新的 Cisco Catalyst 交换机和 ISL 中继?

新的 Cisco Catalyst 交换机和 ISL 中继?

较新的 Catalyst 不再提供 ISL 中继模式。现在我担心在使用 VLAN 进行 WAN 隔离时会受到 VLAN 跳跃/封装攻击。

  1. 我该怎么做才能防止此类攻击?
  2. 我可以混合 ISL 和 802.1Q 中继连接吗?
  3. 还有什么需要考虑的吗?

谢谢

编辑:

如果所有主机都连接到“静态访问”配置的交换机端口,并且 802.1Q 中继仅位于 Cisco 交换机之间,那么 VLAN 跳跃是否可行?

答案1

在面向主机的接口上使用以下配置应该相对安全:

switchport mode access
switchport access vlan <vlan>

这将禁用端口上的 DTP(动态中继协议)并有助于防止 VLAN 跳跃攻击。

此外,使用以下配置枚举中继接口上允许的 VLAN 是一种很好的做法:

switchport trunk allowed vlan <vlan list>

有关第 2 层安全最佳实践的良好参考可以在这里找到:

安全第 2 层深度安全保护 — 第 2 版(PDF)

答案2

如果将交换机端口强制设置为 ACCESS 模式(switchport nonegotiateswitchport mode access)并分配给特定 VLAN(switchport access vlan X),则这是一种完全安全的设置;如果连接的主机发送任何标记帧,则会丢弃该帧,因为该端口上无法进行中继。

如果仅在交换机之间使用中继,并且您具有良好的物理安全性,则任何计算机都无法访问除其自己之外的任何 VLAN。

答案3

经过大量研究后我找到了答案:

http://www.sans.org/security-resources/idfaq/vlan.php

在默认配置中,可以将 802.1q 帧注入交换机上的非中继端口,并将这些帧传送到目的地。

如果将帧注入属于中继端口的本机 VLAN 的交换机端口,则可以使 802.1q 帧从一个 VLAN 跳转到另一个 VLAN。[..]

因此我必须确保访问模式 VLAN不是使用中继上配置的本机 VLAN:

[...] 通过更改中继端口的本机 VLAN,可以消除 VLAN 跳跃。这已测试并被证明是真的。

相关内容