만족스러운 방법으로 해결해야 할 약간의 문제가 있습니다. 우리 회사에는 중간에 앉아있는 라우터로 제어되는 여러 (IPv4) 네트워크가 있습니다. 전형적인 소규모 매장 설정. 이제 우리 제어의 IP 범위 OUTSIDE가 있고 다른 제어 라우터 외부의 인터넷에 연결된 하나의 추가 네트워크가 있습니다. 이를 다른 회사 네트워크의 일부인 프로젝트 네트워크라고하고 그들이 설정 한 VPN을 통해 결합합니다.
이것은 다음을 의미합니다.
- 이 네트워크에 사용되는 라우터를 제어하고
- 이 네트워크의 시스템에 액세스 할 수 있도록 사물을 재구성 할 수 있습니다.
네트워크는 세 위치를 포괄하는 일부 VLAN 가능 스위치를 통해 물리적으로 분할됩니다. 한쪽에는 다른 회사가 제어하는 라우터가 있습니다.
이 네트워크에 사용 된 컴퓨터에 회사 네트워크에 대한 액세스 권한을 부여해야합니다. 사실, 그것들을 내 활성 디렉토리 도메인의 일부로 만드는 것이 좋을 수도 있습니다. 그 기계에서 일하는 사람들은 우리 회사의 일부입니다. 그러나 외부 영향으로부터 회사 네트워크의 보안을 손상시키지 않으면 서 그렇게해야합니다.
외부에서 제어되는 라우터를 사용하는 모든 종류의 라우터 통합은이 아이디어에서 비롯됩니다
그래서 내 생각은 이것입니다 :
- 우리는 IPv4 주소 공간을 받아들이며이 네트워크의 네트워크 토폴로지는 우리가 통제 할 수 없습니다.
- 우리는 이러한 머신을 회사 네트워크에 통합 할 수있는 대안을 찾고 있습니다.
내가 생각해 낸 두 가지 개념은 다음과 같습니다.
- 일종의 VPN을 사용하십시오-컴퓨터가 VPN에 로그인하도록하십시오. 현대식 창을 사용하는 덕분에 투명한 DirectAccess가 될 수 있습니다. 이것은 본질적으로 회사의 랩톱이 들어가는 식당 네트워크와 다르지 않은 다른 IP 공간을 처리합니다.
- 또는이 이더넷 세그먼트로 IPv6 라우팅을 설정하십시오. 그러나 이것은 트릭입니다-타사 제어 라우터에 도달하기 전에 스위치의 모든 IPv6 패킷을 차단하십시오. 따라서 IPv6를 켜도 (현재는 사용하지 않지만 할 수는 있음) 단일 패킷. 스위치는 해당 포트로 들어오는 모든 IPv6 트래픽을 별도의 VLAN (이더넷 프로토콜 유형 기반)으로 가져 와서이를 수행 할 수 있습니다.
스위치를 사용하여 외부를 IPv6에서 분리하는 데 문제가있는 사람이 있습니까? 보안 허점이 있습니까? 이 네트워크를 적대적인 것으로 취급해야한다는 것은 슬프다. 훨씬 쉬울 것이다. 그러나 지원 담당자는 "모호한 품질로 알려져있다"고 법적 측면은 분명하다. 그들이 관할권에있는 동안 우리는 아무 말도하지 않습니다.