当前网络为:
电缆调制解调器 <=> 路由器(Cisco 1941/K9)<=> 交换机(Cisco C2960S-48FPS-L)
在推荐一堆设备的 IT 人员消失后,我决定自己设置家庭网络。我以前是计算机安全专家(应用级),但没有接受过 IT 培训。网络可以运行,但可以做得更好。我设置了一些 VLAN(安全摄像头等),以及思科安全区域。
问题:
- 我的网络 WAN 连接很慢,肯定比应该的速度慢。
- 我使用了双重 NAT:路由器和调制解调器。
内部局域网速度很快。
我记得 IT 顾问说我们可以将调制解调器直接插入交换机。我当时不明白这一点。我想我现在明白了。如果我将调制解调器放在自己的 VLAN 上并在 VLAN 之间运行安全协议,那么这应该是安全的,对吗?然而,我很困惑,因为我假设路由器(及其安全卡)位于调制解调器和交换机之间(因此我的内部 LAN 也是如此),可以提供更好的安全性(防火墙等)。此外,内部 VLAN 客户端如何*知道*如何找到电缆调制解调器作为网关?它们是否首先转到路由器,然后从那里开始将交换机与调制解调器端口的连接短路?
电缆调制解调器 <=> 交换机(Cisco C2960S-48FPS-L)<=> 路由器(Cisco 1941/K9)
Tl/dr:我可以将我的电缆调制解调器直接连接到其自己的 VLAN 上的交换机吗,从而提高速度、消除双重 NAT 并仍然享受网络安全?
建议?
编辑一:(12-17-19)
请求以下有关安全和控制的更多信息。
我在 VLAN、IP NAT 和审计上运行了 Cisco Zone 安全策略。我可以完全控制我的调制解调器(至少 Xfinity 允许),因此我可以设置相当多的安全策略、IP 地址等。
部分路由器配置复制如下:
parameter-map type inspect pmap-ip-clients-to-wan
audit-trail on
!
class-map type inspect match-any http-protocols
description --- Hyper Text Transport Protocols ---
match protocol http
match protocol https
!
policy-map type inspect usr-to-wan-policy
class type inspect http-protocols
inspect
class type inspect mail-protocols
inspect
class type inspect icmp-protocol
inspect
class type inspect vpn-to-wan-protocols
inspect
class type inspect appl-services
inspect
class type inspect pinhole-exceptions
inspect
class type inspect eng-clients-to-wan
inspect
class class-default
drop log
!
interface GigabitEthernet0/0
description WAN side dhcp client
ip address dhcp
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
zone-member security WAN
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Vlan50
description --- Meeting Hall for Family ---
ip address 10.10.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security USR