Принудительный трафик через IPS в плоской сети через шишку в проводе

Question

Принудительный трафик через IPS в плоской сети через шишку в проводе

У меня есть следующая топология:

Нажмите здесь, к сожалению, мне не хватает представителя для публикации изображений

По сути, я хотел бы, чтобы поток пакетов шел от ПК1, к коммутатору ядра, к пограничному коммутатору и к межсетевому экрану. Мне нужно "поднять провод", чтобы заставить трафик через IPS. В идеале я бы поместил его в линию между краем и брандмауэром, но есть проблемы с этим (разные типы интерфейса), поэтому мне нужно сделать это таким образом.

Теория заключается в следующем.

Пакет предназначен для Интернета, клиент не знает, как туда добраться, поэтому он направляет пакет по маршруту по умолчанию. MAC-адрес источника является клиентом, Mac-адресат - ПК.
Ядро siwtch получает это. Он проверяет свою таблицу CAM и знает, что MAC-адрес 10.1.0.1 находится где-то на порту 2.
Пограничный коммутатор получает его, и в своей таблице CAM он не имеет прямой записи для MAC 10.1.0.1 в VLAN 10. Хотя он знает, что он находится в порту 3.
Через IPS идет.
Теперь пограничный коммутатор видит, что MAC-адрес 10.1.0.1 находится на порту 1.

Дело в том, что я не хочу "маршрутизировать" от порта 2 до 1 напрямую через объединительную плату, мне нужно заставить его проходить через IPS.

Вот мой предложенный конфиг

Край:

int FastEthernet0/1
  switchport mode access
  switchport access vlan 20
int FastEthernet0/4
  switchport mode access
  switchport access vlan 20
int FastEthernet0/2
  switchport mode access
  switchport access vlan 10
int FastEthernet0/3
  switchport mode access
  switchport access vlan 10

Core:
int FastEthernet0/1
  switchport mode access
  switchport access vlan 10
int FastEthernet0/4
  switchport mode access
  switchport access vlan 10

Перед смехом я использую 2960 в качестве края и 3560 для ядра. Я тестирую это в лабораторной среде;).

Это "правильно" или есть лучший способ сделать это?

0

networking cisco switch ips

Источник

HatinCisco9234 20 май '15 в 12:00

1 ответ

Другие вопросы по тегам networking cisco switch ips

joeqwerty 20 май '15 в 14:14 2015-05-20 14:14 · Answer 1 · 2015-05-20 14:14

Не вдаваясь в кучу кровавых подробностей, я просто сделаю следующие замечания:

1. Вы не можете "маршрутизировать" трафик на уровне 2, маршрутизация происходит на уровне 3.

2. Трафик клиента умрет, даже не достигнув IPS или межсетевого экрана. Клиент идет к ARP для шлюза по умолчанию, и, поскольку шлюз по умолчанию находится в другой VLAN, он не получит ответа. Коммутатор не будет перенаправлять этот запрос ARP из VLAN 10 в VLAN 20. Коммутатор будет пересылать запрос ARP только на порты, которые находятся в VLAN 10. Есть несколько других технических проблем с вашим предложенным дизайном, но так как Смысл, который я только что сделал, - это шоу-стоп, я не собираюсь останавливаться на чем-либо еще.

3. Почему вы не используете IPS в качестве шлюза по умолчанию для клиентов и не используете брандмауэр в качестве шлюза по умолчанию для IPS?

4. Какие проблемы возникают при подключении IPS между пограничным коммутатором и межсетевым экраном? Вы показываете, как они оба подключены к Edge switch. Я предполагаю, что они оба подключены к портам Ethernet на коммутаторе Edge. Если так, то почему вы не можете просто подключить их напрямую?