Назад | Перейти на главную страницу

Каков наилучший метод достижения изоляции устройства в DMZ?

У меня есть соединение ADSL, которому выделена подсеть / 29, что дает мне 6 используемых IP-адресов. В настоящее время к нему подключен дешевый ADSL-маршрутизатор Netgear со встроенным коммутатором. Подключено 3 сервера, каждый с публичным IP-адресом. Каждый из этих серверов находится в нашей демилитаризованной зоне и имеет второе сетевое подключение к внутреннему брандмауэру, но я не думаю, что это важно для этого вопроса.

Поскольку коммутатор маршрутизатора Netgear настолько прост, каждый из этих трех серверов может получить доступ к другим серверам через коммутатор маршрутизатора. Я требую, чтобы каждый из этих серверов был изолирован от других и не имел к ним доступа.

Я намерен заменить маршрутизатор чем-то более подходящим, например Cisco 1801, который также имеет встроенный коммутатор, но поддерживает VLAN на этом коммутаторе. Однако я не уверен, каков наилучший метод достижения цели. Я не уверен, применяется ли брандмауэр на этом маршрутизаторе к соединениям с его коммутатором или только к маршрутизируемым соединениям. И мне кажется, что здесь должны быть задействованы VLAN, но я не уверен, как это сделать!

Как мне лучше всего выполнить требование ADSL-соединения с подсетью / 29, где подключенные устройства не имеют связи друг с другом?

Я не знаю насчет 1801, но я использую Cisco 1811 именно для этого. Вы можете назначить VLAN каждому порту коммутатора:

interface FastEthernet1
 switchport access vlan 1

interface FastEthernet2
 switchport access vlan 2

etc.

interface Vlan1
 ip address <IP-ADDRESS-INTERNAL-1> <NETMASK>
 ...

interface Vlan2
 ip address <IP-ADDRESS-INTERNAL-2> <NETMASK>
 ...

 etc.

Эти сети VLAN по умолчанию разделены. Вы также можете назначить порт коммутатора для доступа ко всем VLAN (для мониторинга или чего-то еще).

Чтобы связать каждую VLAN с одним общедоступным IP-адресом, вы можете использовать несколько правил NAT, например:

ip nat inside source static <IP-INTERNAL-IP-1> <IP-EXTERNAL-IP-1>
ip nat inside source static <IP-INTERNAL-IP-2> <IP-EXTERNAL-IP-2>
etc.

и включаем нат на Fe0 (WAN соединение):

interface FastEthernet0
ip nat outside
...

Убедитесь, что вы покупаете cisco 18xx со встроенным ADSL на Fe0, иначе вы потратите много денег на дополнительный модуль ADSL.