Совместное использование коммутатора с внутренними и внешними интерфейсами
Мне интересно, было бы безопасно настроить мою сеть с одним коммутатором, работающим как с внутренним, так и с внешним интерфейсом.
В настоящее время у меня есть блок IP-адресов 255.255.255.240 от интернет-провайдера и частная сеть 10.10.10.0/24, работающая от маршрутизатора. Маршрутизатор имеет один порт WAN и настроен на использование одного из внешних IP-адресов в качестве статического IP-адреса. Все компьютеры в данный момент отключены от частной сети. Используемый переключатель - NETGEAR JGS516.
В основном текущая настройка выглядит следующим образом:
Computers ---- Switch ---- Router ---- ISP's Switch
Что я хотел бы сделать, это (в основном, подключив порт WAN и LAN маршрутизатора к коммутатору):
Router
/\
Computers ---- Switch ---- ISP's Switch
Я пытался сделать это, и это похоже на работу. Я могу назначать как публичные, так и частные IP-адреса компьютерам, и они оба работают.
Причина, по которой я хочу внести это изменение, заключается в том, что компьютерам, которые находятся за коммутатором, могут быть назначены публичные IP-адреса. Я хочу, чтобы у некоторых из них были только общедоступные IP-адреса, у некоторых - только частные IP-адреса, а некоторым - как частным, так и общедоступным IP-адресам с использованием единой сетевой карты компьютера.
То, что я хочу знать, это:
Какие будут недостатки у этой настройки?
Скомпрометирует ли это безопасность в сети?
Могут ли машины получать доступ к компьютерам, которым назначен только частный IP-адрес?
Что-нибудь еще, что я должен знать?
3 ответа
Поздравляю. Вы устранили все меры безопасности, которые ваш маршрутизатор предоставлял для вашей внутренней сети.
То, что вам нужно сделать, это вернуть все как есть и настроить NAT на вашем маршрутизаторе, чтобы NAT соответствовал общедоступному IP-адресу к соответствующему частному IP-адресу.
Какие будут недостатки у этой настройки?
Безопасность. Машины, которым вы назначили общедоступные IP-адреса, теперь полностью открыты для веб-сайтов.
Скомпрометирует ли это безопасность в сети?
Да. Если ваши общедоступные машины будут взломаны, вы скоро обнаружите, что у вас есть проблемы в вашей локальной сети.
Могут ли машины получать доступ к компьютерам, которым назначен только частный IP-адрес?
Я полагаю, вы имеете в виду из публичной сети? Нет, они не будут маршрутизироваться напрямую. Но смотри выше.
Что-нибудь еще, что я должен знать?
Да, вернитесь к первоначальному методу. Если это вариант Cisco или HP, вы должны настроить правила NAT для сопоставления общедоступных IP-адресов с внутренними серверами, а затем добавить специальные элементы управления списком доступа для блокировки открытых портов и управления исходными сетями, если это необходимо.
Это просто означает, что вы также не можете использовать маршрутизатор в качестве брандмауэра и не можете изолировать машины, которые подключаются только к общедоступной сети, от машин, которые подключаются только к частной сети. Большинство типичных домашних сетей в любом случае не делают ни одной из этих вещей. Так что, если вы строите типичную домашнюю сеть, это не будет иметь никакого значения.