CyberLaka

защити свои данные, управляй безопасностью с умом

VLAN и ACL: практическая изоляция сетей на L3 Huawei

vlan-acl

Написано

baddogpro

в

, ,

Рассмотрим одну из функций VLAN — сегментацию и изоляцию сетей на L3.

Когда вся корпоративная сеть работает в одной подсети, это приводит к проблемам:

  • любой компьютер может напрямую обращаться к любому серверу;
  • пользовательские устройства видят сервисы, к которым им доступ не нужен;
  • служебный трафик (ARP, broadcast) расходится повсюду и нагружает сеть.

Сегментация через VLAN решает эти задачи:

  • подсети разделены и изолированы;
  • доступ в другие VLAN возможен только через маршрутизацию или ACL;
  • администратор точно контролирует, какие сети могут обмениваться трафиком.

Пример: изолированный VLAN 154 на Huawei

Создаём VLAN 154 (10.77.116.0/24) для серверов.
Правила:

  • в сегмент могут заходить только подсети 10.77.110.0/24, 10.77.114.0/24, 10.77.120.0/24;
  • из сегмента разрешён выход в эти же подсети и в интернет;
  • всё остальное блокируется.

Конфигурация

#
# ACL для входящего трафика в VLAN 154
acl number 3054
 description INBOUND traffic to VLAN 154 (10.77.116.0/24)
 rule 9  permit ip source 10.77.110.0 0.0.0.255 destination 10.77.116.0 0.0.0.255
 rule 10 permit ip source 10.77.114.0 0.0.0.255 destination 10.77.116.0 0.0.0.255
 rule 20 permit ip source 10.77.120.0 0.0.0.255 destination 10.77.116.0 0.0.0.255
 # Протокол VRRP (112). Нужен только если используете VRRP на интерфейсе Vlanif154.
 rule 30 permit 112 destination 10.77.116.0 0.0.0.255
 # Локальный обмен внутри VLAN 154
 rule 40 permit ip source 10.77.116.0 0.0.0.255 destination 10.77.116.0 0.0.0.255
 # Диапазоны адресов интернета
 rule 300 permit ip source 1.0.0.0   0.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 301 permit ip source 2.0.0.0   0.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 302 permit ip source 4.0.0.0   0.127.255.255 destination 10.77.116.0 0.0.0.255
 rule 303 permit ip source 8.0.0.0   1.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 304 permit ip source 11.0.0.0  4.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 305 permit ip source 16.0.0.0  15.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 306 permit ip source 32.0.0.0  31.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 307 permit ip source 64.0.0.0  63.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 308 permit ip source 128.0.0.0 127.255.255.255 destination 10.77.116.0 0.0.0.255
 rule 309 permit ip source 192.0.0.0 0.0.255.255  destination 10.77.116.0 0.0.0.255
 rule 310 permit ip source 192.32.0.0 0.223.255.255 destination 10.77.116.0 0.0.0.255
 rule 311 permit ip source 224.0.0.0 31.255.255.255 destination 10.77.116.0 0.0.0.255
#
# ACL для исходящего трафика из VLAN 154
acl number 3055
 description OUTBOUND traffic from VLAN 154 (10.77.116.0/24)
 rule 9  permit ip source 10.77.116.0 0.0.0.255 destination 10.77.110.0 0.0.0.255
 rule 10 permit ip source 10.77.116.0 0.0.0.255 destination 10.77.114.0 0.0.0.255
 rule 20 permit ip source 10.77.116.0 0.0.0.255 destination 10.77.120.0 0.0.0.255
 rule 40 permit ip source 10.77.116.0 0.0.0.255 destination 10.77.116.0 0.0.0.255
 # Доступ в интернет
 rule 300 permit ip source 10.77.116.0 0.0.0.255 destination 1.0.0.0   0.255.255.255
 rule 301 permit ip source 10.77.116.0 0.0.0.255 destination 2.0.0.0   0.255.255.255
 rule 302 permit ip source 10.77.116.0 0.0.0.255 destination 4.0.0.0   0.127.255.255
 rule 303 permit ip source 10.77.116.0 0.0.0.255 destination 8.0.0.0   1.255.255.255
 rule 304 permit ip source 10.77.116.0 0.0.0.255 destination 11.0.0.0  4.255.255.255
 rule 305 permit ip source 10.77.116.0 0.0.0.255 destination 16.0.0.0  15.255.255.255
 rule 306 permit ip source 10.77.116.0 0.0.0.255 destination 32.0.0.0  31.255.255.255
 rule 307 permit ip source 10.77.116.0 0.0.0.255 destination 64.0.0.0  63.255.255.255
 rule 308 permit ip source 10.77.116.0 0.0.0.255 destination 128.0.0.0 127.255.255.255
 rule 309 permit ip source 10.77.116.0 0.0.0.255 destination 192.0.0.0 0.0.255.255
 rule 310 permit ip source 10.77.116.0 0.0.0.255 destination 192.32.0.0 0.223.255.255
 rule 311 permit ip source 10.77.116.0 0.0.0.255 destination 224.0.0.0 31.255.255.255
#
# Трафик-классы
traffic classifier CLASS-ANY operator or
 if-match any
traffic classifier CLASS-IN-VLAN154 operator or
 if-match acl 3054
traffic classifier CLASS-OUT-VLAN154 operator or
 if-match acl 3055
#
# Поведение
traffic behavior BEHAVIOR-DENY
 deny
traffic behavior BEHAVIOR-IN-VLAN154
 permit
traffic behavior BEHAVIOR-OUT-VLAN154
 permit
#
# Политики
traffic policy POLICY-IN-VLAN154 match-order config
 classifier CLASS-IN-VLAN154 behavior BEHAVIOR-IN-VLAN154
 classifier CLASS-ANY behavior BEHAVIOR-DENY

traffic policy POLICY-OUT-VLAN154 match-order config
 classifier CLASS-OUT-VLAN154 behavior BEHAVIOR-OUT-VLAN154
 classifier CLASS-ANY behavior BEHAVIOR-DENY
#
# Интерфейс VLAN 154
interface Vlanif154
 description -=Server-NET-10.77.116.0/24=-
 ip address 10.77.116.1 255.255.255.0
 #
 # Порядок политик критичен:
 traffic-policy POLICY-OUT-VLAN154 inbound
 traffic-policy POLICY-IN-VLAN154 outbound

Типовые ошибки

  1. Не добавили диапазоны интернета. VLAN не выходит наружу.
  2. Перепутали порядок traffic-policy. ACL не работает.
  3. Нет правила на свой сегмент (rule 40). Серверы внутри VLAN не видят друг друга.
  4. Оставили permit any. Изоляция превращается в фикцию.

Именно так сегментация через VLAN и ACL превращает коммутатор Huawei в удобный инструмент управления безопасностью сети.

Cyberlaka в Telegram

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Больше записей