Provoz mezi VLAN filtrovaný access listem na Cisco 3560

[FKoudelka]

Zdravím. Rád bych filtroval provoz na L3 mezi VLANy na Cisco 3560  mezi stanicemi a servery, např pouze SAP, Domino , SMTP apod. Nejsem si jist výkonem, stanic je kolem 70. Půjde to ?
Díky za kvalifikovaný názor.

[Reklama]

[Miroslav Šilhavý]

ACL by neměly na C3560 ovlivnit výkon, jsou akcelerované.

[Martin Oles]

Zvažte skutečný firewall. To co zamýšlíte sice půjde, výkonově nejspíše problém také nebude, ale je to takové kostrbaté a spíše pseudobezpečné řešení. ACL je "stateless", tak budete muset povolit spojení v obou směrech, tím můzete povolit i komunikaci, která může být nežádoucí.

[FKoudelka]

Zvažte skutečný firewall. To co zamýšlíte sice půjde, výkonově nejspíše problém také nebude, ale je to takové kostrbaté a spíše pseudobezpečné řešení. ACL je "stateless", tak budete muset povolit spojení v obou směrech, tím můzete povolit i komunikaci, která může být nežádoucí.

Diky za názor, firewall pro interní LAN někdy v budoucnu. Momentálně mi jde o to zamezit prostupu SMB a RDP kvůli potenciálnímu šíření ransomware.

[Miroslav Šilhavý]

Diky za názor, firewall pro interní LAN někdy v budoucnu. Momentálně mi jde o to zamezit prostupu SMB a RDP kvůli potenciálnímu šíření ransomware.

A nebylo by konfiguračně jednodušší mít v síti dva segmenty oddělené do dvou vlan + na nastavit firewall na serveru (z jedné vlan povolit SMB+RDP, z druhé ne)? Podle mě to bude pak přehlednější na hledání problémů. Kdybyste to chtěl automatizovat (z jednoho místa určovat přiřazení), pak by se dal využít 802.1X a vlan volit dokonce podle přihlášeného uživatele.

[Reklama]