Новые ответы

Cisco 2911 в качестве файрволла для доступа в интеренет,

SerCo, 18-Мрт-13, 09:49 [смотреть все]

Приветствую форумчан!
В общем ситуация такая, в организации около 300 компов. Сейчас все ходят в интернет через прокси-сервер squid. Проксю с авторизацией убирать будем однозначно. В коробке лежит новенькая циска 2911. Комп со сквидом забирают и я хочу вместо сквида заюзать эту циску. IOS на циске Advanced Security (есть Zone Based Firewall). Имеется также установленная циска 3560, на которой поднята Vlan маршрутизация и DHCP.
Вопрос в том как лучше сделать:
Вариант 1. Перетаскиваем маршрутизацию и ДХЦП на 2911, поднимаем там NAT и ZBF, прикручиваем netflow, Profit! В этом случае непонятна роль 3560, так как его можно будет заменить обычным L2 свичем.
Вариант 2. DHCP и роутинг оставляем на 3560, но как заставить всех ходить в инет через NAT, поднятый на 2911?
По сути от 2911 нужен только NAT с учетом траффика netflow, может подскажет кто схему как это замутить безгеморно?

Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, elk_killa, 10:08 , 18-Мрт-13 (1)

> Вариант 1. Перетаскиваем маршрутизацию и ДХЦП на 2911, поднимаем там NAT и
> ZBF, прикручиваем netflow, Profit! В этом случае непонятна роль 3560, так
> как его можно будет заменить обычным L2 свичем.
> Вариант 2. DHCP и роутинг оставляем на 3560, но как заставить всех
> ходить в инет через NAT, поднятый на 2911?
> По сути от 2911 нужен только NAT с учетом траффика netflow, может
> подскажет кто схему как это замутить безгеморно?
так и оставьте inter-vlan routing на 3560, дефолт - в интернет через 2911 с nat-ом
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, SerCo, 10:11 , 18-Мрт-13 (2)
>> Вариант 1. Перетаскиваем маршрутизацию и ДХЦП на 2911, поднимаем там NAT и
>> ZBF, прикручиваем netflow, Profit! В этом случае непонятна роль 3560, так
>> как его можно будет заменить обычным L2 свичем.
>> Вариант 2. DHCP и роутинг оставляем на 3560, но как заставить всех
>> ходить в инет через NAT, поднятый на 2911?
>> По сути от 2911 нужен только NAT с учетом траффика netflow, может
>> подскажет кто схему как это замутить безгеморно?
> так и оставьте inter-vlan routing на 3560, дефолт - в интернет через
> 2911 с nat-ом
Ну если это будет работать то будет отлично! Будет-ли разница в показаниях netflow с вариантом когда 3560 вообще убрать?
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, elk_killa, 10:20 , 18-Мрт-13 (3)
>> так и оставьте inter-vlan routing на 3560, дефолт - в интернет через
>> 2911 с nat-ом
> Ну если это будет работать то будет отлично! Будет-ли разница в показаниях
> netflow с вариантом когда 3560 вообще убрать?
а откуда она возьмется, разница? WAN интерфейсу не все ли равно, один интерфейс в инсайде или 10? (Если я правильно понял, что netflow трафик между вланами не интересен, и в ZBF они не будут разделяться на разные зоны)
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, SerCo, 10:41 , 18-Мрт-13 (4)
>>> так и оставьте inter-vlan routing на 3560, дефолт - в интернет через
>>> 2911 с nat-ом
>> Ну если это будет работать то будет отлично! Будет-ли разница в показаниях
>> netflow с вариантом когда 3560 вообще убрать?
> а откуда она возьмется, разница? WAN интерфейсу не все ли равно, один
> интерфейс в инсайде или 10? (Если я правильно понял, что netflow
> трафик между вланами не интересен, и в ZBF они не будут
> разделяться на разные зоны)
Да, netflow между vlan не нужен. В ZBF тоже они будут в одной зоне. Завтра попробую это все собрать. Спасибо за помощь!
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, elk_killa, 14:29 , 18-Мрт-13 (5)
> Да, netflow между vlan не нужен. В ZBF тоже они будут в
> одной зоне. Завтра попробую это все собрать. Спасибо за помощь!
в любом случае, если политика партии изменится, ничто не мешает перенести роутинг конкретного влана на 2911 и отфаерволить его :)
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, McS555, 15:01 , 18-Мрт-13 (6)

> По сути от 2911 нужен только NAT с учетом траффика netflow
А каким вы анализатором пользуетесь?
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, SerCo, 16:13 , 18-Мрт-13 (7)
>> По сути от 2911 нужен только NAT с учетом траффика netflow
> А каким вы анализатором пользуетесь?
Тоже пока выбираю, сейчас смотрю ManageEngine Netflow Analyzer, какой-то он перегруженный. Слишком много всего на мой взгляд. Если посоветуете что-то менее тяжелое буду рад :)
Ответить | Сообщить модератору

Cisco 2911 в качестве файрволла для доступа в интеренет, eek, 07:07 , 19-Мрт-13 (8)
> Тоже пока выбираю, сейчас смотрю ManageEngine Netflow Analyzer,
> какой-то он перегруженный.
Очень хороший, функционал как раз то, что нужно.
Ответить | Сообщить модератору