La red actual es:
Módem por cable <=> Enrutador (Cisco 1941/K9) <=> Conmutador (Cisco C2960S-48FPS-L)
Después de que el informático que recomendó un montón de equipos cayera de la faz de la tierra, decidí configurar mi red doméstica yo mismo. Soy un ex experto en seguridad informática (nivel de aplicación), pero no tengo formación en TI. La red funciona, pero podría ser mejor. Configuré algunas VLAN (cámaras de seguridad, etc.), además de zonas de seguridad de Cisco.
Problemas:
- La conexión WAN de mi red es lenta, definitivamente más lenta de lo que debería ser.
- Tengo doble NAT: enrutador y módem.
La LAN interna es rápida.
Recuerdo que un consultor de TI dijo que podíamos conectar el módem directamente al conmutador. No entendí esto en ese momento. Creo que ahora lo entiendo mejor. Si coloco el módem en su propia VLAN y ejecuto protocolos de seguridad entre las VLAN, entonces debería ser seguro, ¿verdad? Sin embargo, estoy confundido porque supuse que el enrutador (con su tarjeta de seguridad) entre el módem y el conmutador (y por lo tanto mis LAN internas) proporcionaba una mejor seguridad (firewall, etc.). Además, ¿cómo *saben* los clientes de VLAN interna cómo encontrar el módem por cable como puerta de enlace? ¿Primero van al enrutador y luego cambian las conexiones de cortocircuito al puerto del módem de ahí en adelante?
Módem por cable <=> Conmutador (Cisco C2960S-48FPS-L) <=> Enrutador (Cisco 1941/K9)
Tl/dr: ¿puedo conectar mi módem por cable directamente a mi conmutador en su propia VLAN, mejorando así la velocidad, eliminando la doble NAT y aún disfrutando de la seguridad de la red?
¿Consejo?
EDITAR I: (17-12-19)
Solicite a continuación más información sobre: Seguridad y control.
Tengo políticas de seguridad de Zona Cisco ejecutándose en las VLAN, IP NAT, auditoría. Tengo control total de mi módem (al menos, lo que permite Xfinity), por lo que puedo establecer una buena cantidad de políticas de seguridad, direcciones IP, etc.
Configuración parcial del enrutador copiada a continuación:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR