我读过的大多数 VLAN 文章都建议避免将 VLAN1 用于具有未标记流量的端口(也称为访问端口)。我听够了这种废话。除了0x000and的保留值0xFFF,数字只是一个数字,仅此而已。
通过进一步阅读关于 的更多信息VLAN hopping,我了解到他们将 VLAN1 作为未标记流量(又名本地 VLAN)放在中继链路上的想法,因此如果我们将其他接入端口(非中继)放在同一个 VLAN1 中,黑客可以通过插入来利用它标记并将数据发送到任何 VLAN。
他们说 VLAN1 通常是接入端口的默认 VLAN ID,并且中继端口将 VLAN1 的流量发送为未标记(又名本地 VLAN1)。这就是为什么他们建议避免使用 VLAN1 作为接入端口。在该漏洞发生之前,他们为什么要在中继链路上输出未标记的 VLAN1 流量?为什么他们不只是标记流经它的所有东西?
默认 VLAN 和本地 VLAN 实际上是两个不同的概念,它们经常被混淆,因为它们通常是同一个 VLAN,但它们可能不需要。
VLAN 1 是默认 VLAN(意味着不在交换机接口上配置 VLAN 将使其留在 VLAN 1 中)。坏人知道它存在于您的网络中,除非您采取措施将其删除或不允许。一些供应商甚至需要 VLAN 1,某些版本的生成树也是如此(STP 版本可能需要将其作为默认 VLAN 和本地 VLAN)。因为它是默认 VLAN,所以很多人也将其用作其网络设备的管理 VLAN。所有这一切使它成为坏人的主要目标。
因为中继上的帧被标记以将帧分离到 VLAN 中,因此可以将帧放置在中继另一端的正确 VLAN 中,这意味着一个 VLAN 可以未标记但仍然分开,这称为本地 VLAN。由于 VLAN 1 是默认 VLAN,因此默认情况下它最终会成为本地 VLAN。根据所使用的生成树的供应商和版本,您可能能够将本地 VLAN 更改为不同的 VLAN。
避免使用 VLAN 1 并且没有本地 VLAN 会让坏人更难,这是一件简单的事情。 Cisco 建议不要使用 VLAN 1,从中继链路(switchport trunk allowed命令)限制 VLAN 1 ,并且不要在中继上使用本地 VLAN,这意味着中继上的所有 VLAN 都将被标记,并且不会有 VLAN 1 帧。实际上,您应该将中继限制为仅允许中继链路另一端所需的 VLAN,但很多人只是让它默认为允许所有 VLAN。此外,您应该通过将交换机置于透明模式来禁用 VTP。还有一个命令来标记native VLAN,这意味着你真的没有native VLAN。
请记住,VLAN 事后被固定在以太网上,并且在创建标准时,确实没有人们侵入网络并试图引起问题的大问题。