Mam tutaj pewien specyficzny problem, który chcę (muszę) rozwiązać w zadowalający sposób. Moja firma ma wiele sieci (IPv4), które są kontrolowane przez router znajdujący się na środku. Typowa konfiguracja mniejszego sklepu. Istnieje teraz jedna dodatkowa sieć, która ma zakres IP POZA naszą kontrolą, połączona z Internetem z innym routerem POZA naszą kontrolą. Nazwij to siecią projektową, która jest częścią sieci innych firm i połączona przez VPN, którą skonfigurowali.
To znaczy:
- Kontrolują router używany dla tej sieci i
- Mogą zmieniać konfigurację, aby uzyskać dostęp do komputerów w tej sieci.
Sieć jest fizycznie podzielona na naszym końcu przez niektóre przełączniki obsługujące VLAN, ponieważ obejmuje trzy lokalizacje. Na jednym końcu znajduje się router kontrolowany przez drugą firmę.
Potrzebuję / chcę zapewnić maszynom używanym w tej sieci dostęp do sieci mojej firmy. W rzeczywistości może być dobrze, aby stały się częścią mojej domeny Active Directory. Ludzie pracujący na tych maszynach są częścią mojej firmy. ALE - muszę to zrobić bez narażania bezpieczeństwa sieci mojej firmy przed wpływami z zewnątrz.
Wszelkiego rodzaju integracja routera za pomocą zewnętrznego routera jest wykluczona z tego pomysłu
Mój pomysł jest następujący:
- Akceptujemy przestrzeń adresową IPv4, a topologia sieci w tej sieci nie jest pod naszą kontrolą.
- Szukamy alternatywnych rozwiązań, aby zintegrować te maszyny z siecią naszej firmy.
Wymyśliłem 2 koncepcje:
- Użyj jakiegoś VPN - poproś maszyny o zalogowanie się do VPN. Dzięki nim za pomocą nowoczesnych okien może to być przezroczysty DirectAccess. To zasadniczo traktuje inną przestrzeń IP nie różniącą się od sieci restauracji, w której wchodzi laptop firmy.
- Alternatywnie - ustal routing IPv6 do tego segmentu Ethernet. Ale - i jest to sztuczka - zablokuj wszystkie pakiety IPv6 w przełączniku, zanim trafią na router kontrolowany przez inną firmę, tak że nawet JEŚLI włączą IPv6 w tej sprawie (nie są teraz używane, ale mogliby to zrobić), nie dostaną pojedynczy pakiet. Przełącznik może to zrobić, wciągając cały ruch IPv6 przychodzący do tego portu do osobnej sieci VLAN (w oparciu o typ protokołu Ethernet).
Czy ktoś widzi problem z używaniem przełącznika do izolowania urządzenia zewnętrznego od IPv6? Jakaś dziura bezpieczeństwa? To smutne, że musimy traktować tę sieć jako wrogą - byłoby to o wiele łatwiejsze - ale tamtejszy personel pomocniczy ma „znaną wątpliwą jakość”, a strona prawna jest jasna - nie możemy wywiązać się z naszych zobowiązań, gdy zintegrujemy je z naszą firmą podczas gdy podlegają jurysdykcji, w której nie mamy wpływu.
źródło