1. VLAN可能带来灾难 如何避免

2. [10-10 23:22:12]   来源：http://www.85jc.com  网络故障   阅读：8512次

概要：这些四字节长的802.1Q被附加在以太网数据包头中，紧跟在源地址后。前两（电脑没声音）个字节包含81 00，是802.1Q标签协议类型。后两（电脑没声音）个字节包含一个可能的优先级，一个标志和12比特的VID（VLAN Identifier）。VID的取值在0到4095之间，而0和4095都作为保留值。VID的默认值为1，这个值同时也是为VLAN配置的交换机的未指定端口的默认值。 根据Cisco交换机的默认配置，链路聚合是推荐的配置。如果一个端口发现另一个交换机也连在这个端口上，此端口可以对链路聚合进行协商。默认的链路端口属于VLAN1，这个VLAN被称作该端口的本地VLAN。管理员能够将链路端口指定给任何VLAN。 可以通过设置链路端口来防止这种VLAN间数据包的传送，将链路端口的本地VLAN设置成不同于其他任何VLAN的VID。记住链路端口的默认本地VLAN是VID 1。可以选择将链路端口的本地VLAN设置为1001，或者任何交换机允许的且不被其他任何VLAN所使用的值。 防火墙和VLAN 知道了交换机如何共享VLAN信息

VLAN可能带来灾难 如何避免,标签：网络故障解决,网络故障排除,http://www.85jc.com
这些四字节长的802.1Q被附加在以太网数据包头中，紧跟在源地址后。前两（电脑没声音）个字节包含81 00，是802.1Q标签协议类型。后两（电脑没声音）个字节包含一个可能的优先级，一个标志和12比特的VID（VLAN Identifier）。VID的取值在0到4095之间，而0和4095都作为保留值。VID的默认值为1，这个值同时也是为VLAN配置的交换机的未指定端口的默认值。
根据Cisco交换机的默认配置，链路聚合是推荐的配置。如果一个端口发现另一个交换机也连在这个端口上，此端口可以对链路聚合进行协商。默认的链路端口属于VLAN1，这个VLAN被称作该端口的本地VLAN。管理员能够将链路端口指定给任何VLAN。
可以通过设置链路端口来防止这种VLAN间数据包的传送，将链路端口的本地VLAN设置成不同于其他任何VLAN的VID。记住链路端口的默认本地VLAN是VID 1。可以选择将链路端口的本地VLAN设置为1001，或者任何交换机允许的且不被其他任何VLAN所使用的值。
防火墙和VLAN
知道了交换机如何共享VLAN信息之后，就可以更准确地评价支持VLAN的防火墙。支持VLAN的防火墙从支持VLAN的交换机那里（电脑自动关机）获得头部带有802.1Q标签的数据包，这些标签将被防火墙展开，然后用来进行安全规则的检测。尽管到目前为止，我们只讨论了以太网的情况，802.1Q标签同样适用于其他类型的网络，比如ATM 和FDDI。
802.1Q标签并不能提供身份验证，它们只不过是交换机用来标志从特定VLAN来的特定数据包的一种方式。如同许多年来人们伪造IP源地址一样，VLAN标签同样可以被伪造。最新的Linux操作系统带有对工作于VLAN交换机模式的支持，可以生成本地系统管理员可以选择的任意VLAN标签。
安全使用802.1Q标签的关键在于设计这样一种网络：交换机链路连接到防火墙接口，而基于VLAN标签的安全检测将在防火墙接口进行。如果有其他的线路能够到达防火墙的接口，伪造VLAN标签的可能性就会增大。交换机本身必须被正确配置，进行链路聚合的链路端口要进行特殊配置，然后加入到非默认VID中。
在任何关于交换机的讨论中，保护对交换机设备的管理权限这一结论是永远不变的。交换机和其他网络设备一样可以从三种途径进行管理：Telnet、HTTP和SNMP。关掉不使用的管理途径，在所使用的管理途径上也要加上访问控制。因为当攻击者来自网络外部时，防火墙可以控制他对交换机的访问；当攻击者来自网络内部或者攻击者获得了访问内部系统的权限而发起攻击时，防火墙对此将无能为力。
 
VLAN可能带来灾难 如何避免

上一页  [1] [2] 

上一篇：弹性分组环技术及其应用