/ 24サブネット内のn個(例:200)のクライアントと、次のネットワーク構造が与えられます。
client 1 \
. \
. switch -- firewall
. /
client n /
(つまり、すべてのクライアントが1つのスイッチに接続され、スイッチがファイアウォールに接続されています)
現在、デフォルトで、例えばクライアント1とクライアントnは、パケットがファイアウォールに到達することなく、スイッチを使用して直接通信できます。したがって、これらのパケットはいずれもフィルタリングできませんでした。ただし、クライアント間のパケットをフィルタリングしたいので、クライアント間の直接通信を禁止したいと思います。
これはVLANを使用して可能であることはわかっていますが、私の理解によれば、すべてのクライアントを独自のネットワークに配置する必要があります。ただし、IPアドレスはそれほど多くありません。約200のクライアントがあり、/ 24のサブネットしかなく、すべてのクライアントがパブリックIPアドレスを持っているため、それぞれにプライベートネットワークを作成することはできません(多分いくつかのNATを使用していますが、それは避けたいと思います)。
それで、スイッチに伝える方法はありますか:すべてのパケットをファイアウォールに転送し、クライアント間の直接通信を許可しませんか?ヒントをありがとう!
スイッチがPVLAN(プライベートVLAN)をサポートしている場合は、VLANM内でクライアントを分離できます。これは、他のデバイスと通信できなくても、任意のホストがファイアウォールと通信できるように構成できます。さらに、限られたサーバーグループ間での通信も許可するようにPVLANを構成できます。
どんなスイッチを使っていますか?
PVLANを実装するには、別のスイッチが必要になる場合があります。以下は、PVLANをサポートするシスコスイッチ向けのシスコの製品マトリックスへのリンクです。
http://www.Cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
また、www.Amazon.comにあるCisco Catalyst2948Gへのリンクは次のとおりです。
クライアントが同じスイッチに接続されている場合、クライアントはファイアウォールを通過して相互に通信します。フィルタリングするファイアウォールにトラフィックを転送するようにスイッチに指示することはできません。スイッチは、ネットワーク内のクライアントとファイアウォールに対して透過的です。
レイヤー3(IP)でフィルタリングを行うには、クライアントを異なるサブネットに分散させる必要があります。したがって、この場合はVLANを使用するのが最適なオプションです。パブリックIPを使用する必要があり、それらがあまりない場合は、プライベートIPを割り当てて、ファイアウォールでNATを実行できます。
ホスト間にファイアウォールを設けるために、ホストが別々のサブネットにある必要はありません。
ファイアウォールには、ルーティングファイアウォールやブリッジファイアウォールなど、さまざまな種類があります。種類を指定せずにファイアウォールについて言及する場合、通常、ルーティングファイアウォールを意味すると見なされます。ただし、単一のサブネット上のホスト間のトラフィックをファイアウォールで保護するには、ブリッジファイアウォールが必要です。一部のファイアウォールは、ルーティングファイアウォールとブリッジファイアウォールの両方として同時に機能することができます。
ルーティングファイアウォールは、一連のルールに基づいてパケットをフィルタリングできるルーターです。
ブリッジファイアウォールは、一連のルールに基づいてパケットをフィルタリングできるスイッチです。
ホストを相互接続するスイッチ自体がブリッジファイアウォールとして機能できる場合、最高のパフォーマンスが達成されます。ただし、パフォーマンスの優先度が高くなく、同じスイッチを使い続ける必要がある場合は、他のオプションを検討できます。
各ホストを個別のVLANに配置し、ファイアウォールに接続されているポートのすべてのトラフィックにタグを付けることで、ブリッジファイアウォールとして機能するようにファイアウォールを構成できます。 (ファイアウォールがブリッジファイアウォールとして機能できると仮定します)。
このような設定では、スイッチからのサポートはVLANだけです。 VLANスイッチングの1つのコーナーケースに触れますが、これは設計で見落とされがちです。つまり、一部のスイッチには設計上の欠陥があり、VLAN間のブリッジファイアウォールで正しく動作できないことが考えられます。トリッキーな部分は、使用されているVLANタグに応じて、すべてのMACアドレスが異なるポートのスイッチに表示されることです。スイッチがCAMでルックアップするときに宛先MACアドレスのみをキーとして使用する場合、スイッチは機能しません。正しく実装されたVLAN対応スイッチは、VLANタグとMACアドレスの組み合わせをキーとして使用します。 CAMルックアップ用。