Inter Zone VLAN

最新推荐文章于 2024-11-10 15:23:27 发布
最新推荐文章于 2024-11-10 15:23:27 发布
阅读量229 收藏 1
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58458700/article/details/130483959
版权
InterZoneVLAN是一种VLAN部署模式,用于在不同安全区之间实现隔离和保护。它将每个VLAN划分为独立的防火墙区域,并通过设定访问策略控制不同区域间的流量。在企业网络中,这种技术常用于DMZ、内部和外部网络的安全分区,确保信息网络安全并允许按需定制网络访问规则。
摘要由CSDN通过智能技术生成

Inter Zone VLAN

1.1. 什么是Inter Zone VLAN/Inter Zone VLAN的应用场景

Inter Zone VLAN是一种VLAN部署模式,用于实现不同安全区之间的隔离和保护。在这种模式下,每个VLAN都被划分到一个特定的安全区域,不同安全区之间的流量需要通过安全设备或控制策略进行管理和限制。
Inter Zone VLAN通常用于企业网络中,用于实现安全分区。企业网络分为不同的安全区域,例如DMZ、内部网络、外部网络等,每个安全区域都对应着一个特定VLAN。不同的安全区域之间必须通过安全策略进行管理和限制,以确保网络安全和保密。
Inter Zone VLAN使不同的部门、用户组和应用程序能够在不干扰其他部门、用户组和应用程序的情况下独立使用网络资源。在Inter Zone VLAN中,管理员可以根据应用程序和信息安全的需求,定义特定的网络访问策略,在不同的安全区之间限制流量,并根据需要进行审计和监视。
总之,Inter Zone VLAN是一种用于实现安全分区、隔离和保护的VLAN部署模式,可以对企业的信息安全提供重要支持。

1.2. Inter Zone VLAN的原理

Inter Zone VLAN是将每一个VLAN划分成一个独立的域(Firewall Zone),每一个域由自己域的安全访问策略进行管理和限制,安全访问策略为可以限制该域对其他指定域的Forward行为(Allow / block Forwarding),在当前模式下,我们应该有一个默认的行为去作为该域默认的Forward行为。
在这里插入图片描述

如图所示,每一个VLAN都被划分成一个独立的Firewall Zone,我们可以设置该Zone 对于其他Zone的forwarding策略。

1.3. 使用Inter Zone VLAN

在一款支持Inter Zone VLAN的设备上实现Inter Zone VLAN需要进行以下方面的设置:划分不同的VLAN >>将VLAN划分不同的安全区域 >>设置不同的域间访问策略。

1.3.1. 划分不同的VLAN

在这里插入图片描述

在图中的设备上,已经创建了三个VLAN:

  1. lan | IP 192.168.1.1/24
  2. lan2 | IP 192.168.2.1/24
  3. lan3 | IP 192.168.3.1/24
    默认情况下,添加的VLAN都在一个域(lan Zone)中.
    在这里插入图片描述

lan Zone的Forward的默认行为是Accept,所以可以从VLAN1 Ping通VLAN2.
在这里插入图片描述

将lan Zone的Forward行为更改为Reject:
在这里插入图片描述

Lan Zone内的所有VLAN就不能互相转发,在VLAN1上也无法Ping通VLAN2:
在这里插入图片描述

1.3.2. 将VLAN划分到不同的安全区域

在firewall 中,为每一个VLAN添加新的Zone。
在这里插入图片描述
在这里插入图片描述

为每一个VLAN添加一个域后,应该为下图所示:
在这里插入图片描述

这样就将每个VLAN划分到独立的安全区域。

1.3.3. 设置不同的域间访问策略

将每个VLAN划分独立安全区域后,每个Zone设置的Forward还是Reject,所以所有Zone之间是没有路由转发的。如果需要VLAN之间有路由转发,需要为不同的域设置自己的访问策略。
如果我们只希望VLAN1和VLAN2通信,则在firewall Zone中应该如下设置:
在firewall zone中选择VLAN1:
在这里插入图片描述

将lan1 zone设置为:
在这里插入图片描述

这样VLAN1就可以和VLAN2进行通信:
在这里插入图片描述

lan1 Zone和lan3 Zone没有设置Zone forward:

在这里插入图片描述

如果我们希望VLAN1->VLAN3 VLAN1->VLAN2通讯,那么可以将Zone设置为:

在这里插入图片描述

OpenWrt实验论证
设备:XXXXXX
版本:XXXXXX
我们添加三个VLAN:

在这里插入图片描述
默认情况下三个VLAN应该属于同一个域,
在这里插入图片描述当前域的Forward的行为为ACCEPT,所以可以从VLAN1 Ping VLAN2.
在这里插入图片描述

按照步骤我们将VLAN1/VLAN2/VLAN3/VLAN4 分成独立的域
在这里插入图片描述

每个域的Forward行为为REJECT,所以无法从VLAN1 ping VLAN2:
在这里插入图片描述

我们将更改VLAN1和VLAN2的区域策略,添加VLAN1->VLAN2 VLAN2->VLAN1的Forward策略:
在这里插入图片描述

VLAN1 ping VLAN2 :
在这里插入图片描述

VLAN1 ping VLAN3 :
在这里插入图片描述

只添加VLAN1->VLAN2的forward规则:

在这里插入图片描述

VLAN1可以ping 通VLAN2:

在这里插入图片描述

VLAN2不能ping 通VLAN1

如果如下配置:

在这里插入图片描述

那么:
VLAN1 <–> VLAN2
VLAN2<->VLAN3

参考资料:
1.Firewall configuration [Old OpenWrt Wiki]
2.VLAN Inter-Zone accessibility control configuration example - Teltonika Networks Wiki (teltonika-networks.com)

Gerry.Bao
关注
solaris10 zone配置VLAN
li1121567428的博客
10-30 412
**当我们的solaris zone ip和物理(宿主)机不在同一网段,这时就需要配置下VLAN 1、确定正在系统上使用的接口的类型。 [root@cass05]#dladm show-link e1000g0 type: non-vlan mtu: 1500 device: e1000g0 e1000g1 type: non-vlan mtu: ...
VLAN,FC ZONE,VxLAN
空瓶子的博客
12-27 1789
首先我们来看看网络七层协议: 应用层 (Application): 网络服务与最终用户的一个接口。 协议有:HTTP FTP TFTP SMTP SNMP DNS 表示层(Presentation Layer): 数据的表示、安全、压缩。(在五层模型里面已经合并到了应用层) 格式有,JPEG、ASCll、DECOIC、加密格式等 会话层(Session Layer): 建立、管理、
vlan 划分和子网划分的区别
zonecc_的博客
11-10 550
1、网络划分 (1)子网划分,对一个网络进行子网划分时,基本上就是将它分成小的网络。比如,当一组IP地址指定给一个公司时,公司可能将该网络“分割成”小的网络,每个部门一个。(2)虚拟局域网(VLAN)是一组逻辑上的设备和用户,设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。 2、组建不同 (1)子网划分是通过借用IP地址的若干位主机位来充当子网地址从而将原网络划分为若干子网而实现的。划分子网时,随着子网地址借用主机位数的增多,子网的数
交换机zone 的概念 和交换机指令
zhouzhiwengang的专栏
05-15 4113
 配置Zone需要涉及到三个对象的配置Alias,Zone,Configuration。 Alias 可以把设备的WWN或Domain,Port声明为Alias,用于更好更直观的标示设备。使用Alias的主要目的是方便用户的使用,想象一下记住一个人的身份证号和名字的区别就可以明白其中的道理,使用Alias就想给设备启名字一样。声明Alias的另外一个益处是便于Zone中成员的更换。当Zone
zone划分
KB孩子
06-21 1万+
DS3500上架(准备压力测试环境)----将网线和光纤线连接到光纤交换机(两台光纤交换机IP地址)上, ssh登录交换机:用户名:admin 密码:password switchshow命令: 查看光纤交换机各接口情况. 光纤交换机创建zone zone划分规则:按照别名、端口号、WWN号。端口号一般是0-15,WWN号可以用switchshow查看。 划分zone的目的: FC
Inter-VLAN routing
weixin_58458700的博客
05-25 531
Inter-VLAN routing
Linux vlan间路由配置,VLAN间路由
weixin_32452829的博客
05-13 823
<间路由>VLAN之间在二层是分隔开的,如果要实现VLAN之间的通信,必须要借助到三层路由功能。·支持VLAN间路由的设备:1.任意的3层交换机2.支持以太口起子接口的路由器(2600以上)<单臂路由(Router on a Stick)>通过使用路由器完成VLAN之间的路由,路由器上要起子接口,并且要和交换机之间形成trunk。路由器上的配置:注意:先把接口no shut才能创建子接口inter...
Vlan间通信-防火墙
weixin_33845477的博客
12-05 668
Vlan间通信-防火墙 实验环境:一台防火墙来实现单臂路由,两台两层交换机,两台路由器做pc机 配置防火墙: [r]inter eth0/0.10 [r-Ethernet0/0.10]vlan-type dot1q vid 10 [r-Ethernet0/0.10]ip address 192.168.10.254 24 [r]inter eth0...
SecPath防火墙混合模式下VLAN透传的典型配置
weixin_33860528的博客
01-04 530
SecPath防火墙混合模式下VLAN透传的典型配置 一、 组网需求: 介绍SecPath防火墙混合模式下VLAN透传的应用。 二、 组网图 三、 配置信息 SecPath1000F防火墙的主要配置 # sysname SECPATH1000F # firewall packet-filter enable firewall packet-...
vlan原理及简单应用
热门推荐
zhangblade的专栏
11-16 2万+
1 VLAN概述 VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组
华为S3700参考命令
03-21
3. **VLAN配置**:创建VLANvlan),分配端口到VLAN(port link-type access trunk),以及配置VLAN间路由(inter-vlan routing)。 4. **路由协议**:如静态路由(ip route-static)和动态路由协议(如RIP或OSPF...
Neutron — OvS-Agent 实现原理
烟云的计算
05-17 1595
Neutron OvS 系统拓扑 Neutron OvS 网络拓扑 首先关注计算机节点上的虚拟机流量是怎么被送出计算节点的,并在过程中插入介绍相关的虚拟网络设备于工作原理。其中,“内外 VID 转换机制“ 是一种 “分层兼容“ 设计方式。从分层的角度看,计算节点的网络模型可分为:显然,本地网络层和租户网络层之间必须存在一层转换。这就是所谓的 VID 转换。VID 是一个逻辑概念,针对不同的租户网络类型具有不同的 Tenant VID。同时,Tenant VID 的范围是由管理员租户定义的,具体而言是 ml2
Neutron — L3-Agent 实现原理
烟云的计算
02-29 5489
目录 文章目录目录前文列表前言Neutron L3 agent 概述L3 agent的配置虚拟路由器实现原理 前文列表 《计算机网络基础 — 以太网》 《计算机网络基础 — 物理网络》 《计算机网络基础 — TCP/IP 网络模型》 《计算机网络基础 — Linux 内核网络协议栈》 《计算机网络基础 — 虚拟网络》 《计算机网络基础 — Linux 虚拟交换机》 前言 本文通过 OpenStac...
网络基础路由器交换机防火墙常见命令
xuedinge_de_mao的博客
04-24 2700
路由器 关闭日志 undo info-center enable 查看路由端口IP地址 dis ip int brief 查看路由表 dis ip routing-table 显示acl dis acl 2000 添加静态路由 ip route-static 目标网段 子网掩码 下一跳的IP地址 末梢网络可以配置任何主机: ip route-static 0.0.0.0 0.0.0.0 下一跳地址 添加动态路由: ospf 1 router-id 1.1.1.1 创建
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1083
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
tcp三次握手和四次挥手
qq_25096749的博客
11-06 656
三次握手与四次挥手
网络】深入理解 HTTPS:确保数据传输安全的核心协议
人生苦短,睡觉要紧,睡醒再说
11-06 1618
HTTPS(HyperText Transfer Protocol Secure)是 HTTP 协议的安全版本。HTTP 是用于客户端与服务器之间传输网页数据的协议,而 HTTPS 在 HTTP 协议的基础上添加了一层SSL/TLS加密协议,使得传输的数据在网络中不易被窃取或篡改。HTTPS 通常用于传输敏感信息,如登录凭证、支付信息、个人数据等。与 HTTP 协议不同,HTTPS 在数据传输过程中会对信息进行加密,确保数据在传输过程中不被第三方监听或修改。
第六章传输层协议、ACL
2401_86349554的博客
11-05 857
第六章传输层协议、ACL
Tcp/Ip协议,tcp相关文章,网络编程,通信协议文章汇总
最新发布
求是
11-10 126
学习时候,有些书籍读了就忘记了。常读常新,特此留下地址。1. tcp/ip 协议卷。2.不为人知的网络编程。
VLANVLAN间路由详解
2. VLAN间路由(Inter-VLAN Routing):在三层交换机上配置SVI,每个VLAN对应一个SVI,通过SVI进行路由转发。 3. 多层交换(MLS,Multi-Layer Switching):在高端交换机上启用路由功能,允许在二层和三层之间快速...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值