Provoz mezi VLAN filtrovaný access listem na Cisco 3560

FKoudelka

Zdravím. Rád bych filtroval provoz na L3 mezi VLANy na Cisco 3560  mezi stanicemi a servery, např pouze SAP, Domino , SMTP apod. Nejsem si jist výkonem, stanic je kolem 70. Půjde to ?
Díky za kvalifikovaný názor.


Re: Provoz mezi VLAN filtrovaný access listem na Cisco 3560
« Odpověď #1 kdy: 15. 01. 2020, 22:57:19 »
ACL by neměly na C3560 ovlivnit výkon, jsou akcelerované.

Re: Provoz mezi VLAN filtrovaný access listem na Cisco 3560
« Odpověď #2 kdy: 16. 01. 2020, 09:42:48 »
Zvažte skutečný firewall. To co zamýšlíte sice půjde, výkonově nejspíše problém také nebude, ale je to takové kostrbaté a spíše pseudobezpečné řešení. ACL je "stateless", tak budete muset povolit spojení v obou směrech, tím můzete povolit i komunikaci, která může být nežádoucí.

FKoudelka

Re: Provoz mezi VLAN filtrovaný access listem na Cisco 3560
« Odpověď #3 kdy: 16. 01. 2020, 16:01:51 »
Zvažte skutečný firewall. To co zamýšlíte sice půjde, výkonově nejspíše problém také nebude, ale je to takové kostrbaté a spíše pseudobezpečné řešení. ACL je "stateless", tak budete muset povolit spojení v obou směrech, tím můzete povolit i komunikaci, která může být nežádoucí.
Diky za názor, firewall pro interní LAN někdy v budoucnu. Momentálně mi jde o to zamezit prostupu SMB a RDP kvůli potenciálnímu šíření ransomware.

Re: Provoz mezi VLAN filtrovaný access listem na Cisco 3560
« Odpověď #4 kdy: 16. 01. 2020, 16:10:50 »
Diky za názor, firewall pro interní LAN někdy v budoucnu. Momentálně mi jde o to zamezit prostupu SMB a RDP kvůli potenciálnímu šíření ransomware.

A nebylo by konfiguračně jednodušší mít v síti dva segmenty oddělené do dvou vlan + na nastavit firewall na serveru (z jedné vlan povolit SMB+RDP, z druhé ne)? Podle mě to bude pak přehlednější na hledání problémů. Kdybyste to chtěl automatizovat (z jednoho místa určovat přiřazení), pak by se dal využít 802.1X a vlan volit dokonce podle přihlášeného uživatele.