У мене тут є маленька конкретна проблема, яку я хочу (потребую) вирішити задовільно. Моя компанія має кілька мереж (IPv4), якими керує наш маршрутизатор, що сидить посередині. Типовий розмір магазину. Зараз існує ще одна додаткова мережа, яка має діапазон IP зовнішнього контролю, підключений до Інтернету за допомогою іншого маршрутизатора ЗОВНІШНЬОГО нашого управління. Назвіть це проектною мережею, яка є частиною іншої мережі компаній та об'єднана через VPN, яку вони створили.
Це означає:
- Вони керують маршрутизатором, який використовується для цієї мережі та
- Вони можуть переналаштувати речі, щоб мати доступ до машин у цій мережі.
Мережа фізично розділена на нашому кінці через деякі комутатори, що підтримують VLAN, оскільки вона охоплює три місця. На одному кінці є маршрутизатор, а другий управляє компанією.
Мені потрібно / хочу надати машинам, які використовуються в цій мережі, доступ до мережі моєї компанії. Насправді, це може бути добре зробити їх частиною мого домену активного каталогу. Люди, які працюють на цих машинах, є частиною моєї компанії. АЛЕ - Мені потрібно це робити, не порушуючи безпеку мережі моєї компанії від зовнішнього впливу.
Ця ідея інтегрування маршрутизатора за допомогою зовнішнього керованого маршрутизатора є цією ідеєю
Отже, моя ідея така:
- Ми приймаємо адресний простір IPv4, і топологія мережі в цій мережі не під нашим контролем.
- Ми шукаємо альтернативи для інтеграції цих машин у мережу нашої компанії.
Дві концепції, які я придумав:
- Використовуйте якусь VPN - попросіть машини увійти в VPN. Завдяки їм, що використовують сучасні вікна, це може бути прозорим DirectAccess. Це по суті стосується іншого IP-простору, не відрізняється від будь-якої мережі ресторанів, в який йде ноутбук компанії.
- Крім того, встановіть маршрутизацію IPv6 до цього сегменту Ethernet. Але - і це хитрість - блокуйте всі пакети IPv6 в комутаторі до того, як вони потраплять на сторонній керований маршрутизатор, так що навіть якщо вони включають IPv6 на цю річ (не використовується зараз, але вони могли це зробити) вони не отримають єдиний пакет. Комутатор може це зробити, перетягуючи весь трафік IPv6, що надходить до цього порту, в окрему VLAN (на основі типу протоколу Ethernet).
Хтось бачить проблему з використанням перемикача, щоб ізолювати зовнішній від IPv6? Якийсь отвір у безпеці? Сумно, що ми маємо ставитися до цієї мережі як до ворожої - було б набагато простіше - але персонал служби підтримки має "відому сумнівну якість", і юридична сторона зрозуміла - ми не можемо виконати свої зобов'язання, інтегруючи їх у нашу компанію хоча вони під юрисдикцією, ми не можемо сказати.