O Cisco ASA 5505 que restringe o tráfego entre VLANs requer sub-redes diferentes?

2

Eu tenho um Cisco ASA 5505 que está agora atendendo 30 ou mais computadores em 10.10.0.X.

Eu quero separar algumas dessas máquinas para uma VLAN, para que elas não possam iniciar o tráfego para todos os outros computadores que não fazem parte da VLAN restrita.

Computadores que não fazem parte do grupo segregado ainda devem ser capazes de iniciar conexões com as máquinas segregadas.

Portanto, isso é muito parecido com um DMZ, exceto que espero não ter que colocar as máquinas separadas em uma sub-rede diferente.

Isso é possível ou preciso ter cada VLAN em uma sub-rede diferente?

Por favor, desculpe meu status de novato com essas coisas. Estou tentando aprender.

    
por Chris May 30.09.2010 / 00:36

2 respostas

1

Vlans são, por definição, camada 2. É para todos os efeitos, como colocar as máquinas em duas redes separadas. Portanto, nesse caso, você desejaria as máquinas em diferentes sub-redes e em vlans separadas, com o ASA atuando como um roteador intermediário entre as duas "zonas". Você configuraria as ACLs no ASA para impedir que o tráfego fosse iniciado para a primeira. sub-rede do segundo.

Esta é a maneira correta de lidar com o que você está tentando fazer. Você poderia fazer isso com duas sub-redes separadas na mesma vlan, mas isso seria menos seguro ...

    
por 30.09.2010 / 01:43
0

A plataforma ASA pode ser usada no modo transparente, então pode ser possível fazer o que você quiser (embora admito que eu não saiba o suficiente sobre ASAs para dizer como).

No entanto, isso não seria uma configuração recomendada; Se você quiser esse tipo de isolamento, é melhor renumerá-los para uma nova sub-rede.

    
por 30.09.2010 / 02:22