给定一个/ 24子网中的n个(例如200个)客户端和以下networking结构:
client 1 \ . \ . switch -- firewall . / client n / (换言之,所有客户端连接到一台交换机,交换机连接到防火墙)
现在,默认情况下,例如客户端1和客户端n可以直接使用交换机进行通信,而不会有任何数据包到达防火墙。 所以这些数据包都不能被过滤。 但是我想过滤客户端之间的数据包,所以我想禁止客户端之间的任何直接通信。
我知道这可以使用vlans,但是根据我的理解,我必须把所有的客户端放在自己的networking中。 但是我没有那么多的IP地址:我有大约200个客户端,只有一个/ 24个子网,所有的客户端都有公网IP地址,所以我不能为他们每个创build一个私网(或许使用一些NAT,但我想避免这一点)。
那么,有什么办法可以告诉交换机:将所有的数据包转发到防火墙,不允许客户端之间直接通信? 感谢任何提示!
如果您的交换机支持PVLAN(专用VLAN),您可以在VLANM内分隔客户端,该VLAN可以configuration为允许任何主机与防火墙对话,但无法与其他任何设备通信。 您还可以configuration您的PVLAN以允许在有限的服务器组之间进行通信。
你在用什么开关?
您可能需要一个不同的开关来实现PVLAN。 以下是思科支持PVLAN的Cisco交换机产品matrix的链接:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
以下是www.amazon.com上的Cisco Catalyst 2948G的链接:
当客户端连接到同一交换机时,它们将通过防火墙进行通信。 您无法告诉交换机将stream量转发到要过滤的防火墙。 交换机对networking中的客户端和防火墙是透明的。
您需要将客户端分布在不同的子网中,以便在第3层(IP)进行一些过滤。 所以在这种情况下使用VLAN是最好的select。 如果您需要使用公共IP,而您没有太多,则可以分配专用IP并在防火墙上执行NAT。
主机不必在单独的子网中,以便在它们之间build立防火墙。
防火墙有不同的风格,如路由防火墙或桥接防火墙。 当提到防火墙而没有指定哪种防火墙时,通常认为你的意思是路由防火墙。 但为了防止单个子网上的主机之间的stream量,你需要的是一个桥接防火墙。 一些防火墙可以同时作为路由防火墙和桥接防火墙。
路由防火墙是一个可以根据一组规则过滤数据包的路由器。
桥接防火墙是一种可以根据一组规则过滤数据包的交换机。
如果互连主机的交换机本身可以充当桥接防火墙,则可以获得最佳性能。 然而,假设性能不是一个高优先级,你需要继续使用相同的开关,你可以看看其他选项。
通过将每台主机放在一个单独的VLAN上,并标记连接到防火墙的端口上的所有stream量,您就可以将防火墙configuration为桥接防火墙。 (假设您的防火墙能够充当桥接防火墙)。
交换机不需要VLAN支持。 它接触到一个在devise中容易被忽视的VLAN交换案例,这意味着一些交换机有一个devise缺陷,防止它们在VLAN之间的桥接防火墙正常工作。 棘手的部分是,根据使用哪个VLAN标签,每个MAC地址对于不同端口上的交换机是可见的。 如果交换机在CAM中查找时只使用目的MAC地址作为密钥,将不起作用,正确实现的VLAN交换机将VLAN标签和MAC地址的组合作为CAM查找的关键字。
否则我会解决。 我之前安装一个PPPoE服务器,所有的客户端都被隔离,因为他们在一个隧道中,必须连接到服务器