16局域网访问隔离.docx

局域网访问隔离
局域网为什么需要访问隔离
1.         在如上图中,企业网络可以为根据使用者获得的授权不同,把LAN划分为不同的虚拟区域(我们称为VLAN),以方便进行VLAN之间的访问控制,每个VLAN内部的PC互访是自由的,不受限的。
2.         我们为不同的VLAN划分不通的网段,,;相应的,,,以此类推,这么设置的目的是方便网关人员记忆,降低维护难度。
3.         在专栏第三期《访问互联网和LAN通信》中,我们知道PC在访问不同网段的PC时必须要网关()帮忙转发,访问相同网段则不需要网关,比如VLAN 8内的普通员工PC互相访问,流量是不需要经过网关转发的(即内部互访可以不用设置网关地址);VLAN 9的主管PC访问VLAN 。
4.         从这种网段的划分,我们就可以在商领网关上做灵活的访问控制,限制不同VLAN间的互访,或者更高级的单向访问控制,如只有VLAN8和VLAN9可以访问VLAN10,而VLAN10却不能主动访问VLAN9、VLAN8等。
局域网访问隔离技术实现
访问在数据流中的表现形式是双向的数据传输,比如A要访问B,除了AàB的数据能够正确到达B外,还要求BàA的数据能够正确到达A,只要限制任意一方流量,该访问就会被限制住。
根据用户接入方式和授权不同划分成不同的VLAN后,对于最基本的无线PC和有线PC的相互隔离就可以使用简单的包过滤防火墙访问控制规则,可以如下添加配置:
接下来我们还需要实现单向访问控制,如只有VALN8和VLAN9可以任意访问VLAN10,而VALN10不能主动发起访问,可以使用包过滤防火墙+应用状态检测ASPF(Application Status Packet Filtering)来实现。应用状态检测的是IP访问的方向,如下图所示:
80端口(HTTP应用),该访问在网关转发时会触发建立一个称为<5元组>的流(Flow),同时ASPF模块会根据触发流建立镜像流<5元组>, HTTP应用的返回数据,.