Ti portiamo dove vuoi arrivare. Avanti.
Microsoft Gold Certified Partner
Language
English       Italian
Follow us:
 
Support
Cerca

Ricerca avanzata

Home > BLOGS > Systems and Web > Marzo 2009 > PVLAN e VLAN ACLs con Switch Cisco

Title

Blog per Sistemi e servizi Web

My favourite websites

Recent posts

  • Sharepoint Site collection out of sync with Active Directory information
  • OCS 2007 R2 Communicator impossibile scaricare la rubrica
  • Sharepoint searched and opened document are in read mode only and the edit button does not appear
  • How to install and use DPM 2007 SP1 and Windows Server 2008 with Hyper-V role on the same host
  • PVLAN e VLAN ACLs con Switch Cisco - Part 3 (VLAN ACLs)

    • Syndication

    RSS

    Post archive

    July 2010(1)
    September 2009(1)
    July 2009(2)
    June 2009(0)
    May 2009(0)
    Marzo 2009(4)
    February 2009(2)

    PVLAN e VLAN ACLs con Switch Cisco

     Abstract

    Per un nostro cliente che offre un servizi di Housing per alcuni clienti,  ospitando server nel proprio data center con connettività Internet e protezione con il firewall centralizzato.
    I server in DMZ sono in un’unica subnet ed hanno indirizzamento pubblico.
    La configurazione presenta un problema di sicurezza, in quanto se uno dei server clienti presenta delle vulnerabilità, queste potrebbero essere sfruttate per attaccare gli altri server (di altri clienti) che si trovano nella stessa sottorete, in quanto la comuncazione inter-vlan non è controllata.
    Obiettivo è lo studio di una soluzione che consenta di soddisfare le seguenti esigienze:
    -       Non creare ulteriori subnet per non perdere indirizzi IP pubblici
    -       Consentire la comiuncaizone tra gruppi di host (macchine dello stesso cliente)
    -       La soluzione deve essere relativamente semplice da gestire e da amministrare.
    -       Non introdurre dispositivi hardware aggiuntivi (firewall o altro) ma sfruttare le tecnologie Juniper e Cisco attualmente in uso.
     

    Utilizzo delle PVLAN si switch Cisco

     
    Le Private VLAN consentono di creare una configurazione (host isolation) che impediscono ad host della stessa sottorete di comunicare tra loro.
    La comunicazione tra host dello stesso cliente è possibile configurando una community VLAN.
     
    Pro:
    -       Soluzione relativamente semplice da configurare e gestire.
    Contro:
    -       Richiede modifiche infrastrutturali in quanto le porte in etherchannel non sono supportate (quindi sarebbe necessario utilizzare un dispositivo di routing addizionale)
    -       La comunicazione tra host della stessa VLAN puó essere completamente bloccata o completamente consentita, non è possibile applicare filtri per porte tcp o udp specifice.

    Utilizzo delle VLAN ACL su Switch Cisco


    La configurazione delle VLAN access List consente di filtrare il traffico a livello di MAC address o di IP sugli switch.
    La configurazione da realizzare dovrebbe prevedere la possibilità per i singoli host di raggiungere il default gateway.
    Pro:
    -       La configurazione non impatta sull’infrastruttura attuale.
    -       E’ possibile filtrare in modo più granulare la comunicazione tra i vari host rispetto alla soluzione con le PVLAN
    -       La configurazione è relativamente semplice da gestire.

     
    Posted: 12/05/2009 00:23:24 by Ivan Fioravanti | with 0 comments


    Comments
    Blog post currently doesn't have any comments.
    Leave comment



     Security code

    4WARD srl - P.IVA 03408060964
    V. Negrelli 9/a 39100 Bolzano - T. +39.0471 919986 | V. Luigi Ornato, 136 20162 Milano - T. +39 02 97375000 | V. Vivaldi 8/b 37050 Oppeano (VR)