всем привет!
есть DFL 800
у него 1 DMZ порт.
есть потребность в 2-х разных DMZ сетях:
1. Для серверов ЛАН: Terminal, File server, Mail server, SQL и т.д.
2. Для доступа из Интернет: Mail server (отличный от ЛАН овского) Web server, FTP server
что-б безопансость была максимально возможной, или приближенной к этой отметке

Как организовтаь правильно, подскажите.
ps: 2(оба) WAN порта заняты.

вариантов наверна масса, но не сложно сделать это:
засовываем каждый из серверов в свой VLAN, на DMZ интерфейсе DFL'а поднимаем эти вланы и настраиваем соответствующим образом правила для поднятых интерфесов в виде вланов, ну а как поместить сервера в вланы, это уже др.вопрос, либо сетевухи настраиваем, либо используем "не тупой" свитч и PVID

+1.

Т.е. сетевые карты всех серверов должны понимать тегированные VLAN-ы.

Либо приобретаете управляемый коммутатор 2-го уровня, понимающий VLAN. Простейшие подходящие - DES-2108, DES-3010F. Это общий подход, позволяющий расширить кол-во независимых интерфейсов на линейке DFL. Я предпочитаю его.

+1

ну можно "вёбсмартом" ограничится для таких целей, управляемости нет, но сконфигурировать вланы можно

...вот только главное не продешевить, (пусть не в тему, но) у 3com'а есть гигабитные свичи, а-ля вёбсмарт, где вланы есть, но порт может быть только в одном влане, т.е. там порты, скажем так, в группы объединяются и порта а-ля "аплинк" не существует...

у меня для вланов стоит DES 2108 (8-портов)
файрвол - DFL 800
на свиче, 4 порта для ВЛАН уже разрулены + 1 tagged port. Остаются 3 порта, из которых: 2 ВЛАН - на каджую из ДМЗ, +1 tagged port на файрвол

я все прально понимаю?
или нарисовать архитектуру?

Абсолютно верно. И, что особенно приятно, уже все есть в наличии.

Если один из портов DES-2108 уже подключен к LAN интерфейсу, то можно дописать на нем нужные VLAN-ы, сэкономив тем самым один порт коммутатора и порт DMZ. Либо, что лучше, DMZ порт оставить и лишь сформировать 1 доп порт под DMZ2 на коммутаторе.

разве так можно? 1 порт на свиче, может подждерживать только 1 ВЛАН. Он конечно может быть участником разных ВЛАНов, но PVID у него будет только один.
единственное что я могу сэкономить, так это tagged port, который идет на нашу сеть ЛАН. только у меня вопрос, не упадет ли производительность? т.к. через 1 tagged port будет идти траффик как минимум 4 ВЛАНов.
хотя с другой стороны, на файрволе-то все равно 1 ЛАН порт(3-го уровня). Получается, даже если и упадет производительность, то на файрволе у меня других вариантов нет (2 WAN и 1 DMZ заняты)

Я имел ввиду случай, если у вас уже имелся порт на коммутаторе с несколькими тегированными VLAN-ами.

Однако, если есть риск передавливания канала DMZ внутрисетевым трафиком по LAN, то лучше первоначальный вариант, когда задействованы DMZ порт файрвола и 3 порта коммутатора, один из которых является аплинком к DMZ на 2 VLAN-а.

ясно спасибо.
тока вот остался один вопрос. наверное немнго не в тему:
т.к. у нас свич на 8 портов, 4 из них для ВЛАНов, 1 аплинк для 4-х ВЛАНов, остается 3 свободных порта.
по сути, если я воткну кабель на один из трех свободных портов, и дам им ip адрес одного из ВЛАНов, то ничего работать не будет (ip spoofing по моему наз-ся). значит ли это, что оставшие 3 порта работают как отдельный свич, без прямого соприкосновения с 4-мя ВЛАНами?
я хотел, использовать эти 3 порта как свич для плоской сети: в 1 физической сети, 2 логические. т.е. воткнуть 1 кабель (входящий) и от него по одному для 2-х из четырех вланов
получится примерно как на рисунке: (интересны только выделенные красным цветом)


у меня так почему-то не работает
или мне надо область "отдельный свич" сделать отдельным ВЛАНом?

Пару раз перечитывал ваш пост, но так и не понял 2/3.

Лучше бы вы нарисовали вашу топологию, чтобы понимать какое место занимает в ней коммутатор и файрвол. Нет смысла сооединять одни порты коммутатора с другими его портами. Это все делается соответствующими настройками VLAN-ов.

текущая топология отображена на рисунке


цель заменить "SOFT Firewall" на DFL и сделать 2 DMZ зоны, затратив при этом минимум дополнительного оборудования (DFL и DES уже куплены)
поправка: на 1-м из DSL соединений плоская сеть. т.е. 2 ip адреса на 1 интерфейс: 199.168.11.0/24 и 10.1.2.2/240

1. Насчет

уже сделано все: настройки, правила тестирование и т.д.

2. Насчет

чуть позже, при решении пункта 3 станет более ясным.

3. Насчет поправки

что бы настроить так, чтобы DFL понимал сразу обе сети, необходимо для каждой из сети (199.168.11.0/24 и 10.1.2.2/240) сделать свой ВЛАН. потому что если всё будет в одном ВЛАН'e, теги-то у них будут одинаковыми и DFL не сможет поделить их на разные сети. Чтобы распределить 2 сети по ФИЗИЧЕСКИ разным ethernet портам, нужен свич. в идеале 3 портовый: Один порт входящий от провайдера, и два выхода на разные ВЛАН'ы идущих на DES.

Но 3 портового свича нет, и покупать еще один не лучший вариант.

придется как нить использовать свободные порта на самом DES.

вот теперь прочтите мой предыдущий пост, который Вы не поняли:
предыдущий пост в новой редакции:
обратите внимание на след.картинку

в ней показано, что порты 5, 6, 7 DES'a свободны, и не входят ни в одну из ВЛАН'ов (порты 1-4)
если я, воткну кабель на один из трех свободных портов (5-7), и дам им ip адрес одного из ВЛАНов, то ничего работать не будет (ip spoofing по моему наз-ся). значит ли это, что оставшиеся 3 свободных порта (на рисунке выделены красным цветом) работают как отдельный свич, без прямого соприкосновения с 4-мя ВЛАНами?
я хотел, использовать эти 3 порта как свич для плоской сети: в 1 физической сети, 2 логические. т.е. воткнуть 1 кабель (входящий) и от него по одному для 2-х из четырех вланов
получится примерно как на рисунке: (интересны только выделенные красным цветом)

у меня так почему-то не работает
или мне надо область "отдельный свич" сделать отдельным ВЛАНом?

По умолчанию в DES-2108 все порты находятся в 1 vlan (default) и порты не тэгирваные, если данная конфигурация осталась, то между этими портами будет ходить трафик как в отдельном свиче. Но лучше всеж вывести их в отдельный vlan со своим PVID.

значит если буду использовать патч-корд и соединю порты 6,7 на 3,4 соот-но, у меня никаких loop'ов не будет?
при условии, что я вывел их (свободные порты 5-7) в отдельный ВЛАН с PVID

ЧТО касается dmz
вощем я чтоб не запутался, сделал для себя след.варианты:

Вариант 1.
с использованием DES-2108
Тегированный порт для ВЛАН'ов идущих от DMZ, в принципе можно воткнуть с любой порт DFL'a: DMZ или LAN.
Недостатки - необходимо 2 свича для каждой из зон DMZ.




Вариант 2.
Без использования DES-2108.
Каждая из зон DMZ, идет напрямую на DFL: DMZ 2 идет отдельным ВЛАН'ом, т.к. соединяется на LAN порт DFL'a
Недостатки - необходимо 2 свича для каждой из зон DMZ.




Вариант 3.
с использанием любого управляемого свича.
Разбиваем 1 свич на 2 ВЛАН'a и делаем 1 тегированный порт до DFL.
Тегированный порт для ВЛАН'ов идущих от DMZ, в принципе можно воткнуть с любой порт DFL'a: DMZ или LAN.
Преимущество по сравнению с предыдущими вариантами, нужен всего 1 (один) свич, вместо 2-х (двух).




Вариант 4.
с использанием любого управляемого свича.
Разбиваем 1 свич на 2 ВЛАН'a и делаем тегированные порты до DFL дkя каждой из зон DMZ.
Тегированные порты для ВЛАН'ов идущих от DMZ, идут в соот-щие порты DFL'a: DMZ или LAN.
Преимущество по сравнению с предыдущими вариантами, нужен всего 1 (один) свич, вместо 2-х (двух).




Какой вариант выбрать?
кроме указанных преимуществ и недостатков, так же необходимо учесть наибольшую безопасность, и упрощенное администрирование.
В вар.1, вар.3 и вар.4 я думаю все сводиться к 1 свичу. вот думаю, не снизит ли это всю безопасность?