巩固有私有VLAN和VLAN访问控制列表的网络(1)

VACLs 和PVLANs的已知限制

当配置过滤用VACLs时，您在PFC应该小心关于片段处理，根据硬件 的规格，并且那配置被调整。

假使 Catalyst 6500的Supervisor 1的PFC的硬件设计，明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样，默认情况下并且硬件被编程明确地允许片段 。如此如果想要从离开服务器终止回应数据包，您必须用线 路deny icmp any any fragment 明确配置 此。配置在本文考 虑到此。

有一个着名的安全限制对 PVLANs，是可能性路由器转发数据流来自的取消相同子网。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。 此限制归结于事实PVLANs是提供隔离在L2的工具，不在第三 层(L3) 。

有修正到此问题，通过在 主VLAN配置的VACLs达到。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs。

在一些线路卡，PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置。那些限制在新的 端口ASIC Coil3 被去除。参见软件配置的最新的 Catalyst 交换机文档的这些详细资料。

示例分析

以下部分描述三个案例 分析，我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关。

这些方案是 ：

转接DMZ

外部DMZ

与防火墙并联 的VPN集中器

转接DMZ

这是其中一个最普通配置的方案。 在本例中 ，DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的。

图2：转接 DMZ

在本例中，DMZ服务器应该由外部获取并且内部用户，但他 们不需要与彼此联络。 在某些情况下，DMZ服务器需要打开 与一台内部主机的连接。同时，内部客户端应该访问互联网 没有限制。一个好例子将是那个带有网络服务器在DMZ，需要 与位于内部网络的数据库服务器联络和有内部的客户端访问互联网 。

配置外部防火墙允许与服务器的 流入的连接位于DMZ，但通常过滤器或限制没有被运用于流出的数据 流，于DMZ发起的特殊数据流。因为我们及早在本文讨论，这 能潜在实现一名攻击者的活动为二个原因： 第一个，当其中 一台DMZ主机被攻陷，其他DMZ主机显示; 第二个，攻击者能 容易地利用向外的连接。

因为DMZ服 务器不需要彼此谈，推荐是确定他们查出在L2。而连接到二 个防火墙的端口将被定义如混乱，服务器端口将被定义作为PVLANs 隔离的端口。定义主VLAN为防火墙和辅助VLAN为DMZ服务器将 达到此。

将用于VACLs控制于DMZ发 起的数据流。 这将防止一名攻击者能打开非法向外的连接。 记住DMZ服务器不仅将需要回复带有对应于客户端会话的数据 流是重要的，但他们也将需要一些其它服务，例如域名系统(DNS)和 最大传输单元(MTU)(MTU)路径发现。 如此，ACL应该允许 DMZ服务器需要的所有服务。