巩固有私有VLAN和VLAN访问控制列表的网络(3)
2007-11-12   cisco网站

外部 DMZ

外部DMZ方案可能 是被接受的和广泛配置的实施。外部DMZ通过使用防火墙的一 个或更多接口实现，如显示下面的图。

图4：外部DMZ

正如在早先案例分析，第一配置步 骤在达到包括隔离在L2通过PVLANs，并且确定DMZ 服务器不能彼此 谈当内部和外部主机能访问他们时。这在辅助VLAN通过设置 服务器实现与隔离的端口。在主VLAN应该定义防火墙与一个 混乱端口。防火墙将是唯一的设备在此主VLAN之内。

第二步将定义ACLs控制于DMZ发起的 数据流。当定义这ACLs时我们需要确定仅必要的数据流允许 。

测试外 部DMZ

下面的镜象显示 为此案例分析实现的试验床，我们其中使用了一个PIX防火墙与第三 个接口为DMZ。同一个这一组路由器使用作为网络服务器，并 且所有HTTP会话用同一个RADIUS服务器验证。

图5：外部DMZ试验床

为此方案因为 PVLANs和VACL配置在早先案例分析中，详细解释了我们附有仅更加 有趣的摘要从配置文件。

PIX配置
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
ip address outside 198.5.6.10 255.255.255.0
ip address inside 172.16.65.201 255.255.255.240
ip address dmz 199.5.6.10 255.255.255.0
global (outside) 1 198.5.6.11
global (dmz) 1 199.5.6.11
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz,outside) 199.5.6.199 199.5.6.199 netmask 255.255.255.255 0 0
static (dmz,outside) 199.5.6.202 199.5.6.202 netmask 255.255.255.255 0 0
static (inside,dmz) 172.16.171.9 172.16.171.9 netmask 255.255.255.255 0 0
static (inside,dmz) 171.68.10.70 171.68.10.70 netmask 255.255.255.255 0 0
static (inside,dmz) 171.69.0.0 171.69.0.0 netmask 255.255.0.0 0 0
conduit permit tcp host 199.5.6.199 eq www any
conduit permit tcp host 199.5.6.202 eq www any
conduit permit udp any eq domain any
conduit permit icmp any any echo-reply
conduit permit icmp any any unreachable
conduit permit udp host 172.16.171.9 eq 1645 host 199.5.6.199
conduit permit udp host 172.16.171.9 eq 1646 host 199.5.6.199
conduit permit udp host 172.16.171.9 eq 1646 host 199.5.6.202
conduit permit udp host 172.16.171.9 eq 1645 host 199.5.6.202
conduit permit icmp any host 199.5.6.199 echo
conduit permit icmp any host 199.5.6.202 echo
route outside 0.0.0.0 0.0.0.0 198.5.6.1 1
route inside 171.69.0.0 255.255.0.0 172.16.65.193 1
route inside 171.68.0.0 255.255.0.0 172.16.65.193 1
route inside 172.16.0.0 255.255.0.0 172.16.65.193 1

RADIUS配置

NAS配置
aaa new-model
aaa authentication login default radius local
aaa authentication login consoleauth none
aaa authorization exec default radius local
aaa authorization exec consoleautho none
aaa accounting exec default start-stop radius
aaa accounting exec consoleacct none
radius-server host 172.16.171.9 auth-port 1645 acct-port 1646
radius-server key cisco123
!
line con 0
exec-timeout 0 0
password ww
authorization exec consoleautho
accounting exec consoleacct
login authentication consoleauth
transport input none
line aux 0
line vty 0 4
password ww
!
end

RADIUS服务器 CSUX

User Profile Information
 user = martin{
 profile_id = 151
 profile_cycle = 5
 radius=Cisco {
 check_items= {
 2=cisco
 }
 reply_attributes= {
 6=6
 }
 }
 }
 User Profile Information
 user = NAS.172.16.65.199{
 profile_id = 83
 profile_cycle = 2
 NASName="172.16.65.199"
 SharedSecret="cisco123"
 RadiusVendor="Cisco"
 Dictionary="DICTIONARY.Cisco"
 }
 

Catalyst配置

应该注意它在此配置没有需要配置VACL 在主VLAN因 为PIX不重定向来自的数据流在同一个接口外面。VACL作为 在VACL配置 描述的 那个 在主VLAN 部分冗余。
set security acl ip dmz_servers_out
---------------------------------------------------
1. deny icmp any any fragment
2. permit icmp host 199.5.6.199 any echo
3. permit icmp host 199.5.6.202 any echo
4. permit tcp host 199.5.6.199 eq 80 any established
5. permit tcp host 199.5.6.202 eq 80 any established
6. permit udp host 199.5.6.199 eq 1645 host 172.16.171.9 eq 1645
7. permit udp host 199.5.6.202 eq 1645 host 172.16.171.9 eq 1645
8. permit udp host 199.5.6.199 eq 1646 host 172.16.171.9 eq 1646
9. permit udp host 199.5.6.202 eq 1646 host 172.16.171.9 eq 1646
10. permit udp host 199.5.6.199 any eq 53
11. permit udp host 199.5.6.202 any eq 53
ecomm-6500-2 (enable) sh pvlan
Primary Secondary Secondary-Type Ports
------- --------- ---------------- ------------
41 42 isolated 3/9-10
ecomm-6500-2 (enable) sh pvlan mapping
Port Primary Secondary
---- ------- ---------
3/14 41 42
3/34 41 42
3/35 41 42
ecomm-6500-2 (enable) sh port
Port Name Status Vlan Duplex Speed Type
----- ------------------ ---------- ---------- ------ ----- ------------
3/9 server_dmz1 connected 41,42 a-half a-10 10/100BaseTX
3/10 server_dmz2 connected 41,42 a-half a-10 10/100BaseTX
3/14 to_pix_port_2 connected 41 full 100 10/100BaseTX
3/35 external_router_dm notconnect 41 auto auto 10/100BaseTX