我有以下拓撲:
本質上,我希望資料包流從 PC1 流向核心交換器、邊緣交換器和防火牆。我需要「撞線」來強制流量通過 IPS。理想情況下,我會將其內嵌在邊緣和防火牆之間,但存在問題(不同的介面類型),所以我需要這樣做。
其理論如下。
資料包的目的地是互聯網,客戶端不知道如何到達那裡,因此它將資料包定向到預設路由。來源 MAC 是客戶端,目標 Mac 是 PC。
核心交換器接收到它。它檢查它的 CAM 表並知道 10.1.0.1 的 MAC 位址位於連接埠 2 上的某個位置。
邊緣交換器收到該數據,並且在其 CAM 表中沒有 VLAN 10 中 10.1.0.1 的 MAC 的直接條目。
它透過 IPS 進行。
現在,邊緣交換器發現 10.1.0.1 的 MAC 位址位於連接埠 1 上。
重點是我不想直接透過背板從連接埠 2「路由」到連接埠 1,我需要強制它通過 IPS。
這是我建議的配置
邊緣:
int FastEthernet0/1
switchport mode access
switchport access vlan 20
int FastEthernet0/4
switchport mode access
switchport access vlan 20
int FastEthernet0/2
switchport mode access
switchport access vlan 10
int FastEthernet0/3
switchport mode access
switchport access vlan 10
Core:
int FastEthernet0/1
switchport mode access
switchport access vlan 10
int FastEthernet0/4
switchport mode access
switchport access vlan 10
在你笑之前,我使用 2960 作為邊緣,3560 作為核心。我正在實驗室環境中對此進行測試;)。
這是「正確的」還是有更好的方法?
答案1
在不涉及一堆血淋淋的細節的情況下,我只想提出以下幾點:
1.您無法在第 2 層「路由」流量,路由發生在第 3 層。
2.客戶端流量將在沒有到達 IPS 或防火牆的情況下消失。用戶端將向預設閘道發送 ARP,並且由於預設閘道位於不同的 VLAN 中,因此不會收到任何回應。交換器不會將該 ARP 請求從 VLAN 10 轉送到 VLAN 20。令人震驚的觀點,我不會詳細說明其他任何內容。
3.為什麼不使用 IPS 作為客戶端的預設網關,而使用防火牆作為 IPS 的預設網關?
4.在邊緣交換器和防火牆之間連接 IPS 有哪些問題?您顯示它們都連接到邊緣交換器。我假設它們都連接到邊緣交換器上的乙太網路連接埠。如果是這樣,為什麼不能直接連接它們?