現在のネットワークは次のとおりです:
ケーブル モデム <=> ルータ (Cisco 1941/K9) <=> スイッチ (Cisco C2960S-48FPS-L)
たくさんの機器を勧めてくれた IT 担当者が姿を消した後、私は自宅のネットワークを自分で設定することにしました。私は元コンピュータ セキュリティの専門家 (アプリケーション レベル) ですが、IT の訓練を受けたことはありません。ネットワークは機能していますが、改善の余地があります。VLAN (セキュリティ カメラなど) をいくつか設定し、さらに Cisco セキュリティ ゾーンも設定しました。
問題点:
- 私のネットワーク WAN 接続は遅く、明らかに本来よりも遅いです。
- ルーターとモデムの二重 NAT を使用しています。
社内LANは高速です。
IT コンサルタントが、モデムをスイッチに直接接続できると言ったのを覚えています。当時は理解できませんでした。今はよく理解できると思います。モデムを独自の VLAN に配置し、VLAN 間でセキュリティ プロトコルを実行すれば、安全なはずですよね? しかし、ルーター (セキュリティ カード付き) がモデムとスイッチ (つまり内部 LAN) の間にあると、セキュリティ (ファイアウォールなど) が向上すると想定していたため、混乱しています。また、内部 VLAN クライアントは、ゲートウェイとしてのケーブル モデムを見つける方法をどのようにして *知る* のでしょうか? 最初にルーターにアクセスし、次にスイッチがモデムのポートへの接続を短絡するのでしょうか?
ケーブル モデム <=> スイッチ (Cisco C2960S-48FPS-L) <=> ルータ (Cisco 1941/K9)
要約: ケーブル モデムを独自の VLAN 上のスイッチに直接接続して、速度を向上させ、二重 NAT を排除しながら、ネットワーク セキュリティを維持することはできますか?
アドバイス?
編集I: (12-17-19)
セキュリティと制御に関する詳細については、以下からリクエストしてください。
VLAN、IP NAT、監査で Cisco Zone セキュリティ ポリシーを実行しています。モデムを完全に制御できるため (少なくとも、Xfinity で許可されている範囲で)、かなりの量のセキュリティ ポリシー、IP アドレスなどを設定できます。
以下にルータの構成の一部をコピーします。
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR