OBRONA
Konfiguracja sieci VLAN i Subinterfejsy w Cisco ASA
– część IV
Wirtualna sieć LAN (VLAN) jest symulacją standardowej sieci LAN, pozwalająca na przesyłanie danych bez tradycyjnych ograniczeń. Stanowi zbiór urządzeń LAN zaliczonych do jednej grupy administracyjnej na podstawie parametrów konfiguracyjnych i polityki administracyjnej, a nie fizycznej lokalizacji. Dowiesz się: • o wprowadzeniu do konfiguracji ściany ogniowej Cisco ASA • o umiejętności korzystania z poleceń IOS • o podstawach zabezpieczenia sieci lokalnych
U Grzegorz Gałęzowski Kontakt z autorem: gsgalezowski@gmail.com
Powinieneś wiedzieć: • podstawowa wiedza na temat urządzeń Cisco • posiadać umiejętność pracy z emulatorem terminala
rządzenia komunikują się ze sobą tak, jakby były dołączone do jednego przewodu lub koncentratora, choć mogą się znajdować w różnych segmentach sieci LAN, nawet gdy fizycznie są umieszczone przy tym samym przełączniku. Ponieważ podstawą VLAN są połączenia logiczne, a nie fizyczne, sieci te są bardzo elastyczne. W przypadku VLAN fizyczna lokalizacja nie ma znaczenia, dlatego tez w latach 90. sieci tego typu budziły duże zainteresowanie ze względu na możliwość używania tych sieci do pracy grupowej osób znajdujących się w oddalonych miejscach. Administrator takiej sieci może przypisać użytkowników do sieci niezależnie od tej lokalizacji na podstawie aplikacji, protokołów, wymagań dotyczących wydajności lub bezpieczeństwa, charakterystyki natężenia ruchu itp. Tyle w ramach wstępu odnośnie sieci VLAN. W tej części cyklu poświęconego Cisco ASA skupię się na warstwie 2 (łączności) ściany ogniowej Cisco ASA. Dla przypomnienia, każdy interfejs (fizyczny lub logiczny) w urządzeniu Cisco ASA jest używany do tworzenia stref bezpieczeństwa, które są po prostu segmentami sieci (warstwa 3 podsieci) komputerów PC, serwerów itp. Każda strefa zabezpieczeń jest chroniona przez zaporę z innych stref bezpieczeństwa.
by HAKIN9
W celu stworzenia bezpiecznej sieci, która jest zgodna z zasadami warstwowego zabezpieczenia (co jest dobrą praktyką), musimy podzielić segmenty sieci na różne strefy bezpieczeństwa (podsieci), które są kontrolowane i chronione przez zaporę. Aby utworzyć takie strefy zabezpieczeń, można używać zarówno fizycznego lub logicznego interfejsu w urządzeniu. Jednakże, w celu stworzenia warstwy 3 podsieci, należy mieć również różne warstwy 2 dla każdej podsieci VLAN. Cisco ASA obsługuje wiele VLANów w standardzie 802.1q funkcjonujących na interfejsie fizycznym. Oznacza to, tyle że administrator może konfigurować wiele logicznych interfejsów (subinterfejsy) na pojedynczym interfejsie fizycznym i może przydzielać każdemu logiczny interfejs do konkretnej sieci VLAN. Na przykład, urządzenie z 4 fizycznymi interfejsami nie jest ograniczone do posiadania tylko 4 stref bezpieczeństwa. Możemy stworzyć na przykład 3 logiczne subinterfejsy na każdy fizyczny interfejs, który da nam 12 (4x3) różnych stref bezpieczeństwa. W zależności od modelu Cisco ASA, można skonfigurować maksymalnie do 250 sieci VLAN na jednym urządzeniu. Po skonfigurowaniu subinterfejsów (VLAN) na fizycznym interfejsie, musimy jeszcze ten interfejs podłączyć pod port trunk na 2 war-
7/2011 (5)