forum.opennet.ru - "Безопасность между VLAN'ами." (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Безопасность между VLAN'ами."

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Безопасность между VLAN'ами."	+/–
Сообщение от Max (??) on 26-Ноя-12, 11:14
Вкрации,.. Хочу поставить в качестве ядра два 3750-Х, в стек. В ядре будет крутится 3-ойка VLAN-ов, с серыми сетями. В общем локалка. Сейчас два провайдера, приходят хвостами, каждый в свой тупой свитч, и дальше от этих свичей к серверам... Для уменьшения количества оборудования, также для улучшения отказоустойчивости, хочу провайдеров тоже завести в 3750-Х в отдельный VLAN, и от туда раздать серверам. Соответвенно вопросы к ГУРУ. 1. Целесообразность данной идеи ? Вы бы так сделали ? 2. Правильно понимаю что при правильной настройке, схема безопасна. По крайней мере не опаснее отдельных свичей вместо VLAN'ов. ? 3. Подскажите что надо настроить, для улудшения безопасности ? 4. Помогите, составить правильный Access-List Между VLAN-ми, и на WAN интерфейсы. 5. Издалека понимаю, что между этими VLAN-ами не должно быть маршрутизации..., не совсем понимаю как это организовать ? ACL-ами ? P.S. Роутинг серых сетей происходит на 3750. Для внешних адресов, также на 3750, запись вида: Код: S* 0.0.0.0/0 [1/0] via 172.31.1.1 Где 172.31.1.1 роутер на Linux'е, который непосредственно воткнут в два провайдера. Вот именно это цепочку (linux -> два провайдера) я хочу завести в отдельный VLAN на 3750... На самом деле, хостов которые смотрять в "МИР" много. Для примера этот Linux.
Ответить \| Правка \| Cообщить модератору

Оглавление

Безопасность между VLAN'ами., fantom, 12:45 , 26-Ноя-12, (1)

Безопасность между VLAN'ами., Max, 13:32 , 26-Ноя-12, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Безопасность между VLAN'ами." +/–

Сообщение от fantom (ok) on 26-Ноя-12, 12:45

>[оверквотинг удален]
> P.S.
> Роутинг серых сетей происходит на 3750.
> Для внешних адресов, также на 3750, запись вида:
> Код:
> S* 0.0.0.0/0 [1/0] via 172.31.1.1
> Где 172.31.1.1 роутер на Linux'е, который непосредственно воткнут в два провайдера.
> Вот именно это цепочку (linux -> два провайдера) я хочу завести в
> отдельный VLAN на 3750...
> На самом деле, хостов которые смотрять в "МИР" много. Для примера этот
> Linux.
1. Зависит от целесообразности - чего нехватает в существующей схеме??? если в существующем варианте вас все устраивает - целесообразности нет... (в вашем посте пока вся целесообразность в слове ХОЧУ :) )
2. какой смысл вкладывается в понятие "безопасна"?? (и ненадо общих фраз типа "стандартно" или "классически") контент фильтровать 3570 неумеют, заблокировать на уповне портов/IP-ов - умеют...
3. см. п.2
4. см. п.2 (правильность зависит от набора пожеланий)
5. зачем вам L3 коммутаторы если судя по описанию вам L2 функционал только от них и нужен??

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Безопасность между VLAN'ами." +/–

Сообщение от Max (??) on 26-Ноя-12, 13:32

>[оверквотинг удален]
> 1. Зависит от целесообразности - чего нехватает в существующей схеме??? если в
> существующем варианте вас все устраивает - целесообразности нет... (в вашем посте
> пока вся целесообразность в слове ХОЧУ :) )
> 2. какой смысл вкладывается в понятие "безопасна"?? (и ненадо общих фраз типа
> "стандартно" или "классически") контент фильтровать 3570 неумеют, заблокировать на уповне
> портов/IP-ов - умеют...
> 3. см. п.2
> 4. см. п.2 (правильность зависит от набора пожеланий)
> 5. зачем вам L3 коммутаторы если судя по описанию вам L2 функционал
> только от них и нужен??
1. Неустраивает:
а. Куча проводов.
б. Отсутвие резервирования.
2. Ничего фильтровать не планирую. Безопасна ли, относительно существующей схемы, когда провайдерские сети не в отдельном влане, а на отдельном коммутаторе.
3. Нужны подсказки, что сделать для улучшения безопасности в случае жизни провайдерских сетей в отдельном влане, на корневом коммутаторе., например настроить полисинг в соответствии со скоростью провайдера. Включить шторм-контроль, фильтр bdpu и прочие фичи, что посоветуете ?
4. ACL лист нужен, чтобы максимально обезопасить серую сеть от внешнего мира. В пределах белой сети, ничего не фильтровать. Этим займут сервера воткнутые в этот влан.
5. L3 нужен потому что эти коммутаторы являются роутерами для серых сетей.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Безопасность между VLAN'ами."	+/–
Сообщение от fantom (ok) on 26-Ноя-12, 12:45
>[оверквотинг удален] > P.S. > Роутинг серых сетей происходит на 3750. > Для внешних адресов, также на 3750, запись вида: > Код: > S* 0.0.0.0/0 [1/0] via 172.31.1.1 > Где 172.31.1.1 роутер на Linux'е, который непосредственно воткнут в два провайдера. > Вот именно это цепочку (linux -> два провайдера) я хочу завести в > отдельный VLAN на 3750... > На самом деле, хостов которые смотрять в "МИР" много. Для примера этот > Linux. 1. Зависит от целесообразности - чего нехватает в существующей схеме??? если в существующем варианте вас все устраивает - целесообразности нет... (в вашем посте пока вся целесообразность в слове ХОЧУ :) ) 2. какой смысл вкладывается в понятие "безопасна"?? (и ненадо общих фраз типа "стандартно" или "классически") контент фильтровать 3570 неумеют, заблокировать на уповне портов/IP-ов - умеют... 3. см. п.2 4. см. п.2 (правильность зависит от набора пожеланий) 5. зачем вам L3 коммутаторы если судя по описанию вам L2 функционал только от них и нужен??
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Безопасность между VLAN'ами."	+/–
	Сообщение от Max (??) on 26-Ноя-12, 13:32
	>[оверквотинг удален] > 1. Зависит от целесообразности - чего нехватает в существующей схеме??? если в > существующем варианте вас все устраивает - целесообразности нет... (в вашем посте > пока вся целесообразность в слове ХОЧУ :) ) > 2. какой смысл вкладывается в понятие "безопасна"?? (и ненадо общих фраз типа > "стандартно" или "классически") контент фильтровать 3570 неумеют, заблокировать на уповне > портов/IP-ов - умеют... > 3. см. п.2 > 4. см. п.2 (правильность зависит от набора пожеланий) > 5. зачем вам L3 коммутаторы если судя по описанию вам L2 функционал > только от них и нужен?? 1. Неустраивает: а. Куча проводов. б. Отсутвие резервирования. 2. Ничего фильтровать не планирую. Безопасна ли, относительно существующей схемы, когда провайдерские сети не в отдельном влане, а на отдельном коммутаторе. 3. Нужны подсказки, что сделать для улучшения безопасности в случае жизни провайдерских сетей в отдельном влане, на корневом коммутаторе., например настроить полисинг в соответствии со скоростью провайдера. Включить шторм-контроль, фильтр bdpu и прочие фичи, что посоветуете ? 4. ACL лист нужен, чтобы максимально обезопасить серую сеть от внешнего мира. В пределах белой сети, ничего не фильтровать. Этим займут сервера воткнутые в этот влан. 5. L3 нужен потому что эти коммутаторы являются роутерами для серых сетей.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору