https://www.opennet.ru/openforum/vsluhforumID6/16713.html Доброго времени суток!<br><br>Коллеги, требуется решить следующую задачу. В здании построена СКС и ЛВС на основе поэтажных коммутаторов 2960 и коммутатора распределения (3750). Помещения здания будут сдаваться под офисы, соответственно арендаторам необходимо предоставить отказоустойчивый доступ в инет. Для этой цели провели двух провайдеров. Далее. Требуется предоставить арендаторам услугу безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что разделить их по разным VLAN, однако как решить вопрос на границе сети - не ведаю. Помогите пожалуйста в решении вопроса.<br>Набросал такую схему, хотя не знаю будет это работать или нет.<br><br>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html<br><br>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при этом существовать отказоустойчивост https://www.opennet.ru/openforum/vsluhforumID6/16713.html#12 Mon, 21 Jul 2008 05:40:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться <br>&gt;&gt;именно на роутере с Cisco IOS Firewall, но вот есть сомнения, <br>&gt;&gt;что с помощью него удастся решить задачу. Если все-таки можно, то <br>&gt;&gt;хотелось бы знать как... Спасибо. <br>&gt;<br>&gt;основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, <br>&gt;либо различными логичнескими устройствами... <br>&gt;это решения, которое работае в 99% промышленных предприятиях, с подобными задачами. <br><br>Так вопрос как раз про логическое разделение и стоит. Посредством MPLS VPN и использования VRF можно это сделать или нет?<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#11 Fri, 18 Jul 2008 07:23:15 GMT &gt;&gt;как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall? <br>&gt;&gt;<br>&gt;<br>&gt;У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться <br>&gt;именно на роутере с Cisco IOS Firewall, но вот есть сомнения, <br>&gt;что с помощью него удастся решить задачу. Если все-таки можно, то <br>&gt;хотелось бы знать как... Спасибо. <br><br>основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, либо различными логичнескими устройствами...<br>это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#10 Fri, 18 Jul 2008 05:50:06 GMT &gt;как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall? <br>&gt;<br><br>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться именно на роутере с Cisco IOS Firewall, но вот есть сомнения, что с помощью него удастся решить задачу. Если все-таки можно, то хотелось бы знать как... Спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#9 Thu, 17 Jul 2008 14:19:31 GMT как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#8 Thu, 17 Jul 2008 11:06:34 GMT &gt;[оверквотинг удален]<br>&gt;Что-то не пойму в чем именно будет заключаться защищенность и на чем <br>&gt;хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь. <br>&gt;<br>&gt;У меня работает подобная схема. <br>&gt;cisco 3825 - AT8824 (L3 switch с возможность фаера) <br>&gt;Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю <br>&gt;влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - <br>&gt;создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 <br>&gt;и AT для клиентов которые под фаером. Но тут конечно помогает <br>&gt;что в АТ есть фаер и он л3 свитч. <br><br>В том то и дело, что фаер и свитч в одном флаконе это экзотика. Фаер на самом деле чаще реализуется на маршрутизаторах нежели чем на коммутаторах. Хочется полностью реализовать систему на сисках, у которых такая экзотика отсутствует, к сожалению.<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#7 Thu, 17 Jul 2008 08:22:35 GMT &gt;&gt;обычно наиболее щипетильные клиенты ставят фаервол у себя. <br>&gt;&gt;Вы за защищщенность будете взымать доп. плату? <br>&gt;<br>&gt;Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. <br>&gt;Основные условия - простота схемы и минимальное количество железа, ибо понятно, <br>&gt;что можно такого слона сгородить, что черт ногу сломит. <br><br>Что-то не пойму в чем именно будет заключаться защищенность и на чем хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.<br><br>У меня работает подобная схема.<br>cisco 3825 - AT8824 (L3 switch с возможность фаера)<br>Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 и AT для клиентов которые под фаером. Но тут конечно помогает что в АТ есть фаер и он л3 свитч.<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#6 Wed, 16 Jul 2008 12:59:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html <br>&gt;&gt;<br>&gt;&gt;Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем <br>&gt;&gt;настроить фаервол, тогда как остальные пользователи останутся незащищенными?<br>&gt;<br>&gt;1. Да, использовать VLAN. <br>&gt;2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса? <br>&gt;<br>&gt;3. Думается мне, на выходе можно будет обойтись и одним роутером. <br><br>По второму вопросу - так как клиентов много, то о реальных адресах вряд ли идет речь. Предполагаю вариант NAT(PAT), когда у провайдера арендуются несколько реальных адресов, часть из которых используется для трансляции защищенных пользователей, а часть - для незащищенных.<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#5 Wed, 16 Jul 2008 12:57:19 GMT &gt;обычно наиболее щипетильные клиенты ставят фаервол у себя. <br>&gt;Вы за защищщенность будете взымать доп. плату? <br><br>Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. Основные условия - простота схемы и минимальное количество железа, ибо понятно, что можно такого слона сгородить, что черт ногу сломит.<br> https://www.opennet.ru/openforum/vsluhforumID6/16713.html#4 Tue, 15 Jul 2008 05:54:23 GMT обычно наиболее щипетильные клиенты ставят фаервол у себя.<br>Вы за защищщенность будете взымать доп. плату?<br><br><br>