Текущая сеть:
Кабельный модем <=> Маршрутизатор (Cisco 1941/K9) <=> Коммутатор (Cisco C2960S-48FPS-L)
После того, как IT-специалист, который рекомендовал кучу оборудования, исчез с лица земли, я решил настроить свою домашнюю сеть самостоятельно. Я бывший эксперт по компьютерной безопасности (уровень приложений), но не обучен IT. Сеть работает, но могла бы быть лучше. Я настроил несколько VLAN (камеры безопасности и т. д.), а также зоны безопасности Cisco.
Проблемы:
- Мое сетевое WAN-соединение медленное, определенно медленнее, чем должно быть.
- У меня двойной NAT: маршрутизатор и модем.
Внутренняя локальная сеть работает быстро.
Я помню, как IT-консультант сказал, что мы можем подключить модем напрямую к коммутатору. Тогда я этого не понимал. Думаю, теперь я понимаю лучше. Если я подключу модем к его собственной VLAN и запущу протоколы безопасности между VLAN, то это должно быть безопасно, верно? Однако я в замешательстве, потому что я предполагал, что маршрутизатор (с его картой безопасности), находящийся между модемом и коммутатором (и, следовательно, моими внутренними локальными сетями), обеспечивает лучшую безопасность (брандмауэр и т. д.). Кроме того, как клиенты внутренней VLAN *узнают*, как найти кабельный модем в качестве шлюза? Сначала они идут к маршрутизатору, а затем коммутатор замыкает соединения на порт модема оттуда и далее?
Кабельный модем <=> Коммутатор (Cisco C2960S-48FPS-L) <=> Маршрутизатор (Cisco 1941/K9)
Tl/dr: могу ли я подключить свой кабельный модем напрямую к коммутатору в его собственной VLAN, тем самым повысив скорость, исключив двойную NAT и по-прежнему обеспечивая безопасность сети?
Совет?
ПРАВКА I: (17.12.19)
Запросите ниже дополнительную информацию по теме: Безопасность и контроль.
У меня есть политики безопасности Cisco Zone, работающие на VLAN, IP NAT, аудит. У меня полный контроль над модемом (по крайней мере, что позволяет Xfinity), поэтому я могу установить достаточное количество политик безопасности, IP-адресов и т. д.
Частичная конфигурация маршрутизатора скопирована ниже:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR