科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道巩固有私有VLAN和VLAN访问控制列表的网络(1)

巩固有私有VLAN和VLAN访问控制列表的网络(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文详细解释如何二个功能可用在我 们的Catalyst交换机,专用VLAN(PVLANs)并且VLAN 访问控制表 (VACLs),在两可帮助保证适当信任模型企业并且服务提供商环境。

作者:巧巧读书 来源:巧巧读书 2008年5月29日

关键字: 访问控制列表 ACL

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

VACLs 和PVLANs的已知限制

当配置过滤用VACLs时,您在PFC应该小心关于片段处理,根据硬件 的规格,并且那配置被调整。

假使 Catalyst 6500的Supervisor 1的PFC的硬件设计,明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样,默认情况下并且硬件被编程明确地允许片段 。如此如果想要从离开服务器终止回应数据包,您必须用线 路deny icmp any any fragment 明确配置 此。配置在本文考 虑到此。

有一个着名的安全限制对 PVLANs,是可能性路由器转发数据流来自的取消相同子网。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。 此限制归结于事实PVLANs是提供隔离在L2的工具,不在第三 层(L3) 。

有修正到此问题,通过在 主VLAN配置的VACLs达到。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs。

在一些线路卡,PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置。那些限制在新的 端口ASIC Coil3 被去除。参见软件配置的最新的 Catalyst 交换机文档的这些详细资料。

示例分析

以下部分描述三个案例 分析,我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关。

这些方案是 :

转接DMZ

外部DMZ

与防火墙并联 的VPN集中器

转接DMZ

这是其中一个最普通配置的方案。 在本例中 ,DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的。

图2:转接 DMZ

在本例中,DMZ服务器应该由外部获取并且内部用户,但他 们不需要与彼此联络。 在某些情况下,DMZ服务器需要打开 与一台内部主机的连接。同时,内部客户端应该访问互联网 没有限制。一个好例子将是那个带有网络服务器在DMZ,需要 与位于内部网络的数据库服务器联络和有内部的客户端访问互联网 。

配置外部防火墙允许与服务器的 流入的连接位于DMZ,但通常过滤器或限制没有被运用于流出的数据 流,于DMZ发起的特殊数据流。因为我们及早在本文讨论,这 能潜在实现一名攻击者的活动为二个原因: 第一个,当其中 一台DMZ主机被攻陷,其他DMZ主机显示; 第二个,攻击者能 容易地利用向外的连接。

因为DMZ服 务器不需要彼此谈,推荐是确定他们查出在L2。而连接到二 个防火墙的端口将被定义如混乱,服务器端口将被定义作为PVLANs 隔离的端口。定义主VLAN为防火墙和辅助VLAN为DMZ服务器将 达到此。

将用于VACLs控制于DMZ发 起的数据流。 这将防止一名攻击者能打开非法向外的连接。 记住DMZ服务器不仅将需要回复带有对应于客户端会话的数据 流是重要的,但他们也将需要一些其它服务,例如域名系统(DNS)和 最大传输单元(MTU)(MTU)路径发现。 如此,ACL应该允许 DMZ服务器需要的所有服务。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章