我们有一个小型企业办公室,但由于 PCI 合规性,我们需要将其划分为两个互联网网络(一个“合规”,一个供任何其他设备使用)。
我们目前有一个 Draytek 调制解调器/WAN 负载平衡器,它也有防火墙,但这是非常基本的,不支持每个 vlan 上的单独安全策略。
因此,我刚刚购买了 ASA 5505 并希望获得一些设置指导:
VLAN:
我的问题:
目前一切都在一个子网 192.168.2.x 上。draytek 有一个静态 IP,其他一切都从我们的 Windows DHCP 服务器分配了一个 IP。由于此 Windows 服务器将位于“insidepci”网络内,因此我计划让此 vlan 继续使用该网络,以及使用来自 ASA 的 DHCP 的常规“内部”网络。那可能吗?
我是否需要将 draytek 放在它自己的子网中(所以只有 draytek 在 192.168.3.x 上),因为我似乎无法将同一范围内的 IP 分配给两个不同的 VLAN。
通过查看其中一个在线指南,我似乎需要一个内部路由器?我不知道这一点,我希望我可以将一个交换机分配给“内部”VLAN,将一个单独的交换机分配给“insidepci”VLAN?不需要在这些 VLAN 之间进行通信,但都需要能够访问“外部”(draytek 网关)