forum.opennet.ru - "Разделить политики доступа в Интернет" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Разделить политики доступа в Интернет"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Разделить политики доступа в Интернет"
Сообщение от VladimirX (ok) on 14-Июл-08, 14:24
Доброго времени суток! Коллеги, требуется решить следующую задачу. В здании построена СКС и ЛВС на основе поэтажных коммутаторов 2960 и коммутатора распределения (3750). Помещения здания будут сдаваться под офисы, соответственно арендаторам необходимо предоставить отказоустойчивый доступ в инет. Для этой цели провели двух провайдеров. Далее. Требуется предоставить арендаторам услугу безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что разделить их по разным VLAN, однако как решить вопрос на границе сети - не ведаю. Помогите пожалуйста в решении вопроса. Набросал такую схему, хотя не знаю будет это работать или нет. http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при этом существовать отказоустойчивость для обоих VRF? Большое спасибо.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Разделить политики доступа в Интернет, chesnok, 18:01 , 14-Июл-08, (1)

Разделить политики доступа в Интернет, VladimirX, 09:15 , 15-Июл-08, (3)

Разделить политики доступа в Интернет, aaa, 22:10 , 14-Июл-08, (2)

Разделить политики доступа в Интернет, VladimirX, 16:59 , 16-Июл-08, (6)

Разделить политики доступа в Интернет, punks, 09:54 , 15-Июл-08, (4)

Разделить политики доступа в Интернет, VladimirX, 16:57 , 16-Июл-08, (5)

Разделить политики доступа в Интернет, punks, 12:22 , 17-Июл-08, (7)

Разделить политики доступа в Интернет, VladimirX, 15:06 , 17-Июл-08, (8)

Разделить политики доступа в Интернет, punks, 18:19 , 17-Июл-08, (9)

Разделить политики доступа в Интернет, VladimirX, 09:50 , 18-Июл-08, (10)

Разделить политики доступа в Интернет, chesnok, 11:23 , 18-Июл-08, (11)

Разделить политики доступа в Интернет, VladimirX, 09:40 , 21-Июл-08, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. "Разделить политики доступа в Интернет"

Сообщение от chesnok (ok) on 14-Июл-08, 18:01

>[оверквотинг удален]
>сети - не ведаю. Помогите пожалуйста в решении вопроса.
>Набросал такую схему, хотя не знаю будет это работать или нет.
>
>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>
>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при
>этом существовать отказоустойчивость для обоих VRF?
>
>Большое спасибо.
как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например pix/asa, на которых есть возможность работы с виртуальными firewall -

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разделить политики доступа в Интернет"

Сообщение от VladimirX (??) on 15-Июл-08, 09:15

>[оверквотинг удален]
>>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>>
>>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при
>>этом существовать отказоустойчивость для обоих VRF?
>>
>>Большое спасибо.
>
>как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например
>pix/asa, на которых есть возможность работы с виртуальными firewall -
Думается, что PIX/ASA не совсем подходят, ибо все пользователи будут ходить через межсетевой экран, пусть и разделенный на виртуальные. Несмотря на то что для рядовых пользователей можно настроить только NAT, защита за счет разных security-level все равно будет работать, т.е. эти пользователи таки получают некую безопасность. Хотелось бы этим пользователям предоставить чистый NAT(PAT) и хватит с них.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Разделить политики доступа в Интернет"

Сообщение от aaa (??) on 14-Июл-08, 22:10

>[оверквотинг удален]
>безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить
>задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что
>разделить их по разным VLAN, однако как решить вопрос на границе
>сети - не ведаю. Помогите пожалуйста в решении вопроса.
>Набросал такую схему, хотя не знаю будет это работать или нет.
>
>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>
>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>настроить фаервол, тогда как остальные пользователи останутся незащищенными?
1. Да, использовать VLAN.
2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса?
3. Думается мне, на выходе можно будет обойтись и одним роутером.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Разделить политики доступа в Интернет"

Сообщение от VladimirX (??) on 16-Июл-08, 16:59

>[оверквотинг удален]
>>
>>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html
>>
>>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем
>>настроить фаервол, тогда как остальные пользователи останутся незащищенными?
>
>1. Да, использовать VLAN.
>2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса?
>
>3. Думается мне, на выходе можно будет обойтись и одним роутером.
По второму вопросу - так как клиентов много, то о реальных адресах вряд ли идет речь. Предполагаю вариант NAT(PAT), когда у провайдера арендуются несколько реальных адресов, часть из которых используется для трансляции защищенных пользователей, а часть - для незащищенных.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Разделить политики доступа в Интернет"

Сообщение от punks on 15-Июл-08, 09:54

обычно наиболее щипетильные клиенты ставят фаервол у себя.
Вы за защищщенность будете взымать доп. плату?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разделить политики доступа в Интернет"

Сообщение от VladimirX (??) on 16-Июл-08, 16:57

>обычно наиболее щипетильные клиенты ставят фаервол у себя.
>Вы за защищщенность будете взымать доп. плату?
Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. Основные условия - простота схемы и минимальное количество железа, ибо понятно, что можно такого слона сгородить, что черт ногу сломит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Разделить политики доступа в Интернет"

Сообщение от punks on 17-Июл-08, 12:22

>>обычно наиболее щипетильные клиенты ставят фаервол у себя.
>>Вы за защищщенность будете взымать доп. плату?
>
>Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи.
>Основные условия - простота схемы и минимальное количество железа, ибо понятно,
>что можно такого слона сгородить, что черт ногу сломит.
Что-то не пойму в чем именно будет заключаться защищенность и на чем хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.
У меня работает подобная схема.
cisco 3825 - AT8824 (L3 switch с возможность фаера)
Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 и AT для клиентов которые под фаером. Но тут конечно помогает что в АТ есть фаер и он л3 свитч.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Разделить политики доступа в Интернет"

Сообщение от VladimirX (??) on 17-Июл-08, 15:06

>[оверквотинг удален]
>Что-то не пойму в чем именно будет заключаться защищенность и на чем
>хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь.
>
>У меня работает подобная схема.
>cisco 3825 - AT8824 (L3 switch с возможность фаера)
>Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю
>влан на 3825 и пробрасываю к клиенту через АТ.Кому надо -
>создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825
>и AT для клиентов которые под фаером. Но тут конечно помогает
>что в АТ есть фаер и он л3 свитч.
В том то и дело, что фаер и свитч в одном флаконе это экзотика. Фаер на самом деле чаще реализуется на маршрутизаторах нежели чем на коммутаторах. Хочется полностью реализовать систему на сисках, у которых такая экзотика отсутствует, к сожалению.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разделить политики доступа в Интернет"

Сообщение от punks on 17-Июл-08, 18:19

как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Разделить политики доступа в Интернет"

Сообщение от VladimirX (??) on 18-Июл-08, 09:50

>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>
У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться именно на роутере с Cisco IOS Firewall, но вот есть сомнения, что с помощью него удастся решить задачу. Если все-таки можно, то хотелось бы знать как... Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Разделить политики доступа в Интернет"

Сообщение от chesnok (ok) on 18-Июл-08, 11:23

>>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
>>
>
>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться
>именно на роутере с Cisco IOS Firewall, но вот есть сомнения,
>что с помощью него удастся решить задачу. Если все-таки можно, то
>хотелось бы знать как... Спасибо.
основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, либо различными логичнескими устройствами...
это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Разделить политики доступа в Интернет"

Сообщение от VladimirX (??) on 21-Июл-08, 09:40

>[оверквотинг удален]
>>>
>>
>>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться
>>именно на роутере с Cisco IOS Firewall, но вот есть сомнения,
>>что с помощью него удастся решить задачу. Если все-таки можно, то
>>хотелось бы знать как... Спасибо.
>
>основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими,
>либо различными логичнескими устройствами...
>это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.
Так вопрос как раз про логическое разделение и стоит. Посредством MPLS VPN и использования VRF можно это сделать или нет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Разделить политики доступа в Интернет"
Сообщение от chesnok (ok) on 14-Июл-08, 18:01
>[оверквотинг удален] >сети - не ведаю. Помогите пожалуйста в решении вопроса. >Набросал такую схему, хотя не знаю будет это работать или нет. > >http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html > >Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем >настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при >этом существовать отказоустойчивость для обоих VRF? > >Большое спасибо. как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например pix/asa, на которых есть возможность работы с виртуальными firewall -
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Разделить политики доступа в Интернет"
	Сообщение от VladimirX (??) on 15-Июл-08, 09:15
	>[оверквотинг удален] >>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html >> >>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем >>настроить фаервол, тогда как остальные пользователи останутся незащищенными? Будет ли при >>этом существовать отказоустойчивость для обоих VRF? >> >>Большое спасибо. > >как я понимаю требования к безопатсности подрузумевают собой соответвующий аппаратные решения, например >pix/asa, на которых есть возможность работы с виртуальными firewall - Думается, что PIX/ASA не совсем подходят, ибо все пользователи будут ходить через межсетевой экран, пусть и разделенный на виртуальные. Несмотря на то что для рядовых пользователей можно настроить только NAT, защита за счет разных security-level все равно будет работать, т.е. эти пользователи таки получают некую безопасность. Хотелось бы этим пользователям предоставить чистый NAT(PAT) и хватит с них.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Разделить политики доступа в Интернет"
Сообщение от aaa (??) on 14-Июл-08, 22:10
>[оверквотинг удален] >безопасного инета за счет межсетевого экранирования. Каким образом, наиболее оптимально решить >задачу предоставления данной услуги лишь некоторым пользователям? Я так понимаю, что >разделить их по разным VLAN, однако как решить вопрос на границе >сети - не ведаю. Помогите пожалуйста в решении вопроса. >Набросал такую схему, хотя не знаю будет это работать или нет. > >http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html > >Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем >настроить фаервол, тогда как остальные пользователи останутся незащищенными? 1. Да, использовать VLAN. 2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса? 3. Думается мне, на выходе можно будет обойтись и одним роутером.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Разделить политики доступа в Интернет"
	Сообщение от VladimirX (??) on 16-Июл-08, 16:59
	>[оверквотинг удален] >> >>http://www.4shared.com/file/55090892/77ed4a1a/Firewall.html >> >>Реально ли выделить "безопасных" арендаторов в "безпасный" VRF и только на нем >>настроить фаервол, тогда как остальные пользователи останутся незащищенными? > >1. Да, использовать VLAN. >2. Правильно ли я понял, что незащищенным пользователям будут выдаваться реальные адреса? > >3. Думается мне, на выходе можно будет обойтись и одним роутером. По второму вопросу - так как клиентов много, то о реальных адресах вряд ли идет речь. Предполагаю вариант NAT(PAT), когда у провайдера арендуются несколько реальных адресов, часть из которых используется для трансляции защищенных пользователей, а часть - для незащищенных.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Разделить политики доступа в Интернет"
Сообщение от punks on 15-Июл-08, 09:54
обычно наиболее щипетильные клиенты ставят фаервол у себя. Вы за защищщенность будете взымать доп. плату?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Разделить политики доступа в Интернет"
	Сообщение от VladimirX (??) on 16-Июл-08, 16:57
	>обычно наиболее щипетильные клиенты ставят фаервол у себя. >Вы за защищщенность будете взымать доп. плату? Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. Основные условия - простота схемы и минимальное количество железа, ибо понятно, что можно такого слона сгородить, что черт ногу сломит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Разделить политики доступа в Интернет"
	Сообщение от punks on 17-Июл-08, 12:22
	>>обычно наиболее щипетильные клиенты ставят фаервол у себя. >>Вы за защищщенность будете взымать доп. плату? > >Да, предполагается именно платная услуга. Ведь существуют наверное стандартные решения данной задачи. >Основные условия - простота схемы и минимальное количество железа, ибо понятно, >что можно такого слона сгородить, что черт ногу сломит. Что-то не пойму в чем именно будет заключаться защищенность и на чем хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь. У меня работает подобная схема. cisco 3825 - AT8824 (L3 switch с возможность фаера) Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 и AT для клиентов которые под фаером. Но тут конечно помогает что в АТ есть фаер и он л3 свитч.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Разделить политики доступа в Интернет"
	Сообщение от VladimirX (??) on 17-Июл-08, 15:06
	>[оверквотинг удален] >Что-то не пойму в чем именно будет заключаться защищенность и на чем >хотите реализовывать. Как я понимаю пиксы ставить вы не собираетесь. > >У меня работает подобная схема. >cisco 3825 - AT8824 (L3 switch с возможность фаера) >Между железяками - транк.На AT поднят фаер.Кому не надо фаер - создаю >влан на 3825 и пробрасываю к клиенту через АТ.Кому надо - >создаю vlan на at8824, помещая его под фаер.Соотв.настроена маршрутизация между 3825 >и AT для клиентов которые под фаером. Но тут конечно помогает >что в АТ есть фаер и он л3 свитч. В том то и дело, что фаер и свитч в одном флаконе это экзотика. Фаер на самом деле чаще реализуется на маршрутизаторах нежели чем на коммутаторах. Хочется полностью реализовать систему на сисках, у которых такая экзотика отсутствует, к сожалению.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Разделить политики доступа в Интернет"
	Сообщение от punks on 17-Июл-08, 18:19
	как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Разделить политики доступа в Интернет"
	Сообщение от VladimirX (??) on 18-Июл-08, 09:50
	>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall? > У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться именно на роутере с Cisco IOS Firewall, но вот есть сомнения, что с помощью него удастся решить задачу. Если все-таки можно, то хотелось бы знать как... Спасибо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Разделить политики доступа в Интернет"
	Сообщение от chesnok (ok) on 18-Июл-08, 11:23
	>>как я понимаю, а у вас пограничный роутер с Cisco IOS Firewall? >> > >У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться >именно на роутере с Cisco IOS Firewall, но вот есть сомнения, >что с помощью него удастся решить задачу. Если все-таки можно, то >хотелось бы знать как... Спасибо. основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, либо различными логичнескими устройствами... это решения, которое работае в 99% промышленных предприятиях, с подобными задачами.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Разделить политики доступа в Интернет"
	Сообщение от VladimirX (??) on 21-Июл-08, 09:40
	>[оверквотинг удален] >>> >> >>У нас пока ничего нет, нужно проработать решение.. Да, я планировал остановиться >>именно на роутере с Cisco IOS Firewall, но вот есть сомнения, >>что с помощью него удастся решить задачу. Если все-таки можно, то >>хотелось бы знать как... Спасибо. > >основные требования к безопастному разделению пользователей - обслуживание данных пользователей различными физическими, >либо различными логичнескими устройствами... >это решения, которое работае в 99% промышленных предприятиях, с подобными задачами. Так вопрос как раз про логическое разделение и стоит. Посредством MPLS VPN и использования VRF можно это сделать или нет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]