タグ付けされた質問 「bridge」

ブリッジを使用して中央の人のようなトラフィックスニッフィングを実行する場合、ブリッジは遅延を追加しますか？そして、どの単語を遅延または遅延を使用する必要がありますか？

10 layer1  cabling  bridge  latency  mitm 

環境 私は現在持っています： 1 pfSense 2.0.2ルーター（Firebox X-Peak X5000上） 2 WAN 1 LAN 3サーバー 私のインターフェース WAN1 68.XX.XXX.98から69.XX.XXX.102 WAN2 65.XXX.XXX.58から66.XXX.XXX.62 LAN 192.168.1.XXX DMZ 私のルーターは次のように構成されています： このドキュメントに基づくゲートウェイグループとの負荷分散。 NAT LANサーバーへのルール WAN2とDMZの間のブリッジ（1つのDMZサーバーに外部IPがある場合）-このサーバーとLAN上の他のサーバーとの間で通信できず、外部IPアドレスを渡します。カスタムルート構成では、LANからDMZ上のサーバーへの要求を処理できましたが、このようにするのは好きではありません。 私のサーバーはローカルIPアドレスを使用している192.168.1.XXXため、私のコンピューターでも同じです。 期待している 私は2つのことをしたいと思います： 1 NATの背後にあるDMZとLANで2つのWANをブリッジします 外部IPアドレスをサーバーに割り当てる可能性と、両方のWANから同じサーバーにIPを混在させる可能性が必要です。LANの例からサーバーと通信できるようにもしたいと思います。 192.168.1.100 <--> http://68.XX.XXX.99 サーバーから別のサーバーの例に通信することもできる： 65.XXX.XXX.59 <--> http://68.XX.XXX.99 NATの背後にあるLAN上のコンピューターに1つの外部IPアドレスを割り当てる必要がありますか？ NATで負荷分散を機能させ続けることはできますか？ 注：1対1のNATは避けたいです。サーバーにローカルIPアドレスを設定すると、仮想ホスティング構成が複雑になるため、外部アドレスを使用することをお勧めします。 2ルータハードウェアの冗長性（CARP） 同じFirebox X-Peak X5000がもう1つあり、それをバックアップとして使用したい場合、最初の1つが失敗した場合、2番目はネットワークを失うことなく（またはほとんど）引き継ぐことができます（つまり、外部からサーバーへの要求が機能する必要があります）。 LANやサーバーからインターネットへも）。 私はこのドキュメントを読みましたが、自分の構成（ブリッジ+ NAT +負荷分散）で動作するかどうかはわかりません

9 nat  failover  pfsense  pfsense-2  bridge 

概要 私の最終的な目標は、Ciscoルーターを介してVPNを実行することです。つまり、Comcastゲートウェイを邪魔にならないようにすることです。このために、Ciscoルーター（またはスイッチ）を論理的にWANの近くに配置し、論理デバイスとしてのComcastモデムを削除します。モデムを実際に削除することはできません（結局、WANアクセスを提供します）が、そのDHCP、NAT、またはファイアウォールサービスは必要ありません。設定のアドバイスをお願いします。 細部 これが私の現在のネットワーク設定です： Comcastゲートウェイ-Ciscoルーター-Ciscoスイッチ<LAN＆Wifi（Ruckus） Comcastモデム：TC8305C Ciscoルーター：1941-sec / k9 + ehwic-4esg Ciscoスイッチ：2960S 48TS-L（マルチレイヤースイッチ、VLANなど） モデムは、DHCPサーバー、NATおよびファイアウォールとして動作し、内部アドレスは10.0.0.1/24です。ルーターのWANポートは、動的アドレス（DHCPクライアント）でルーターに接続されています。ルーターのLAN側では、NAT（はい、現時点では二重NATを実行しています）、DHCPサーバー、DNS、NTPも実行しています。 オプションについての私の考えは： モデムをブリッジモードで実行します。 ルーターをモデムのDMZに配置します。 1＆2の1つのバリエーションは、モデムをスイッチに接続することです。 ブリッジモードのモデム モデムをブリッジモードに設定しようとしましたが、インターネットアクセスがダウンしていて、非常に怒っているユーザーに耐えなければならない非常に不愉快な90分の期間がありました。ルータWANポートを正しく設定できなかったと思います。DHCPモードであったためと考えられます。静的アドレス（10.0.0.2/24など）に設定したいのですが、今のところ、ブリッジモードについては少し恥ずかしがり屋です。「コムキャストブリッジモード」を検索すると、Googleは大量のヒットを生成しますが、見つけたものをあまり活用できませんでした。コムキャストブリッジモードでのルーターWANポート構成に適切な呪文を見つけることができませんでした。 余談ですが、Comcastブリッジは完全に透過的ではありません。モデムはIPアドレス（10.0.0.1）を保持します。モデムのポート1にラップトップを直接接続すると、http経由で接続し、（幸いにも）再構成できます。したがって、私のラップトップは、ルーターがそうでなくても、ブリッジモードでモデムを処理する方法を理解しています。 また、ブリッジモードでは、ルーターがDHCPの場合と同様に、ルーターがComcast ISPから動的設定（DNSやデフォルトゲートウェイなど）を取得する方法も混乱しています。または、これらが実際に動的ではなく、ルーター構成ファイルでハードコーディングする必要がある場合。 モデムが完全に邪魔にならず、ルーターがセキュリティ、VPN、DDNSなどを実行できるため、これはネットワークにとって最良のオプションだと思います。 これを機能させるにはどうすればよいですか？ モデムDMZのルーター ここでは、構成に関するあらゆる問題を解決し、ルーター（静的IP、たとえば10.0.0.2/24）をモデムのDMZにドロップするだけで、すべてのインターネットトラフィックを転送できます。この構成と上記の構成との間に大きな違いはありませんが、モデムは依然としてレイヤ3デバイスのように機能します（まして、さらにレイヤ3デバイスのように機能します）。私はこれを動作させることができるとかなり確信しており、ルーターを介してVPNを動作させることができなかった理由はわかりません。 ここでの1つの欠点は、モデムが動的DNSを実行するためのdyndns.orgしか提供しないことです。この組織がDDNSプロバイダーであるという意見はありませんが、ルーターが許可するベンダーを選択したいと思います。また、私のエンジニアは、WANパスでの不要な処理を最小限に抑えたいので、モデムのブリッジングの方が快適です。 スイッチを介してモデムを実行 しばらく前にネットワークエンジニアとチャットしたところ、モデムを直接スイッチに接続することを提案されました。構成に関する詳細については触れませんでした。私の想定では、上記のシナリオ（ブリッジまたはDMZ）のいずれかが、次の条件で直接スイッチにも同様に機能する可能性があります。 外部攻撃を防ぐために、スイッチ/モデムポートに適切なACLを設定します。 着信DMZトラフィックをルーターに転送するためのモデムおよびルーター通信用の個別のVLAN。着信トラフィックはVPNトラフィックに制限する必要があります。他のすべてのトラフィック（TPC、UDP、ICMP）は、セキュリティ上の目的でブロックされます。ルータのWAN側にあるのと同じACL。 スイッチにモデムを直接配置することで、接続の確立後にIPパケットをショートカットするスイッチの機能を利用できるので、彼がこの設定を推奨したと思います。つまり、内部デバイスがモデム（おそらくルーターのVLANで開始された接続の確立）を介して接続すると、スイッチはこれを認識し、関連するすべてのIPパケットを内部デバイスとモデムの間で直接ルーティングし、ルーターをスキップします。これは、モデムとスイッチがルーターポート上にある物理構成では発生しません。 要約 ルーターのWANポート構成は、ブリッジモードのComcastモデムで動作するようにどのように見えるべきですか？（DNSサーバーのように）他に注意すべき構成オプションはありますか？ または、ルーターをDMZに配置することで解決できますか？ モデムを再構成して＃1または＃2のスイッチポートに移動する価値はありますか？

8 cisco  switch  router  vpn  bridge