Das aktuelle Netzwerk ist:
Kabelmodem <=> Router (Cisco 1941/K9) <=> Switch (Cisco C2960S-48FPS-L)
Nachdem der IT-Typ, der mir eine Menge Ausrüstung empfohlen hatte, von der Bildfläche verschwand, beschloss ich, mein Heimnetzwerk selbst einzurichten. Ich bin ehemaliger Computersicherheitsexperte (Anwendungsebene), habe aber keine IT-Ausbildung. Das Netzwerk funktioniert, könnte aber besser sein. Ich habe einige VLANs (Überwachungskameras usw.) sowie Cisco-Sicherheitszonen eingerichtet.
Symptome:
- Meine Netzwerk-WAN-Verbindung ist langsam, definitiv langsamer als sie sein sollte.
- Ich bin doppelt NAT-fähig: Router und Modem.
Das interne LAN ist schnell.
Ich erinnere mich, dass der IT-Berater sagte, wir könnten das Modem direkt an den Switch anschließen. Damals habe ich das nicht verstanden. Ich glaube, jetzt verstehe ich es besser. Wenn ich das Modem in sein eigenes VLAN stecke und Sicherheitsprotokolle zwischen den VLANs ausführe, sollte das doch sicher sein, oder? Ich bin jedoch verwirrt, weil ich davon ausgegangen bin, dass der Router (mit seiner Sicherheitskarte) zwischen dem Modem und dem Switch (und damit meinen internen LANs) eine bessere Sicherheit (Firewall usw.) bietet. Und woher *wissen* interne VLAN-Clients, wie sie das Kabelmodem als Gateway finden? Gehen sie zuerst zum Router und dann schließt der Switch von da an die Verbindungen zum Port des Modems kurz?
Kabelmodem <=> Switch (Cisco C2960S-48FPS-L) <=> Router (Cisco 1941/K9)
Tl/dr: Kann ich mein Kabelmodem direkt an meinen Switch in seinem eigenen VLAN anschließen und so die Geschwindigkeit verbessern, doppeltes NAT vermeiden und trotzdem von der Netzwerksicherheit profitieren?
Beratung?
BEARBEITEN I: (17.12.19)
Fordern Sie unten weitere Informationen zu Sicherheit und Kontrolle an.
Ich habe Cisco Zone-Sicherheitsrichtlinien für die VLANs, IP NAT und Auditing ausgeführt. Ich habe die vollständige Kontrolle über mein Modem (zumindest soweit Xfinity dies zulässt), sodass ich eine ganze Reihe von Sicherheitsrichtlinien, IP-Adressen usw. festlegen kann.
Unten ist eine Teilkopie der Routerkonfiguration kopiert:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR