Назад | Перейти на главную страницу

Совместное использование коммутатора как с внутренними, так и с внешними интерфейсами

Мне интересно, будет ли безопасно настроить мою сеть с одним коммутатором, работающим как с внутренним, так и с внешним интерфейсами.

В настоящее время у меня есть блок IP-адресов 255.255.255.240 от провайдера и частная сеть 10.10.10.0/24, работающая от маршрутизатора. Маршрутизатор имеет один порт WAN и настроен с использованием одного из внешних IP-адресов в качестве статического IP-адреса. Все компьютеры в настоящее время отключены от частной сети. Используемый коммутатор - NETGEAR JGS516.

В основном текущая настройка выглядит так:

  Computers  ----  Switch  ---- Router ---- ISP's Switch

Я бы хотел сделать следующее (в основном подключив порт WAN и LAN маршрутизатора к коммутатору):

                  Router
                    /\
 Computers  ----  Switch  ---- ISP's Switch

Я пробовал это делать, и, похоже, это сработало. Я могу назначать компьютерам как публичные, так и частные IP-адреса, и они оба работают.

Причина, по которой я хочу внести это изменение, заключается в том, чтобы компьютерам, находящимся за коммутатором, можно было назначить общедоступные IP-адреса. Я хочу, чтобы у некоторых из них были только общедоступные IP-адреса, у некоторых - только частные IP-адреса, а некоторым были назначены как частные, так и общедоступные IP-адреса с использованием одной сетевой карты на компьютере.

Я хочу знать следующее:

Каковы были бы недостатки этой установки?

Может ли это поставить под угрозу безопасность сети?

Могут ли машины получать доступ к компьютерам, которым назначен только частный IP-адрес?

Что еще я должен знать?

Поздравляю. Вы эффективно устранили любую безопасность, которую маршрутизатор обеспечивал для вашей внутренней сети.

Что вам нужно сделать, так это вернуть все в исходное состояние и настроить NAT на вашем маршрутизаторе для NAT соответствующий общедоступный IP-адрес на соответствующий частный IP-адрес.

Каковы были бы недостатки этой установки?

Безопасность. Машины, которым вы назначили общедоступные IP-адреса, теперь полностью доступны для Interwebs.

Может ли это поставить под угрозу безопасность сети?

Да. Если ваши общедоступные машины будут взломаны, вы скоро обнаружите, что у вас проблемы в не очень частной локальной сети.

Могут ли машины получать доступ к компьютерам, которым назначен только частный IP-адрес?

Я так понимаю вы имеете в виду из публичной сети? Нет, их нельзя маршрутизировать напрямую. Но см. Выше.

Что еще я должен знать?

Да, вернитесь к исходному методу. Если это вариант Cisco или HP, вы должны настроить правила NAT для сопоставления общедоступных IP-адресов с внутренними серверами, а затем добавить определенные элементы управления списком доступа, чтобы заблокировать открытые порты и при необходимости управлять исходными сетями.

Это просто означает, что вы также не можете использовать маршрутизатор в качестве брандмауэра и не можете изолировать машины, которые подключаются только к общедоступной сети, от машин, которые подключаются только к частной сети. В большинстве типичных домашних сетей ни того, ни другого не происходит. Так что если вы строите обычную домашнюю сеть, это не будет иметь никакого значения.