我有一台 Cisco ASA 5505,目前正在为 10.10.0.X 上的大约 30 台机器提供服务。
我想将其中几台机器隔离到一个 VLAN,这样它们就无法向不属于受限 VLAN 的所有其他计算机发起流量。
不属于隔离组的计算机仍然应该能够与隔离的机器发起连接。
所以这很像 DMZ,只是我希望不必将隔离的机器放在不同的子网上。
这是可能的吗,还是我需要将每个 VLAN 设置在不同的子网上?
请原谅我在这方面还只是个新手。我正在努力学习。
答案1
VLAN 按照定义属于第 2 层。它在所有方面都类似于将机器放在两个独立的网络上。因此,在这种情况下,您需要将机器放在不同的子网和不同的 VLAN 上,ASA 充当两个“区域”之间的中间路由器。然后,您需要在 ASA 上设置 ACL,以阻止从第二个子网向第一个子网发起流量。
这是处理您尝试执行的操作的正确方法。您可以使用同一 VLAN 中的两个独立子网来执行此操作,但这样做不太安全...
答案2
ASA 平台可以在透明模式下使用,因此可能可以做您想做的事情(尽管我承认我对 ASA 了解不够,无法说如何做)。
但是,这不是推荐的配置;如果您想要这种隔离,最好的办法是将它们重新编号到新的子网中。