Security

新的 Cisco Catalyst 交換機和 ISL 中繼?

  • March 4, 2011

較新的 Catalyst 不再提供 ISL 中繼模式。現在,當使用 VLAN 進行 WAN 隔離時,我擔心 VLAN 跳躍/封裝攻擊。

  1. 我能做些什麼來防止此類攻擊?
  2. 我可以混合使用 ISL 和 802.1Q 中繼連接嗎?
  3. 還有什麼我需要考慮的嗎?

謝謝

編輯:

如果所有主機都連接到“靜態訪問”配置的交換機埠並且 802.1Q 中繼僅在 Cisco 交換機之間,是否可以進行 VLAN 跳躍?

通過在面向主機的介面上使用以下配置,您應該相對安全:

switchport mode access
switchport access vlan <vlan>

這將禁用埠上的 DTP(動態中繼協議)並有助於防止 VLAN 跳躍攻擊。

此外,最好使用以下配置列舉中繼介面上允許的 VLAN:

switchport trunk allowed vlan <vlan list>

可以在此處找到第 2 層安全最佳實踐的良好參考:

安全第 2 層安全深度 — 第 2 版(PDF)

如果交換機埠被強制進入訪問模式(switchport nonegotiate, switchport mode access)並分配給特定的 VLAN(switchport access vlan X),這是一個完全安全的設置;如果連接的主機發送任何標記幀,它將被丟棄,因為在該埠上不可能進行中繼。

如果中繼只在交換機之間使用,並且您具有良好的物理安全性,那麼任何電腦都無法訪問除自己的 VLAN 之外的任何 VLAN。

引用自:https://serverfault.com/questions/243118