A rede atual é:
Modem a cabo <=> Roteador (Cisco 1941/K9) <=> Switch (Cisco C2960S-48FPS-L)
Depois que o cara de TI que recomendou vários equipamentos desapareceu da face da terra, decidi configurar minha rede doméstica sozinho. Sou ex-especialista em segurança de computadores (nível de aplicativo), mas não tenho treinamento em TI. A rede funciona, mas poderia ser melhor. Configurei algumas VLANs (câmeras de segurança, etc.), além de zonas de segurança Cisco.
Problemas:
- Minha conexão WAN de rede está lenta, definitivamente mais lenta do que deveria.
- Tenho NAT duplo: roteador e modem.
A LAN interna é rápida.
Lembro-me que o consultor de TI disse que poderíamos conectar o modem diretamente no switch. Eu não entendi isso na época. Acho que entendo melhor agora. Se eu colocar o modem em sua própria VLAN e executar protocolos de segurança entre VLANs, isso deverá ser seguro, certo? Estou confuso, entretanto, porque presumi que o roteador (com sua placa de segurança) entre o modem e o switch (e, portanto, minhas LANs internas) fornecia melhor segurança (firewall, etc.). Além disso, como os clientes VLAN internos *saberão* como encontrar o modem a cabo como gateway? Eles primeiro vão para o roteador e depois alternam as conexões de curto-circuito para a porta do modem a partir daí?
Modem a cabo <=> Switch (Cisco C2960S-48FPS-L) <=> Roteador (Cisco 1941/K9)
Tl/dr: posso conectar meu modem a cabo diretamente ao meu switch em sua própria VLAN, melhorando assim a velocidade, eliminando NAT duplo e ainda aproveitando a segurança da rede?
Conselho?
EDITAR I: (12-17-19)
Solicite abaixo mais informações sobre: Segurança e Controle.
Tenho políticas de segurança da Cisco Zone em execução nas VLANs, IP NAT e auditoria. Tenho controle total do meu modem (pelo menos o que o Xfinity permite), então posso definir uma boa quantidade de políticas de segurança, endereços IP, etc.
Configuração parcial do roteador copiada abaixo:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR