다음 토폴로지가 있습니다.
여기를 클릭하세요. 안타깝게도 이미지를 게시할 담당자가 충분하지 않습니다.
기본적으로 패킷 흐름이 PC1에서 코어 스위치, 에지 스위치, 방화벽으로 이동하고 싶습니다. 트래픽이 IPS를 통과하도록 하려면 "와이어를 연결"해야 합니다. 이상적으로는 에지와 방화벽 사이에 인라인으로 배치하는 것이 좋지만 여기에는 문제(다른 인터페이스 유형)가 있으므로 이 방법으로 수행해야 합니다.
이론은 다음과 같습니다.
패킷은 인터넷으로 향하지만 클라이언트는 거기에 도달하는 방법을 모르기 때문에 패킷을 기본 경로로 보냅니다. 소스 MAC은 클라이언트이고 대상 Mac은 PC입니다.
Core 스위치가 이를 수신합니다. CAM 테이블을 확인하고 10.1.0.1의 MAC 주소가 포트 2 어딘가에 있다는 것을 알고 있습니다.
Edge 스위치는 이를 수신하고 CAM 테이블에는 VLAN 10의 MAC 10.1.0.1에 대한 직접 항목이 없습니다. 하지만 포트 3에 있다는 것을 알고 있습니다.
IPS를 통해 진행됩니다.
이제 Edge 스위치는 10.1.0.1의 MAC 주소가 포트 1에 있음을 확인합니다.
요점은 백플레인을 통해 포트 2에서 1로 직접 "라우팅"하고 싶지 않고 강제로 IPS를 통과해야 한다는 것입니다.
제가 제안한 구성은 다음과 같습니다.
가장자리:
int FastEthernet0/1
switchport mode access
switchport access vlan 20
int FastEthernet0/4
switchport mode access
switchport access vlan 20
int FastEthernet0/2
switchport mode access
switchport access vlan 10
int FastEthernet0/3
switchport mode access
switchport access vlan 10
Core:
int FastEthernet0/1
switchport mode access
switchport access vlan 10
int FastEthernet0/4
switchport mode access
switchport access vlan 10
웃기 전에 저는 2960을 엣지로, 3560을 코어로 사용하고 있습니다. 나는 이것을 실험실 환경에서 테스트하고 있습니다.)
이것이 "적절한" 것입니까, 아니면 더 좋은 방법이 있습니까?
답변1
복잡한 세부 사항을 다루지 않고 다음 사항만 설명하겠습니다.
1.레이어 2에서는 트래픽을 "라우팅"할 수 없으며 라우팅은 레이어 3에서 발생합니다.
2.클라이언트 트래픽은 IPS나 방화벽에 도달하지 못한 채 종료됩니다. 클라이언트는 기본 게이트웨이에 대해 ARP로 가고 기본 게이트웨이가 다른 VLAN에 있으므로 응답을 받지 못합니다. 스위치는 VLAN 10에서 VLAN 20으로 ARP 요청을 전달하지 않습니다. 스위치는 VLAN 10에 있는 포트로만 ARP 요청을 전달합니다. 제안한 설계에는 몇 가지 다른 기술적인 문제가 있지만 이후 제가 방금 말한 요점은 너무 충격적이어서 다른 것에 대해서는 자세히 설명하지 않겠습니다.
3.IPS를 클라이언트의 기본 게이트웨이로 사용하고 방화벽을 IPS의 기본 게이트웨이로 사용하는 것은 어떻습니까?
4.Edge 스위치와 방화벽 사이에 IPS를 연결할 때 어떤 문제가 있습니까? 둘 다 Edge 스위치에 연결되어 있음을 보여줍니다. 둘 다 Edge 스위치의 이더넷 포트에 연결되어 있다고 가정합니다. 그렇다면 왜 직접 연결할 수 없습니까?