巩固有私有VLAN和VLAN访问控制列表的网络
换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口。多个 端口映射对同样隔离VLAN不能交换任何数据流。
以下镜象显示概念。 图1:专用VLAN 主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示。Host-1连接到属 于辅助VLAN红色交换机的端口。Host-2连接到属于辅助 VLAN 黄色交换机的端口。 当主机传 输时,数据流运载辅助VLAN。 例如,当时Host-2传输,其数 据流在VLAN 黄色去。当那些主机接受时,数据流来自VLAN 蓝色,是主VLAN。 路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口。 图画表示专用VLAN作为连接路由器和 主机的不同的管道:包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机。管道内部对主VLAN是辅 助VLAN,并且移动在那些管道的数据流是从主机往路由器。 当镜象显示,主VLAN能包一个或更多 辅助VLAN。 及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式。即然我们知道更多专用VLAN ,让我们看见这在我们最 初的DMZ方案如何可以实现。服务器不应该彼此谈,但是他们 还是需要与他们被联系的防火墙或路由器谈。在这种情况下 ,当应该附有路由器和防火墙混乱端口时,应该连接服务器到隔离 的端口。通过执行此,如果其中一个服务器被攻陷,入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内。交换机将投下所有信息包以线速,没有任何影响性能。 另一个注意事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网。 没什么每防火 墙或路由器能执行因为切断将设法直接地沟通。另一个选项 是投入一个防火墙端口每个服务器,但这是可能太消耗大,难实现 和不扩展。 在后面,我们详细描述您能使用此功能的一些其他典型的方案。 VLAN访问控制表 VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列。 VACLs在一台Catalyst 6500可以配置在L2 没有需要 对于路由器(您只需要Policy Feature Card (PFC))。他们在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500。 因为VACLs查找在硬件执行不管访问控制列 表的大小,转发速率保持不变。 VACLs可以分开被映射对主要或备用VLAN 。有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由 器或防火墙生成的数据流。 通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量。例 如,如果二个路由器连接到分段和一些主机(例如服务器一样), VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流 被交换在路由器之间是未触动过的时。 VACLs可以容易地配置强制执行适当信任模式。 请分析我们的DMZ案件。服务器在DMZ应该服务仅流入 的连接,并且他们没有预计首次与外界的连接。VACL可以适 用于他们的辅助VLAN为了控制离开这些服务器的数据流。注 意到是关键的,当时使用VACLs ,数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机。在案件一个服务器在分 布拒绝服务(DDos)攻击涉及作为来源,交换机将降低所有非法数 据流以线速,没有任何影响性能。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用,但这通常有严重性能指 示。 VACLs 和PVLANs的已知限制 当配置过滤用VACLs时,您在PFC应该小心关于片段处理,根据硬件 的规格,并且那配置被调整。 假使 Catalyst 6500的Supervisor 1的PFC的硬件设计,明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样,默认情况下并且硬件被编程明确地 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |