區域網路為什麼需要訪問隔離 轉

文章目錄

• 區域網路訪問隔離

區域網路訪問隔離

1.         在如中，商業網路可以為根據使用者獲得的授權不同，把LAN劃分為不同的虛擬地區（我們稱為VLAN），以方便進行VLAN之間的存取控制，每個VLAN內部的PC互訪是自由的，不受限的。

2.         我們為不同的VLAN劃分不通的網段，比如無線PC所屬的VLAN1的網段為192.168.1.0/24，網關是192.168.1.1；相應的，普通員工PC的網段是192.168.8.0/24，網關192.168.8.1，以此類推，這麼設定的目的是方便網關人員記憶，降低維護難度。

3.         在專欄第三期《訪問互連網和LAN通訊》中，我們知道PC在訪問不同網段的PC時必須要網關（指如192.168.8.1的網關地址）幫忙轉寄，訪問相同網段則不需要網關，比如VLAN 8內的普通員工PC互相訪問，流量是不需要經過網關轉寄的（即內部互訪可以不用設定網關地址）；VLAN 9的主管PC訪問VLAN 10的伺服器則需要各自的網關192.168.9.1和192.168.10.1的幫忙。

4.         從這種網段的劃分，我們就可以在商領網關上做靈活的存取控制，限制不同VLAN間的互訪，或者更進階的單向存取控制，如只有VLAN8和VLAN9可以訪問VLAN10，而VLAN10卻不能主動訪問VLAN9、VLAN8等。

區域網路訪問隔離技術實現

訪問在資料流中的表現形式是雙向的資料轉送，比如A要訪問B，除了AàB的資料能夠正確到達B外，還要求BàA的資料能夠正確到達A，只要限制任意一方流量，該訪問就會被限制住。

根據使用者接入方式和授權不同劃分成不同的VLAN後，對於最基本的無線PC和有線PC的相互隔離就可以使用簡單的包過濾防火牆存取控制規則，可以如下添加配置：

接下來我們還需要實現單向存取控制，如只有VALN8和VLAN9可以任意訪問VLAN10，而VALN10不能主動發起訪問，可以使用包過濾防火牆+應用狀態檢測ASPF（Application Status Packet Filtering）來實現。應用狀態檢測的是IP訪問的方向，如所示：

 

圖中VLAN9內主機192.168.9.2訪問192.168.10.2的TCP 80連接埠（HTTP應用），該訪問在網關轉寄時會觸發建立一個稱為<5元組>的流（Flow），同時ASPF模組會根據觸發流建立鏡像流<5元組>，鏡像流就是匹配192.168.9.2訪問192.168.10.2 HTTP應用的返回資料，因此當192.168.10.2返迴流量能夠匹配鏡像流而被正常轉寄：

 

如果VLAN10主動發起訪問VLAN9的遠端桌面（TCP 3389連接埠），因為沒有鏡像流<5元組>的存在，該訪問被網關拒絕

 

由於網關上VLAN10和VLAN9都可以配置防火牆和ASPF，那麼在那邊配置比較合適呢？我們根據要求單向存取控制的是VLAN10不能向VLAN9、VLAN8發起訪問，可見在VLAN10中配置可以減少配置量，可以如下配置

我們來分析一下VLAN10介面的配置和邏輯關係：

 

1.         首先2301是出方向允許vlan8和vlan9，其餘訪問拒絕，也就是說只有vlan8和vlan9能夠訪問vlan10

2.         其次2302是入方向拒絕所有，即禁止vlan10發起任何訪問

3.         在出方嚮應用ASPF策略1檢測TCP和UDP，聯合2301就是檢測VLAN8和VLAN9發起的TCP、UDP訪問，然後建立鏡像流<5元組>，然後准予允許存取

如果有更靈活需求，我們可以分析單向存取控制條件，制定ASPF和防火牆的邏輯關係，加以實現。