Saya punya sedikit masalah khusus di sini yang ingin saya pecahkan dengan cara yang memuaskan. Perusahaan saya memiliki beberapa jaringan (IPv4) yang dikendalikan oleh router kami yang berada di tengah. Setup toko kecil yang tipikal. Sekarang ada satu jaringan tambahan yang memiliki Kisaran IP DI LUAR kendali kami, terhubung ke internet dengan router lain DI LUAR kendali kami. Sebut saja jaringan proyek yang merupakan bagian dari jaringan perusahaan lain dan digabungkan melalui VPN yang mereka atur.
Ini berarti:
- Mereka mengontrol router yang digunakan untuk jaringan ini dan
- Mereka dapat mengkonfigurasi ulang hal-hal sehingga mereka dapat mengakses mesin di jaringan ini.
Jaringan secara fisik dibagi pada kami melalui beberapa switch yang mampu VLAN karena mencakup tiga lokasi. Di satu ujung ada router kontrol perusahaan lain.
Saya Perlu / ingin memberi mesin yang digunakan dalam jaringan ini akses ke jaringan perusahaan saya. Bahkan, mungkin baik untuk menjadikan mereka bagian dari domain direktori aktif saya. Orang-orang yang mengerjakan mesin itu adalah bagian dari perusahaan saya. TETAPI - Saya perlu melakukannya tanpa mengorbankan keamanan jaringan perusahaan saya dari pengaruh luar.
Segala jenis integrasi router menggunakan router yang dikendalikan secara eksternal tidak sesuai dengan ide ini
Jadi, ide saya adalah ini:
- Kami menerima ruang alamat IPv4 dan topologi jaringan di jaringan ini tidak di bawah kendali kami.
- Kami mencari alternatif untuk mengintegrasikan mesin-mesin itu ke jaringan perusahaan kami.
2 konsep yang saya buat adalah:
- Gunakan semacam VPN - mintalah mesin untuk masuk ke VPN. Berkat mereka menggunakan windows modern, ini bisa menjadi DirectAccess transparan. Ini pada dasarnya memperlakukan ruang IP lain yang tidak berbeda dari jaringan restoran tempat laptop perusahaan masuk.
- Atau - buat IPv6 routing ke segmen ethernet ini. Tapi - dan ini adalah trik - blok semua paket IPv6 di switch sebelum mereka menekan router pihak ketiga yang dikendalikan, sehingga bahkan jika mereka menghidupkan IPv6 pada benda itu (tidak digunakan sekarang, tetapi mereka bisa melakukannya) mereka tidak akan mendapatkan satu paket. Switch dengan baik dapat melakukannya dengan menarik semua lalu lintas IPv6 yang datang ke port tersebut ke VLAN terpisah (berdasarkan pada jenis protokol ethernet).
Adakah yang melihat masalah dengan menggunakan dia beralih untuk mengisolasi bagian luar dari IPv6? Ada lubang keamanan? Sangat menyedihkan kita harus memperlakukan jaringan ini sebagai musuh - akan jauh lebih mudah - tetapi personel pendukung ada "kualitas meragukan yang diketahui" dan sisi hukumnya jelas - kita tidak dapat memenuhi kewajiban kita ketika kita mengintegrasikannya ke dalam perusahaan kita sementara mereka berada di bawah yurisdiksi kami tidak memiliki suara dalam.