目前網路是:
纜線數據機 <=> 路由器 (Cisco 1941/K9) <=> 交換器 (Cisco C2960S-48FPS-L)
在推薦了一堆設備的 IT 人員從地球表面消失後,我決定自己設定我的家庭網路。我曾是電腦安全專家(應用程式層級),但未接受過 IT 培訓。網路可以工作,但可以更好。我設定了一些 VLAN(安全攝影機等)以及 Cisco 安全區域。
問題:
- 我的網路 WAN 連線速度很慢,絕對比應有的速度慢。
- 我有雙重 NAT:路由器和數據機。
內部 LAN 速度很快。
我記得 IT 顧問說我們可以將數據機直接插入交換器。我當時不明白這一點。我想我現在理解得更好了。如果我將數據機放在自己的 VLAN 上並在 VLAN 之間運行安全協議,那麼這應該是安全的,對吧?然而,我很困惑,因為我認為位於數據機和交換器(以及我的內部 LAN)之間的路由器(及其安全卡)提供了更好的安全性(防火牆等)。另外,內部 VLAN 用戶端如何*知道*如何找到作為網關的電纜數據機?他們是否首先進入路由器,然後從那裡切換到調製解調器連接埠的短路連接?
纜線數據機 <=> 交換器 (Cisco C2960S-48FPS-L) <=> 路由器 (Cisco 1941/K9)
Tl/dr:我可以將電纜數據機直接連接到交換器自己的 VLAN 上,從而提高速度、消除雙重 NAT 並仍然享受網路安全嗎?
建議?
編輯一:(12-17-19)
請在下面請求獲取有關安全和控制的更多資訊。
我在 VLAN、IP NAT 和審核上運行 Cisco 區域安全性原則。我可以完全控制我的數據機(至少 Xfinity 允許的),因此我可以設定相當多的安全策略、IP 位址等。
部分路由器設定複製如下:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR