Изолировать клиенты на той же подсети?
Я рекомендовал бы иметь соглашение NDA или другой легальный документ на месте прежде, чем позволить кому-то ввести по абсолютному адресу вокруг, если Вы обеспокоены собственным украденным кодом/данными.
Вы можете разделить клиентов внутри VLANM, если ваш коммутатор поддерживает PVLAN (частную VLAN), которую можно настроить так, чтобы любой хост мог взаимодействовать с брандмауэром, не имея возможности связываться с любым другим устройством. Вы можете дополнительно настроить PVLAN, чтобы разрешить обмен данными между ограниченными группами серверов.
Какой переключатель вы используете?
Когда клиенты подключены к одному коммутатору, они будут взаимодействовать друг с другом через межсетевой экран. Вы не можете указать коммутатору пересылать трафик на брандмауэр для фильтрации. Коммутатор прозрачен для клиента и брандмауэра в сети.
Вам необходимо распределить клиентов по разным подсетям, чтобы выполнить некоторую фильтрацию на уровне 3 (IP). Таким образом, использование VLAN - лучший вариант в этом случае. Если вам нужно использовать общедоступные IP-адреса, а их у вас немного, вы можете просто назначить частные IP-адреса и выполнить NAT на брандмауэре.
Вам может потребоваться другой коммутатор для реализации PVLAN. Ниже приведена ссылка на матрицу продуктов Cisco для коммутаторов Cisco, поддерживающих PVLAN:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
А вот ссылка к Cisco Catalyst 2948G по адресу www.amazon.com:[1260ptinghttp://www.amazon.com/Cisco-WS-C2948G-L3-Catalyst-Gigabit-Switch/dp/B0000515TX/ref=sr_1_3?ie=UTF8&qid = 1338735756 & sr = 8-3
Я бы решил иначе. Я предшествую установке сервера PPPoE, все клиенты которого изолированы, потому что они находятся в туннеле и должны подключаться к серверу
Хосты не обязательно должны находиться в разных подсетях, чтобы между ними был брандмауэр.
Брандмауэры бывают разных видов, например, межсетевой экран маршрутизации или межсетевой экран с мостовым соединением. Когда брандмауэры упоминаются без указания типа, обычно предполагается, что вы имеете в виду брандмауэр маршрутизации. Но для передачи трафика межсетевого экрана между хостами в одной подсети вам нужен межсетевой экран с мостовым соединением. Некоторые брандмауэры могут одновременно действовать как брандмауэр маршрутизации и межсетевой экран моста.
Брандмауэр маршрутизации - это маршрутизатор, который может фильтровать пакеты на основе набора правил.
Мостовой брандмауэр - это коммутатор, который может фильтровать пакеты на основе набора правил.
Наилучшая производительность была бы достигнута, если бы коммутатор, соединяющий хосты, мог сам действовать как мостовой межсетевой экран. Однако, если предположить, что производительность не является высоким приоритетом и вам нужно продолжать использовать тот же коммутатор, вы можете рассмотреть другие варианты.
Поместив каждый хост в отдельную VLAN и пометив весь трафик на порту, подключенном к брандмауэру, после этого вы сможете настроить брандмауэр для работы в качестве межсетевого экрана. (Предполагается, что ваш брандмауэр может действовать как межсетевой экран с мостовым соединением.)
Для такой настройки от коммутатора не требуется ничего, кроме поддержки VLAN. Это касается одного углового случая коммутации VLAN, который легко упустить из виду при проектировании, что означает, что вполне возможно, что некоторые коммутаторы имеют конструктивный недостаток, не позволяющий им правильно работать с мостовым межсетевым экраном между VLAN. Сложность заключается в том, что каждый отдельный MAC-адрес будет виден коммутатору на разных портах в зависимости от того, какой тег VLAN используется. Если коммутатор использует только MAC-адрес назначения в качестве ключа при поиске в CAM, он не будет работать, правильно реализованный коммутатор с поддержкой VLAN использует комбинацию тега VLAN и MAC-адреса в качестве ключа для поиска CAM.