форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco маршрутизаторы)
Изначальное сообщение		[ Отслеживать ]

"Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
Сообщение от SerCo (ok) on 18-Мрт-13, 09:49
Приветствую форумчан! В общем ситуация такая, в организации около 300 компов. Сейчас все ходят в интернет через прокси-сервер squid. Проксю с авторизацией убирать будем однозначно. В коробке лежит новенькая циска 2911. Комп со сквидом забирают и я хочу вместо сквида заюзать эту циску. IOS на циске Advanced Security (есть Zone Based Firewall). Имеется также установленная циска 3560, на которой поднята Vlan маршрутизация и DHCP. Вопрос в том как лучше сделать: Вариант 1. Перетаскиваем маршрутизацию и ДХЦП на 2911, поднимаем там NAT и ZBF, прикручиваем netflow, Profit! В этом случае непонятна роль 3560, так как его можно будет заменить обычным L2 свичем. Вариант 2. DHCP и роутинг оставляем на 3560, но как заставить всех ходить в инет через NAT, поднятый на 2911? По сути от 2911 нужен только NAT с учетом траффика netflow, может подскажет кто схему как это замутить безгеморно?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
Сообщение от elk_killa (ok) on 18-Мрт-13, 10:08
> Вариант 1. Перетаскиваем маршрутизацию и ДХЦП на 2911, поднимаем там NAT и > ZBF, прикручиваем netflow, Profit! В этом случае непонятна роль 3560, так > как его можно будет заменить обычным L2 свичем. > Вариант 2. DHCP и роутинг оставляем на 3560, но как заставить всех > ходить в инет через NAT, поднятый на 2911? > По сути от 2911 нужен только NAT с учетом траффика netflow, может > подскажет кто схему как это замутить безгеморно? так и оставьте inter-vlan routing на 3560, дефолт - в интернет через 2911 с nat-ом
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
	Сообщение от SerCo (ok) on 18-Мрт-13, 10:11
	>> Вариант 1. Перетаскиваем маршрутизацию и ДХЦП на 2911, поднимаем там NAT и >> ZBF, прикручиваем netflow, Profit! В этом случае непонятна роль 3560, так >> как его можно будет заменить обычным L2 свичем. >> Вариант 2. DHCP и роутинг оставляем на 3560, но как заставить всех >> ходить в инет через NAT, поднятый на 2911? >> По сути от 2911 нужен только NAT с учетом траффика netflow, может >> подскажет кто схему как это замутить безгеморно? > так и оставьте inter-vlan routing на 3560, дефолт - в интернет через > 2911 с nat-ом Ну если это будет работать то будет отлично! Будет-ли разница в показаниях netflow с вариантом когда 3560 вообще убрать?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
	Сообщение от elk_killa (ok) on 18-Мрт-13, 10:20
	>> так и оставьте inter-vlan routing на 3560, дефолт - в интернет через >> 2911 с nat-ом > Ну если это будет работать то будет отлично! Будет-ли разница в показаниях > netflow с вариантом когда 3560 вообще убрать? а откуда она возьмется, разница? WAN интерфейсу не все ли равно, один интерфейс в инсайде или 10? (Если я правильно понял, что netflow трафик между вланами не интересен, и в ZBF они не будут разделяться на разные зоны)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
	Сообщение от SerCo (ok) on 18-Мрт-13, 10:41
	>>> так и оставьте inter-vlan routing на 3560, дефолт - в интернет через >>> 2911 с nat-ом >> Ну если это будет работать то будет отлично! Будет-ли разница в показаниях >> netflow с вариантом когда 3560 вообще убрать? > а откуда она возьмется, разница? WAN интерфейсу не все ли равно, один > интерфейс в инсайде или 10? (Если я правильно понял, что netflow > трафик между вланами не интересен, и в ZBF они не будут > разделяться на разные зоны) Да, netflow между vlan не нужен. В ZBF тоже они будут в одной зоне. Завтра попробую это все собрать. Спасибо за помощь!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
	Сообщение от elk_killa (ok) on 18-Мрт-13, 14:29
	> Да, netflow между vlan не нужен. В ZBF тоже они будут в > одной зоне. Завтра попробую это все собрать. Спасибо за помощь! в любом случае, если политика партии изменится, ничто не мешает перенести роутинг конкретного влана на 2911 и отфаерволить его :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
Сообщение от McS555 (ok) on 18-Мрт-13, 15:01
> По сути от 2911 нужен только NAT с учетом траффика netflow А каким вы анализатором пользуетесь?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
	Сообщение от SerCo (ok) on 18-Мрт-13, 16:13
	>> По сути от 2911 нужен только NAT с учетом траффика netflow > А каким вы анализатором пользуетесь? Тоже пока выбираю, сейчас смотрю ManageEngine Netflow Analyzer, какой-то он перегруженный. Слишком много всего на мой взгляд. Если посоветуете что-то менее тяжелое буду рад :)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Cisco 2911 в качестве файрволла для доступа в интеренет"	+/–
	Сообщение от eek on 19-Мрт-13, 07:07
	> Тоже пока выбираю, сейчас смотрю ManageEngine Netflow Analyzer, > какой-то он перегруженный. Очень хороший, функционал как раз то, что нужно.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема