Configuration du réseau isolé

Je cherche à mettre en place un petit réseau pour un client qui serait isolé de son réseau principal. (J'espère configurer le réseau supplémentaire en tant que machines virtuelles sur le réseau principal.)

J'ai demandé au client de demander un lot d'adresses IP statiques à son fournisseur de services Internet, mais je ne sais pas comment procéder pour le configurer.

De quel matériel aurai-je besoin et comment dois-je procéder pour la configuration?

La sécurité lourde n'est pas ma préoccupation. Tout ce qui est nécessaire, c’est que les requêtes Web des deux réseaux soient présentées au monde extérieur avec des adresses IP différentes.

static-ip isolated-network

— Isaac Kleinman
source

Si cela fait face à l'extérieur, un Cisco ASA est une excellente appliance de sécurité, peut-être un 5505/5510 en fonction de vos besoins; Les routeurs Cisco sont également dotés de fonctions de sécurité très élaborées. S'il ne s'agit que d'un réseau séparé au sein de leur réseau actuel, vous pouvez utiliser d'autres options. Une fois que vous avez routé les adresses, vous voudrez probablement configurer une zone démilitarisée. Cela étant dit, la question est vague: quels seront les besoins du réseau, quel niveau de sécurité est nécessaire? Pourquoi ont-ils besoin de nombreuses adresses IP statiques?

— Abraxas

Pouvez-vous préciser ce qui / pourquoi vous avez besoin d'un réseau isolé? Cela aidera énormément à répondre à votre question avec précision.

— gravyface

Je n'ai pas besoin de devenir fou avec la sécurité. Tout ce qui est nécessaire, c’est que les requêtes Web provenant des deux réseaux soient présentées au monde extérieur avec des adresses IP différentes.

— Isaac Kleinman

Une requête étrange, mais tout pare-feu de classe affaires décent devrait pouvoir autoriser des règles NAT personnalisées de sorte que les clients du réseau A aient la source NAT avec une adresse IP différente de celle des clients du réseau B.

Si vous obtenez un ou plusieurs sous-réseaux routés du FAI, vous devez configurer le proxy ARP ou les "adresses IP virtuelles" de l'interface extérieure pour "répondre" ou masquer les demandes adressées à / de l'un de ces sous-réseaux maintenant routé vers votre pare-feu / routeur.

Les adresses IP publiques peuvent-elles être contiguës ou doivent-elles sembler différentes? Si le premier est correct, demandez simplement au fournisseur de services Internet de vous procurer static / 29 (5 adresses IP) et épargnez-vous des problèmes de configuration. Vous pouvez ensuite éclairer une adresse IP virtuelle sur l’interface WAN et écrire une règle NAT pour le réseau B devrait être assez simple.

MODIFIER:

Cela n'a pas été confirmé, mais il semble que le décideur de l'entreprise A ne souhaite pas être tenu responsable des habitudes de navigation de l'entreprise B.

Si tel est le cas, la meilleure solution consiste à obtenir une connexion Internet totalement différente enregistrée en tant que société B. Résout le problème de propriété intellectuelle différent et offre en réalité une meilleure protection "CYA" qu'un sous-réseau routé enregistré sous le même commerce.

— surface de gravité
source

Par curiosité, avez-vous des liens pour expliquer comment vous contrôlez l’IP du trafic sortant? Je ne l'ai fait que sur une petite échelle et le NAT enverrait-il une adresse IP à un périphérique interne mais tout le trafic sortant resterait via l'adresse IP de la passerelle sur le modem?

— Abraxas

Ce serait vraiment des informations spécifiques au fournisseur. Quel pare-feu utilisez-vous?

— Gravyface

Oh, je ne cherche pas un document spécifique pour un équipement spécifique, je me demande juste s'il existe un terme pour "forcer le trafic sortant à passer par IP 'x' au lieu de IP 'y ou z'.

— Abraxas

@gravyface: Est-ce vraiment une requête étrange? Je pensais qu'il était courant qu'une société mère cherche à isoler deux opérations enfants.

— Isaac Kleinman

@IsaacKleinman avec une connexion Internet secondaire, vous suivriez une configuration typique de plusieurs réseaux étendus (en omettant le bit de basculement / équilibrage de charge), mais vous envisageriez plutôt un routage de stratégie (source) à l'endroit où vous créeriez réellement des itinéraires. sur la base de la ou des adresses source pour déterminer quelle interface WAN le trafic quitte; il est probable que les règles NAT soient créées automatiquement à ce moment-là, mais tout dépend du fournisseur.

— Gravyface