Port Isolation of OmniSwitch

Posted on In

簡介

以前我們講求的縱深防禦,是由上而下築起防禦工事,顯然對於現今的資訊安全已經不足,因為在相同Layer 2 Domain下的裝置是不需要經過routing就可以互相連通,更何況現在Data Center都是講求大二層的架構,如果有一些攻擊行為採取橫向探測移動,除非要在本機上啟動防火牆功能,否則是難以使用ACL、外部Firewall來進行管控。

若要針對橫向溝通進行管控,這樣的方式早期稱為Isolation,而現在比較熱門的名詞則叫做Micro Segmentation

OmniSwitch有一個功能叫做Port Mapping,也可以稱作Port Isolation,可以想像就是將兩個physical port的流量進行隔離,無法互相溝通。

在網路上你可能會查到有一些資料上面寫OmniSwitch Port Mapping(Private VLAN)這個字眼,這樣的寫法不太正確!

因為Port Mapping的作用是隔離Port與Port之間的流量,而Private VLAN在AOS R8是一個獨立的功能,它才有辦法在同一個VLAN下隔離不同IP的連線。

實作

port mapping的session id總共有8個可以設定,預設的模式為雙向(bidirectional)

Basic setup

這裡我們設定1/71/8這兩個port為user port1/10network port

1
2
-> port mapping 8 user-port 1/7-8 network-port 1/10
-> port mapping 8 enable

執行完上面指令後可以下show port mapping 8來觀察一下列表

1
2
3
4
5
6
-> show port mapping 8

SessionID       USR-PORT        NETWORK-PORT
-----------+----------------+------------------
     8          1/7             1/10
     8          1/8

也可以下show port mapping 8 status看一下模式設定

1
2
3
4
5
-> show port mapping 8 status

SessionID       Direction       Status	       DPA Status
------------+-----------------+------------+-------------
     8            bi           enable          disable

上述設定的兩個user port是無法互相連通,只能與指定的network port連通。

Sessions share

當port mapping的mode設定成單向(unidirectional)時,network port可以share不同的sessions,意思就是可以將不同session的network port設定成同一個,共用同一個port當成network port使用。

1
2
3
4
5
6
7
-> port mapping 8 unidirectional
-> port mapping 8 user-port 1/7 network-port 1/10
-> port mapping 8 enable

-> port mapping 7 unidirectional
-> port mapping 7 user-port 1/8 network-port 1/10
-> port mapping 7 enable
1
2
3
4
5
6
-> show port mapping

SessionID       USR-PORT        NETWORK-PORT
-----------+----------------+------------------
     7          1/8             1/10
     8          1/7             1/10

port mapping bidirectional mode是無法跟其他session或是任何mode共用相同network port