巩固有私有VLAN和VLAN访问控制列表的网络-网络通信专区

巩固有私有VLAN和VLAN访问控制列表的网络

作者：Cisco网站编辑：王炯 2007-06-22 00:00

以下示例显示收到 HTTP GET请求的服务器从内部网络：
server_dmz1#debug ip http url
HTTP URL debugging is on
server_dmz1#debug ip hhtp tran
HTTP transactions debugging is on
server_dmz1#debug ip http auth
HTTP Authentication debugging is on
server_dmz1#
*Mar 7 09:24:03.092 PST: HTTP: parsed uri ''/''
*Mar 7 09:24:03.092 PST: HTTP: client version 1.0
*Mar 7 09:24:03.092 PST: HTTP: parsed extension Connection
*Mar 7 09:24:03.092 PST: HTTP: parsed line Keep-Alive
*Mar 7 09:24:03.092 PST: HTTP: parsed extension User-Agent
*Mar 7 09:24:03.092 PST: HTTP: parsed line Mozilla/4.7 [en] (X11; I; SunOS 5.5.1 sun4u)
*Mar 7 09:24:03.092 PST: HTTP: parsed extension Host
*Mar 7 09:24:03.092 PST: HTTP: parsed line 172.16.65.199
*Mar 7 09:24:03.092 PST: HTTP: parsed extension Accept
*Mar 7 09:24:03.092 PST: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
*Mar 7 09:24:03.092 PST: HTTP: parsed extension Accept-Encoding
*Mar 7 09:24:03.092 PST: HTTP: parsed line gzip
*Mar 7 09:24:03.096 PST: HTTP: parsed extension Accept-Language
*Mar 7 09:24:03.096 PST: HTTP: parsed line en
*Mar 7 09:24:03.096 PST: HTTP: parsed extension Accept-Charset
*Mar 7 09:24:03.096 PST: HTTP: parsed line iso-8859-1,*,utf-8
*Mar 7 09:24:03.096 PST: HTTP: Authentication for url ''/'' ''/'' level 15 privless ''/''
*Mar 7 09:24:03.096 PST: HTTP: authentication required, no authentication information was provided
*Mar 7 09:24:03.096 PST: HTTP: authorization rejected
*Mar 7 09:24:22.528 PST: HTTP: parsed uri ''/''
*Mar 7 09:24:22.532 PST: HTTP: client version 1.0
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Connection
*Mar 7 09:24:22.532 PST: HTTP: parsed line Keep-Alive
*Mar 7 09:24:22.532 PST: HTTP: parsed extension User-Agent
*Mar 7 09:24:22.532 PST: HTTP: parsed line Mozilla/4.7 [en] (X11; I; SunOS 5.5.1 sun4u)
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Host
*Mar 7 09:24:22.532 PST: HTTP: parsed line 172.16.65.199
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Accept
*Mar 7 09:24:22.532 PST: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Accept-Encoding
*Mar 7 09:24:22.532 PST: HTTP: parsed line gzip
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Accept-Language
*Mar 7 09:24:22.532 PST: HTTP: parsed line en
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Accept-Charset
*Mar 7 09:24:22.532 PST: HTTP: parsed line iso-8859-1,*,utf-8
*Mar 7 09:24:22.532 PST: HTTP: parsed extension Authorization
*Mar 7 09:24:22.532 PST: HTTP: parsed authorization type Basic
*Mar 7 09:24:22.532 PST: HTTP: Authentication for url ''/'' ''/'' level 15 privless ''/''
*Mar 7 09:24:22.532 PST: HTTP: Authentication username = ''martin'' priv-level = 15 auth-type = aaa
*Mar 7 09:24:22.904 PST: HTTP: received GET ''''

[page]

外部 DMZ

外部DMZ方案可能是被接受的和广泛配置的实施。外部DMZ通过使用防火墙的一个或更多接口实现，如显示下面的图。

图4：外部DMZ

不管设计实施，通常DMZs的需求倾向于是相同。正如在早先案件，DMZ服务器应该是可访问的从外部客户端并且从内部网络。 DMZ服务器最终将需要对一些内部资源的访问，并且他们不应该彼此谈。同时，不应该从DMZ初始化数据流对互联网; 这些DMZ 服务器应该只回复带有对应于流入的连接的数据流。

正如在早先案例分析，第一配置步骤在达到包括隔离在L2通过PVLANs，并且确定DMZ 服务器不能彼此谈当内部和外部主机能访问他们时。这在辅助VLAN通过设置服务器实现与隔离的端口。在主VLAN应该定义防火墙与一个混乱端口。防火墙将是唯一的设备在此主VLAN之内。

第二步将定义ACLs控制于DMZ发起的数据流。当定义这ACLs时我们需要确定仅必要的数据流允许。

测试外部DMZ

下面的镜象显示为此案例分析实现的试验床，我们其中使用了一个PIX防火墙与第三个接口为DMZ。同一个这一组路由器使用作为网络服务器，并且所有HTTP会话用同一个RADIUS服务器验证。

图5：外部DMZ试验床

为此方案因为 PVLANs和VACL配置在早先案例分析中，详细解释了我们附有仅更加有趣的摘要从配置文件。

PIX配置
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
ip address outside 198.5.6.10 255.255.255.0
ip address inside 172.16.65.201 255.255.255.240
ip address dmz 199.5.6.10 255.255.255.0
global (outside) 1 198.5.6.11
global (dmz) 1 199.5.6.11
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz,outside) 199.5.6.199 199.5.6.199 netmask 255.255.255.255 0 0
static (dmz,outside) 199.5.6.202 199.5.6.202 netmask 255.255.255.255 0 0
static (inside,dmz) 172.16.171.9 172.16.171.9 netmask 255.255.255.255 0 0
static (inside,dmz) 171.68.10.70 171.68.10.70 netmask 255.255.255.255 0 0
static (inside,dmz) 171.69.0.0 171.69.0.0 netmask 255.255.0.0 0 0
conduit permit tcp host 199.5.6.199 eq www any
conduit permit tcp host 199.5.6.202 eq www any
conduit permit udp any eq domain any
conduit permit icmp any any echo-reply
conduit permit icmp any any unreachable
conduit permit udp host 172.16.171.9 eq 1645 host 199.5.6.199
conduit permit udp host 172.16.171.9 eq 1646 host 199.5.6.199
conduit permit udp host 172.16.171.9 eq 1646 host 199.5.6.202
conduit permit udp host 172.16.171.9 eq 1645 host 199.5.6.202
conduit permit icmp any host 199.5.6.199 echo
conduit permit icmp any host 199.5.6.202 echo
route outside 0.0.0.0 0.0.0.0 198.5.6.1 1
route inside 171.69.0.0 255.255.0.0 172.16.65.193 1
route inside 171.68.0.0 255.255.0.0 172.16.65.193 1
route inside 172.16.0.0 255.255.0.0 172.16.65.193 1

RADIUS配置

NAS配置
aaa new-model
aaa authentication login default radius local
aaa authentication login consoleauth none
aaa authorization exec default radius local
aaa authorization exec consoleautho none
aaa accounting exec default start-stop radius
aaa accounting exec consoleacct none
radius-server host 172.16.171.9 auth-port 1645 acct-port 1646
radius-server key cisco123
!
line con 0
exec-timeout 0 0
password ww
authorization exec consoleautho
accounting exec consoleacct
login authentication consoleauth
transport input none
line aux 0
line vty 0 4
password ww
!
end

RADIUS服务器 CSUX

User Profile Information
 user = martin{
 profile_id = 151
 profile_cycle = 5
 radius=Cisco {
 check_items= {
 2=cisco
 }
 reply_attributes= {
 6=6
 }
 }
 }
 User Profile Information
 user = NAS.172.16.65.199{
 profile_id = 83
 profile_cycle = 2
 NASName="172.16.65.199"
 SharedSecret="cisco123"
 RadiusVendor="Cisco"
 Dictionary="DICTIONARY.Cisco"
 }

Catalyst配置

应该注意它在此配置没有需要配置VACL 在主VLAN因为PIX不重定向来自的数据流在同一个接口外面。VACL作为在VACL配置描述的那个在主VLAN 部分冗余。
set security acl ip dmz_servers_out
---------------------------------------------------
1. deny icmp any any fragment
2. permit icmp host 199.5.6.199 any echo
3. permit icmp host 199.5.6.202 any echo
4. permit tcp host 199.5.6.199 eq 80 any established
5. permit tcp host 199.5.6.202 eq 80 any established
6. permit udp host 199.5.6.199 eq 1645 host 172.16.171.9 eq 1645
7. permit udp host 199.5.6.202 eq 1645 host 172.16.171.9 eq 1645
8. permit udp host 199.5.6.199 eq 1646 host 172.16.171.9 eq 1646
9. permit udp host 199.5.6.202 eq 1646 host 172.16.171.9 eq 1646
10. permit udp host 199.5.6.199 any eq 53
11. permit udp host 199.5.6.202 any eq 53
ecomm-6500-2 (enable) sh pvlan
Primary Secondary Secondary-Type   Ports
------- --------- ---------------- ------------
41      42        isolated         3/9-10
ecomm-6500-2 (enable) sh pvlan mapping
Port Primary Secondary
---- ------- ---------
3/14 41      42
3/34 41      42
3/35 41      42
ecomm-6500-2 (enable) sh port
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/9 server_dmz1        connected 41,42      a-half a-10 10/100BaseTX
3/10 server_dmz2        connected 41,42      a-half a-10 10/100BaseTX
3/14 to_pix_port_2      connected 41           full   100 10/100BaseTX
3/35 external_router_dm notconnect 41           auto auto 10/100BaseTX
[page]

与防火墙并联的VPN集中器

当建设访问虚拟专用网络(时VPN)，无容置疑地一个偏爱的途径是并行设计(说明在下面的镜象)。用户通常更喜欢此设计方法因为实现，带有几乎没有影响到现有基础设施是容易的，并且因为它是相对容易对根据设备灵活性的缩放比例。

在平行接近，VPN集中器连接到在分段内外。所有VPN会话终止在集中器没有通过防火墙。通常VPN客户端软件预计有对内部网络的无限制访问，但他们的访问可以有时被限制对一套内部的服务器(小型服务器站)。其中一个理想的功能是从正常互联网数据流分离VPN数据流，因此例如，VPN客户端软件不允许通过公司防火墙访问互联网。

图6：与防火墙并联的VPN 集中器

测试与防火墙并联的VPN集中器

在本例中，我们使用了一台VPN 5000 集中器，平行安装对PIX防火墙。二个路由器配置作为网络服务器安装了在内部的分段作为一个内部服务器组群。VPN客户端软件只允许访问小型服务器站，并且应该从 VPN 数据流(IPSec)分离互联网数据流。下面的图显示试验床。

图7：与防火墙并联的VPN 集中器试验床

在此方案我们有二个主要兴趣范围：

内部L2交换机
外部L2交换机

数据流为内部L2交换机被定义根据以下语句：

VPN客户端软件有对预定义的套的完全权限内部服务器(小型服务器站)
内部客户端也允许访问小型服务器站
内部客户端有对互联网的无限制访问
必须与PIX防火墙分离来自VPN集中器的数据流

数据流为外部L2交换机被定义如下：

来自路由器的数据流一定能去VPN 集中器或PIX
必须与来自VPN的数据流分离来自PIX的数据流

另外很可能,管理员想要防止数据流内部网络从能做其方式对VPN主机，这可以通过在主VLAN配置的VACLs达到(VACL将过滤离开从内部路由器的仅数据流，没有其他数据流受影响)。

PVLAN配置

因为主要目标在此设计将继续数据流来自从数据流分离PIX来自自服务器和VPN集中器，我们在不同的PVLAN比服务器和VPN集中器配置的PVLAN配置PIX。

来自内部网络的数据流一定能访问小型服务器站并且VPN集中器和PIX。结果，连接到内部网络的端口是一个混乱端口。

因为他们能彼此，沟通服务器和VPN 集中器属于同样辅助VLAN。

关于外部L2交换机，产生的路由器对的访问典型地属于网络服务提供商(ISP)的互联网()连接到一个混乱端口当时VPN集中器和PIX 属于同样专用和隔离VLAN (以便他们不能交换任何数据流)。通过执行此，来自服务提供商的数据流能采取路径对VPN集中器或路径对PIX。因为他们查出，PIX 和VPN 集中器是保护。

内部L2交换机的PVLAN配置
sh pvlan
Primary Secondary Secondary-Type   Ports
------- --------- ---------------- -----------
41      42        community        3/7,3/9-10
41      43        isolated         3/12
ecomm-6500-2 (enable) sh pvlan map
Port Primary Secondary
---- ------- ---------
3/34 41      42-43
ecomm-6500-2 (enable) sh port 3/7
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/7 to_vpn_conc        connected 41,42      a-half a-10 10/100BaseTX
ecomm-6500-2 (enable) sh port 3/9
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/9 server_1           connected 41,42      a-half a-10 10/100BaseTX
ecomm-6500-2 (enable) sh port 3/10
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/10 server_2           connected 41,42      a-half a-10 10/100BaseTX
ecomm-6500-2 (enable) sh port 3/12 Port Name Status Vlan Duplex Speed Type ----- ------------------ ---------- ---------- ------ ----- ------------ 3/12 to_pix_intf1 connected 41,43 a-full a-100 10/100BaseTX ecomm-6500-2 (enable) sh pvlan map
Port Primary Secondary
---- ------- ---------
3/34 41      42-43
ecomm-6500-2 (enable) sh port 3/34
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/34 to_int_router      connected 41         a-full a-100 10/100BaseTX

外部L2交换机的PVLAN配置
sh pvlan
Primary Secondary Secondary-Type   Ports
------- --------- ---------------- ------------
41      45        isolated         3/7,3/33
ecomm-6500-1 (enable) sh pvlan mapping
Port Primary Secondary
---- ------- ---------
3/43 41      45
ecomm-6500-1 (enable) sh port 3/7
Port Name               Status     Vlan       Duplex Speed Type
----- ------------ ---------- ------ ----- ------------
3/7 from_vpn           connected 41,45      a-half a-10 10/100BaseTX
ecomm-6500-1 (enable) sh port 3/33
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------
3/33 to_pix_intf0       connected 41,45      a-full a-100 10/100BaseTX
ecomm-6500-1 (enable) sh pvlan map
Port Primary Secondary
---- ------- ---------
3/43 41      45
ecomm-6500-1 (enable) sh port 3/43
Port Name               Status     Vlan       Duplex Speed Type
----- ------------------ ---------- ---------- ------
3/43 to_external_router connected 41         a-half a-10 10/100BaseTX

测试配置

此实验表示，内部路由器能通过防火墙和到达外部路由器(接口是198.5.6.1)的外部防火墙路由器。
ping 198.5.6.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

此实验显示以下，所有从服务器1：

服务器1能连接内部路由器：
server_1#ping 172.16.65.193
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.65.193, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
服务器1能连接VPN：
server_1#ping 172.16.65.203
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.65.203, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
切断1不能ping PIX内部界面：
server_1#ping 172.16.65.201
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.65.201, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
服务器1不能连接外部路由器：
server_1#ping 198.5.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

以下实验表示，HTTP会话可以从内部网络被打开对小型服务器站。
server_2#
1w1d: HTTP: parsed uri ''/''
1w1d: HTTP: processing URL ''/'' from host 171.68.173.3
1w1d: HTTP: client version 1.0
1w1d: HTTP: parsed extension Connection
1w1d: HTTP: parsed line Keep-Alive
1w1d: HTTP: parsed extension User-Agent
1w1d: HTTP: parsed line Mozilla/4.7 [en] (X11; I; SunOS 5.5.1 sun4u)
1w1d: HTTP: parsed extension Host
1w1d: HTTP: parsed line 172.16.65.202
1w1d: HTTP: parsed extension Accept
1w1d: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
1w1d: HTTP: parsed extension Accept-Encoding
1w1d: HTTP: parsed line gzip
1w1d: HTTP: parsed extension Accept-Language
1w1d: HTTP: parsed line en
1w1d: HTTP: parsed extension Accept-Charset
1w1d: HTTP: parsed line iso-8859-1,*,utf-8
1w1d: HTTP: Authentication for url ''/'' ''/'' level 15 privless ''/''
1w1d: HTTP: authentication required, no authentication information was provided
1w1d: HTTP: authorization rejected
1w1d: HTTP: parsed uri ''/''
1w1d: HTTP: processing URL ''/'' from host 171.68.173.3
1w1d: HTTP: client version 1.0
1w1d: HTTP: parsed extension Connection
1w1d: HTTP: parsed line Keep-Alive
1w1d: HTTP: parsed extension User-Agent
1w1d: HTTP: parsed line Mozilla/4.7 [en] (X11; I; SunOS 5.5.1 sun4u)
1w1d: HTTP: parsed extension Host
1w1d: HTTP: parsed line 172.16.65.202
1w1d: HTTP: parsed extension Accept
1w1d: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
1w1d: HTTP: parsed extension Accept-Encoding
1w1d: HTTP: parsed line gzip
1w1d: HTTP: parsed extension Accept-Language
1w1d: HTTP: parsed line en
1w1d: HTTP: parsed extension Accept-Charset
1w1d: HTTP: parsed line iso-8859-1,*,utf-8
1w1d: HTTP: parsed extension Authorization
1w1d: HTTP: parsed authorization type Basic
1w1d: HTTP: Authentication for url ''/'' ''/'' level 15 privless ''/''
1w1d: HTTP: Authentication username = ''maurizio'' priv-level = 15 auth-type = aaa
1w1d: HTTP: received GET ''''

以下实验表示，HTTP数据流从VPN网络能做其道路通往小型服务器站( 注意地址10.1.1.1)。1w1d: HTTP: parsed uri ''/''
1w1d: HTTP: processing URL ''/'' from host 10.1.1.1
1w1d: HTTP: client version 1.0
1w1d: HTTP: parsed extension Connection
1w1d: HTTP: parsed line Keep-Alive
1w1d: HTTP: parsed extension User-Agent
1w1d: HTTP: parsed line Mozilla/4.76 [en] (Windows NT 5.0; U)
1w1d: HTTP: parsed extension Host
1w1d: HTTP: parsed line 172.16.65.202
1w1d: HTTP: parsed extension Accept\
1w1d: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
1w1d: HTTP: parsed extension Accept-Encoding
1w1d: HTTP: parsed line gzip
1w1d: HTTP: parsed extension Accept-Language
1w1d: HTTP: parsed line en
1w1d: HTTP: parsed extension Accept-Charset
1w1d: HTTP: parsed line iso-8859-1,*,utf-8
1w1d: HTTP: Authentication for url ''/'' ''/'' level 15 privless ''/''
1w1d: HTTP: authentication required, no authentication information was provided

下列是VPN集中器的配置：
[ IP Ethernet 0:0 ]
ipbroadcast = 172.16.65.255
mode = routedSubnetMask = 255.255.255.240
IPAddress                = 172.16.65.203
[ General ]
IPsecGateway = 198.5.6.1
DeviceName               = "VPN5008"
EnablePassword           = "ww"
Password                 = "ww"
EthernetAddress          = 00:30:85:14:5c:40
DeviceType               = VPN 5002/8
ConcentratorConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from 171.68.173.3
[ IP Static ]
206.1.1.0 255.255.255.0
198.5.6.1 10.0.0.0
0.0.0.0 172.16.65.193 1
[ IP Ethernet 1:0 ]
ipbroadcast = 172.16.65.255
mode = routedSubnetMask               = 255.255.255.0
IPAddress                = 198.5.6.203
[ IKE Policy ]
Protecction = MD5_DES_G1
[ VPN Group "RemoteUsers" ]
maxconnections = 10IPNet                    = 172.16.65.0/24
LocalIPNet               = 10.1.1.0/24
Transform = esp(des,md5)
[ VPN Users ]
martin Config="RemoteUsers"
SharedKey="mysecretkey"
maurizio Config="RemoteUsers"
SharedKey="mysecretkey"

以下命令显示用户列表被联络：
sh VPN user
Port        User            Group           Client          Local      ConnectNumber
                                             Address         Address         Time
--------------------------------------------------------------------------------
VPN 0:1     martin          RemoteUsers     206.1.1.10      10.1.1.1    00:00:11:40

应该注意它默认网关在服务器是内部路由器172.16.65.193，将发出icmp重定向到 172.16.65.203。此实施导致非最优数据流，因为主机将寄发流的第一个信息包到路由器，并且在重定向的接收，将发送后续信息包到是更加适当处理此数据流的网关。二者择一地你在服务器能配置二个不同的路由为了指向VPN为10.x.x.x地址和到 172.16.65.193为数据流的其余。如果仅默认网关在服务器配置，则我们需要确信，路由器接口用"ip 重定向配置"。

我们注意在测试期间的一个有趣点是以下一个。如果我们设法 ping 一个外部地址类似 198.5.6.1从服务器或从VPN，默认网关将发送和icmp重定向到 172.16.65.201。
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
Success rate is 0 percent (0/5)

因为在另一个辅助 VLAN，服务器或VPN 这时将发送地址解析协议(ARP)请求 172.16.65.201 并且从201不得到任何回应; 这是什么 PVLAN 提供我们。实际上有一个简单的方法获得围绕此，是发送数据流到193 MAC和与目的地IP 172.16.65.201。

路由器193将路由数据流回到同一个接口，但因为路由器接口是一个混乱端口，数据流将到达201，我们想防止。此问题在VACLs和 PVLANs 部分的已知限制解释了。

VACL配置

此部分是关键改进安全在小型服务器站。如所描述在VACLs 和PVLANs 部分的已知限制，即使服务器和PIX属于二个不同的辅助VLAN，仍然有攻击者能使用做他们彼此传达的一个方法。如果他们设法直接地沟通，他们不会能执行它由于PVLANs。如果攻陷入侵者然后配置服务器在这种情况下数据流为相同子网被发送到路由器，这一个在相同子网将路由数据流因而阻挠目的对于PVLANs 。

所以，VACL在运载数据流从路由器) 的主VLAN (VLAN需要配置用以下制度：

允许来源IP是路由器的IP的数据流
否决数据流带有两个包括源和目的地IPs是小型服务器站的子网
允许数据流的所有其余
ecomm-6500-2 (enable) sh sec acl info protect_pvlan
set security acl ip protect_pvlan
---------------------------------------------------
1. permit ip host 172.16.65.193 any
2. deny ip 172.16.65.192 0.0.0.15 172.16.65.192 0.0.0.15
3. permit ip any any
ecomm-6500-2 (enable) sh sec acl
ACL Type VLANS
-------------------------------- ---- -----
protect_pvlan IP 41

此ACL不会影响PIX生成的由服务器亦不数据流; 它只将防止路由器路由来自服务器的数据流回到同样VLAN。前二个语句允许路由器发送消息类似icmp重定向或icmp不可得到到服务器。

我们识别管理员也许希望路过VACLs 平均值的另一数据流，并且此流是从内部网络到VPN主机。为了执行如此，VACL可以被映射对主 VLAN (41)和与早先一个被结合：
show sec acl info all
set security acl ip protect_pvlan

1. deny ip any 10.1.1.0 0.0.0.255
2. permit ip host 172.16.65.193 any
3. deny ip 172.16.65.192 0.0.0.15 172.16.65.192 0.0.0.15
4. permit ip any any

测试配置

我们现在 ping 10.1.1.1主机从路由器193 (zundapp)。在我们映射 VACL之前， ping 是成功的。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

在映射VACL以后在VLAN 41，同一 ping 不会成功：
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

然而，我们能仍然连接外部路由器：
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 100/171/192 ms

第1页：巩固有私有VLAN和VLAN访问控制列表的网络第2页：HTTP GET请求的服务器从内部网络

关注我们