Erzwingen des Datenverkehrs durch ein IPS in einem flachen Netzwerk durch eine Unebenheit im Kabel

tag-icon tag-icon networking cisco switch ips
Erzwingen des Datenverkehrs durch ein IPS in einem flachen Netzwerk durch eine Unebenheit im Kabel

Ich habe folgende Topologie:

Klicken Sie hier, leider habe ich nicht genug Ruf, um Bilder zu posten

Im Wesentlichen möchte ich, dass der Paketfluss von PC1 zum Core Switch, zum Edge Switch und zur Firewall geht. Ich muss „den Draht anstoßen“, um den Verkehr durch das IPS zu zwingen. Idealerweise würde ich es zwischen Edge und Firewall einbauen, aber damit gibt es Probleme (unterschiedliche Schnittstellentypen), also muss ich es auf diese Weise machen.

Die Theorie ist wie folgt.

  1. Das Paket ist für das Internet bestimmt. Der Client weiß nicht, wie er dorthin gelangt, und leitet das Paket daher an die Standardroute weiter. Die Quell-MAC ist der Client, die Ziel-MAC ist der PC.

  2. Der Core Switch empfängt es. Er überprüft seine CAM-Tabelle und weiß, dass die MAC-Adresse von 10.1.0.1 irgendwo auf Port 2 liegt.

  3. Der Edge-Switch empfängt es und hat in seiner CAM-Tabelle keinen direkten Eintrag für die MAC-Adresse 10.1.0.1 in VLAN 10. Er weiß jedoch, dass sie sich in Port 3 befindet.

  4. Durch das IPS geht es.

  5. Jetzt erkennt der Edge-Switch, dass sich die MAC-Adresse 10.1.0.1 auf Port 1 befindet.

Der Punkt ist, dass ich nicht von Port 2 zu 1 direkt durch die Backplane „routen“ möchte, sondern es zwingen muss, durch das IPS zu gehen.

Hier ist meine vorgeschlagene Konfiguration

Rand:

int FastEthernet0/1
  switchport mode access
  switchport access vlan 20
int FastEthernet0/4
  switchport mode access
  switchport access vlan 20
int FastEthernet0/2
  switchport mode access
  switchport access vlan 10
int FastEthernet0/3
  switchport mode access
  switchport access vlan 10

Core:
int FastEthernet0/1
  switchport mode access
  switchport access vlan 10
int FastEthernet0/4
  switchport mode access
  switchport access vlan 10

Bevor Sie lachen: ich verwende einen 2960 als Edge und einen 3560 als Core. Ich teste das in einer Laborumgebung ;).

Ist das „richtig“ oder gibt es eine bessere Möglichkeit, dies zu tun?

Antwort1

Ohne in allzu blutige Einzelheiten einzusteigen, möchte ich nur die folgenden Punkte ansprechen:

1.Sie können den Datenverkehr nicht auf Ebene 2 „routen“, das Routing erfolgt auf Ebene 3.

2.Der Client-Verkehr wird abreißen, ohne jemals das IPS oder die Firewall zu erreichen. Der Client sucht per ARP nach dem Standard-Gateway, und da sich das Standard-Gateway in einem anderen VLAN befindet, erhält er keine Antwort. Der Switch leitet diese ARP-Anforderung nicht von VLAN 10 an VLAN 20 weiter. Der Switch leitet die ARP-Anforderung nur an Ports weiter, die sich in VLAN 10 befinden. Ihr vorgeschlagenes Design weist noch mehrere andere technische Probleme auf, aber da der Punkt, den ich gerade angesprochen habe, ein Showstopper ist, werde ich nicht weiter darauf eingehen.

3.Warum verwenden Sie das IPS nicht als Standard-Gateway für die Clients und die Firewall als Standard-Gateway für das IPS?

4.Welche Probleme gibt es beim Verbinden des IPS zwischen dem Edge-Switch und der Firewall? Sie zeigen, dass beide mit dem Edge-Switch verbunden sind. Ich gehe davon aus, dass beide mit den Ethernet-Ports des Edge-Switch verbunden sind. Wenn ja, warum können Sie sie dann nicht einfach direkt verbinden?

verwandte Informationen