论文部分内容阅读
摘 要:为提高企业内部网络安全管理需要,作者从实践经验中总结出在企业已淘汰的普通计算机上安装Linux系统来实现VLAN间的单臂路由及安全网关的功能,既节省企业成本又能达到旧设备的有效利用。
关键词:Linux;VLAN;vconfig;NAT;iptables
中图分类号:TP393.1
1 基本网络示意图
图1
1.1 交换机上创建3个VLAN
(1)VLAN20为管理VLAN,用于交换机的远程管理;
(2)VLAN30包含eth1—eth10号端口,属于A部门;
(3)VLAN40包含eth11—eth20号端口,属于B部门;
1.2 交换机上配置Trunk端口
交换机24号端口的端口类型配置为Trunk端口,Trunk端口能够转发不同VLAN的数据。
1.3 各部门客户端
(1)A1客户端:IP:192.168.130.1/24
(2)A2客户端:IP:192.168.130.2/24
(3)B1客户端:IP:192.168.140.1/24
(4)B2客户端:IP:192.168.140.2/24
其中A部门网关地址是192.168.130.254,B部门网关地址是192.168.140.254,各部门客户端DNS设置为Internet上的DNS服务器地址(如:8.8.8.8和4.4.4.4)。
2 交换机配置
2.1 VLAN的作用
VLAN是把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
2.2 在交换机上具体配置VLAN
在交换机的系统视图下输入下列命令行创建所需的VLAN和相应配置:
vlan 30
port Ethernet 0/1 to Ethernet 0/10
quit
vlan 40
port Ethernet 0/11 to Ethernet 0/20
quit
interface Ethernet 0/24
port link-type trunk
port trunk permit vlan all
quit
vlan 20
quit
interface vlan-interface 20
ip address 192.168.120.253 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.120.254
user-interface vty 0 4
set authentication password simple 123456
user privilege level 0
quit
super password simple 321123
3 Linux系统的安装与配置
3.1 安装Linux系统
(1)准备一台淘汰的P4级别的台式计算机,内存512MB并安装两块使用性能及兼容性好的网卡。
(2)Linux系统可以选择免费的开源系统CentOS 6。从http://www.centos.org网址上找minimal的iso镜像文件,保存到本地并刻录光盘,通过光驱引导安装Linux系统。
(3)升级Linux系统并安装vconfig组件
把安装好的Linux系统先连接到互联网上,再通过yum命令进行升级和安装组件:
yum -y update
yum -y install vconfig
3.2 配置Linux VLAN
(1)连接两个网卡
其中eth0接口连接到交换机的24号端口(trunk端口),eth1接口连接互联网。
(2)eth0接口配置
/etc/sysconfig/network-scripts/ifcfg-eth0是eth0接口的配置文件。
DEVICE=eth0
TYPE=Ethernet
BOOTPROTO=static
IPADDR=0.0.0.0
ONBOOT=yes
(3)给eth0物理接口添加VLAN
vconfig set_name_type VLAN_PLUS_VID
vconfig add eth0 20
vconfig add eth0 30
vconfig add eth0 40
ip address add 192.168.120.254/24 broadcast + dev vlan0020
ip address add 192.168.130.254/24 broadcast + dev vlan0030
ip address add 192.168.140.254/24 broadcast + dev vlan0040 ip link set dev vlan0020 up
ip link set dev vlan0030 up
ip link set dev vlan0040 up
为了便于系统下次启动时使用此配置,我们可以把上面的配置保存到脚本文件里,然后在系统启动时加载即可。
若想删除已经建立好的VLAN则使用vconfig rem [VLAN名称]命令。
(4)eth1接口配置
eth1的配置与eth0类似,根据图示配置参数即可。
3.3 打开Linux系统的包转发功能
/etc/sysctl.conf
net.ipv4.ip_forward = 1
3.4 配置接口的NAT功能
iptables -t nat -A POSTROUTING -s 192.168.130.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.140.0/24 -o eth1 -j MASQUERADE
service iptables save
service iptables restart
3.5 添加默认路由
ip route add default via 202.99.224.1 dev eth1
3.6 配置Linux防火墙
防火墙配置之前清除原来的规则。
(1)防御外网接口的攻击
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i eth0 -p tcp -m state --state NEW –m tcp --dport 22 -j ACCEPT
service iptables save
service iptables restart
(2)防御TCP洪水攻击和ICMP洪水攻击
编辑/etc/sysctl.conf文件修改下列两个值,若没有此属性则直接添加。
net.ipv4.tcp_syncookies=1
net.ipv4.icmp_echo_ignore_broadcasts=1
service iptables restart
通过以上配置不仅能够实现VLAN间的单臂路由及安全网关的功能,还可以做到DNAT、策略路由、流量控制等。总之、使用丰富的Linux系统功能使我们找到既经济又实用的解决安全网关的方案。
参考文献:
[1]张辉,译.Evi Nemeth.Linux.系统管理技术手册[M].北京:人民邮电出版社,2003:191-266.
[2]李瑞江,张冀红.基于VLAN的策略路由的应用[J].电子设计工程,2009,8(03):95-96.
作者简介:秦宝龙(1980.04-),男,蒙古族,内蒙古兴安盟人,讲师,工科学士学位,研究方向:计算机网络。
作者单位:内蒙古警察职业学院,呼和浩特 010051
关键词:Linux;VLAN;vconfig;NAT;iptables
中图分类号:TP393.1
1 基本网络示意图
图1
1.1 交换机上创建3个VLAN
(1)VLAN20为管理VLAN,用于交换机的远程管理;
(2)VLAN30包含eth1—eth10号端口,属于A部门;
(3)VLAN40包含eth11—eth20号端口,属于B部门;
1.2 交换机上配置Trunk端口
交换机24号端口的端口类型配置为Trunk端口,Trunk端口能够转发不同VLAN的数据。
1.3 各部门客户端
(1)A1客户端:IP:192.168.130.1/24
(2)A2客户端:IP:192.168.130.2/24
(3)B1客户端:IP:192.168.140.1/24
(4)B2客户端:IP:192.168.140.2/24
其中A部门网关地址是192.168.130.254,B部门网关地址是192.168.140.254,各部门客户端DNS设置为Internet上的DNS服务器地址(如:8.8.8.8和4.4.4.4)。
2 交换机配置
2.1 VLAN的作用
VLAN是把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
2.2 在交换机上具体配置VLAN
在交换机的系统视图下输入下列命令行创建所需的VLAN和相应配置:
vlan 30
port Ethernet 0/1 to Ethernet 0/10
quit
vlan 40
port Ethernet 0/11 to Ethernet 0/20
quit
interface Ethernet 0/24
port link-type trunk
port trunk permit vlan all
quit
vlan 20
quit
interface vlan-interface 20
ip address 192.168.120.253 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.120.254
user-interface vty 0 4
set authentication password simple 123456
user privilege level 0
quit
super password simple 321123
3 Linux系统的安装与配置
3.1 安装Linux系统
(1)准备一台淘汰的P4级别的台式计算机,内存512MB并安装两块使用性能及兼容性好的网卡。
(2)Linux系统可以选择免费的开源系统CentOS 6。从http://www.centos.org网址上找minimal的iso镜像文件,保存到本地并刻录光盘,通过光驱引导安装Linux系统。
(3)升级Linux系统并安装vconfig组件
把安装好的Linux系统先连接到互联网上,再通过yum命令进行升级和安装组件:
yum -y update
yum -y install vconfig
3.2 配置Linux VLAN
(1)连接两个网卡
其中eth0接口连接到交换机的24号端口(trunk端口),eth1接口连接互联网。
(2)eth0接口配置
/etc/sysconfig/network-scripts/ifcfg-eth0是eth0接口的配置文件。
DEVICE=eth0
TYPE=Ethernet
BOOTPROTO=static
IPADDR=0.0.0.0
ONBOOT=yes
(3)给eth0物理接口添加VLAN
vconfig set_name_type VLAN_PLUS_VID
vconfig add eth0 20
vconfig add eth0 30
vconfig add eth0 40
ip address add 192.168.120.254/24 broadcast + dev vlan0020
ip address add 192.168.130.254/24 broadcast + dev vlan0030
ip address add 192.168.140.254/24 broadcast + dev vlan0040 ip link set dev vlan0020 up
ip link set dev vlan0030 up
ip link set dev vlan0040 up
为了便于系统下次启动时使用此配置,我们可以把上面的配置保存到脚本文件里,然后在系统启动时加载即可。
若想删除已经建立好的VLAN则使用vconfig rem [VLAN名称]命令。
(4)eth1接口配置
eth1的配置与eth0类似,根据图示配置参数即可。
3.3 打开Linux系统的包转发功能
/etc/sysctl.conf
net.ipv4.ip_forward = 1
3.4 配置接口的NAT功能
iptables -t nat -A POSTROUTING -s 192.168.130.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.140.0/24 -o eth1 -j MASQUERADE
service iptables save
service iptables restart
3.5 添加默认路由
ip route add default via 202.99.224.1 dev eth1
3.6 配置Linux防火墙
防火墙配置之前清除原来的规则。
(1)防御外网接口的攻击
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state NEW,INVALID -j DROP
iptables -A INPUT -i eth0 -p tcp -m state --state NEW –m tcp --dport 22 -j ACCEPT
service iptables save
service iptables restart
(2)防御TCP洪水攻击和ICMP洪水攻击
编辑/etc/sysctl.conf文件修改下列两个值,若没有此属性则直接添加。
net.ipv4.tcp_syncookies=1
net.ipv4.icmp_echo_ignore_broadcasts=1
service iptables restart
通过以上配置不仅能够实现VLAN间的单臂路由及安全网关的功能,还可以做到DNAT、策略路由、流量控制等。总之、使用丰富的Linux系统功能使我们找到既经济又实用的解决安全网关的方案。
参考文献:
[1]张辉,译.Evi Nemeth.Linux.系统管理技术手册[M].北京:人民邮电出版社,2003:191-266.
[2]李瑞江,张冀红.基于VLAN的策略路由的应用[J].电子设计工程,2009,8(03):95-96.
作者简介:秦宝龙(1980.04-),男,蒙古族,内蒙古兴安盟人,讲师,工科学士学位,研究方向:计算机网络。
作者单位:内蒙古警察职业学院,呼和浩特 010051