Доброго времени суток!Коллеги, требуется решить следующую задачу. В здании построена СКС и ЛВС на основе поэтажных коммутаторов 2960 и коммутатора распределения (3750). Помещения здания будут сдаваться под офисы, соответственно арендаторам необходимо предоставить отказоустойчивый доступ в инет. Для этой цели провели двух провайдеров. Далее. Требуется предоставить арендаторам услугу безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что разделить их по разным VLAN, однако как решить вопрос на границе сети - не ведаю. Помогите пожалуйста в решении вопроса.
Набросал такую схему, хотя не знаю будет это работать или нет.http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при этом существовать отказоустойчивость для обоих VRF?
Большое спасибо.
>[оверквотинг удален]
>сети - не ведаю. Помогите пожалуйста в решении вопроса.
>Набросал такую схему, хотя не знаю будет это работать или нет.
>
>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>
>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при
>этом существовать отказоустойчивость для обоих VRF?
>
>Большое спасибо.как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например pix/asa, на которых есть возможность работы с виртуальными firewall -
>[оверквотинг удален]
>>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>>
>>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при
>>этом существовать отказоустойчивость для обоих VRF?
>>
>>Большое спасибо.
>
>как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например
>pix/asa, на которых есть возможность работы с виртуальными firewall -Думается, что PIX/ASA не совсем подходят, ибо все пользователи будут ходить через межсетевой экран, пусть и разделенный на виртуальные. Несмотря на то что для рядовых пользователей можно настроить только NAT, защита за счет разных security-level все равно будет работать, т.е. эти пользователи таки получают некую безопасность. Хотелось бы этим пользователям предоставить чистый NAT(PAT) и хватит с них.
>[оверквотинг удален]
>безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить
>задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что
>разделить их по разным VLAN, однако как решить вопрос на границе
>сети - не ведаю. Помогите пожалуйста в решении вопроса.
>Набросал такую схему, хотя не знаю будет это работать или нет.
>
>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>
>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>настроить фаервол, тогда как остальные пользователи останутся незащищенными?1. Да, использовать VLAN.
2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса?
3. Думается мне, на выходе можно будет обойтись и одним роутером.
>[оверквотинг удален]
>>
>>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>>
>>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>>настроить фаервол, тогда как остальные пользователи останутся незащищенными?
>
>1. Да, использовать VLAN.
>2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса?
>
>3. Думается мне, на выходе можно будет обойтись и одним роутером.По второму вопросу - так как клиентов много, то о реальных адресах вряд ли идет речь. Предполагаю вариант NAT(PAT), когда у провайдера арендуются несколько реальных адресов, часть из которых используется для трансляции защищенных пользователей, а часть - для незащищенных.
обычно наиболее щипетильные клиенты ставят фаервол у себя.
Вы за защищщенность будете взымать доп. плату?
>обычно наиболее щипетильные клиенты ставят фаервол у себя.
>Вы за защищщенность будете взымать доп. плату?Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. Основные условия - простота схемы и минимальное количество железа, ибо понятно, что можно такого слона сгородить, что черт ногу сломит.
>>обычно наиболее щипетильные клиенты ставят фаервол у себя.
>>Вы за защищщенность будете взымать доп. плату?
>
>Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи.
>Основные условия - простота схемы и минимальное количество железа, ибо понятно,
>что можно такого слона сгородить, что черт ногу сломит.Что-то не пойму в чем именно будет заключаться защищенность и на чем хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.
У меня работает подобная схема.
cisco 3825 - AT8824 (L3 switch с возможность фаера)
Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 и AT для клиентов которые под фаером. Но тут конечно помогает что в АТ есть фаер и он л3 свитч.
>[оверквотинг удален]
>Что-то не пойму в чем именно будет заключаться защищенность и на чем
>хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.
>
>У меня работает подобная схема.
>cisco 3825 - AT8824 (L3 switch с возможность фаера)
>Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю
>влан на 3825 и пробрасываю к клиенту через АТ.Кому надо -
>создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825
>и AT для клиентов которые под фаером. Но тут конечно помогает
>что в АТ есть фаер и он л3 свитч.В том то и дело, что фаер и свитч в одном флаконе это экзотика. Фаер на самом деле чаще реализуется на маршрутизаторах нежели чем на коммутаторах. Хочется полностью реализовать систему на сисках, у которых такая экзотика отсутствует, к сожалению.
как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться именно на роутере с Cisco IOS Firewall, но вот есть сомнения, что с помощью него удастся решить задачу. Если все-таки можно, то хотелось бы знать как... Спасибо.
>>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>>
>
>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться
>именно на роутере с Cisco IOS Firewall, но вот есть сомнения,
>что с помощью него удастся решить задачу. Если все-таки можно, то
>хотелось бы знать как... Спасибо.основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, либо различными логичнескими устройствами...
это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.
>[оверквотинг удален]
>>>
>>
>>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться
>>именно на роутере с Cisco IOS Firewall, но вот есть сомнения,
>>что с помощью него удастся решить задачу. Если все-таки можно, то
>>хотелось бы знать как... Спасибо.
>
>основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими,
>либо различными логичнескими устройствами...
>это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.Так вопрос как раз про логическое разделение и стоит. Посредством MPLS VPN и использования VRF можно это сделать или нет?