У меня есть небольшая конкретная проблема, которую я хочу (нужно) решить удовлетворительным образом. Моя компания имеет несколько сетей (IPv4), которые управляются нашим маршрутизатором, который находится посередине. Типичная мелкая настройка магазина. В настоящее время существует еще одна сеть, которая имеет диапазон IP вне нашего контроля, подключенный к Интернету с помощью другого маршрутизатора вне нашего контроля. Назовите это проектной сетью, которая является частью сети других компаний и объединена через VPN, который они создали.
Это означает:
- Они контролируют маршрутизатор, который используется для этой сети и
- Они могут переконфигурировать вещи, чтобы иметь доступ к машинам в этой сети.
Сеть физически разделена с нашей стороны через некоторые VLAN-совместимые коммутаторы, поскольку она охватывает три местоположения. На одном конце находится маршрутизатор, который контролирует другая компания.
Мне нужно / я хочу предоставить машинам, используемым в этой сети, доступ к сети моей компании. На самом деле, было бы хорошо сделать их частью моего домена активного каталога. Люди, работающие на этих машинах, являются частью моей компании. НО - мне нужно делать это без ущерба для безопасности сети моей компании от внешнего влияния.
Любой вид интеграции маршрутизатора с использованием внешнего маршрутизатора исключен этой идеей
Итак, моя идея заключается в следующем:
- Мы принимаем адресное пространство IPv4, и топология сети в этой сети не находится под нашим контролем.
- Мы ищем альтернативы для интеграции этих машин в сеть нашей компании.
2 концепции, которые я придумал:
- Используйте какой-нибудь VPN - пусть машины входят в VPN. Благодаря тому, что они используют современные окна, это может быть прозрачным DirectAccess. По сути, это относится к другому IP-пространству, не отличающемуся от сети ресторанов, в которой работает ноутбук компании.
- В качестве альтернативы - установите IPv6-маршрутизацию к этому сегменту Ethernet. Но - и это хитрость - блокируйте все пакеты IPv6 в коммутаторе до того, как они попадут на управляемый маршрутизатор стороннего производителя, так что даже если они включат IPv6 на этой вещи (не используется сейчас, но они могли бы это сделать), они не получили бы один пакет. Коммутатор может легко сделать это, перетащив весь трафик IPv6, поступающий на этот порт, в отдельную VLAN (в зависимости от типа протокола Ethernet).
Кто-нибудь видит проблему с использованием коммутатора для изоляции внешнего от IPv6? Любая дыра в безопасности? Печально, что мы должны относиться к этой сети как к враждебной - было бы намного проще, - но там есть вспомогательный персонал "известного сомнительного качества", и юридическая сторона ясна - мы не можем выполнять свои обязательства, когда интегрируем их в нашу компанию. пока они находятся под юрисдикцией, мы не имеем права голоса.
источник