没有任何路由器的 VLAN 示例——安全问题?

网络工程 VLAN 安全 层2
2021-08-03 14:16:39

我正在阅读VLAN 设置演练,作者有一个有趣的想法,即在没有路由器的情况下设置 VLAN(您通常不会看到)。乍一看,这似乎并不像作者预期的那样实际工作,但是,我以前错了。

  • 在交换机中,他设置了三个 VLAN(2、3 和 4)。
  • 然后,他将一组端口分配给 VLAN 2 和 3,(未标记的)PVID 为 3。
  • 第二组端口分配给 VLAN 2 和 4,(未标记的)PVID 为 4。
  • 然后将路由器的端口分配给所有三个 VLAN(2、3 和 4),(未标记的)PVID 为 2

据称,此设置将网络流量与 VLAN 3 和 VLAN 4 分开。它确实可以防止 ping 或将网络流量从一个路由器直接传输到另一个路由器。我看到的问题,然而,就是来自路由器的所有数据包都会被发送到这两个设备组(VLAN的34)。这似乎至少部分地破坏了安全性,因为来自路由器的任何数据包都将发送到所有设备。

作者的解决方案在安全方面是否有效,或者实际上是将来自 WAN 的回复数据包路由到两个 VLAN 中?

1个回答
  • 然后,他将一组端口分配给 VLAN 2 和 3,(未标记的)PVID 为 3。
  • 第二组端口分配给 VLAN 3 和 4,(未标记的)PVID 为 4。

大多数主机不会识别标记帧,并且会丢弃标记帧,因此主机将仅使用未标记的 VLAN。来自路由器的数据包只会针对一个 VLAN 的网络进行寻址,而路由器只会使用目的主机的 MAC 地址,因此帧仍然只会发送到单个主机。

交换机还将构建 MAC 地址表,然后它们只会将帧传送到最后一次看到 MAC 地址的接口。

这确实是一个安全问题,因为某些主机(例如服务器)可以配置为中继,这允许它们在多个 VLAN 上发送和接收流量。此外,广播(例如 ARP)可能会泄露到其他 VLAN,从而允许攻击者查看和欺骗 MAC 地址。

这个配置真的很傻,你应该有一个很好的理由去做。

其它你可能感兴趣的问题
上一篇带有中毒反向的水平分割不起作用的情况? 下一篇VLAN 隔离设置