Я пытаюсь сегментировать сеть нашей компании. Моя основная цель - иметь много небольших широковещательных доменов вместо гигантского, поэтому я подумал о выделении одной VLAN на отдел.
Однако у нас есть много принтеров и централизованный файловый сервер, который должен быть доступен для любого устройства в компании. Итак, я предполагаю, что эти службы должны принадлежать к отдельной VLAN, которая, в свою очередь, будет взаимодействовать с VLAN отделов через адресацию L3.
Поскольку у нас есть коммутатор Cisco L3, маршрутизация между VLAN кажется правильным решением. Но пока я экспериментирую, я замечаю, что мне нужно назначить IP-адрес каждому интерфейсу VLAN (таким образом, выделяя каждый отдел в свою собственную подсеть), и, как только я разрешаю ip routing на коммутаторе L3 устройства могут пинговать не только принтеры или файловый сервер, но и любое другое устройство в любом другом отделе.
Я знаю, что широковещательный домен для одной подсети отличается от другой, но я подумал, что было бы более безопасно, если бы эти VLAN не могли связываться друг с другом.
Тем не менее, вот мои сомнения по этому поводу:
1) В целях безопасности, лучше ли изолировать VLAN этих отделов таким образом, чтобы они могли видеть только VLAN принтеров / файлов (не видя друг друга)?
2) Если да, то как лучше всего это сделать? Единственный возможный подход, который я могу придумать, - это использовать списки управления доступом, но они не кажутся такими практичными, поскольку мне нужно было бы обрабатывать множество записей.
1) Зависит от ваших требований к безопасности. Если ваши требования заключаются в том, что пользовательский ПК должен иметь возможность связываться только с серверами / принтерами, а не между ПК, тогда да, у вас должны быть ACL в интерфейсной VLAN для блокировки трафика по желанию. Что является наиболее безопасным - хорошо блокирует все, но то, что действительно необходимо, является наиболее безопасным.
2) Для этого вы просто реализуете ACL и применяете ACL к интерфейсной VLAN. Поскольку вы пытаетесь разрешить ПК для серверов / принтеров, ваши ACL должны быть простыми ... что-то вроде:
предполагая, что все ваши подсети - 10.0.0.0, а ваши серверы / принтеры - 10.1.1.0/24:
permit ip 10.0.0.0 0.255.255.255 10.1.1.0 0.0.0.255
deny ip any any log
Это, очевидно, простая версия, вам нужно будет настроить ее, чтобы получить точный желаемый результат. В этом примере вы можете применить это ко всем интерфейсам VLAN вашего ПК, поскольку он написан в общем виде, который будет работать для всех ваших VLAN.
Вы можете найти еще один пример этого в другом вопросе, на который я ответил на прошлой неделе: Держите интерфейсы маршрутизатора изолированными
Это очень распространенная ситуация, и, к сожалению, первоначальный ответ не должен быть техническим. Маршрутизация между Vlan - это нормально, если она работает для вашей компании. Да, возможны проблемы с безопасностью и производительностью, но есть ли у вас персонал для выполнения требований, если вы заблокируете свои системы?
Если вы правильно спроектировали свою сеть, вы сможете защитить маршрутизацию между vlan и ограничить изменения, необходимые постфактум. И, как вы уже сказали, защищая свой vlan, вы снижаете риск безопасности, улучшаете производительность и позволяете вам установить элементы управления для отслеживания IP-адресов и устройств.