Назад | Перейти на главную страницу

Изолировать клиентов в одной подсети?

Учитывая n (например, 200) клиентов в подсети / 24 и следующую структуру сети:

client 1 \
.         \
.          switch -- firewall
.         / 
client n /

(на словах: все клиенты подключены к одному коммутатору, а коммутатор подключен к межсетевому экрану)

Теперь по умолчанию, например клиент 1 и клиент n могут обмениваться данными напрямую с помощью коммутатора без каких-либо пакетов, поступающих на межсетевой экран. Следовательно, ни один из этих пакетов не может быть отфильтрован. Однако я хотел бы фильтровать пакеты между клиентами, поэтому я хочу запретить прямую связь между клиентами.

Я знаю, что это возможно с использованием vlan, но тогда, как я понимаю, мне пришлось бы разместить всех клиентов в их собственной сети. Однако у меня даже не так много IP-адресов: у меня около 200 клиентов, только подсеть / 24, и все клиенты должны иметь общедоступные IP-адреса, поэтому я не могу просто создать частную сеть для каждого из них (ну, может быть используя некоторый NAT, но я бы хотел этого избежать).

Итак, есть ли способ сообщить коммутатору: пересылать все пакеты на брандмауэр, не разрешать прямую связь между клиентами? Спасибо за подсказку!

Вы можете разделить клиентов внутри VLANM, если ваш коммутатор поддерживает PVLAN (частную VLAN), которая может быть настроена так, чтобы любой хост мог взаимодействовать с брандмауэром, не имея возможности связываться с любым другим устройством. Вы можете дополнительно настроить PVLAN, чтобы разрешить обмен данными между ограниченными группами серверов.

Какой переключатель вы используете?

Вам может понадобиться другой коммутатор для реализации PVLAN. Ниже приведена ссылка на матрицу продуктов Cisco для коммутаторов Cisco, поддерживающих PVLAN:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml

А вот ссылка на Cisco Catalyst 2948G на сайте www.amazon.com:

http://www.amazon.com/Cisco-WS-C2948G-L3-Catalyst-Gigabit-Switch/dp/B0000515TX/ref=sr_1_3?ie=UTF8&qid=1338735756&sr=8-3

Когда клиенты подключены к одному коммутатору, они будут связываться друг с другом через межсетевой экран. Вы не можете указать коммутатору пересылать трафик на брандмауэр для фильтрации. Коммутатор прозрачен для клиента и брандмауэра в сети.

Вам необходимо распределить клиентов по разным подсетям, чтобы выполнить некоторую фильтрацию на уровне 3 (IP). Таким образом, использование VLAN - лучший вариант в этом случае. Если вам нужно использовать общедоступные IP-адреса, а их у вас немного, вы можете просто назначить частные IP-адреса и выполнить NAT на брандмауэре.

Хосты не обязательно должны находиться в разных подсетях, чтобы между ними был брандмауэр.

Брандмауэры бывают разных видов, например, межсетевой экран маршрутизации или межсетевой экран с мостом. Когда брандмауэры упоминаются без указания типа, обычно предполагается, что вы имеете в виду брандмауэр маршрутизации. Но для передачи трафика межсетевого экрана между хостами в одной подсети вам нужен межсетевой экран с мостовым соединением. Некоторые межсетевые экраны могут одновременно действовать как межсетевой экран маршрутизации и как межсетевой экран моста.

Межсетевой экран маршрутизации - это маршрутизатор, который может фильтровать пакеты на основе набора правил.

Межсетевой экран - это коммутатор, который может фильтровать пакеты на основе набора правил.

Наилучшая производительность была бы достигнута, если бы коммутатор, соединяющий хосты, сам мог действовать как межсетевой экран, соединяющий мосты. Однако если предположить, что производительность не является высоким приоритетом и вам нужно продолжать использовать тот же переключатель, вы можете рассмотреть другие варианты.

Поместив каждый хост в отдельную VLAN и пометив весь трафик на порту, подключенном к брандмауэру, вы сможете настроить брандмауэр для работы в качестве межсетевого экрана моста. (Предполагается, что ваш брандмауэр может действовать как брандмауэр моста).

Для такой настройки от коммутатора не требуется ничего, кроме поддержки VLAN. Это касается одного углового случая коммутации VLAN, который легко упустить из виду при проектировании, а это означает, что вполне возможно, что некоторые коммутаторы имеют конструктивный недостаток, не позволяющий им правильно работать с мостовым межсетевым экраном между VLAN. Сложность заключается в том, что каждый отдельный MAC-адрес будет виден коммутатору на разных портах в зависимости от того, какой тег VLAN используется. Если коммутатор использует только MAC-адрес назначения в качестве ключа при поиске в CAM, он не будет работать, правильно реализованный коммутатор с поддержкой VLAN использует комбинацию тега VLAN и MAC-адреса в качестве ключа для поиска CAM.

Я бы решил иначе. Я предшествую установке сервера PPPoE, все клиенты которого изолированы, потому что они находятся в туннеле и должны подключаться к серверу.