Вопрос касательно дизайна сети, где наилучшее расположение для шлюзов сегментов офисной сети?
Есть порядка 15 сегментов между которыми трафик должен ходить по определенным правилам. Есть два варианта размещения шлюзов для этих сегментов:
1. Центральный маршрутизатор (ядро сети)
2. Firewall
Я всегда делал интерфейсы на МСЭ, соотвественно гейты тоже были на МСЭ и все это работает и фильтруется как надо.
Но тут мне закинули идею, что можно унести всю маршрутизацию на ядро (сделать гейты там) и рулить трафиком с помощью VRF, а фильтрацией по-прежнему будет заниматься МСЭ. Казалось бы это логично - маршрутизатор маршрутизирует, а МСЭ фильтрует.
Подскажите, пожалуйста, плюсы минусы этого варианта.
Фаервол нужен для защиты снаружи, внутри в сети должны быть только доверенные объекты и это твоя забота. Либо надо будет очень дорогой аппаратный фаервол ставить в ядро. Очень дорогой. Чтобы скорость обмена сохранить.
Правильно тебе советуют короче.
Внутри сети должно быть сегментирование, те же самые пользователи не должны лазить в серверный сегмент или сегмент ИБ. В качестве МСЭ выступает Cisco ASA.
Простой
Средний
Простой
Простой
