我在这里有一个特定的问题,希望(需要)以令人满意的方式解决。我公司有多个(IPv4)网络,这些网络由位于中间的路由器控制。典型的小型商店设置。现在,有另外一个网络具有我们控制的IP范围外,并通过我们控制的另一路由器连接到Internet。将该项目网络称为另一个公司网络的一部分,并通过他们建立的VPN进行组合。
这表示:
- 它们控制用于该网络的路由器,并且
- 他们可以重新配置事物,以便他们可以访问此网络中的计算机。
该网络实际上通过一些支持VLAN的交换机在我们端进行了拆分,因为它覆盖了三个位置。一端有另一家公司控制的路由器。
我需要/希望将此网络中使用的计算机访问我的公司网络。实际上,使它们成为我的活动目录域的一部分可能会很好。这些机器上的工作人员是我公司的一部分。但是-我需要做到这一点,而又不会影响公司网络的安全性。
这种想法无法使用外部控制的路由器进行任何形式的路由器集成
所以,我的想法是这样的:
- 我们接受IPv4地址空间,并且该网络中的网络拓扑不受我们的控制。
- 我们寻求将这些机器集成到我们公司网络中的替代方法。
我提出的2个概念是:
- 使用某种VPN-让机器登录到VPN。多亏了他们使用现代的窗户,这可以是透明的DirectAccess。从本质上讲,这对待其他IP空间与该公司的便携式计算机进入的任何餐厅网络没有区别。
- 或者-建立到该以太网段的IPv6路由。但是-这是一个窍门-在交换机中所有IPv6数据包到达第三方控制的路由器之前就将其阻止,这样,即使它们在该设备上打开了IPv6(现在不使用,但他们可以这样做),他们也不会一个数据包。交换机可以通过将所有到达该端口的IPv6流量拉入一个单独的VLAN(基于以太网协议类型)来很好地做到这一点。
有人看到使用他的交换机将外部与IPv6隔离的问题吗?有安全孔吗?令人遗憾的是,我们不得不将此网络视为敌对的-会容易得多-但是那里的支持人员具有“已知的可疑质量”,法律方面也很明确-将它们整合到公司中时我们无法履行义务他们在管辖范围内时,我们没有发言权。