Проброс трафика через IPS в плоской сети через разрыв в проводе

tag-icon tag-icon networking cisco switch ips
Проброс трафика через IPS в плоской сети через разрыв в проводе

У меня следующая топология:

Нажмите здесь, к сожалению, у меня недостаточно репутации, чтобы публиковать изображения

По сути, я хотел бы, чтобы поток пакетов шел от PC1 к Core Switch, Edge Switch и Firewall. Мне нужно «врезаться в провод», чтобы заставить трафик проходить через IPS. В идеале я бы поместил его в линию между Edge и Firewall, но с этим есть проблемы (разные типы интерфейсов), поэтому мне нужно сделать это таким образом.

Теория такова.

  1. Пакет предназначен для интернета, клиент не знает, как туда попасть, поэтому он направляет пакет по маршруту по умолчанию. Исходный MAC — клиент, целевой Mac — ПК.

  2. Core siwtch получает его. Он проверяет свою таблицу CAM и знает, что MAC-адрес 10.1.0.1 находится где-то на порту 2.

  3. Пограничный коммутатор получает его, и в его таблице CAM нет прямой записи для MAC-адреса 10.1.0.1 в VLAN 10. Однако он знает, что находится в порту 3.

  4. Через IPS это проходит.

  5. Теперь коммутатор Edge видит, что MAC-адрес 10.1.0.1 находится на порту 1.

Дело в том, что я не хочу «маршрутизировать» порт 2 на порт 1 напрямую через объединительную плату, мне нужно заставить его пройти через IPS.

Вот моя предлагаемая конфигурация

Край:

int FastEthernet0/1
  switchport mode access
  switchport access vlan 20
int FastEthernet0/4
  switchport mode access
  switchport access vlan 20
int FastEthernet0/2
  switchport mode access
  switchport access vlan 10
int FastEthernet0/3
  switchport mode access
  switchport access vlan 10

Core:
int FastEthernet0/1
  switchport mode access
  switchport access vlan 10
int FastEthernet0/4
  switchport mode access
  switchport access vlan 10

Прежде чем вы засмеетесь, я использую 2960 в качестве Edge и 3560 в качестве Core. Я тестирую это в лабораторных условиях ;).

Это «правильно» или есть лучший способ сделать это?

решение1

Не вдаваясь в кровавые подробности, я просто отмечу следующие моменты:

1.На уровне 2 невозможно «маршрутизировать» трафик, маршрутизация происходит на уровне 3.

2.Клиентский трафик умрет, так и не достигнув IPS или брандмауэра. Клиент обращается к ARP для шлюза по умолчанию, и поскольку шлюз по умолчанию находится в другой VLAN, он не получит ответа. Коммутатор не будет пересылать этот запрос ARP из VLAN 10 в VLAN 20. Коммутатор будет пересылать запрос ARP только на порты, которые находятся в VLAN 10. В вашем предложенном проекте есть несколько других технических проблем, но поскольку то, что я только что сказал, является остановкой, я не буду вдаваться в подробности.

3.Почему бы вам не использовать IPS в качестве шлюза по умолчанию для клиентов, а брандмауэр — в качестве шлюза по умолчанию для IPS?

4.Какие проблемы с подключением IPS между коммутатором Edge и брандмауэром? Вы показываете, что оба они подключены к коммутатору Edge. Я предполагаю, что они оба подключены к портам Ethernet на коммутаторе Edge. Если так, то почему вы просто не можете подключить их напрямую?

Связанный контент