[es] - MPLS firewall, DMZ i Catalyst 3560

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
212.200.235.*

+1 Profil

^{16.12.2008. u 08:05 - pre 186 meseci}

Imam problem kako da postavim neku zastitu za mrezu koja se sastoji od centralne lokacije i regionalnih centara. Povezani su MPLS-om. Veza sa regionalnim centrima je putem privatnih adresa i to iz opsega 192.168.x.0. Ono sto se desava je da imam na izlazu i javne adrese recimo DMZ i privatne adrese za reginalne centre.

Imam samo u centru Cisco ruter 2801 sa dosta karakteristika pozarnog zida i switch Catalyst 3560. Problem je kako da dizajniram DMZ koristeci jedino 3560. Ono sto vidim je da ima da koriste route-map da razdvojim privatne od javnih adresa. I da privatne adrese propustim preko switcha. Imam samo Vlan 1 (za sada).
Ovo je IOS od 3560:
Cisco IOS Software, C3560 Software (C3560-IPBASE-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
Na netu kazu da ova verzija u stvari ne podrzava route-map, iako ga ima.

S druge strane da li mogu da se odredjene privatne adrese propuste preko rutera? Na nesrecu ja tamo koristim nat i na spoljnem intefface imam ip nat outside i jednu komandu za staticko nat preslikavanje z ajednu adresu spolja?

Ima li neko neku ideju sta da radim?

Da li moguce da se putem Catalyst 3560 postavi DMZ zona koja bi razdvajala javne i privatne adrese?

Neka ideja?

Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
213.176.148.*

Sajt: https://markom.rs

+16 Profil

Re: MPLS firewall, DMZ i Catalyst 3560

^{16.12.2008. u 10:32 - pre 186 meseci}

Naravno da je sve moguće, samo je tvoje objašnjenje mreže malo nejasno.

Da li ruter ima jedan logički "uplink" interfejs ili dva - jedan za privatnu mrežu i drugi za Internet? Ako nema, da li Telekom nudi to kao opciju?

OV SM
LA PK

Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.mediaworksit.net.

+1 Profil

Re: MPLS firewall, DMZ i Catalyst 3560

^{16.12.2008. u 11:35 - pre 186 meseci}

Pa od njihovog rutera (telekom srbija) cisco 1841 to ide na switch a kako imam sasmo jedan Vlan Vlan1 to je spojeno sa drugim lokacijama. ulazom u ruter, izlazom u ruter itd je takodje spojeno ili moze da bude spojeno. Znaci od njihovog rutera ja imam gigabit link ka mom Catalyst 3560. Ja hocu da one adrese koje su recimo 192.168.25.x propustim i dam im pristup serveru u centralnoj lokaciji. Sada kada imam javnu adresu hocu da ona ode na izlaz rutera ili recimo na majl server. Adrese koje odlaze mogu da budu privatne za regionalne centre ili javne i sve idu nazad u ISP Cisco 1841.

Sada ono sto vidim je da budem siguran da li imam komandu route-map suppported! I ona jeste, ali nisam testirao do kraja. J amislim da kreiram te izlaze ne kao access port vec kao routed ports, gde bih morao da im pridruzim neke adrese, pa sa porta koji je prikljucen na ISP ruter-modem razdvajao te adrese na dva ili vise routed porta (no switchport). Na dva ili vise iz razloga sto imam unutrasnje kolo, izlaz rutera i nekolko DMZ servera.

Problem je sto izgleda moj switch NE PODRZAVA komande sa route-map?
Istina to kaze dokumentacija ali ovaj prihvata komande.

Odgovor na temu

markom
Marko Milivojević
Network Engineer
Google
Mountain View

Član broj: 18427
Poruke: 4227
*.du.xdsl.is.

Sajt: https://markom.rs

+16 Profil

Re: MPLS firewall, DMZ i Catalyst 3560

^{16.12.2008. u 12:10 - pre 186 meseci}

Opet mi nije jasno... Da li imaš možda dijagram mreže?

OV SM
LA PK

Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.mediaworksit.net.

+1 Profil

Re: MPLS firewall, DMZ i Catalyst 3560

^{16.12.2008. u 12:46 - pre 186 meseci}

Nemam,

ali uzmi ovako centrallni ruter BEZ DODATNIH regionalnih centara radi OVAKO. Unutrasnja mreza je izolovana i unutra, Spoljasnja mreza je natovana unutra i sastoji se samo od spoljasnjeg interface-a rutera sa javnom adresom a ta javna adresa je povezana sa ISP ruterom. Sve radi. Klasika. Dodat je L3 switch. Radi i dalje. Nema vlanova samo jedan. Sve je unutra. Sada dolazi novi ISP i nove potrebe a to su regionalni centri. Sada taj MPLS salje privatne adrese kroz svoj krajnji ruter (modem u stvari).

Adresni prostor je kao na primer:

192.168.0.0 centrala

192.168.1.0 Reg centar 1
192.168.2.0 Reg centar 2

itd

Sada kada unesem te reg. centre ti opsezi 192.168.1.0 .. treba da komuniciraju sa centralom u oba smera. I ako centrala zove reg centar 1 onda destination od te adrese bude recimo 192.168.1.45 i kao takav prodje kroz ISP ruter BEZ IKAKVE TRANSLACIJE. Taj IP signal udje u ISP ruter sa 192.168.1.45 destination adresom a sa source adresom recimo 192.168.0.24 i kao takav dodje u reg, centar. I obratno pri povratku. To vec nije klasika.

Odgovor na temu

pereubu
admin, Pancevo

Član broj: 194051
Poruke: 104
*.mediaworksit.net.

+1 Profil

Re: MPLS firewall, DMZ i Catalyst 3560

^{16.12.2008. u 12:56 - pre 186 meseci}

Da dodam,

mene buni to mesanje javnih i privatnih adresa tako me savetovao Telekom. Ja sam mislio da UPOTREBIM taj L3 switch 3560 da bi kreirao kao neku svoju DMZ zonu. N aprimer kada signal dodje, on se testira da li je javan ili privatan (mislim adresa) - ako je privatan (iz reg. centra) ja ga prosledim ka unutrasnjoj mrezi a ako je komunikacija poslata od neke javne adrese (neko komunicira sa mojim mail serverom) ja ga posaljem ka izlazu mog centralnog rutera, i odatle se on natuje.

U sustini L3 switch bi trebao da sluzi za vlan, kada ga konfigurisem za to, ali sada pokusavam da mi sluzi kao platforma na kojoj bi postavio tu novu uslovno receno DMZ.

Pozdrav

Odgovor na temu