверами, которая, возможно, немного вырастет. Приветствуются любые другие идеи, кроме описанных выше!
Таким образом, у вас есть две / 8 сетей от вашего интернет-провайдера (по одной для каждого из двух портов).
a / 8 - огромная сеть, мне интересно, почему у вас такое большое адресное пространство, но все равно.
если у вас есть два отдельных IP-адреса на двух отдельных портах, если вы хотите настроить брандмауэр, а затем иметь несколько одинаковых IP-адресов за сетью, вам следует разделить две подсети на две, чтобы часть их находилась за пределами брандмауэра , и часть его находится внутри вашего брандмауэра. (это то, что я бы сделал по крайней мере).
Я любитель можжевельника, поэтому я бы использовал что-то вроде SRX100 (при условии, что не требуется много трафика), а затем настроить как минимум 3 разные зоны в сети.
1. RED1 = x.x.x.x/9
2. RED2 = y.y.y.y/9
3. GREEN = x.x.x.B/9 and also y.y.y.C/9
Где B и C - номер сети после разделения с 8 на 9 (используйте калькулятор подсети, чтобы найти, что это за сеть).
Таким образом, любой сервер в вашей ЗЕЛЕНОЙ (защищенной) сети может получить сетевой адрес из любого из двух IP-адресов.