Изолировать клиентов в одной подсети?
Имеется n (например, 200) клиентов в подсети /24 и следующая структура сети:
client 1 \
. \
. switch -- firewall
. /
client n /
(на словах: все клиенты подключены к одному коммутатору, а коммутатор подключен к брандмауэру)
Теперь по умолчанию, например, клиент 1 и клиент n могут общаться напрямую, используя коммутатор, без каких-либо пакетов, поступающих через брандмауэр. Поэтому ни один из этих пакетов не может быть отфильтрован. Однако я хотел бы фильтровать пакеты между клиентами, поэтому я хочу запретить любую прямую связь между клиентами.
Я знаю, что это возможно с помощью vlans, но тогда, согласно моему пониманию, мне придется поместить всех клиентов в их собственную сеть. Однако у меня даже не так много IP-адресов: у меня около 200 клиентов, только подсеть /24, и все клиенты должны иметь публичные IP-адреса, поэтому я не могу просто создать частную сеть для каждого из них (ну, может быть, используя некоторые NAT, но я бы хотел этого избежать).
Итак, есть ли способ сообщить коммутатору: пересылать все пакеты на межсетевой экран, не разрешать прямую связь между клиентами? Спасибо за любую подсказку!
5 ответов
Вы можете разделить клиентов внутри VLANM, если ваш коммутатор поддерживает PVLAN (частную VLAN), которую можно настроить так, чтобы любой хост мог общаться с брандмауэром, не имея возможности общаться с любым другим устройством. Вы можете дополнительно настроить свою PVLAN, чтобы также разрешить связь между ограниченными группами серверов.
Какой тип коммутатора вы используете?
Вам может потребоваться другой коммутатор для реализации PVLAN. Ниже приведена ссылка на матрицу продуктов Cisco для коммутаторов Cisco, которые поддерживают PVLAN:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
А вот ссылка на Cisco Catalyst 2948G на www.amazon.com:
Когда клиенты подключены к одному коммутатору, они будут общаться друг с другом через брандмауэр. Вы не можете указать коммутатору пересылать трафик на брандмауэр для фильтрации. Коммутатор прозрачен для клиента и брандмауэра в сети.
Вам необходимо распределить клиентов по разным подсетям, чтобы выполнить некоторую фильтрацию на уровне 3 (IP). Таким образом, использование VLAN является лучшим вариантом в этом случае. Если вам нужно использовать публичные IP-адреса, а у вас их немного, вы можете просто назначить частные IP-адреса и выполнить NAT на брандмауэре.
Хосты не обязательно должны находиться в отдельных подсетях, чтобы между ними был межсетевой экран.
Брандмауэры бывают разных типов, такие как брандмауэр маршрутизации или мостовой брандмауэр. Когда упоминаются брандмауэры без указания типа, обычно предполагается, что вы имеете в виду брандмауэр маршрутизации. Но для того, чтобы межсетевой экран передавал трафик между узлами в одной подсети, вам необходим мостовой межсетевой экран. Некоторые брандмауэры могут одновременно выполнять функции как маршрутизатора, так и межсетевого экрана.
Межсетевой экран маршрутизации - это маршрутизатор, который может фильтровать пакеты на основе набора правил.
Мостовой межсетевой экран - это коммутатор, который может фильтровать пакеты на основе набора правил.
Наилучшая производительность была бы достигнута, если бы коммутатор, соединяющий хосты, сам мог действовать как межсетевой экран. Однако, предполагая, что производительность не является высоким приоритетом, и вам нужно продолжать использовать тот же коммутатор, вы можете посмотреть на другие варианты.
Поместив каждый хост в отдельную VLAN и пометив весь трафик на порту, подключенном к брандмауэру, вы сможете настроить брандмауэр для работы в качестве межсетевого экрана. (Предполагая, что ваш брандмауэр способен выполнять роль межсетевого экрана).
Такая настройка не требует от коммутатора ничего большего, чем поддержка VLAN. Он касается одного углового случая коммутации VLAN, который легко пропустить при проектировании, что означает, что вполне возможно, что некоторые коммутаторы имеют конструктивный недостаток, препятствующий их корректной работе с мостовым межсетевым экраном между VLAN. Сложность в том, что каждый MAC-адрес будет виден коммутатору на разных портах в зависимости от того, какой тег VLAN используется. Если коммутатор использует только MAC-адрес назначения в качестве ключа при поиске в CAM, он не будет работать, правильно реализованный коммутатор с поддержкой VLAN использует комбинацию тега VLAN и MAC-адреса в качестве ключа для поиска CAM.
Я бы решил иначе. Мне предшествует установка сервера PPPoE, который изолирует всех клиентов, потому что они находятся в туннеле и должны подключаться к серверу.