URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16713
[ Назад ]

Исходное сообщение
"Разделить политики доступа в Интернет"

Отправлено VladimirX , 14-Июл-08 14:24 
Доброго времени суток!

Коллеги, требуется решить следующую задачу. В здании построена СКС и ЛВС на основе поэтажных коммутаторов 2960 и коммутатора распределения (3750). Помещения здания будут сдаваться под офисы, соответственно арендаторам необходимо предоставить отказоустойчивый доступ в инет. Для этой цели провели двух провайдеров. Далее. Требуется предоставить арендаторам услугу безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что разделить их по разным VLAN, однако как решить вопрос на границе сети - не ведаю. Помогите пожалуйста в решении вопроса.
Набросал такую схему, хотя не знаю будет это работать или нет.

http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html

Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при этом существовать отказоустойчивость для обоих VRF?

Большое спасибо.


Содержание

Сообщения в этом обсуждении
"Разделить политики доступа в Интернет"
Отправлено chesnok , 14-Июл-08 18:01 
>[оверквотинг удален]
>сети - не ведаю. Помогите пожалуйста в решении вопроса.
>Набросал такую схему, хотя не знаю будет это работать или нет.
>
>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>
>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при
>этом существовать отказоустойчивость для обоих VRF?
>
>Большое спасибо.

как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например pix/asa, на которых есть возможность работы с виртуальными firewall -


"Разделить политики доступа в Интернет"
Отправлено VladimirX , 15-Июл-08 09:15 
>[оверквотинг удален]
>>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>>
>>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при
>>этом существовать отказоустойчивость для обоих VRF?
>>
>>Большое спасибо.
>
>как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например
>pix/asa, на которых есть возможность работы с виртуальными firewall -

Думается, что PIX/ASA не совсем подходят, ибо все пользователи будут ходить через межсетевой экран, пусть и разделенный на виртуальные. Несмотря на то что для рядовых пользователей можно настроить только NAT, защита за счет разных security-level все равно будет работать, т.е. эти пользователи таки получают некую безопасность. Хотелось бы этим пользователям предоставить чистый NAT(PAT) и хватит с них.


"Разделить политики доступа в Интернет"
Отправлено aaa , 14-Июл-08 22:10 
>[оверквотинг удален]
>безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить
>задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что
>разделить их по разным VLAN, однако как решить вопрос на границе
>сети - не ведаю. Помогите пожалуйста в решении вопроса.
>Набросал такую схему, хотя не знаю будет это работать или нет.
>
>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>
>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>настроить фаервол, тогда как остальные пользователи останутся незащищенными?

1. Да, использовать VLAN.
2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса?
3. Думается мне, на выходе можно будет обойтись и одним роутером.


"Разделить политики доступа в Интернет"
Отправлено VladimirX , 16-Июл-08 16:59 
>[оверквотинг удален]
>>
>>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>>
>>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>>настроить фаервол, тогда как остальные пользователи останутся незащищенными?
>
>1. Да, использовать VLAN.
>2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса?
>
>3. Думается мне, на выходе можно будет обойтись и одним роутером.

По второму вопросу - так как клиентов много, то о реальных адресах вряд ли идет речь. Предполагаю вариант NAT(PAT), когда у провайдера арендуются несколько реальных адресов, часть из которых используется для трансляции защищенных пользователей, а часть - для незащищенных.


"Разделить политики доступа в Интернет"
Отправлено punks , 15-Июл-08 09:54 
обычно наиболее щипетильные клиенты ставят фаервол у себя.
Вы за защищщенность будете взымать доп. плату?



"Разделить политики доступа в Интернет"
Отправлено VladimirX , 16-Июл-08 16:57 
>обычно наиболее щипетильные клиенты ставят фаервол у себя.
>Вы за защищщенность будете взымать доп. плату?

Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. Основные условия - простота схемы и минимальное количество железа, ибо понятно, что можно такого слона сгородить, что черт ногу сломит.


"Разделить политики доступа в Интернет"
Отправлено punks , 17-Июл-08 12:22 
>>обычно наиболее щипетильные клиенты ставят фаервол у себя.
>>Вы за защищщенность будете взымать доп. плату?
>
>Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи.
>Основные условия - простота схемы и минимальное количество железа, ибо понятно,
>что можно такого слона сгородить, что черт ногу сломит.

Что-то не пойму в чем именно будет заключаться защищенность и на чем хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.

У меня работает подобная схема.
cisco 3825 - AT8824 (L3 switch с возможность фаера)
Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 и AT для клиентов которые под фаером. Но тут конечно помогает что в АТ есть фаер и он л3 свитч.


"Разделить политики доступа в Интернет"
Отправлено VladimirX , 17-Июл-08 15:06 
>[оверквотинг удален]
>Что-то не пойму в чем именно будет заключаться защищенность и на чем
>хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.
>
>У меня работает подобная схема.
>cisco 3825 - AT8824 (L3 switch с возможность фаера)
>Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю
>влан на 3825 и пробрасываю к клиенту через АТ.Кому надо -
>создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825
>и AT для клиентов которые под фаером. Но тут конечно помогает
>что в АТ есть фаер и он л3 свитч.

В том то и дело, что фаер и свитч в одном флаконе это экзотика. Фаер на самом деле чаще реализуется на маршрутизаторах нежели чем на коммутаторах. Хочется полностью реализовать систему на сисках, у которых такая экзотика отсутствует, к сожалению.


"Разделить политики доступа в Интернет"
Отправлено punks , 17-Июл-08 18:19 
как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?

"Разделить политики доступа в Интернет"
Отправлено VladimirX , 18-Июл-08 09:50 
>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>

У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться именно на роутере с Cisco IOS Firewall, но вот есть сомнения, что с помощью него удастся решить задачу. Если все-таки можно, то хотелось бы знать как... Спасибо.


"Разделить политики доступа в Интернет"
Отправлено chesnok , 18-Июл-08 11:23 
>>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>>
>
>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться
>именно на роутере с Cisco IOS Firewall, но вот есть сомнения,
>что с помощью него удастся решить задачу. Если все-таки можно, то
>хотелось бы знать как... Спасибо.

основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, либо различными логичнескими устройствами...
это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.


"Разделить политики доступа в Интернет"
Отправлено VladimirX , 21-Июл-08 09:40 
>[оверквотинг удален]
>>>
>>
>>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться
>>именно на роутере с Cisco IOS Firewall, но вот есть сомнения,
>>что с помощью него удастся решить задачу. Если все-таки можно, то
>>хотелось бы знать как... Спасибо.
>
>основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими,
>либо различными логичнескими устройствами...
>это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.

Так вопрос как раз про логическое разделение и стоит. Посредством MPLS VPN и использования VRF можно это сделать или нет?