知己知彼 用VLAN技术防御黑客攻击

上一篇 / 下一篇  2008-01-22 22:07:58

查看( 19 ) / 评论( 0 ) / 评分( 0 / 0 )
IXPUB技术博客l/rVF n3TI y'shbe

为什么要用VLAN呢?VLAN的实施是从逻辑上对用户进行了划分,使不同VLAN之中的用户无法直接通信。这种技术方便实施,节约资金。然而随着VLAN的应用范围越来越广,而同VLAN相关的安全管理问题也越来越严重。IXPUB技术博客*{#Pf3bY

IXPUB技术博客 D~1},X:m N f0R

  VLAN技术的应用为网络的安全防范提供了一种基于管理方式上的策略方法,我们可以根据企业网络管理的特点有针对性地选择不同的VLAN划分手段。虽然网络安全在某种程度上得到了一定的保障,但安全往往与危险并存,面对这些花样翻新的攻击手段,如何采取有效的防范措施?在本文中,将针对应用VLAN技术管理的网络,介绍黑客的攻击手段和我们可以采取的防御手段。

0@SCG.k&^)d b C N0

0K lQ;N T"t8y0  一.常见的VLAN攻击IXPUB技术博客cG P%GEX9[%gs

IXPUB技术博客o@5e{ Z0?1}"J&Y

  目前常见的VLAN的攻击有以下几种:

&h Yaa Gj0

6UGTWva0Q0  1.802.1Q 和 ISL 标记攻击IXPUB技术博客#Tt!D%~ |2AU1i t"c

6zcw3B j^qB0  标记攻击属于恶意攻击,利用它,一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如,如果将交换机端口配置成 DTP(DYNAMIC TRUNK PROTCOL) auto ,用于接收伪造 DTP(DYNAMIC TRUNK PROTCOL) 分组,那么,它将成为干道端口,并有可能接收通往任何 VLAN 的流量。由此,恶意用户可以通过受控制的端口与其它 VLAN 通信。 有时即便只是接收普通分组,交换机端口也可能违背自己的初衷,像全能干道端口那样操作(例如,从本地以外的其它 VLAN 接收分组),这种现象通常称为“VLAN 渗漏”。IXPUB技术博客&_5eFc!fUu ~s

IXPUB技术博客,v#O]S~?V;`

  对于这种攻击,只需将所有不可信端口(不符合信任条件)上的 DTP(DYNAMIC TRUNK PROTCOL) 设置为“关”,即可预防这种攻击的侵袭。 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交换机上运行的软件和硬件还能够在所有端口上实施适当的流量分类和隔离。IXPUB技术博客S L%}Kh/vzi M

IXPUB技术博客qP&Sc,z;b)gk7v%p+i j9y

  2.双封装 802.1Q/ 嵌套式 VLAN 攻击

,s7SHI4w rxPa4[L0

M*|VY;G*]i J w5F0  在交换机内部, VLAN 数字和标识用特殊扩展格式表示,目的是让转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。IXPUB技术博客J8}C$O2@

0CO'_`/kEXvB o0  ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式,每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。

4Rq+OM~x0

J ^et f&z$OG0  另一方面,制订了 802.1Q 的 IEEE 委员会决定,为实现向下兼容性,最好支持本征 VLAN ,即支持与 802.1Q 链路上任何标记显式不相关的 VLAN 。这种 VLAN 以隐含方式被用于接收802.1Q端口上的所有无标记流量。

5vV'[*A#GbY0IXPUB技术博客1R3z/s%Q~l

  这种功能是用户所希望的,因为利用这个功能,802.1Q端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其他情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记,例如丢失其服务等级( 802.1p 位)。IXPUB技术博客fp K}(?:Od ~

IXPUB技术博客#b:J;yt c.d:L1F7B&\itR

  但是基于这些原因——丢失识别途径和丢失分类信息,就应避免使用本征 VLAN ,更不要说还有其它原因。IXPUB技术博客:Z2SGli'V q'Gk

n)qPx^0  先剥离,再送回攻击者 802.1q 帧 ,VLAN A、 VLAN B 数据包含本征VLAN A 的干道 VLAN B 数据

#YaE EKW3B{0IXPUB技术博客|+th \8j:GoV2F

  注意: 只有干道所处的本征 VLAN 与攻击者相同,才会发生作用。

#k3}q0Nu%erc.v7c0

z VT;@p8}a0  当双封装 802.1Q 分组恰巧从 VLAN与干道的本征 VLAN 相同的设备进入网络时,这些分组的 VLAN 标识将无法端到端保留,因为 802.1Q 干道总会对分组进行修改,即剥离掉其外部标记。删除外部标记之后,内部标记将成为分组的惟一 VLAN 标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同 VLAN 之间跳转。

xZc@[UanY0

-qG](l+Io!@{0  这种情况将被视为误配置,因为 802.1Q 标准并不逼迫用户在这些情况下使用本征 VLAN 。事实上,应一贯使用的适当配置是从所有 802.1Q 干道清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时, 应选择未使用的 VLAN 作为所有干道的本地 VLAN ,而且不能将该 VLAN 用于任何其它目的 。 STP、DTP(DYNAMIC TRUNK PROTCOL)和UDLD等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。

O$i9]0^etyv0

*j |D,?n6t|4@0  3.VLAN跳跃攻击

MX H&?1k*\*F6U9~0IXPUB技术博客I&?{g6J6@:S&y+n

  虚拟局域网(VLAN)是对广播域进行分段的方法。VLAN还经常用于为网络提供额外的安全,因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话。不过VLAN本身不足以保护环境的安全,恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN。IXPUB技术博客;Uyjv`1\x-\N-C

IXPUB技术博客\'`KcI]

  VLAN跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP(DYNAMIC TRUNK PROTCOL))。如果有两个相互连接的交换机,DTP(DYNAMIC TRUNK PROTCOL)就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。

` Ef1C/l0

vU!i^| ]8K)ent0  VLAN跳跃攻击充分利用了DTP(DYNAMIC TRUNK PROTCOL),在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP(DYNAMIC TRUNK PROTCOL)协商消息,宣布它想成为中继; 真实的交换机收到这个DTP(DYNAMIC TRUNK PROTCOL)消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。

G#W Dq w(p~+d0

s}3v},n3G:r0  中继建立起来后,黑客可以继续探测信息流,也可以通过给帧添加802.1Q信息,指定想把攻击流量发送给哪个VLAN。

F0?1Id,Is5Us&\0

L7P!KpuE0  4.VTP攻击IXPUB技术博客,`:m+D e_;f,\

IXPUB技术博客s:{!I&R1p@)W

  VLAN中继协议(VTP,VLAN Trunk Protocol)是一种管理协议,它可以减少交换环境中的配置数量。就VTP而言,交换机可以是VTP服务器、VTP客户端或者VTP透明交换机,这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时,无论是添加、修改还是移除VLAN,VTP配置版本号都会增加1,VTP客户端看到配置版本号大于目前的版本号后,就自动与VTP服务器进行同步。IXPUB技术博客 z5V^*w9f? uY

IXPUB技术博客 h}J(z*lP$Q'U?+q E

  恶意黑客可以让VTP为己所用,移除网络上的所有VLAN(除了默认的VLAN外),这样他就可以进入其他每个用户所在的同一个VLAN上。不过,用户可能仍在不同的网段,所以恶意黑客就需要改动他的IP地址,才能进入他想要攻击的主机所在的同一个网段。

.x.@ |-if`0IXPUB技术博客q ~4K-E@

  恶意黑客只要连接到交换机,并在自己的计算机和交换机之间建立一条中继,就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器,这会导致所有交换机都与恶意黑客的计算机进行同步,从而把所有非默认的VLAN从VLAN数据库中移除出去。IXPUB技术博客 @ C2@R{

?:?V(JK0e"l E0  这么多种攻击,可见我们实施的VLAN是多么的脆弱,不过我们值得庆幸的是:如果交换机的配置不正确或不适当,才有可能引发意外行为或发生安全问题。所以我们在下面会告诉大家配置交换机时必须注意的关键点。IXPUB技术博客d _0X$?+e\+{E

N9c-l.Rxq(pF0二.TRUNK接口的安全性

'jBLu:Z%W5oK'IG0IXPUB技术博客C-Ko]-yL

  交换机的端口有两种工作状态:一是Access状态,也就是我们用户主机接入时所需要的端口状态;二是Trunk状态,主要用于跨交换的相同VLAN_id之间的VLAN通讯。、

8ZaY"vi yU0IXPUB技术博客!gHf5WF8olhl1D

  Access状态一般被我们称之为正常状态,是主机的正常接入接口,这种接口的状态能引起安全的问题很小,我们不在这里详细的描述了。

d0z k6J Z-P LnQ0

%F0f$pTQ8s(I6o!_we0  干道技术(Trunking)是通过两个设备之间点对点的连接来承载多个VLAN数据的一种方法。以下两种方法可以实现以太网干道连接ISL(交换机间链路,Cisco私有协议) 802.1Q(IEEE组织制度,国际标准)。

?3n,P_ V(ex#Iq0IXPUB技术博客$F sy&~9i9C

  前文提到的802.1Q 和 ISL 标记攻击,就是利用的Trunk的原理来实现的。那么我们在进行Trunk的操作中,怎样做才能更有效的避免这个安全隐患呢?

IA'[X0U0IXPUB技术博客J'Ww/l3k4w U

  我们已经知道,在实施Trunk时,我们可以不进行任何的命令操作,也可以完成在跨交换的相同VLAN-ID之间的通讯。这是因为我们有DTP(DYNAMIC TRUNK PROTCOL)。我们所有的接口上缺省使用了下面这条命令:

$j \b,m.Sz c`0|0

@/[Iw wvs"M&xa6h#\4L0  Switch(config-if)#switchport mode dynamic desirable

:u&Z;WY#\(Fi3T ^J P0IXPUB技术博客ICh/KE.} f

  这条命令使我们所有的接口都处于了自适应的状态,会根据对方的接口状态来发生自适应的变化,对方是Access,就设置自己为Access;对方是Trunk,就设置自己为Trunk。除了desirable这个参数以外,还有一个和它功能比较相似的参数:Auto。这两个参数其实都有自适应的功能,稍微的一点不同在于是否是主动的发出DTP(DYNAMIC TRUNK PROTCOL)的包,有就是说是否主动的和对方进行端口状态的协商。Desirable能主动的发送和接收DTP包,去积极和对方进行端口的商讨,不会去考虑对方的接口是否是有效的工作接口,而Auto只能被动的接收DTP包,如果对方不能发送DTP消息,则永远不会完成数据通信。说到这,大家肯定认为Auto这个参数安全系数要比Desirable参数,其实这两个参数的实施所产生的安全隐患是一样的。大家想想,VLAN跳跃攻击往往是对方将自己的接口设为主动自适应状态,那么我们不管用哪个参数,其结果是完全一样的。IXPUB技术博客1T\j"x,`F uv

IXPUB技术博客+?w{Se{ z

  这样的两个参数本意是给我们减轻工作负担,加快VLAN的配置而产生的。但随着网络的不断发展,针对这个特性而引发的安全隐患(比如:VLAN的跳跃攻击就是利用了这个特性),越来越引起我们的关注。IXPUB技术博客j"Z!L&?gC^nk`_

P0C&sY'G|-T0  想要解决这个安全隐患,只需进行以下操作。IXPUB技术博客-~Y2r E h X}

IXPUB技术博客tu#bGL6?

  步骤1:我们首先将交换机上所有接口上,输入这个命令:IXPUB技术博客 xD3u O&j#T b

IXPUB技术博客X-r+sc,Y5f

  Switch(config-if)# switchport mode accessIXPUB技术博客3T#O6f0Sz(]V'I

#u:afsR9h6Z#Wq o.y0  我们将交换机的所有接口都强制设为Access状态,这样做的目的是当攻击者设定自己的接口为Desirable状态时,怎么协商所得到的结果都是Accsee状态。使攻击者没法利用交换机上的空闲端口,伪装成Trunk端口,进行局域网攻击。IXPUB技术博客2m$?k0E.N/u\6e9msi

IXPUB技术博客j.iu/@8QX

  再在Trunk接口上输入:IXPUB技术博客c-lSYY0{p5@/j

)g0H[*t3P pt0  Switch(config-if)# switchport mode trunkIXPUB技术博客E$r"M:a.Ip&i?7nQA.~

PQWk%kaI0  这条命令的功能,就是强制使端口的状态成为Trunk。不会去考虑对方接口状态,也就是说不管对方的接口是什么状态,我的接口都是Trunk。大家注意:这条命令仅仅在Trunk的真实接口上输入,这样使我们的接口在状态上是唯一的,可控性明显的增强了。IXPUB技术博客5j6M/Q/J0Lr Pg

IXPUB技术博客4a \VV t3{2Y~

  其次我们可以在Trunk的接口上再输入下面这条命令:IXPUB技术博客 T&`_.{_ hp

IXPUB技术博客A(qnr*Lxp(J

  Switch(config-if)#switchport trunk allowed vlan 10,20,30IXPUB技术博客z.~)_1MOCE

'| Y)~4Z[+].n6d0  这条命令定义了在这个Trunk的接口只允许VLAN10,20,30的数据从此通过.如果还有其他VLAN存在,他们的数据将不能通过这个Trunk接口通过。这样允许那些VLAN通过,那些不能通过,就很容易实施。我们就通过这种简单控制数据的流向而达到安全的目的。IXPUB技术博客t {)U)T W

IXPUB技术博客8m6T7W_ aX

  在完成了上述提升我们的VLAN安全三条命令后,我们的这些接口已经具备了较高的安全性。但读者肯定还有个疑问,那就是使用了这些命令后,DTP这些协议是否还在工作?回答是肯定的,DTP协议依旧在工作。

PHj3V/sDj0

(q'oW(xl$@_.]OVTS0  所以我们最后还有一条强烈建议大家在配制VLAN时,必加的命令:

zV\%|Y*db0IXPUB技术博客O[:a(jFYq a&p

  Switch(config-if)#switchport nonegotiate

,E&xz vCb0IXPUB技术博客f3I!|-v2B.bP

  大家一看到这条命令,就知道它的功能了。Nonegotiate的意思就是不协商。所以上面这条命令就是帮助我们彻底的将发送和接收DTP包的功能完全关闭。在关闭的DTP协议后,该接口的状态将永远稳定成Trunk,使接口的状态达到了最大的稳定性,最大化避免了攻击者的各种试探努力。IXPUB技术博客;K5oN4s`:Sz

t?4a[*Ni3c@fD0  另外,在802.1Q的Trunk中还有一个相关的安全问题,那就是Native VLAN。众所周知,在Cisco的Catalyst系列的交换机中,有几个缺省的VLAN。对于以太网用户而言,我们需要了解其中最重要的一个,那就是VLAN 1。缺省情况下,交换机的所有以太网接口都属于VLAN 1。而且我们在配置二层交换机上配置IP地址时,也是在VLAN 1这个接口下完成的。

,k5Ufz0qO x5e0

(l1Js/T,Y*r^0  在802.1Q的干道协议中,每个802.1Q封装的接口都被作为干道使用,这种接口都有一个Native VLAN并被分配Native VLAN ID(缺省是VLAN 1),802.1Q不会标记属于Native VLAN的数据帧,而所有未被标记VLAN号的数据帧都被视为Native VLAN的数据。那么VLAN 1作为缺省的Native VLAN,在所有的交换机上都是相同。因此由Native VLAN引起的安全问题,在局域网中必须引起我们的重视。这个安全隐患的解决办法就是更改缺省Native VLAN,我们可以用一条命令IXPUB技术博客;F0rfkO ]/Tk)Mi

m-W9w O:c0  Switch(config-if)# switchport trunk native vlan 99

-Bk6^xh N%P0IXPUB技术博客!B0bv\;KV9z.T

  这条命令需要在一个封装了801.1Q的接口下输入,这条命令将缺省的Native VLAN更改为VLAN 99。执行这条命令后,Native VLAN不相同的交换机将无法通讯。增加了交换机在划分VLAN后的安全性。IXPUB技术博客7s#~F)q:V+C

IXPUB技术博客p3Z!xt };F.IH_

三.VTP协议的安全性

M{H6v d+\z0

bn$X*xX(^,a0  VTP(VLAN Trunking Protocol)是一个用于传播和同步关于整个交换网络的VLAN信息的协议,工作在OSI参考模型的第二层。VTP使我们在扩展交换网络规模时减少人工配置的工作量,并通过统一地管理交换网络中VLAN的增加、删除和名称变更,以维持整个网络VLAN配置的一致性,最大限度地减少可能带来问题的错配和配置不一致情况(如VLAN名称重复使用或错误的VLAN类型说明)。IXPUB技术博客F5WCLRQ

IXPUB技术博客2m#W}0s1[gK

  一个VTP域由一个或多个共享相同VTP环境的互连交换机组成,一个交换机只能配置到一个VTP域中。缺省地,Catalyst交换机置于无管理域的状态(不属于任何VTP域),直到它通过干道链路收到关于某个VTP域的通告或人工将其配置到某VTP域中。对单个VTP服务器的VLAN配置,会通过干道链路传播给所有连接到该VTP域的交换机。VTP信息只在干道链路上传送出去。

+AARg1_0IXPUB技术博客S5U)M r,GP

  我们在实际的工作中,往往需要一次性的配置多台Cisco的交换机,这时VTP协议给我们很大的帮助,使我们迅速的完成VLAN的部署。但VTP这个协议在应用过程中和DTP协议具有相同的问题。在前文中提到过在VLAN中有一种VTP攻击就是利用VTP的缺点实施攻击的。在解释如何防范VTP攻击前,我们有必要简单的回顾一下VTP的原理IXPUB技术博客/ue/C'daYYS

IXPUB技术博客 ? qy a|RFL`

  交换机在VTP域中以三种模式之一来工作:服务器模式、客户模式、透明模式。默认为服务器模式,但只有当一个管理域名被指定或获知后,其VLAN信息才会被通告出去。VTP通告被泛洪到整个VTP域,通常每隔5分钟或VLAN配置发生改变时,都会产生VTP通告。VTP通告通过厂家默认的VLAN(VLAN l)使用组播帧传送,包含在VTP通告中的VLAN配置版本号起着关键的作用,高版本号表明所通告的VLAN信息比原来储存的信息更新。IXPUB技术博客^nB0wq

IXPUB技术博客 K{8nM3~ R

  在同步VLAN信息之前,接收VTP通告的设备必须检查各种参数:首先检查VTP域名、域密码是否与本地交换机所配置的相匹配,接着检查配置版本号是否比现在保存版本号更高,如果是这样的话交换机就同步通告的VLAN信息,这种信息同步是采用覆盖(overwrite)的方式。如果要复位当前的配置版本号,用命令delete vtp。IXPUB技术博客Z^jlFU1^/r3EK

IXPUB技术博客}2_iv KDz

  VTP服务器每次调整VLAN信息时,就会让配置版本号递增1,并用新的配置版本号发出VTP通告。在VTP的透明模式下,配置版本号总是为0。IXPUB技术博客"P4E8b |6Z:U#_eYm_:D

IXPUB技术博客 K*b#D+w2M(F&H%l"R

  VTP裁剪(Pruning)用VLAN通告来决定什么时候在干道连接上泛洪是不必要的。缺省地,在VTP域中干道连接承载所有VLAN的数据,在企业网络中往往不是每个交换机上都有接口划分到所有VLAN,VIP修剪功能通过限制泛洪数据传到那些不必要的主干链路来增加可用的带宽。修剪功能只能在VTP服务器上启用。IXPUB技术博客-RT+t*ykG6n

IXPUB技术博客/jNb[.u

  在回顾了VTP的基本原理后,我们在来看看,在Cisco的交换机上,缺省的VTP配置:

,Pwl1y NJ-wU0IXPUB技术博客1z1E{{%c,HLz

  l VTP的缺省配置取决于交换机型号和软件版本

UHL KJC0

e;_{Kif1GfX0  l VTP模式:缺省地设置为VTP服务器模式IXPUB技术博客L Y{ I ]f!m

IXPUB技术博客-ho`7C?9i5W.p

  l VTP裁剪: 2950,3550等关闭

4DJ8@Brsn R;U8Zg0IXPUB技术博客 LbT+Ty] L Y*A C

  l VTP版本:VTP协议有版本1和版本2

*aC cI4FJ0

%pj$g nGCoNp0  l VTP域名:可以直接指定或从通过干道链路学来。缺省地交换机没有VTP域名。IXPUB技术博客G I6V O:u6PH

IXPUB技术博客0}p5~'vS;f]1h6AT

  l VTP密码:无IXPUB技术博客&O6CD7Ty

IXPUB技术博客_ O8M'ST^

  大家可以看到,如果我们要去实施VTP,是非常容易的,往往只需要2-3条命令就可以完成。但VTP实施以后,随之而来的VTP安全和稳定问题就出现了。

'[ n%JNLQMP g A0IXPUB技术博客!\L1m!z5W!rZ

  VTP的模式缺省是VTP的服务器模式,这种模式下可以任意的删除,添加,更改VLAN的信息,所以这种模式下的安全性非常重要。攻击者通过VTP攻击获取权限后,对我们的局域网的架构可以任意更改了,造成网络的严重混乱。所以我们建议大家在进行VTP协议实施时,不管一个域中有多少台交换机,只保留一台是VTP的服务器模式,其他都是VTP的客户模式。IXPUB技术博客3m"f m:v,Yy%|

IXPUB技术博客pJ6P}E

  另外,为了保证VTP域的安全,VTP域可以设置密码,域中所有交换机必须设置成一样的密码。在VTP域中的交换机配置了同样的密码后,VTP才能正常工作。而不知道密码或密码错误的交换机讲无法获知VLAN的消息。不过有些遗憾的是VTP的域密码是明文在网络中传递的。IXPUB技术博客6T`!E/D!j

IXPUB技术博客\ r*fT A)o"k__

  下面是一个VTP安全实施的实例,要求创建一个名为RT的VTP域,在两台交换机上配置VTP域模式,一台为Server,一台为Client,开启VTP裁剪,设置VTP版本为2,在VTP域为Server的交换机上创建VLAN10,20,30三个VLAN,在这个实例中将接口加入VLAN的部分我们将在VLAN配置实例中描述。重点注意两台VTP工作的域模式和域密码。在完成这样的操作后,最大程度保证VTP的正常工作。

BK[_/_-L:bZ?0

3s3G MZ i0  Sw-vtpserver配置如下:IXPUB技术博客L4[:^.^5R^$R]\.E

Y&B#xIZAO3r0  Sw-vtpserver (config)# vtp mode server

!_;?)k3j'udMB/|k0

U"iU7Z2Q yUX5o0  Sw-vtpserver (config)# vtp domain rtIXPUB技术博客\5sEzm6g1w)Z

$fQ Se,kh I2Z/CzI0  Sw-vtpserver (config)#vtp pruningIXPUB技术博客%pY1A t~-c }!@

vz@5Xs,jG.m?0  Sw-vtpserver (config)#vtp version 2IXPUB技术博客&A,cbh0npwH

IXPUB技术博客;D7WOx"[

  Sw-vtpserver (config)#vtp password ciscoIXPUB技术博客6tN q IB3s

IXPUB技术博客-P~NEA

  Sw-vtpserver (config)#vlan 10IXPUB技术博客8AY.w!Ou!Q~I~\

IXPUB技术博客)eR7[c`?cS,S

  Sw-vtpserver (config)#vlan 20IXPUB技术博客(p"a!WQ5^,U

IXPUB技术博客bbt ]K @c!rv

  Sw-vtpserver (config)#vlan 30IXPUB技术博客"]-c Z4ZT o

IXPUB技术博客y%e6e.DZn

  Sw-vtpclient配置如下:IXPUB技术博客xIO QtB$o5D

IXPUB技术博客 X.R/h O C)t

  Sw-vtpclient (config)#vtp domain rt

(~S"zx~ot:Gz0IXPUB技术博客M0r&kxE

  Sw-vtpclient (config)#vtp password ciscoIXPUB技术博客+~N x,E&_J

)h$[6|LY)TJ0  Sw-vtpclient (config)#vtp pruningIXPUB技术博客7P4PI'Y2Mf

!] l)dl(_0  Sw-vtpclient (config)#vtp version 2IXPUB技术博客pT!e FdN4h+k

IXPUB技术博客,C0[%P5rY"Y t

  Sw-vtpclient (config)#vtp mode clientIXPUB技术博客#BL6q\kX G#R!x?
四.VLAN安全配置案例

B}U){.VSb;d$N0

a!GhX4~[ T7v3?1H^0  这是一个完整的VLAN和802.1Q配置案例,在这个案例中我们将前文讲过的所有命令都应用在这个VLAN的配置中,是我们的VLAN能够安全的为我们提供俯卧。拓扑图如图4所示。IXPUB技术博客/{1u^a/I e'Z

9}:V&K6mB0 IXPUB技术博客PC-J2F$n w

IXPUB技术博客2{9Vm%G5T$Tuz M


*I3d9kxX$vfl0图4 VLAN与802.1Q配置拓扑图IXPUB技术博客T C[z3|$R3@;q

IXPUB技术博客S4q_!K~S%_&O&_ SB#m

  实施要求:在Switch-1和Switch-2完成VLAN10,20的创建,完成PC1和PC3、PC2和PC4的跨交换的通讯,使用VTP协议的创建。VTP域名RT,设Switch-1的VTP模式为Server,Switch-2的VTP模式为Client,使用VTP密码方式保护VTP安全,Switch-1的F0/2在VLAN20,和PC1相接,F0/1在VLAN10,和PC2相接,F0/24和Switch-2的F0/24连接,将Switch-1的F0/24和Switch-2的F0/24手动配置成Trunk,要保证Trunk线路的安全,关闭Trunk的DTP协议。Switch-2的F0/2在VLAN20,和PC3相接,F0/1在VLAN10,和PC4相接。更改两台交换机上的Native vlan为99。

l?$K!kh3ht?2Q0IXPUB技术博客 x FK B!U]bC6s'o v

  Switch-1 (config)# vtp mode serverIXPUB技术博客7|;e&}(W p8dnB

+e(YpbF'Z0  Switch-1 (config)# vtp domain rtIXPUB技术博客'R/lnoZic!z"j

IXPUB技术博客v-m8`_1D,_ yTW

  Switch-1 (config)#vtp pruning

.R8\Eg'mb'U F0

KW |u}v-@7`F0  Switch-1 (config)#vtp version 2

rq3NfQwU_!]$n0IXPUB技术博客oI{!_v

  Switch-1 (config)#vtp password ciscoIXPUB技术博客-VZt1C'kt R

6x"u \}1^:_.Y3D0  Switch-1(config)# vlan 99

4u Y Iu6U3B&P!s0

v!a8K:|3VJ0  Switch-1(config)# vlan 10

a"~b;u8[m0QE0

Rh h~o*L,]0  Switch-1(config-vlan)# name yanfaIXPUB技术博客 i L0e8\aJD9CC

gBy^(D@0  Switch-1(config)#interface fastethernet 0/1IXPUB技术博客FC I @.?4Wx

-Z|1Y'H Cw0  Switch-1(config-if)# switchport mode accessIXPUB技术博客ccc1u'E;}

IXPUB技术博客7v~&j_]Q

  Switch-1(config-if)# switchport access vlan 10

8me)aZN0IXPUB技术博客Sgxp(m+sx],w

  Switch-1(config)# vlan 20

H-~(Ka*te)s [k0

Z)xoM)N+{t#n0  Switch-1(config-vlan)# name renshiIXPUB技术博客?tz+b!R&|F;j [C

v%U2q8s-@0  Switch-1(config)#interface fastethernet 0/2

5`8S |B)d4Ao-E0

)X#V|qHL%p*g0  Switch-1(config-if)# switchport mode access

LD(E4atO+{0

d-DU.l!e0  Switch-1(config-if)# switchport access vlan 20IXPUB技术博客;TA/NlcLtN

&?-UDI,h(c)~4nE0  Switch-1(config)#interface fastethernet 0/24

CQ#n`a*~0U1["d/w0

(w0Rpq'm%_9d"l0  Switch-1(config-if)#shutdownIXPUB技术博客 }i\-` ]g5n

IXPUB技术博客7U.CE)@3Fe){emaP

  Switch-1(config-if)#switchport trunk encapsulation dot1q

k+Kq2pjv0

8O"~.^Rp{!T0  Switch-1(config-if)#switchport trunk allowed vlan 99,10,20IXPUB技术博客(E:ev)Fa'Z%v'`

IXPUB技术博客IZO]y z,ycO

  Switch-1(config-if)#switchport mode trunk

IV ^7`Q/f G8H0IXPUB技术博客!{,A#Q k`h

  Switch-1(config-if)#switchport trunk native vlan 99

!J%hC Yk0W%`0IXPUB技术博客)zK(pB b/a&C

  Switch-1(config-if)#switchport nonegotiateIXPUB技术博客-n%eq:@p_/mK|

IXPUB技术博客pe+~U;}

  Switch-1(config-if)#no shutdown

s? mhg4_E-UW zX0IXPUB技术博客+k?$M2oi2p

  Switch-2配置如下:

X_X5? JX#K6RW{7qf0

5X~0hb0WBt/]0  Switch-2 (config)#vtp domain rt

lf x{I'K4Y7OZ0

#K }$ZR7sir%V0  Switch-2 (config)#vtp password cisco

h `~8BB,d0IXPUB技术博客:]4S:s/{mX

  Switch-2 (config)#vtp pruning

)V2a}9U"] W0

|%jch-[M4F"p0  Switch-2 (config)#vtp version 2

(SsYdb)m e8h!|8g0

(Wn3]q` FX^0  Switch-2 (config)#vtp mode client

`4Q.x `}x'g0

y6T0T~O0b`o0  Switch-2(config)#interface fastethernet 0/1IXPUB技术博客"OE5Cw"P*}1_R I

/oZ8PzW_0  Switch-2 (config-if)# switchport mode accessIXPUB技术博客N!I#y4y f,_ihy

bI:m9PBQ;p+V8F)t0  Switch-2 (config-if)# switchport access vlan 10

Jc+^DC@b h J0

k8w!H8t3g q O0QG0  Switch-2(config)#interface fastethernet 0/2

7_W#G*|~'tr0

i\C(q?1h VQ0  Switch-2 (config-if)# switchport mode access

N#xI:C3@%?5]6T4i0

;VJ`k4c(Ua(@e{u0  Switch-2 (config-if)# switchport access vlan 20IXPUB技术博客:k ]/]Q[:d!r

IXPUB技术博客w:S1Ep9Jt:n

  Switch-2(config)#interface fastethernet 0/24IXPUB技术博客K-c(ykd6svL7T

IXPUB技术博客,raL6jL V-dGL

  Switch-2(config-if)#shutdownIXPUB技术博客"[%Z5dh}`Lx

IXPUB技术博客4i.SB ?5u!X

  Switch-2(config-if)#switchport trunk encapsulation dot1q

B#Uc3g!XP K0IXPUB技术博客{4f-qe$_?&V

  Switch-2(config-if)#switchport trunk allowed vlan 99,10,20

-_Z1iHm9|0IXPUB技术博客Na-w3j;]Fv%?

  Switch-2(config-if)#switchport mode trunk

F`#K [S;Q+a;J0

c.z7~ E6MB0  Switch-2(config-if)#switchport trunk native vlan 99IXPUB技术博客N,I*VS;P![W!pAo

*b)DE!XF'ifMg4\0  Switch-2(config-if)#switchport nonegotiate

,~}~t^x,BQ%nek0IXPUB技术博客&LuBz(B!K$hVz3S

  Switch-2(config-if)#no shutdown

4D O|6?A(dV:Rk0

j5g&Y{@2b0Lx,c0  下面是ISL封装时的做法,和801.1Q相同的部分我们就省略了。重点给大家演示Trunk链路的配置。其它vlan的创建,接口的加入和802.1Q完全相同。

,N.~0xICTRc Sl$G l0IXPUB技术博客 tLo-W1o3|

  Switch1(config)#interface fastethernet 0/24

hd7\(W!v0IXPUB技术博客%f.vZe:m)LO

  Switch1(config-if)#shutdown

}.^ y1z7e9C'`0IXPUB技术博客[ ML%E-Mn4F

  Switch1(config-if)#switchport trunk encapsulation isl

1}p Hpu1d!g`0IXPUB技术博客2R+l)y$U p.xe&h)FaF9K

  Switch1(config-if)#switchport trunk allowed vlan 1-5,1002-1005

7v9XJc:L:u/B"_0IXPUB技术博客~[)Xj,VV Q3m~

  Switch1(config-if)#switchport mode trunk

&qA zs-}IW}L0

Xn f dMz0VE0  Switch1(config-if)#switchport nonegotiateIXPUB技术博客q_"G3jmak

IXPUB技术博客z-UT Sj-r.R+`{2F

  Switch1(config-if)#no shutdown

u7v7C^q K ob0

导入论坛 引用链接 收藏 分享给好友 推荐到圈子 管理 举报

TAG:

 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

日历

« 2009-01-09  
    123
45678910
11121314151617
18192021222324
25262728293031

数据统计

  • 访问量: 66547
  • 日志数: 1224
  • 文件数: 1
  • 建立时间: 2007-08-10
  • 更新时间: 2009-01-09

RSS订阅

Open Toolbar