我们有一个充当VPN端点的SonicWall TZ180。 现在它有一个WAN IP地址和一个/ 24分配给LAN接口。 我们的邮件集群pipe理员询问是否可以在VPN后添加第二个私有类C. 这第二个子网将可用于其他networking,然后我们将使用地址对象和acls来限制访问。
这可能吗? 我阅读了PortShield,但我不知道这是否是我们需要使用的,因为我们将所有数据从一个物理端口推送到已经设置了VLAN的Cisco交换机。
附录:PortShields似乎只会有一个局限性, 它需要portshield到物理端口的直接1-1关系。 然后这将限制我们在1 TZ180上的4个PortShields。 有没有比这更好的解决scheme?
Portshield将组接口连接在一起,基本上将组中的所有端口视为普通交换机端口。 因此LAN Portshield组中的所有端口都将共享相同的networking。 这听起来不像是会满足你的需求。
这听起来像你想添加一个不同的networking,所以你可以在局域网和这个新的networking之间的stream量创build规则。 这应该与创build新区域(例如“LAN2”或“DEV”)以及将未使用的端口分配给该区域(如果需要closuresPortshield)一样简单。 给它一个新的networking,然后你可以创build基于区域的防火墙规则。
那有意义吗?
不清楚SonicWALL,但是在思科ASA上,您可以在内部交换机上创build一个新的VLAN,并将该连接与常规内部子网连接到物理ASA端口。 然后,在新VLAN的物理ASA接口上创build一个新的虚拟接口。 然后,您可以直接在ASA上设置所需的任何ACL。