我读过的大多数 VLAN 文章都建议避免将 VLAN1 用于未标记流量的端口(也称为访问端口)。我已经听够了这种废话了。0x000除了and的保留值0xFFF,数字只是一个数字,仅此而已。
通过进一步阅读关于 的更多信息VLAN hopping,我了解到他们将 VLAN1 作为未标记流量(也称为本地 VLAN)放在中继链路上的想法,因此如果我们将其他访问端口(非中继)放在同一个 VLAN1 中,黑客可以通过插入来利用它一个标签并将数据发送到任何 VLAN。
他们说 VLAN1 通常是访问端口的默认 VLAN ID,并且中继端口将 VLAN1 的流量发送为未标记(也称为本地 VLAN1)。这就是为什么他们建议避免将 VLAN1 用于访问端口。在该漏洞有任何机会发生之前,他们为什么要在中继链路上将 VLAN1 流量输出为未标记?他们为什么不直接标记流经它的所有东西?
默认 VLAN 和本机 VLAN 实际上是两个不同的概念,它们经常混淆,因为它们通常是同一个 VLAN,但它们可能不需要。
VLAN 1 是默认 VLAN(这意味着不在交换机接口上配置 VLAN 会将其留在 VLAN 1 中)。坏人知道它存在于您的网络中,除非您采取措施将其删除或不允许它。一些供应商甚至需要 VLAN 1,某些版本的生成树也是如此(STP 版本可能需要它作为默认 VLAN 和本地 VLAN)。因为它是默认 VLAN,所以很多人也将其用作网络设备的管理 VLAN。所有这一切使它成为坏人的主要目标。
因为中继上的帧被标记以将帧分隔到 VLAN 中,因此可以将帧放置在中继另一端的正确 VLAN 中,这意味着一个 VLAN 可以未标记并且仍然分离,这称为本地 VLAN。因为 VLAN 1 是默认 VLAN,所以默认情况下它最终成为本地 VLAN。根据所使用的生成树的供应商和版本,您可以将本地 VLAN 更改为不同的 VLAN。
避免使用 VLAN 1 并且没有本地 VLAN 会使坏人变得更加困难,而且这是一件简单的事情。Cisco 建议不要使用 VLAN 1,从中继链路(switchport trunk allowed命令)限制 VLAN 1,并且不要在中继上使用本地 VLAN,这意味着中继上的所有 VLAN 都将被标记,并且不会有 VLAN 1 帧。事实上,您应该限制中继只允许中继链路另一端所需的 VLAN,但很多人只是让它默认允许所有 VLAN。此外,您应该通过将交换机置于透明模式来禁用 VTP。还有一个命令来标记native VLAN,这意味着你真的没有native VLAN。
请记住,VLAN 是在事后被固定在以太网上的,并且在创建标准时确实不存在人们侵入网络并试图引起问题的大问题。