我正在评估使用第2层交换机和VLAN来划分我们的networking。 据我所知,VLAN只能工作在广播域,如果我知道同一交换机上的远程计算机的MAC地址,我可以通过将MAC地址映射到我自己的ARP表来完全绕过VLAN的安全。 那是对的吗?
谢谢
你不正确 当一台交换机创build一个VLAN时,实际上就像创build了两个独立的networking,它们与自己的交换机连接一样。 如果你知道他的MAC地址,一个人不能通过一个直接的MAC地址绕过VLAN,而不能通过街道访问你的邻居。
把它看作两个物理上分离的networking。
不,不是的。 这在VLAN的最早实现(20年前…)中是可能的,但在任何现代交换机上,一旦端口被标记为802.1q VLAN,就是这样。 交换引擎不允许VLAN跳转。 当然,如果你有一个不安全的configuration(比如说,在多个networking上有一个接口的主机,启用IP转发…),你可能会遇到一些安全问题。
我在一个相当大的大学工作(我们有两个B类,并且仍然需要大部分A类用于NAT的客户端)。 我们的networking运行在思科,Foundry和瞻博networking硬件上, 一切都是VLAN化的。 我们从来没有任何问题,安全或其他。
有一些技术可以绕过VLAN标记,但只适用于某些交换机和某些configuration。 如果您的Cisco交换机在中继上具有VLAN 1,则您可以发送数据包到另一个VLAN中的计算机(但是不会收回任何东西),如果您发送一个.1q封装的帧并将目标VLAN作为VLAN标记。
有两种vlan跳跃技术。 通过使路由器认为你是另一个路由器,然后你有权访问所有的vlan,利用自动中继。 人工创build双标记数据包,并利用向后可比性跳转到目标vlan。
我完全可以通过将MAC地址映射到我自己的ARP表来绕过VLAN安全。 那是对的吗?
一般来说,不,你将无法做到这一点。
更新你的arp表意味着发送到远程计算机的数据包会使交换机达到最大。 但是交换机仍然不会做任何事情,因为交换机上的端口仍然是不同networking的一部分。 随着ARP更新,数据包甚至不会离开你的电脑。 更新意味着数据包可以在路上稍远一些,但仍然不会到达目的地。
如果你想为vlan成员创build一个exception,我所见过的最好的方法是在你的networking的核心部署一个三层交换机(现在是一个路由器),它也支持ACL(访问控制列表)路由安全性。 您使用两个vlan之间的路由设置此交换机,将ACL设置为默认拒绝规则,并在拒绝规则前添加您的例外作为允许规则。