Forzar el tráfico a través de un IPS en una red plana a través de un golpe en el cable

tag-icon tag-icon networking cisco switch ips
Forzar el tráfico a través de un IPS en una red plana a través de un golpe en el cable

Tengo la siguiente topología:

Haga clic aquí, desafortunadamente no tengo suficiente representante para publicar imágenes.

Básicamente, me gustaría que el flujo de paquetes vaya desde la PC1 al Core Switch, al Edge Switch y al Firewall. Necesito "golpear el cable" para forzar el tráfico a través del IPS. Lo ideal sería colocarlo en línea entre el borde y el firewall, pero hay problemas con eso (diferentes tipos de interfaz), así que necesito hacerlo de esta manera.

La teoría es la siguiente.

  1. El paquete está destinado a Internet, el cliente no sabe cómo llegar allí, por lo que dirige el paquete a la ruta predeterminada. La MAC de origen es el cliente, la Mac de destino es la PC.

  2. El interruptor Core lo recibe. Comprueba su tabla CAM y sabe que la dirección MAC de 10.1.0.1 está en algún lugar del puerto 2.

  3. El conmutador Edge lo recibe y en su tabla CAM no tiene una entrada directa para la MAC de 10.1.0.1 en la VLAN 10. Sin embargo, sí sabe que está en el puerto 3.

  4. Por el IPS va.

  5. Ahora el conmutador Edge ve que la dirección MAC de 10.1.0.1 está en el puerto 1.

El punto es que no quiero "enrutar" desde el puerto 2 al 1 directamente a través del backplane, necesito forzarlo a pasar por el IPS.

Aquí está mi configuración propuesta

Borde:

int FastEthernet0/1
  switchport mode access
  switchport access vlan 20
int FastEthernet0/4
  switchport mode access
  switchport access vlan 20
int FastEthernet0/2
  switchport mode access
  switchport access vlan 10
int FastEthernet0/3
  switchport mode access
  switchport access vlan 10

Core:
int FastEthernet0/1
  switchport mode access
  switchport access vlan 10
int FastEthernet0/4
  switchport mode access
  switchport access vlan 10

Antes de que te rías, estoy usando un 2960 como borde y un 3560 para el núcleo. Estoy probando esto en un entorno de laboratorio;).

¿Es esto "correcto" o hay una mejor manera de hacerlo?

Respuesta1

Sin entrar en muchos detalles sangrientos, sólo señalaré los siguientes puntos:

1.No se puede "enrutar" el tráfico en la capa 2, el enrutamiento se produce en la capa 3.

2.El tráfico del cliente morirá sin llegar nunca al IPS o al Firewall. El cliente va a ARP para la puerta de enlace predeterminada y, dado que la puerta de enlace predeterminada está en una VLAN diferente, no recibirá respuesta. El conmutador no reenviará esa solicitud ARP de la VLAN 10 a la VLAN 20. El conmutador reenviará la solicitud ARP solo a los puertos que están en la VLAN 10. Hay varios otros problemas técnicos con el diseño propuesto, pero desde el El punto que acabo de mencionar es espectacular. No voy a dar más detalles.

3.¿Por qué no utiliza el IPS como puerta de enlace predeterminada para los clientes y el firewall como puerta de enlace predeterminada para el IPS?

4.¿Cuáles son los problemas al conectar el IPS entre el conmutador Edge y el Firewall? Los muestra a ambos conectados al conmutador Edge. Supongo que ambos están conectados a puertos Ethernet en el conmutador Edge. Si es así, ¿por qué no puedes conectarlos directamente?

información relacionada