我这里有一个小问题,我想(需要)以令人满意的方式解决它。我的公司有多个(IPv4)网络,由位于中间的路由器控制。典型的小型商店设置。现在有一个额外的网络,其 IP 范围不受我们控制,通过另一个不受我们控制的路由器连接到互联网。称之为项目网络,它是另一家公司网络的一部分,并通过他们设置的 VPN 合并。
这意味着:
- 它们控制用于该网络的路由器,
- 他们可以重新配置事物,以便能够访问该网络中的机器。
由于网络覆盖三个位置,因此我们这边通过一些支持 VLAN 的交换机对网络进行物理分割。一端是另一家公司控制的路由器。
我需要/想要让此网络中使用的机器访问我的公司网络。事实上,将它们作为我的活动目录域的一部分可能是个好主意。在这些机器上工作的人员是我公司的一部分。但是 - 我需要这样做,而不会损害我公司网络的安全性,使其免受外界影响。
任何使用外部控制路由器的路由器集成都是不切实际的
因此,我的想法是这样的:
- 我们接受 IPv4 地址空间,并且该网络中的网络拓扑不受我们控制。
- 我们寻求替代方案将这些机器集成到我们的公司网络中。
我想到两个概念是:
- 使用某种 VPN - 让机器登录 VPN。由于他们使用现代 Windows,这可能是透明的 DirectAccess。这实际上将其他 IP 空间与公司笔记本电脑进入的任何餐厅网络没有什么不同。
- 或者 - 建立到此以太网段的 IPv6 路由。但是 - 这是一个技巧 - 在交换机中阻止所有 IPv6 数据包到达第三方控制的路由器之前,这样即使他们在该路由器上打开 IPv6(现在没有使用,但他们可以这样做),他们也不会收到任何数据包。交换机可以很好地做到这一点,方法是将进入该端口的所有 IPv6 流量拉入单独的 VLAN(基于以太网协议类型)。
有人发现使用交换机将外部与 IPv6 隔离存在问题吗?有安全漏洞吗?很遗憾,我们不得不将这个网络视为敌对网络 - 这会容易得多 - 但那里的支持人员“已知质量可疑”,法律方面也很清楚 - 当我们将他们整合到我们的公司时,我们无法履行我们的义务,因为他们处于我们没有发言权的管辖范围内。
答案1
这是我经常遇到的情况,而且我几乎总是做同样的事情:IPSec。
这种方法是否有效取决于他们的网络和你的网络之间是否有 IPv4 重叠,这一点你没有说出来。但我知道你知道,如果有这个额外的障碍,我想你会提到它,所以现在让我们假设没有任何重叠。
使用 PSK 身份验证在他们的核心路由器和您的路由器之间建立 IPSec 隧道。大多数好的路由器都会使用这种隧道,这并不难。一旦您建立了隧道,您就可以信任通过它的任何数据包的身份(笔记:我并不是说你可以相信这些数据包的内容,只是说你可以确定它们确实来自潜在敌对伙伴)。
因此,您可以将访问过滤器应用于从隧道传出的流量,并精确限制它们能够访问您网络上的哪些主机、哪些端口以及从其终端的哪台机器访问(尽管后一种限制不太有用,因为您无法控制其网络上的设备是否恶意更改其 IP 地址以提升其对您终端的访问权限)。
根据我的经验,将网络连接起来,而不是让任何随机的受信任客户端在其终端使用单独的 VPN 客户端,效果会更好,尤其是因为你要么最终会全职管理客户端访问令牌 - 发行新的令牌,撤销旧的令牌,抱怨人们复制它们,或者处理强制任何令牌只能使用一次的后果 - 要么你会发行一个每个人都会使用的令牌,并且你将失去对谁在使用它的任何控制以及他们在哪里使用它。这也意味着复杂性存在于核心中,而核心是管理复杂性的最佳场所。
在我的网络和 PHP 的网络之间,我有一些这样的隧道,已经运行了十年,它们只是在做自己的事情。有时有人需要他们那边的新机器来访问我们那边的一些新开发箱或其他资源,这只需对接口访问列表进行简单的更改,对我自己的工具包进行一行修复,我可以在几秒钟内完成,一切都正常。无需安装客户端。完全没有端点复杂性。
我发现 v6 的想法非常有趣,但我怀疑当某些仅适用于 v4 的客户端或某些由于未经测试而充满 v6 错误的东西出现并且真的真的真的需要访问你的网络资源时,它就会失败。