我有以下拓扑:
本质上,我希望数据包流从 PC1 流向核心交换机、边缘交换机,然后流向防火墙。我需要“碰撞线路”以强制流量通过 IPS。理想情况下,我会将其内联在边缘和防火墙之间,但这样做存在问题(接口类型不同),所以我需要这样做。
理论如下。
数据包发往互联网,客户端不知道如何到达那里,因此它将数据包定向到默认路由。源 MAC 是客户端,目标 Mac 是 PC。
核心交换机收到该信息。它检查 CAM 表并知道 10.1.0.1 的 MAC 地址位于端口 2 的某个位置。
边缘交换机接收该消息,但在其 CAM 表中没有 VLAN 10 中 MAC 10.1.0.1 的直接条目。但它知道该消息位于端口 3 中。
它通过 IPS 进行。
现在,边缘交换机看到 10.1.0.1 的 MAC 地址在端口 1 上。
关键是我不想直接通过背板从端口 2 “路由”到 1,我需要强制它通过 IPS。
这是我建议的配置
边缘:
int FastEthernet0/1
switchport mode access
switchport access vlan 20
int FastEthernet0/4
switchport mode access
switchport access vlan 20
int FastEthernet0/2
switchport mode access
switchport access vlan 10
int FastEthernet0/3
switchport mode access
switchport access vlan 10
Core:
int FastEthernet0/1
switchport mode access
switchport access vlan 10
int FastEthernet0/4
switchport mode access
switchport access vlan 10
在您大笑之前,我使用 2960 作为边缘,使用 3560 作为核心。我正在实验室环境中对此进行测试 ;)。
这是“正确的”吗或者有更好的方法来做到这一点?
答案1
我不会深入讨论那些复杂的细节,我只想提出以下几点:
1.
您无法在第 2 层“路由”流量,路由发生在第 3 层。
2.
客户端流量将无法到达 IPS 或防火墙,因此会中断。客户端将使用 ARP 来获取默认网关,而由于默认网关位于不同的 VLAN 中,因此客户端将得不到任何响应。交换机不会将该 ARP 请求从 VLAN 10 转发到 VLAN 20。交换机将仅将 ARP 请求转发到 VLAN 10 中的端口。您提出的设计还存在其他几个技术问题,但由于我刚才提出的观点非常引人注目,因此我不会详细阐述其他问题。
3.
为什么不将 IPS 用作客户端的默认网关,而将防火墙用作 IPS 的默认网关?
4.
在 Edge 交换机和防火墙之间连接 IPS 有什么问题?您显示它们都连接到 Edge 交换机。我假设它们都连接到 Edge 交换机上的以太网端口。如果是这样,为什么不能直接连接它们?