从我们的透视图,PVLANs是准许分离数据流在把广播分段的变成第 二层的一个工具(L2)一个非广播multi-Access-like分段 。交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口 。交易(它可以是查出,属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口 。多个 端口映射对同样隔离VLAN不能交换任何数据流 。
以下镜象显示概念 。
图1:专用VLAN
主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示 。Host-1连接到属 于辅助VLAN红色交换机的端口 。Host-2连接到属于辅助 VLAN 黄色交换机的端口 。
当主机传 输时,数据流运载辅助VLAN 。例如,当时Host-2传输,其数 据流在VLAN 黄色去 。当那些主机接受时,数据流来自VLAN 蓝色,是主VLAN 。
路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN 。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口 。
图画表示专用VLAN作为连接路由器和 主机的不同的管道:包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机 。管道内部对主VLAN是辅 助VLAN,并且移动在那些管道的数据流是从主机往路由器 。
当镜象显示,主VLAN能包一个或更多 辅助VLAN 。
及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式 。即然我们知道更多专用VLAN,让我们看见这在我们最 初的DMZ方案如何可以实现 。服务器不应该彼此谈,但是他们 还是需要与他们被联系的防火墙或路由器谈 。在这种情况下,当应该附有路由器和防火墙混乱端口时,应该连接服务器到隔离 的端口 。通过执行此,假如其中一个服务器被攻陷,入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内 。交换机将投下所有信息包以线速,没有任何影响性能 。
另一个注重事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网 。没什么每防火 墙或路由器能执行因为切断将设法直接地沟通 。另一个选项 是投入一个防火墙端口每个服务器,但这是可能太消耗大,难实现 和不扩展 。
在后面,我们具体描述您能使用此功能的一些其他典型的方案 。
VLAN访问控制表
VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列 。
VACLs在一台Catalyst 6500可以配置在L2 没有需要 对于路由器(您只需要Policy Feature Card (PFC)) 。他们在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500 。因为VACLs查找在硬件执行不管访问控制列 表的大小,转发速率保持不变 。
VACLs可以分开被映射对主要或备用VLAN。有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由 器或防火墙生成的数据流 。
通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量 。例 如,假如二个路由器连接到分段和一些主机(例如服务器一样),VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流 被交换在路由器之间是未触动过的时 。
VACLs可以轻易地配置强制执行适当信任模式 。请分析我们的DMZ案件 。服务器在DMZ应该服务仅流入 的连接,并且他们没有预计首次与外界的连接 。VACL可以适 用于他们的辅助VLAN为了控制离开这些服务器的数据流 。注 意到是要害的,当时使用VACLs,数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机 。在案件一个服务器在分 布拒绝服务(DDos)攻击涉及作为来源,交换机将降低所有非法数 据流以线速,没有任何影响性能 。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用,但这通常有严重性能指 示 。
推荐阅读
- 租赁房动迁款归谁所有
- 人固有一死或重于泰山或轻于鸿毛出自司马迁的什么 人固有一死或重于泰山或轻于鸿毛出自什么
- 手机快播用私有云收集影片
- 巩义特产
- 张小斐和冯巩什么关系
- 水蛭人工养殖法
- b类地址标准子网掩码 b类私有地址的子网掩码
- 冯国璋跟冯巩什么关系 冯国璋和冯巩什么关系
- 私有地址是什么意思 私有地址是什么意思怎么判断
- 电器维修怎么赚钱