iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 7
0
Security

資安動手做系列 第 7

7. Network Security-Switch-Vlan Control

VLAN(Virtual Local Area Network)在一開始建置網路架構時就一定要規劃,在資安及效能提升上都很有效,因為做了這個設定後不同Vlan的設備是不能透過"Switch"去溝通的(不同VLAN要透過Router)。

好處:
1.降低廣播流量 - 提升網路品質
2.方便管理 - Vlan間下規則,權限劃分(業務不能去連R&D網路)和限制病毒擴散範圍(不需要連通的區域不開通)

詳細設定可以參考
https://www.jannet.hk/zh-Hant/post/virtual-lan-vlan/

DEMO
架構
https://ithelp.ithome.com.tw/upload/images/20181013/20077752p6nXpvrPFe.jpg

設備IP都設定上去,PC1去ping PC2是會通的
因為沒有VLAN關係,所有設備都會接收到廣播封包

在左下角Switch的各interface綁上Vlan

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport access vlan 11
% Access VLAN does not exist. Creating vlan 11
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/2
% Access VLAN does not exist. Creating vlan 12
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#switchport access vlan 14
% Access VLAN does not exist. Creating vlan 14
Switch(config)#interface fastEthernet 0/4
Switch(config-if)#switchport access vlan 11

在發ARP封包就不會發到不同VLAN的Port上

跨Switch,一條interface要通過多個Vlan情況下要做Trunk,所有經過的Switch進出都要打通

Switch(config)#vlan 11
Switch(config)#interface FastEthernet0/1
Switch(config-if)#switchport trunk allowed vlan all 
Switch(config)#interface FastEthernet0/24
Switch(config-if)#switchport trunk allowed vlan all 

像是馬路上的公車專用道一樣,廣播封包只會走在有打通VLAN的Interface上


上一篇
6. Network Security-Switch-MAC Control
下一篇
8. Network Security
系列文
資安動手做34

尚未有邦友留言

立即登入留言