次のようなトポロジがあります。
ここをクリックしてください。残念ながら画像を投稿するのに十分な評判がありません
基本的に、パケット フローを PC1 からコア スイッチ、エッジ スイッチ、ファイアウォールの順に流したいのですが、トラフィックを IPS に強制的に通すには、「ワイヤをバンプする」必要があります。理想的には、エッジとファイアウォールの間にインラインで配置しますが、それには問題 (インターフェイス タイプが異なる) があるため、この方法で行う必要があります。
理論は以下のとおりです。
パケットはインターネット宛てですが、クライアントはそこに到達する方法がわからないため、パケットをデフォルト ルートに誘導します。送信元 MAC はクライアント、宛先 MAC は PC です。
コア スイッチはそれを受信します。コア スイッチは CAM テーブルをチェックし、10.1.0.1 の MAC アドレスがポート 2 のどこかにあることを認識します。
エッジ スイッチはこれを受信し、その CAM テーブルには VLAN 10 の MAC アドレス 10.1.0.1 の直接エントリがありません。ただし、ポート 3 にあることは認識しています。
IPS を通過します。
これで、エッジ スイッチは 10.1.0.1 の MAC アドレスがポート 1 にあることを認識します。
重要なのは、バックプレーンを介してポート 2 からポート 1 に直接「ルーティング」したくないので、IPS を経由するように強制する必要があるということです。
これが私の提案する構成です
角:
int FastEthernet0/1
switchport mode access
switchport access vlan 20
int FastEthernet0/4
switchport mode access
switchport access vlan 20
int FastEthernet0/2
switchport mode access
switchport access vlan 10
int FastEthernet0/3
switchport mode access
switchport access vlan 10
Core:
int FastEthernet0/1
switchport mode access
switchport access vlan 10
int FastEthernet0/4
switchport mode access
switchport access vlan 10
笑われる前に言っておきますが、私はエッジに 2960 を使用し、コアに 3560 を使用しています。これはラボ環境でテストしています ;)。
これは「適切」なのでしょうか、それとももっと良い方法があるのでしょうか?
答え1
残酷な詳細に立ち入ることなく、次の点を指摘したいと思います。
1.レイヤー 2 でトラフィックを「ルーティング」することはできません。ルーティングはレイヤー 3 で行われます。
2.クライアント トラフィックは、IPS またはファイアウォールに到達することなく、消滅します。クライアントはデフォルト ゲートウェイの ARP を実行しようとしますが、デフォルト ゲートウェイは別の VLAN にあるため、応答がありません。スイッチは、その ARP 要求を VLAN 10 から VLAN 20 に転送しません。スイッチは、ARP 要求を VLAN 10 にあるポートにのみ転送します。提案された設計には他にも技術的な問題がいくつかありますが、私が今述べた点が致命的な問題であるため、これ以上詳しく説明しません。
3.IPS をクライアントのデフォルト ゲートウェイとして使用し、ファイアウォールを IPS のデフォルト ゲートウェイとして使用してみてはいかがでしょうか。
4.エッジ スイッチとファイアウォールの間に IPS を接続する場合の問題は何ですか? 両方ともエッジ スイッチに接続されていると表示されています。両方ともエッジ スイッチのイーサネット ポートに接続されていると想定しています。そうであれば、直接接続できないのはなぜですか?