局域网访问隔离.docx

技术点详解——局域网访问隔离
局域网为什么需要访问隔离
WAN
AN
昔通员工PC
VLAN10、7VLAN9
；心
l无线PC
VLAN1
internet
在如上图中，企业网络可以为根据使用者获得的授权不同，技术点详解——局域网访问隔离
局域网为什么需要访问隔离
WAN
AN
昔通员工PC
VLAN10、7VLAN9
；心
l无线PC
VLAN1
internet
在如上图中，企业网络可以为根据使用者获得的授权不同，把LAN划分为不同的虚拟区域（我们称为VLAN），以方便进行VLAN之间的访问控制，每个VLAN内部的PC互访是自由的，不受限的。
我们为不同的VLAN划分不通的网段，,；相应的，,,以此类推，这么设置的目的是方便网关人员记忆，降低维护难度。
在专栏第三期《访问互联网和LAN通信》中，我们知道PC在访问不同网段的PC时必须要网关（）帮忙转发，访问相同网段则不需要网关，比如VLAN8内的普通员工PC互相访问，流量是不需要经过网关转发的（即内部互访可以不用设置网关地址）；。
从这种网段的划分，我们就可以在商领网关上做灵活的访问控制，限制不同VLAN间的互访，或者更高级的单向访问控制，如只有VLAN8和VLAN9可以访问VLAN10,而VLAN10却不能主动访问VLAN9、VLAN8等。
局域网访问隔离技术实现
访问在数据流中的表现形式是双向的数据传输，比如A要访问B,除了ATB的数据能够正确到达B外,还要求BTA的数据能够正确到达A,只要限制任意一方流量，该访问就会被限制住。
根据用户接入方式和授权不同划分成不同的VLAN后，对于最基本的无线PC和有线PC的相互隔离就可以使用简单的包过滤防火墙访问控制规则，可以如下添加配置：
//seevlaniwit為件
//进入LANS配蚤视同*；7整上Vb\Nl円㊈
..进人LAN9逮善也卧」
//筝止VLAN1同可样
firewallenable//"//添Hl直不ACL*1
rule0denysource1日2+一1Qt+2为拒绝f
^jri^inteuface8
fireweJ_1packec~fi丄ter0Dcuthou,nd
intecfaGe七亡匸壬包口上9
匕卿丄丄220007由oag
接下来我们还需要实现单向访问控制，如只有VALN8和VLAN9可以任意访问VLAN10,而VALN10不能
主动发起访问，可以使用包过滤防火墙+应用状态检测ASPF（ApplicationStatusPacketFiltering）来实现。
应用状态检测的是IP访问的方向，如下图所示：
网关检测VLAN9访问ULAN10「触发建立镜像流表项
鯨地址：

目的地址：
,
协说: