巩固私有VLAN和VLAN访问控制列表的网络

专用VLAN

PVLANs是可用的在运行CatcOs 5.4或以上，在 Catalyst 4000的Catalyst 6000，2980G、2980G-A、运行 CatcOs 6.2或以上的2948G和4912G。

从我们的透视图，PVLANs是准许分离数据流在把广播分段的变成第 二层的一个工具(L2)一个非广播multi-access-like分段。 交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口。交易(它可以是查出， 属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口。多个 端口映射对同样隔离VLAN不能交换任何数据流。

以下镜象显示概念。

图1：专用VLAN

主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示。Host-1连接到属 于辅助VLAN红色交换机的端口。Host-2连接到属于辅助 VLAN 黄色交换机的端口。

当主机传 输时，数据流运载辅助VLAN。 例如，当时Host-2传输，其数 据流在VLAN 黄色去。当那些主机接受时，数据流来自VLAN 蓝色，是主VLAN。

路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口。

图画表示专用VLAN作为连接路由器和 主机的不同的管道：包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机。管道内部对主VLAN是辅 助VLAN，并且移动在那些管道的数据流是从主机往路由器。

当镜象显示，主VLAN能包一个或更多 辅助VLAN。

及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式。即然我们知道更多专用VLAN ，让我们看见这在我们最 初的DMZ方案如何可以实现。服务器不应该彼此谈，但是他们 还是需要与他们被联系的防火墙或路由器谈。在这种情况下 ，当应该附有路由器和防火墙混乱端口时，应该连接服务器到隔离 的端口。通过执行此，如果其中一个服务器被攻陷，入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内。交换机将投下所有信息包以线速，没有任何影响性能。

另一个注意事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网。 没什么每防火 墙或路由器能执行因为切断将设法直接地沟通。另一个选项 是投入一个防火墙端口每个服务器，但这是可能太消耗大，难实现 和不扩展。

在一个后面的章节，我们 详细描述您能使用此功能的一些其他典型的方案。

VLAN访问控制表

VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列。

VACLs在一台Catalyst 6500可以配置在L2 没有需要 对于路由器(您只需要Policy Feature Card (PFC))。他们 在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500。 因为VACLs查找在硬件执行不管访问控制列 表的大小，转发速率保持不变。

VACLs可以分开被映射对主要或备用VLAN 。有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由 器或防火墙生成的数据流。

通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量。例 如，如果二个路由器连接到分段和一些主机(例如服务器一样)， VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流 被交换在路由器之间是未触动过的时。

VACLs可以容易地配置强制执行适当信任模式。 请分析我们的DMZ案件。服务器在DMZ应该服务仅流入 的连接，并且他们没有预计首次与外界的连接。VACL可以适 用于他们的辅助VLAN为了控制离开这些服务器的数据流。注 意到是关键的，当时使用VACLs ，数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机。在案件一个服务器在分 布拒绝服务（DDos）攻击涉及作为来源，交换机将降低所有非法数 据流以线速，没有任何影响性能。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用，但这通常有严重性能指 示。

VACLs 和PVLANs的已知限制

当配置过滤用VACLs时，您在PFC应该小心关于片段处理，根据硬件 的规格，并且那配置被调整。

假使 Catalyst 6500的Supervisor 1的PFC的硬件设计，明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样，默认情况下并且硬件被编程明确地允许片段 。如此如果想要从离开服务器终止回应数据包，您必须用线 路deny icmp any any fragment 明确配置 此。配置在本文考 虑到此。

有一个着名的安全限制对 PVLANs，是可能性路由器转发数据流来自的取消相同子网。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。 此限制归结于事实PVLANs是提供隔离在L2的工具，不在第三 层(L3) 。

有修正到此问题，通过在 主VLAN配置的VACLs达到。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs。

在一些线路卡，PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置。那些限制在新的 端口ASIC Coil3 被去除。参见软件配置的最新的 Catalyst 交换机文档的这些详细资料。

示例分析

以下部分描述三个案例 分析，我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关。

这些方案是 ：

转接DMZ

外部DMZ

与防火墙并联 的VPN集中器

转接DMZ

这是其中一个最普通配置的方案。 在本例中 ，DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的。

图2：转接 DMZ

在本例中，DMZ服务器应该由外部获取并且内部用户，但他 们不需要与彼此联络。 在某些情况下，DMZ服务器需要打开 与一台内部主机的连接。