Новые ответы

Безопасность между VLAN'ами.,

Max, 26-Ноя-12, 11:14 [смотреть все]

Вкрации,..
Хочу поставить в качестве ядра два 3750-Х, в стек.
В ядре будет крутится 3-ойка VLAN-ов, с серыми сетями.
В общем локалка.
Сейчас два провайдера, приходят хвостами, каждый в свой тупой свитч, и дальше от этих свичей к серверам...
Для уменьшения количества оборудования, также для улучшения отказоустойчивости, хочу провайдеров тоже завести в 3750-Х в отдельный VLAN, и от туда раздать серверам.

Соответвенно вопросы к ГУРУ.
1. Целесообразность данной идеи ? Вы бы так сделали ?
2. Правильно понимаю что при правильной настройке, схема безопасна. По крайней мере не опаснее отдельных свичей вместо VLAN'ов. ?
3. Подскажите что надо настроить, для улудшения безопасности ?
4. Помогите, составить правильный Access-List Между VLAN-ми, и на WAN интерфейсы.
5. Издалека понимаю, что между этими VLAN-ами не должно быть маршрутизации..., не совсем понимаю как это организовать ? ACL-ами ?
P.S.
Роутинг серых сетей происходит на 3750.
Для внешних адресов, также на 3750, запись вида:
Код:
S* 0.0.0.0/0 [1/0] via 172.31.1.1
Где 172.31.1.1 роутер на Linux'е, который непосредственно воткнут в два провайдера.
Вот именно это цепочку (linux -> два провайдера) я хочу завести в отдельный VLAN на 3750...
На самом деле, хостов которые смотрять в "МИР" много. Для примера этот Linux.

Ответить | Сообщить модератору

Безопасность между VLAN'ами., fantom, 12:45 , 26-Ноя-12 (1)
>[оверквотинг удален]
> P.S.
> Роутинг серых сетей происходит на 3750.
> Для внешних адресов, также на 3750, запись вида:
> Код:
> S* 0.0.0.0/0 [1/0] via 172.31.1.1
> Где 172.31.1.1 роутер на Linux'е, который непосредственно воткнут в два провайдера.
> Вот именно это цепочку (linux -> два провайдера) я хочу завести в
> отдельный VLAN на 3750...
> На самом деле, хостов которые смотрять в "МИР" много. Для примера этот
> Linux.
1. Зависит от целесообразности - чего нехватает в существующей схеме??? если в существующем варианте вас все устраивает - целесообразности нет... (в вашем посте пока вся целесообразность в слове ХОЧУ :) )
2. какой смысл вкладывается в понятие "безопасна"?? (и ненадо общих фраз типа "стандартно" или "классически") контент фильтровать 3570 неумеют, заблокировать на уповне портов/IP-ов - умеют...
3. см. п.2
4. см. п.2 (правильность зависит от набора пожеланий)
5. зачем вам L3 коммутаторы если судя по описанию вам L2 функционал только от них и нужен??
Ответить | Сообщить модератору

Безопасность между VLAN'ами., Max, 13:32 , 26-Ноя-12 (2)
>[оверквотинг удален]
> 1. Зависит от целесообразности - чего нехватает в существующей схеме??? если в
> существующем варианте вас все устраивает - целесообразности нет... (в вашем посте
> пока вся целесообразность в слове ХОЧУ :) )
> 2. какой смысл вкладывается в понятие "безопасна"?? (и ненадо общих фраз типа
> "стандартно" или "классически") контент фильтровать 3570 неумеют, заблокировать на уповне
> портов/IP-ов - умеют...
> 3. см. п.2
> 4. см. п.2 (правильность зависит от набора пожеланий)
> 5. зачем вам L3 коммутаторы если судя по описанию вам L2 функционал
> только от них и нужен??
1. Неустраивает:
а. Куча проводов.
б. Отсутвие резервирования.
2. Ничего фильтровать не планирую. Безопасна ли, относительно существующей схемы, когда провайдерские сети не в отдельном влане, а на отдельном коммутаторе.
3. Нужны подсказки, что сделать для улучшения безопасности в случае жизни провайдерских сетей в отдельном влане, на корневом коммутаторе., например настроить полисинг в соответствии со скоростью провайдера. Включить шторм-контроль, фильтр bdpu и прочие фичи, что посоветуете ?
4. ACL лист нужен, чтобы максимально обезопасить серую сеть от внешнего мира. В пределах белой сети, ничего не фильтровать. Этим займут сервера воткнутые в этот влан.
5. L3 нужен потому что эти коммутаторы являются роутерами для серых сетей.
Ответить | Сообщить модератору