PVLAN配置
因为主要目标在此 设计将继续数据流来自从数据流分离PIX来自自服务器和VPN集中器 ,我们在不同的PVLAN比服务器和VPN集中器配置的PVLAN配置PIX。
来自内部网络的数据流一定能访问 小型服务器站并且VPN集中器和PIX。结果,连接到内部网络 的端口是一个混乱端口。
因为他们 能彼此,沟通服务器和VPN 集中器属于同样辅助VLAN。
关于外部L2交换机,产生的路由器 对的访问典型地属于网络服务提供商(ISP)的互联网()连接到一个混 乱端口当时VPN集中器和PIX 属于同样专用和隔离VLAN (以便他们 不能交换任何数据流)。通过执行此,来自服务提供商的数据 流能采取路径对VPN集中器或路径对PIX。因为他们查出,PIX 和VPN 集中器是保护。
内部L2交换机的PVLAN配置
sh pvlan
Primary Secondary Secondary-Type Ports
------- --------- ---------------- -----------
41 42 community 3/7,3/9-10
41 43 isolated 3/12
ecomm-6500-2 (enable) sh pvlan map
Port Primary Secondary
---- ------- ---------
3/34 41 42-43
ecomm-6500-2 (enable) sh port 3/7
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/7 to_vpn_conc connected 41,42 a-half a-10 10/100BaseTX
ecomm-6500-2 (enable) sh port 3/9
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/9 server_1 connected 41,42 a-half a-10 10/100BaseTX
ecomm-6500-2 (enable) sh port 3/10
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/10 server_2 connected 41,42 a-half a-10 10/100BaseTX
ecomm-6500-2 (enable) sh port 3/12 Port Name Status Vlan Duplex Speed Type ----- ------------------ ---------- ---------- ------ ----- ------------ 3/12 to_pix_intf1 connected 41,43 a-full a-100 10/100BaseTX ecomm-6500-2 (enable) sh pvlan map
Port Primary Secondary
---- ------- ---------
3/34 41 42-43
ecomm-6500-2 (enable) sh port 3/34
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/34 to_int_router connected 41 a-full a-100 10/100BaseTX
外部L2交 换机的PVLAN配置
sh pvlan
Primary Secondary Secondary-Type Ports
------- --------- ---------------- ------------
41 45 isolated 3/7,3/33
ecomm-6500-1 (enable) sh pvlan mapping
Port Primary Secondary
---- ------- ---------
3/43 41 45
ecomm-6500-1 (enable) sh port 3/7
Port Name Status Vlan Duplex Speed Type
----- ------------ ---------- ------ ----- ------------
3/7 from_vpn connected 41,45 a-half a-10 10/100BaseTX
ecomm-6500-1 (enable) sh port 3/33
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------
3/33 to_pix_intf0 connected 41,45 a-full a-100 10/100BaseTX
ecomm-6500-1 (enable) sh pvlan map
Port Primary Secondary
---- ------- ---------
3/43 41 45
ecomm-6500-1 (enable) sh port 3/43
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------
3/43 to_external_router connected 41 a-half a-10 10/100BaseTX
测试配置
此实验表示,内部路 由器能通过防火墙和到达外部路由器(接口是198.5.6.1)的外部防火 墙路由器。
ping 198.5.6.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
此实验显示以下,所有 从服务器1:
服务器1能连接内部路 由器:
server_1#ping 172.16.65.193
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.65.193, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
服务器1能连接VPN:
server_1#ping 172.16.65.203
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.65.203, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
切断1不能ping PIX内部界面:
server_1#ping 172.16.65.201
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.65.201, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
服务器1不能连接外部路由器:
server_1#ping 198.5.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
以下实验表示,HTTP会话可以从内 部网络被打开对小型服务器站。
server_2#
1w1d: HTTP: parsed uri '/'
1w1d: HTTP: processing URL '/' from host 171.68.173.3
1w1d: HTTP: client version 1.0
1w1d: HTTP: parsed extension Connection
1w1d: HTTP: parsed line Keep-Alive
1w1d: HTTP: parsed extension User-Agent
1w1d: HTTP: parsed line Mozilla/4.7 [en] (X11; I; SunOS 5.5.1 sun4u)
1w1d: HTTP: parsed extension Host
1w1d: HTTP: parsed line 172.16.65.202
1w1d: HTTP: parsed extension Accept
1w1d: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
1w1d: HTTP: parsed extension Accept-Encoding
1w1d: HTTP: parsed line gzip
1w1d: HTTP: parsed extension Accept-Language
1w1d: HTTP: parsed line en
1w1d: HTTP: parsed extension Accept-Charset
1w1d: HTTP: parsed line iso-8859-1,*,utf-8
1w1d: HTTP: Authentication for url '/' '/' level 15 privless '/'
1w1d: HTTP: authentication required, no authentication information was provided
1w1d: HTTP: authorization rejected
1w1d: HTTP: parsed uri '/'
1w1d: HTTP: processing URL '/' from host 171.68.173.3
1w1d: HTTP: client version 1.0
1w1d: HTTP: parsed extension Connection
1w1d: HTTP: parsed line Keep-Alive
1w1d: HTTP: parsed extension User-Agent
1w1d: HTTP: parsed line Mozilla/4.7 [en] (X11; I; SunOS 5.5.1 sun4u)
1w1d: HTTP: parsed extension Host
1w1d: HTTP: parsed line 172.16.65.202
1w1d: HTTP: parsed extension Accept
1w1d: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
1w1d: HTTP: parsed extension Accept-Encoding
1w1d: HTTP: parsed line gzip
1w1d: HTTP: parsed extension Accept-Language
1w1d: HTTP: parsed line en
1w1d: HTTP: parsed extension Accept-Charset
1w1d: HTTP: parsed line iso-8859-1,*,utf-8
1w1d: HTTP: parsed extension Authorization
1w1d: HTTP: parsed authorization type Basic
1w1d: HTTP: Authentication for url '/' '/' level 15 privless '/'
1w1d: HTTP: Authentication username = 'maurizio' priv-level = 15 auth-type = aaa
1w1d: HTTP: received GET ''
以 下实验表示,HTTP数据流从VPN网络能做其道路通往小型服务器站( 注意地址10.1.1.1)。1w1d: HTTP: parsed uri '/'
1w1d: HTTP: processing URL '/' from host 10.1.1.1
1w1d: HTTP: client version 1.0
1w1d: HTTP: parsed extension Connection
1w1d: HTTP: parsed line Keep-Alive
1w1d: HTTP: parsed extension User-Agent
1w1d: HTTP: parsed line Mozilla/4.76 [en] (Windows NT 5.0; U)
1w1d: HTTP: parsed extension Host
1w1d: HTTP: parsed line 172.16.65.202
1w1d: HTTP: parsed extension Accept\
1w1d: HTTP: parsed line image/gif, image/x-xbitmap, image/jpeg, image/
1w1d: HTTP: parsed extension Accept-Encoding
1w1d: HTTP: parsed line gzip
1w1d: HTTP: parsed extension Accept-Language
1w1d: HTTP: parsed line en
1w1d: HTTP: parsed extension Accept-Charset
1w1d: HTTP: parsed line iso-8859-1,*,utf-8
1w1d: HTTP: Authentication for url '/' '/' level 15 privless '/'
1w1d: HTTP: authentication required, no authentication information was provided
下列是VPN集 中器的配置:
[ IP Ethernet 0:0 ]
ipbroadcast = 172.16.65.255
mode = routedSubnetMask = 255.255.255.240
IPAddress = 172.16.65.203
[ General ]
IPsecGateway = 198.5.6.1
DeviceName = "VPN5008"
EnablePassword = "ww"
Password = "ww"
EthernetAddress = 00:30:85:14:5c:40
DeviceType = VPN 5002/8
ConcentratorConfiguredOn = Timeserver not configured
ConfiguredFrom = Command Line, from 171.68.173.3
[ IP Static ]
206.1.1.0 255.255.255.0
198.5.6.1 10.0.0.0
0.0.0.0 172.16.65.193 1
[ IP Ethernet 1:0 ]
ipbroadcast = 172.16.65.255
mode = routedSubnetMask = 255.255.255.0
IPAddress = 198.5.6.203
[ IKE Policy ]
Protecction = MD5_DES_G1
[ VPN Group "RemoteUsers" ]
maxconnections = 10IPNet = 172.16.65.0/24
LocalIPNet = 10.1.1.0/24
Transform = esp(des,md5)
[ VPN Users ]
martin Config="RemoteUsers"
SharedKey="mysecretkey"
maurizio Config="RemoteUsers"
SharedKey="mysecretkey"
以下命令显示用户列 表被联络:
sh VPN user
Port User Group Client Local ConnectNumber
Address Address Time
--------------------------------------------------------------------------------
VPN 0:1 martin RemoteUsers 206.1.1.10 10.1.1.1 00:00:11:40
应该注意它默认网关在 服务器是内部路由器172.16.65.193,将发出icmp重定向到 172.16.65.203。此实施导致非最优数据流,因为主机将寄发 流的第一个信息包到路由器,并且在重定向的接收,将发送后续信 息包到是更加适当处理此数据流的网关。 二者择一地你在服 务器能配置二个不同的路由为了指向VPN为10.x.x.x地址和到 172.16.65.193为数据流的其余。如果仅默认网关在服务器配 置,则我们需要确信,路由器接口用"ip 重定向配置"。
我们注意在测试期间的一个有趣点 是以下一个。如果我们设法 ping 一个外部地址类似 198.5.6.1从服务器或从VPN,默认网关将发送和icmp重定向到 172.16.65.201。
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
1w1d: ICMP: redirect rcvd from 172.16.65.193 -- for 198.5.6.1 use gw 172.16.65.201.
Success rate is 0 percent (0/5)
因为在另一个辅助 VLAN,服务器或VPN 这时将发送地址解析协议(ARP)请求 172.16.65.201 并且从201不得到任何回应; 这是什么 PVLAN 提供我们。实际上有一个简单的方法获得围绕此,是 发送数据流到193 MAC和与目的地IP 172.16.65.201。
路由器193将路由数据流回到同一个 接口,但因为路由器接口是一个混乱端口,数据流将到达201,我们 想防止。此问题在VACLs和 PVLANs 部分的 已知限制解释了 。
VACL配置
此部分是关键改进安 全在小型服务器站。如所描述在VACLs 和PVLANs 部分的已知限制 ,即使服务器和PIX属于二个不同的辅助VLAN,仍然有 攻击者能使用做他们彼此传达的一个方法。如果他们设法直 接地沟通,他们不会能执行它由于PVLANs。如果攻陷入侵者 然后配置服务器在这种情况下数据流为相同子网被发送到路由器, 这一个在相同子网将路由数据流因而阻挠目的对于PVLANs 。
所以,VACL在运载数据流从路由器) 的主VLAN (VLAN需要配置用以下制度:
允许来源IP是路由器的IP的数据流
否决数据流带有两个包括源和目的地IPs是小型服务 器站的子网
允许数据流的所有其余
ecomm-6500-2 (enable) sh sec acl info protect_pvlan
set security acl ip protect_pvlan
---------------------------------------------------
1. permit ip host 172.16.65.193 any
2. deny ip 172.16.65.192 0.0.0.15 172.16.65.192 0.0.0.15
3. permit ip any any
ecomm-6500-2 (enable) sh sec acl
ACL Type VLANS
-------------------------------- ---- -----
protect_pvlan IP 41
此ACL不会影响PIX生成的由服务器 亦不数据流; 它只将防止路由器路由来自服务器的数据流回 到同样VLAN。前二个语句允许路由器发送消息类似icmp重定 向或icmp不可得到到服务器。
我们识别管理员也许希望路过VACLs 平均值的另一数据流,并且此流是 从内部网络到VPN主机。为了执行如此,VACL可以被映射对主 VLAN (41)和与早先一个被结合:
show sec acl info all
set security acl ip protect_pvlan
1. deny ip any 10.1.1.0 0.0.0.255
2. permit ip host 172.16.65.193 any
3. deny ip 172.16.65.192 0.0.0.15 172.16.65.192 0.0.0.15
4. permit ip any any
测试配置
我们现在 ping 10.1.1.1主机从路由器193 (zundapp)。在我们映射 VACL之前, ping 是成 功的。
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
在映射VACL以后在VLAN 41, 同一 ping 不会成功:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
然而,我们能仍然 连接 外部路由器:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 198.5.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 100/171/192 ms
| 共4页: 上一页 [1] [2] [3] 4 | ||
|
|
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|||
| 名称:Vista精品应用黄皮书 简介:《Vista精品应用黄皮书》囊括了Vista的各方面内容。此次的精简版,是将里面的内容做了提取,便于用户下载和使用。内容包含了各种Vista的安装与实施、技巧与解析以及各种Vista相关学习文档和相关软件的安全下载。该电子书是了解和应用Vista人员必备的工具手册,并且也是第一本 |
|||
| 名称:2006中国IT论坛精品集合 简介:本书由“51CTO论坛推广联盟”制作完成。书中所有内容均来自各联盟成员的论坛(网站)。制作本书的目的是为了集中大家的优势资源,将更多更精彩的内容带给广大技术爱好者。本书是联盟成立以来制作的第一本书。 |
|
|||
| · 路由器模拟器 · AIX操作系统管理应用(.. · 思科路由器配置 · 路由器组网解决方案 · 路由器密码恢复 · 无线路由器故障处理 · 路由故障处理手册 · 路由器访问控制列表(AC.. |
· 路由器的安全配置与安.. · 无线路由器配置 · 路由器技巧 · 华为路由器配置 · 路由器配置基础 · 路由器IOS · 路由器产品导购 · 其它路由协议专栏 |
||
|
|||
| · VPN技术 · ARP攻击防范与解决方案 · SQL Server 2005全解 · Java基础教程 · SQL Server入门到精通 · SQL Server 2005全解 · SOA 面向服务架构 · Java编程开发手册 |
· C#技术开发指南 · 三层交换技术专题 · C#技术开发指南 · Windows远程桌面应用 · Windows Server 2003企.. · 邮件服务器专题 · wimax技术与趋势 · Windows操作系统安装 |
||
 DB2 9技术资源中.. 推荐阅读 |
|
| ·DB2 Viper快速入门 ·DB2 9数据库的镜像分割与.. |
·将XML应用程序从DB2 8.x.. ·DB2 9中的pureXML:如何.. |
| 51CTO.com编辑部.. 推荐阅读 |
|
| ·服务器中的“傻瓜机”在.. ·盖茨也喜欢登录Youtube看.. |
· · |
| hellen 的博客 |
|
| · 职场冲浪(之八):让感.. ·职场冲浪(之七):潜心.. |
·人生如鞋 ·职场冲浪(之六):从离梦最.. |
| 白璐 的博客 |
|
| ·将职业教育职业化 - 各IT.. ·思科交换机上实现MAC地址.. |
·关于51CTO合作出书中的职.. ·OSPF动态路由协议入门简介 |
| 组网建网 |
安全频道 |
| · NGN:下一代网络 · 网络访问中断大排查 · FTTx光纤接入 |
· 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. · 平凡黑客讲述精彩人生(.. |
| 编程频道 |
前沿技术 |
| · C++是垃圾语言?! · 2007年IT界七大抄袭事件 · Java实用开发全集 |
· 解析Ajax开发框架 走进A.. · 基于Google Maps与Ajax.. · 基于Google Maps与Ajax.. |
| 操作系统 |
服务器 |
| · Ubuntu 中文开源频道 · Solaris基础知识入门 · 微软正式发布英文版Wind.. |
· 服务器基础知识入门 · Rambus第二?看全缓冲内.. · 服务器节能对比测试:AM.. |
| 数据库 |
存储频道 |
| · 甲骨文Oracle 11g正式发.. · Oracle数据库开发之PL/S.. · Oracle数据库开发基础教.. |
· 存储2006,一个并购的大.. · IDC宣布浪潮蝉联存储市.. · 双机热备技术 |
相关 
