Forçando o tráfego através de um IPS em uma rede plana através de uma colisão no fio

tag-icon tag-icon networking cisco switch ips
Forçando o tráfego através de um IPS em uma rede plana através de uma colisão no fio

Tenho a seguinte topologia:

Clique aqui, infelizmente não tenho representante suficiente para postar imagens

Essencialmente, eu gostaria que o fluxo de pacotes fosse do PC1 para o Core Switch, para o Edge Switch e para o Firewall. Preciso "bater no fio" para forçar o tráfego pelo IPS. Idealmente, eu o colocaria alinhado entre a borda e o firewall, mas há problemas com isso (diferentes tipos de interface), então preciso fazer desta forma.

A teoria é a seguinte.

  1. O pacote é destinado à internet, o cliente não sabe como chegar lá então direciona o pacote para a rota padrão. O MAC de origem é o cliente, o Mac de destino é o PC.

  2. O Core siwtch o recebe. Ele verifica a tabela CAM e sabe que o endereço MAC do 10.1.0.1 está em algum lugar na porta 2.

  3. O switch Edge o recebe e em sua tabela CAM não possui entrada direta para o MAC de 10.1.0.1 na VLAN 10. Porém, ele sabe que está na porta 3.

  4. Através do IPS vai.

  5. Agora o switch Edge vê que o endereço MAC do 10.1.0.1 está na porta 1.

A questão é que não quero "rotear" da porta 2 para 1 diretamente pelo backplane, preciso forçá-lo a passar pelo IPS.

Aqui está minha configuração proposta

Borda:

int FastEthernet0/1
  switchport mode access
  switchport access vlan 20
int FastEthernet0/4
  switchport mode access
  switchport access vlan 20
int FastEthernet0/2
  switchport mode access
  switchport access vlan 10
int FastEthernet0/3
  switchport mode access
  switchport access vlan 10

Core:
int FastEthernet0/1
  switchport mode access
  switchport access vlan 10
int FastEthernet0/4
  switchport mode access
  switchport access vlan 10

Antes que você ria, estou usando um 2960 como borda e um 3560 como núcleo. Estou testando isso em um ambiente de laboratório;).

Isso é "adequado" ou existe uma maneira melhor de fazer isso?

Responder1

Sem entrar em muitos detalhes sangrentos, vou apenas destacar os seguintes pontos:

1.Você não pode "rotear" o tráfego na camada 2, o roteamento ocorre na camada 3.

2.O tráfego do cliente irá morrer sem nunca chegar ao IPS ou ao Firewall. O cliente está indo para ARP para o gateway padrão e, como o gateway padrão está em uma VLAN diferente, não obterá resposta. O switch não encaminhará a solicitação ARP da VLAN 10 para a VLAN 20. O switch encaminhará a solicitação ARP apenas para portas que estão na VLAN 10. Existem vários outros problemas técnicos com o projeto proposto, mas desde o O que acabei de dizer é um empecilho e não vou entrar em detalhes sobre mais nada.

3.Por que você não usa o IPS como gateway padrão para os clientes e usa o Firewall como gateway padrão para o IPS?

4.Quais são os problemas ao conectar o IPS entre o switch Edge e o Firewall? Você mostra os dois conectados ao switch Edge. Presumo que ambos estejam conectados às portas Ethernet no switch Edge. Se sim, por que você não pode simplesmente conectá-los diretamente?

informação relacionada