현재 네트워크는 다음과 같습니다:
케이블 모뎀 <=> 라우터(Cisco 1941/K9) <=> 스위치(Cisco C2960S-48FPS-L)
여러 가지 장비를 추천한 IT 담당자가 세상에서 떨어진 후, 저는 홈 네트워크를 직접 설치하기로 결정했습니다. 저는 전직 컴퓨터 보안 전문가(애플리케이션 수준)이지만 IT 교육을 받은 사람은 아닙니다. 네트워크는 작동하지만 더 좋을 수도 있습니다. 일부 VLAN(보안 카메라 등)과 Cisco 보안 영역을 설정했습니다.
문제:
- 내 네트워크 WAN 연결이 느립니다. 예상보다 확실히 느립니다.
- 저는 이중 NAT를 사용합니다: 라우터와 모뎀.
내부 LAN이 빠릅니다.
IT 컨설턴트가 모뎀을 스위치에 직접 연결할 수 있다고 말한 것이 기억납니다. 당시 나는 이것을 이해하지 못했습니다. 이제 더 잘 이해하게 된 것 같아요. 모뎀을 자체 VLAN에 배치하고 VLAN 간에 보안 프로토콜을 실행하면 안전할 것입니다. 그렇죠? 그러나 나는 모뎀과 스위치(따라서 내부 LAN) 사이에 있는 라우터(보안 카드 포함)가 더 나은 보안(방화벽 등)을 제공한다고 가정했기 때문에 혼란스럽습니다. 또한 내부 VLAN 클라이언트는 케이블 모뎀을 게이트웨이로 찾는 방법을 어떻게 *알*까요? 먼저 라우터로 이동한 다음 거기에서 모뎀 포트에 대한 단락 연결을 전환합니까?
케이블 모뎀 <=> 스위치(Cisco C2960S-48FPS-L) <=> 라우터(Cisco 1941/K9)
Tl/dr: 케이블 모뎀을 자체 VLAN에 있는 스위치에 직접 연결하여 속도를 높이고 이중 NAT를 제거하면서도 네트워크 보안을 계속 누릴 수 있습니까?
조언?
편집 I: (12-17-19)
자세한 내용은 아래에서 요청하세요. 보안 및 제어.
VLAN, IP NAT, 감사에서 실행되는 Cisco Zone 보안 정책이 있습니다. 나는 내 모뎀(적어도 Xfinity가 허용하는 것)을 완전히 제어할 수 있으므로 상당한 양의 보안 정책, IP 주소 등을 설정할 수 있습니다.
아래 복사된 부분 라우터 구성:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR