Kierowanie ruchu do FWSM

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
double.decode
wannabe
wannabe
Posty: 321
Rejestracja: 15 kwie 2009, 18:31

Kierowanie ruchu do FWSM

#1

#1 Post autor: double.decode »

Mam 6500, do switcha wpięci są klienci (powiedzmy 10.0.0.0/16), serwery i uplink do urządzeń brzegowych i dalej w świat. Zaraz dołożę do pudełka FWSM, i chciałbym zabezpieczyć za jego pomocą ruch pomiędzy klientami i serwerami oraz serwerami i internetem (ruch pomiędzy klientami i internetem będzie przechodził bezpośrednio). Czy jedynym sposobem żeby to zrealizować jest PBR, czy też mogę jakoś inaczej? Miałem pomysł z interfejsami SVI na MSFC, ale wtedy MSFC będzie przełączał ruch bezpośrednio, bez użycia FWSM. Wszelkie pomysły mile widziane, na razie muszę sobie poukładać w głowie jak to zrobić i na bieżąco przetestować w labie :)
Czy mając dwa konteksty na FWSM mogę jeden z nich skonfigurować jako routed a drugi transparent (IMHO tak, ale jeszcze nie próbowałem)?
Na górę
gubit
CCIE
CCIE
Posty: 589
Rejestracja: 27 paź 2003, 11:59

Re: Kierowanie ruchu do FWSM

#2

#2 Post autor: gubit »

double.decode pisze: Czy mając dwa konteksty na FWSM mogę jeden z nich skonfigurować jako routed a drugi transparent (IMHO tak, ale jeszcze nie próbowałem)?
Tak. Wg mnie na FWSM tak. Na ASA nie.
Na górę
dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:
Skontaktuj się z dorvin

#3

#3 Post autor: dorvin »

Możesz bez kombinowania z PBR. Ważne, żeby serwery były w innym VLANie, niż reszta i switchowi mówisz, ruch pomiędzy jakimi VLANami ma trafić na FWSM. W zasadzie pewnie wystarczy Ci nawet jeden kontekst, ale nie znając Twojej topologii nie mogę tego powiedzieć na 100%
Na górę
double.decode
wannabe
wannabe
Posty: 321
Rejestracja: 15 kwie 2009, 18:31

#4

#4 Post autor: double.decode »

dorvin pisze:Możesz bez kombinowania z PBR. Ważne, żeby serwery były w innym VLANie, niż reszta i switchowi mówisz, ruch pomiędzy jakimi VLANami ma trafić na FWSM. W zasadzie pewnie wystarczy Ci nawet jeden kontekst, ale nie znając Twojej topologii nie mogę tego powiedzieć na 100%
Pytanie o konteksty było z tzw. innej beczki ;)
W Twoim scenariuszu wystarczy mi tylko jeden interfejs na FWSM, dobrze rozumuję?
Na górę
dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:
Skontaktuj się z dorvin

#5

#5 Post autor: dorvin »

double.decode pisze:
dorvin pisze:Możesz bez kombinowania z PBR. Ważne, żeby serwery były w innym VLANie, niż reszta i switchowi mówisz, ruch pomiędzy jakimi VLANami ma trafić na FWSM. W zasadzie pewnie wystarczy Ci nawet jeden kontekst, ale nie znając Twojej topologii nie mogę tego powiedzieć na 100%
Pytanie o konteksty było z tzw. innej beczki ;)
W Twoim scenariuszu wystarczy mi tylko jeden interfejs na FWSM, dobrze rozumuję?
Nie. 2. Jeden do VLANu serwerowego, drugi do reszty sieci.
Na górę
Awatar użytkownika
sebu
CCIE / Instruktor CNAP
CCIE / Instruktor CNAP
Posty: 843
Rejestracja: 03 cze 2005, 02:08
Lokalizacja: Warsaw, Poland
Kontakt:
Skontaktuj się z sebu

#6

#6 Post autor: sebu »

proponuje zajrzec tu
Jesteś ambitnym inżynierem i szukasz ciekawych projektów? Zapraszamy do współpracy w ramach NetFormers (stałej i projektowej). Info na PRV.

Work: http://netformers.pl
Linked-in: http://www.linkedin.com/in/strzelak
Na górę
zawierta
wannabe
wannabe
Posty: 125
Rejestracja: 08 lis 2007, 09:49

#7

#7 Post autor: zawierta »

Dla tych co nie chcą czytać całego:
You can set each context to run in routed firewall mode (the default) or transparent firewall mode.
Na górę
ODPOWIEDZ

Wróć do „Security”