Qual é o melhor método para obter isolamento de dispositivo em uma DMZ?

2

Eu tenho uma conexão ADSL que tem uma sub-rede / 29 alocada para ela, me dando 6 endereços IP utilizáveis. Atualmente isso tem um roteador ADSL Netgear barato conectado, que tem um switch embutido. Existem 3 servidores conectados, cada um com um endereço IP público. Cada um desses servidores está em nossa DMZ e tem uma segunda conexão de rede com o firewall interno, mas não acho que seja importante para essa pergunta.

Como o switch do roteador Netgear é tão simples, cada um desses três servidores pode acessar os outros servidores por meio do switch do roteador. O que eu preciso é que cada um desses servidores seja isolado dos outros e não tenha acesso a eles.

Eu pretendo substituir o roteador por algo mais adequado, como o Cisco 1801, que também tem um switch embutido, mas suporta VLANs nesse switch. No entanto, não tenho certeza qual é o melhor método para atingir o objetivo. Não tenho certeza se o firewall desse roteador aplica-se a conexões com seu switch ou apenas a conexões roteadas. E tenho a impressão de que as VLANs deveriam estar envolvidas aqui, mas não sei como!

Qual é a melhor maneira de eu conseguir o requisito de uma conexão ADSL com uma sub-rede / 29, onde os dispositivos conectados não têm conectividade entre si?

    
por hmallett 07.07.2010 / 00:04

1 resposta

2

Eu não sei sobre o 1801, mas eu uso um Cisco 1811 para fazer exatamente isso. Você pode atribuir uma VLAN a todas as portas no switch:

interface FastEthernet1
 switchport access vlan 1

interface FastEthernet2
 switchport access vlan 2

etc.

interface Vlan1
 ip address <IP-ADDRESS-INTERNAL-1> <NETMASK>
 ...

interface Vlan2
 ip address <IP-ADDRESS-INTERNAL-2> <NETMASK>
 ...

 etc.

Essas VLANs são separadas por padrão. Você também pode atribuir um switchport para acessar todas as VLANs (para monitoramento ou qualquer outro).

Para vincular cada VLAN a um endereço IP público, você pode usar algumas regras de NAT, como:

ip nat inside source static <IP-INTERNAL-IP-1> <IP-EXTERNAL-IP-1>
ip nat inside source static <IP-INTERNAL-IP-2> <IP-EXTERNAL-IP-2>
etc.

e ligue nat no Fe0 (a conexão WAN):

interface FastEthernet0
ip nat outside
...

Certifique-se de comprar um cisco 18xx com ADSL integrado no Fe0, caso contrário, você gastará muito dinheiro com um módulo ADSL extra.

    
por 07.07.2010 / 00:48