我正在评估使用第 2 层交换机和 VLAN 划分网络子网。据我所知,VLAN 仅适用于广播域,如果我知道同一交换机上远程计算机的 MAC 地址,则可以通过将 MAC 地址映射到我自己的 ARP 表来完全绕过 VLAN 安全性。这样对吗?
谢谢
答案1
您说得不对。交换机创建 VLAN 时,实际上就相当于创建了两个通过各自的交换机连接的独立网络。一个人无法使用直接 MAC 地址绕过 VLAN,就像您无法访问街对面邻居的 MAC 地址一样。可以将
其视为两个物理上分离的网络。
答案2
不,不是。这可能在最早的 VLAN 实现中是可能的(20 年前...),但在任何现代交换机上,一旦端口被标记为 802.1q VLAN,就只能这样了。交换引擎不允许 VLAN 跳跃。当然,如果您的配置不安全(例如,主机的接口在多个网络上,启用了 IP 转发...),您可能会遇到一些安全问题。
我在一所相当大的大学工作(我们有两个 B 类,但仍然需要大部分 A 类用于 NATted 客户端)。我们的网络运行在 Cisco、Foundry 和 Juniper 硬件上,并且一切已启用 VLAN。我们从未遇到过任何问题,无论是安全问题还是其他问题。
答案3
有一些技术可以绕过 VLAN 标记,但它们仅适用于某些交换机和某些配置。如果您的 Cisco 交换机在中继上有 VLAN 1,那么如果您发送一个以目标 VLAN 作为 VLAN 标记的 .1q 封装帧,则可以将数据包发送到另一个 VLAN 中的机器(但不会收到任何回复)。
答案4
我可以通过将 MAC 地址映射到我自己的 ARP 表来完全绕过 VLAN 安全性。这样对吗?
一般来说,不可以,你不能这样做。
更新 arp 表意味着发送到远程计算机的数据包将到达交换机。但是,交换机仍然不会对它们执行任何操作,因为交换机上的端口仍然是不同网络的一部分。使用 arp 更新后,数据包甚至不会离开您的计算机。更新意味着数据包可以再走远一点,但仍然无法到达目的地。
如果您想为 VLAN 成员身份创建例外,我见过的最佳方法是使用位于网络核心的三层交换机(现在实际上是路由器),该交换机还支持用于路由安全的 ACL(访问控制列表)。您为该交换机设置两个 VLAN 之间的路由,为 ACL 设置默认拒绝规则,并在拒绝规则前面添加例外作为允许规则。