我们有一台 SonicWall TZ180 用作 VPN 端点。目前,它有一个 WAN IP 地址和一个分配给 LAN 接口的 /24。我们的邮件集群管理员询问是否可以在 VPN 后面添加第二个私有 C 类。第二个子网将可供其他网络使用,然后我们将使用地址对象和 acl 来限制访问。
这可能吗?我读过有关 PortShield 的信息,但我不知道我们是否需要使用它,因为我们将所有数据从一个物理端口推送到已设置 VLAN 的 Cisco 交换机。
附录:看来 PortShields 可以满足我的要求,但有一个限制:它要求端口屏蔽与物理端口之间有直接的 1-1 关系。这样一来,我们就只能在 1 个 TZ180 上使用 4 个 PortShield。有没有比这更好的解决方案?
答案1
Portshield 接口将接口分组在一起,基本上将组中的所有端口视为一个通用交换机端口。因此,LAN Portshield 组中的所有端口都将共享同一个网络。这听起来似乎不能满足您的需求。
听起来你想添加一个不同的网络,这样您就可以为 LAN 和这个新网络之间的流量创建规则。这应该很简单,只需创建一个新区域(例如“LAN2”或“DEV”)并将未使用的端口分配给该区域(必要时关闭 Portshield)。给它一个新的网络,然后您可以根据区域创建防火墙规则。
那有意义吗?
答案2
不确定 Sonicwall 是否适用,但在 Cisco ASA 上,您只需在内部交换机上开辟一个新的 VLAN,并将该连接连同常规内部子网一起中继到物理 ASA 端口即可。然后在物理 ASA 接口上为新 VLAN 创建一个新的虚拟接口。然后,您可以直接在 ASA 上设置所需的任何 ACL。