给定 /24 子网中的 n(例如 200)个客户端和以下网络结构:
client 1 \
. \
. switch -- firewall
. /
client n /
(换句话说:所有客户端连接到一台交换机,交换机连接到防火墙)
现在默认情况下,例如客户端 1 和客户端 n 可以使用交换机直接通信,而没有任何数据包到达防火墙。因此,这些数据包都不能被过滤。但是我想过滤客户端之间的数据包,因此我想禁止客户端之间的任何直接通信。
我知道这可以使用 vlan,但是根据我的理解,我必须将所有客户端放在他们自己的网络中。但是我什至没有那么多 IP 地址:我有大约 200 个客户端,只有一个 /24 子网并且所有客户端都应具有公共 IP 地址,因此我不能只为每个客户端创建一个专用网络(好吧,也许使用一些 NAT,但我想避免这种情况)。
那么,有没有办法告诉交换机:将所有数据包转发到防火墙,不允许客户端之间直接通信?感谢您的任何提示!
如果您的交换机支持 PVLAN(专用 VLAN),您可以将 VLANM 中的客户端分开,该 PVLAN 可以配置为允许任何主机与防火墙通信,同时无法与任何其他设备通信。您还可以配置 PVLAN 以允许在有限的服务器组之间进行通信。
您使用的是哪种开关?
您可能需要不同的交换机才能实施 PVLAN。以下是支持 PVLAN 的 Cisco 交换机的 Cisco 产品矩阵的链接:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
这是 www.amazon.com 上 Cisco Catalyst 2948G 的链接:
http://www.amazon.com/Cisco-WS-C2948G-L3-Catalyst-Gigabit-Switch/dp/B0000515TX/ref=sr_1_3?ie=UTF8&qid=1338735756&sr=8-3
当客户端连接到同一台交换机时,它们将通过防火墙相互通信。您不能告诉交换机将流量转发到防火墙进行过滤。交换机对网络中的客户端和防火墙是透明的。
您需要将客户端分布在不同的子网中,以便在第 3 层 (IP) 进行一些过滤。因此,在这种情况下使用 VLAN 是最佳选择。如果你需要使用公网 IP 而你没有太多,你可以只分配私有 IP 并在防火墙上进行 NAT。
主机不必位于单独的子网中即可在它们之间设置防火墙。
防火墙有不同的类型,例如路由防火墙或桥接防火墙。当提及防火墙而未指明是哪种防火墙时,通常假定您指的是路由防火墙。但是为了在单个子网上的主机之间设置防火墙,您需要一个桥接防火墙。一些防火墙能够同时充当路由防火墙和桥接防火墙。
路由防火墙是一种路由器,可以根据一组规则过滤数据包。
桥接防火墙是一种可以根据一组规则过滤数据包的交换机。
如果互连主机的交换机本身可以充当桥接防火墙,则可以实现最佳性能。但是,假设性能不是高优先级并且您需要继续使用相同的开关,您可以查看其他选项。
通过将每台主机放在一个单独的 VLAN 上并标记连接到防火墙的端口上的所有流量,然后您将能够将防火墙配置为充当桥接防火墙。(假设您的防火墙能够充当桥接防火墙)。
这种设置只需要交换机提供 VLAN 支持。它确实触及了 VLAN 交换的一个角落情况,这在设计中很容易被忽视,这意味着可以想象某些交换机具有设计缺陷,阻止它们与 VLAN 之间的桥接防火墙一起正常工作。棘手的部分是,根据使用的 VLAN 标记,每个单独的 MAC 地址对不同端口上的交换机都是可见的。如果交换机在 CAM 中查找时仅使用目标 MAC 地址作为关键字,它将无法工作,正确实现的 VLAN 交换机使用 VLAN 标记和 MAC 地址的组合作为 CAM 查找的关键字。
否则我会解决。我先安装一个PPPoE服务器,所有客户端都是隔离的,因为它们在隧道中并且必须连接到服务器