在 DMZ 中实现设备隔离的最佳方法是什么?

在 DMZ 中实现设备隔离的最佳方法是什么?

我有一个 ADSL 连接,它分配了一个 /29 子网,为我提供了 6 个可用的 IP 地址。目前,它连接了一个便宜的 Netgear ADSL 路由器,该路由器有一个内置交换机。连接了 3 个服务器,每个服务器都有一个公共 IP 地址。这些服务器都在我们的 DMZ 中,并且与内部防火墙有第二个网络连接,但我认为这对这个问题并不重要。

由于 Netgear 路由器的交换机非常简单,因此这 3 台服务器都可以通过路由器的交换机访问其他服务器。我要求每台服务器都与其他服务器隔离,并且彼此之间无法访问。

我打算用更合适的设备替换路由器,例如 Cisco 1801,它也有一个内置交换机,但在此交换机上支持 VLAN。但是,我不确定实现目标的最佳方法是什么。我不确定该路由器上的防火墙是否适用于与其交换机的连接,还是仅适用于路由连接。我觉得这里应该涉及 VLAN,但我不确定如何!

对于我来说,实现具有 /29 子网的 ADSL 连接的要求的最佳方法是什么,其中所连接的设备彼此之间没有连接?

答案1

我不知道 1801,但我使用 Cisco 1811 来执行此操作。您可以为交换机上的每个端口分配一个 VLAN:

interface FastEthernet1
 switchport access vlan 1

interface FastEthernet2
 switchport access vlan 2

etc.

interface Vlan1
 ip address <IP-ADDRESS-INTERNAL-1> <NETMASK>
 ...

interface Vlan2
 ip address <IP-ADDRESS-INTERNAL-2> <NETMASK>
 ...

 etc.

这些 VLAN 默认是分开的。您还可以分配一个交换机端口来访问所有 VLAN(用于监控或其他目的)。

要将每个 VLAN 链接到一个公共 IP 地址,您可以使用一些 NAT 规则,例如:

ip nat inside source static <IP-INTERNAL-IP-1> <IP-EXTERNAL-IP-1>
ip nat inside source static <IP-INTERNAL-IP-2> <IP-EXTERNAL-IP-2>
etc.

并在 Fe0 (WAN 连接) 上打开 nat:

interface FastEthernet0
ip nat outside
...

确保您购买的是 Fe0 上内置 ADSL 的 cisco 18xx,否则您将在额外的 ADSL 模块上花费大量金钱。

相关内容