Cấu hình PVLAN (Private VLAN) trên vùng DMZ của Cisco ASA 5505 (5506)

ASA 5505 (5506) là kiểu máy duy nhất có bộ chuyển mạch 8 cổng được nhúng trong thiết bị. Tất cả các giao diện của ASA5505 (5506) đều là cổng chuyển mạch Layer2 và do đó chúng hỗ trợ một số tính năng mà bạn có thể tìm thấy trên thiết bị chuyển mạch Switch Cisco. Một trong những tính năng này được gọi là “Private Vlan”.

Khái niệm “Private VLAN ” rất hữu ích trong môi trường DMZ. Đây là cách nó có thể được sử dụng: Giả sử bạn có tường lửa với Giao diện bên ngoài được kết nối với Internet, giao diện Bên trong được kết nối với mạng LAN an toàn và Giao diện DMZ được kết nối với mạng con đang lưu trữ một số máy chủ có thể truy cập công cộng (ví dụ: Máy chủ Web , Máy chủ email, v.v.). Các máy chủ DMZ đều nằm trên cùng một mạng con. Do đó, nếu một trong các máy chủ DMZ bị xâm nhập, thì kẻ tấn công có thể dễ dàng sử dụng máy chủ bị tấn công này làm “bước đệm” để truy cập các máy chủ khác trong DMZ.

Tình trạng trên có thể được giảm thiểu bằng cách sử dụng “Private VLAN”. Bằng cách chỉ định mỗi cổng chuyển mạch của DMZ là “Private VLAN” thì các máy chủ trong DMZ sẽ không được phép giao tiếp với nhau.

Các bạn có thể tìm hiểu Private VLAN (PVLAN) tại đây:

Hãy xem sơ đồ bên dưới

​

Giả sử chúng ta có ASA5505 (5506) với ba Vùng bảo mật:

• Outside Zone: Interface E0/0 in VLAN 10
• Inside Zone: Interface E0/1 in VLAN 20
• DMZ Zone: Interfaces E0/2, E0/3 in VLAN 30

Lưu ý: trong DMZ chúng ta có 2 máy chủ có thể truy cập công cộng (Máy chủ Web và Máy chủ Email) mà cả hai đều thuộc về cùng một Vlan Layer2 (VLAN30) thuộc mạng con Layer3 (10.0.0.0/24).

Nếu không định cấu hình “Private Vlans”, thì nếu máy chủ Web hoặc Email bị tấn công, kẻ tấn công cũng có thể truy cập vào máy chủ DMZ khác. Với Private VLAN, Máy chủ Web và Máy chủ Email Không thể giao tiếp với nhau mặc dù chúng nằm trên cùng một Vlan thuộc cùng mạng con. Tuy nhiên, tất cả các vùng khác (bên ngoài và bên trong) đều có thể truy cập vào vùng DMZ (và ngược lại) mà không gặp vấn đề gì.

Cấu hình (Configuration):

Chúng ta sẽ chỉ xem xe1y cấu hình liên quan đến thiết lập Private Vlan như sau.

ASA5505(5506) (config)# interface ethernet 0/0
ASA5505(5506) (config-if)# switchport access vlan 10
ASA5505(5506) (config-if)# no shutdown

ASA5505(5506) (config-if)# interface ethernet 0/1
ASA5505(5506) (config-if)# switchport access vlan 20
ASA5505(5506) (config-if)# no shutdown

ASA5505(5506) (config-if)# interface ethernet 0/2
ASA5505(5506) (config-if)# switchport access vlan 30
ASA5505(5506) (config-if)# no shutdown
ASA5505(5506) (config-if)# switchport protected

ASA5505(5506) (config-if)# interface ethernet 0/3
ASA5505(5506) (config-if)# switchport access vlan 30
ASA5505(5506) (config-if)# no shutdown
ASA5505(5506) (config-if)# switchport protected

Lệnh “switchport protected” định cấu hình các cổng vật lý cụ thể thành “Private VLAN”. Tất cả các cổng được cấu hình là Private Vlans không thể giao tiếp với nhau.

Cám ơn các bạn đã theo dõi bài viết.