使用 ASA 5505 和单个交换机设置 DMZ 和内部网络的选项

网络工程 VLAN 思科 网络 hp-procurve
2021-07-13 21:49:21

这是试图澄清我原来的帖子太长了。

我的任务是向我们的网络添加一个 DMZ。

目前,内部网络连接到一个 ASA 接口。

我已经能够设置单个设备 DMZ,其中一台测试笔记本电脑直接连接到备用 ASA 接口。

我正在尝试扩展实验以包括我们现有的交换机,以便我可以证明两个设备可以驻留在 DMZ 中。

我的问题是:

我是否应该在 ASA 上使用两个接口并将两条电缆连接到交换机?

或者,我应该以某种方式只使用一个 ASA 接口和一根电缆连接到交换机吗?

或者,我应该使用两个接口和两个独立的交换机(一个在 DMZ 中,一个在内部网络中)?

关于设置的额外细节

环境是:

  • ASA 5505:
    • 0/0:
      • 外部
      • 面向公众的 IP
      • VLAN2
      • 安全 0
      • 连接至服务式写字楼主网
    • 0/1:
      • 里面
      • 192.168.47.1
      • VLAN1
      • 安全 100
      • 连接到 ProCurve 2510G-48 上的 0/0
  • ProCurve 2510G-48:
    • DEFAULT_VLAN(开箱即用)
      • 192.168.47.50
      • 0/0:
        • 上行链路到 ASA 5505 0/1
      • 其余的部分:
        • 各种服务器
        • 我们的桌面连接到的另一个交换机

我最初的实验:

  • ASA 5505:

    • 0/0:
      • 外部
      • 面向公众的 IP
      • VLAN2
      • 安全 0
      • 连接到服务式办公楼主网络
    • 0/1:
      • 里面
      • 192.168.47.1
      • VLAN1
      • 安全 100
      • 连接到 ProCurve 2510G-48 上的 0/0
    • 0/2:
      • dmz
      • 192.168.48.1
      • VLAN3
      • 安全 50
      • 使用 IP 地址 192.168.48.2 连接到 TestLaptop1

  • ProCurve 2510G-48:

    • 如上

通过 NAT 和访问规则,我可以:

  • 从 TestLaptop1 访问互联网
  • 从互联网访问 TestLaptop1
  • 从 TestLaptop1 访问内部网络中的单个设备(以模拟有限的内部访问)
  • 从内部网络中的单个设备访问 TestLaptop1(以模拟管理访问)

我现在正在尝试将我们现有的开关添加到组合中。

2个回答

我不会将 DMZ VLAN ID 从 3 (5505) 更改为 10 (2510) - 取决于哪些协议处于活动状态(GVRP、MVRP),这可能会导致问题。

如果在 5505 端口 0/1 和 2510 端口“0/0”(第一个端口应为“1”)上标记 VLAN3,则可以在同一条电缆上中继 VLAN 1 和 3。然后,在 2510 上,只需将所有必需的 DMZ 端口配置为未标记 VLAN3,并且它们应该在 DMZ 内。

这完全取决于您如何设计网络。最好在 cisca ASA 防火墙的单独接口中拥有 DMZ 网络。而不是在单个界面中。

我们将在 ASA 防火墙中配置 Internet、LAN、DMZ 网络之间的安全策略更具可行性。

所以根据我的观点得出结论,最好为 DMZ 网络提供单独的接口。.

其它你可能感兴趣的问题
上一篇如何测试连接到一个 AP 的最大客户端数? 下一篇WiFi 睡眠模式