У меня есть Cisco ASA 5505, который сейчас обслуживает около 30 машин, все на 10.10.0.X.
Я хочу выделить несколько из этих машин в VLAN, чтобы они не могли инициировать трафик для всех других компьютеров, которые не являются частью ограниченной VLAN.
Компьютеры, не входящие в состав изолированной группы, по-прежнему должны иметь возможность инициировать соединения с изолированными машинами.
Так что это очень похоже на DMZ, за исключением того, что я надеюсь, что мне не придется помещать отдельные машины в другую подсеть.
Возможно ли это, или мне нужно, чтобы каждая VLAN находилась в отдельной подсети?
Прошу прощения за мой статус новичка в этом материале. Я пытаюсь выучить.
Вланы по определению являются уровнем 2. Для всех целей и задач он подобен размещению машин в двух отдельных сетях. Таким образом, в этом случае вам нужно, чтобы машины находились в разных подсетях и на разных vlan, а ASA действовал как промежуточный маршрутизатор между двумя «зонами». Затем вы должны настроить ACL на ASA, чтобы остановить трафик от инициирования к первому подсеть из второй.
Это правильный способ справиться с тем, что вы пытаетесь сделать. Вы можете сделать это с двумя отдельными подсетями в одном vlan, но это будет менее безопасно ...
Платформу ASA можно использовать в прозрачном режиме, поэтому можно будет делать то, что вы хотите (хотя, признаюсь, я недостаточно знаю ASA, чтобы сказать, как).
Однако это не будет рекомендуемая конфигурация; если вам нужна такая изоляция, лучше всего перенумеровать их в новую подсеть.