Security
繞過具有已知 MAC 地址的 VLAN
我正在評估使用第 2 層交換機和 VLAN 對我們的網路進行子網劃分。據我所知,VLAN 僅適用於廣播域,如果我知道同一交換機上遠端電腦的 MAC 地址,我可以通過將 MAC 地址映射到我自己的 ARP 表來完全繞過 VLAN 安全性。那是對的嗎?
謝謝
你不正確。當一個交換機創建一個 VLAN 時,它實際上與您創建兩個獨立的網路與它們自己的交換機連接的網路相同。一個人無法使用直接 MAC 地址繞過 VLAN,就像如果您知道他的 MAC 地址,您就無法訪問街對面的鄰居一樣。
將其視為兩個物理上分離的網路。
不,不是。這在一些最早的 VLAN 實現中(20 年前……)可能是可能的,但在任何現代交換機上,一旦埠被標記為 802.1q VLAN,就是這樣。交換引擎不允許 VLAN 跳躍。當然,如果您的配置不安全(例如,主機在多個網路上具有介面,啟用了 IP 轉發…),您可能會遇到一些安全問題。
我在一所相當大的大學工作(我們有兩個 B 類,並且仍然需要大部分 A 類用於 NAT 客戶端)。我們的網路在 Cisco、Foundry 和 Juniper 硬體上執行,並且所有內容都是 VLAN 化的。我們從來沒有遇到過任何問題,無論是安全性還是其他問題。