最新列表
新闻资讯
软件产业
技巧应用
软件评测
教程中心
电脑安全
游戏娱乐
软件学院
编程开发
硬件导购
手机数码
论坛社区
网站地图
知己知彼 用VLAN技术防御黑客攻击2008-01-21 10:33:28 来源:IT168.com 作者:张琦 点击:
为什么要用VLAN呢?VLAN的实施是从逻辑上对用户进行了划分,使不同VLAN之中的用户无法直接通信。这种技术方便实施,节约资金。然而随着VLAN的应用范围越来越广,而同VLAN相关的安全管理问题也越来越严重。  TP域名。
l VTP密码:无 大家可以看到,如果我们要去实施VTP,是非常容易的,往往只需要2-3条命令就可以完成。但VTP实施以后,随之而来的VTP安全和稳定问题就出现了。 VTP的模式缺省是VTP的服务器模式,这种模式下可以任意的删除,添加,更改VLAN的信息,所以这种模式下的安全性非常重要。攻击者通过VTP攻击获取权限后,对我们的局域网的架构可以任意更改了,造成网络的严重混乱。所以我们建议大家在进行VTP协议实施时,不管一个域中有多少台交换机,只保留一台是VTP的服务器模式,其他都是VTP的客户模式。 另外,为了保证VTP域的安全,VTP域可以设置密码,域中所有交换机必须设置成一样的密码。在VTP域中的交换机配置了同样的密码后,VTP才能正常工作。而不知道密码或密码错误的交换机讲无法获知VLAN的消息。不过有些遗憾的是VTP的域密码是明文在网络中传递的。 下面是一个VTP安全实施的实例,要求创建一个名为RT的VTP域,在两台交换机上配置VTP域模式,一台为Server,一台为Client,开启VTP裁剪,设置VTP版本为2,在VTP域为Server的交换机上创建VLAN10,20,30三个VLAN,在这个实例中将接口加入VLAN的部分我们将在VLAN配置实例中描述。重点注意两台VTP工作的域模式和域密码。在完成这样的操作后,最大程度保证VTP的正常工作。拓扑如图2所示
图2 VTP配置 Sw-vtpserver配置如下: Sw-vtpserver (config)# vtp mode server Sw-vtpserver (config)# vtp domain rt Sw-vtpserver (config)#vtp pruning Sw-vtpserver (config)#vtp version 2 Sw-vtpserver (config)#vtp password cisco Sw-vtpserver (config)#vlan 10 Sw-vtpserver (config)#vlan 20 Sw-vtpserver (config)#vlan 30 Sw-vtpclient配置如下: Sw-vtpclient (config)#vtp domain rt Sw-vtpclient (config)#vtp password cisco Sw-vtpclient (config)#vtp pruning Sw-vtpclient (config)#vtp version 2 Sw-vtpclient (config)#vtp mode client 配置完成的结果如图3:
图3 VTP配置完成
四.VLAN安全配置案例
这是一个完整的VLAN和802.1Q配置案例,在这个案例中我们将前文讲过的所有命令都应用在这个VLAN的配置中,是我们的VLAN能够安全的为我们提供俯卧。拓扑图如图4所示。
图4 VLAN与802.1Q配置拓扑图 实施要求:在Switch-1和Switch-2完成VLAN10,20的创建,完成PC1和PC3、PC2和PC4的跨交换的通讯,使用VTP协议的创建。VTP域名RT,设Switch-1的VTP模式为Server,Switch-2的VTP模式为Client,使用VTP密码方式保护VTP安全,Switch-1的F0/2在VLAN20,和PC1相接,F0/1在VLAN10,和PC2相接,F0/24和Switch-2的F0/24连接,将Switch-1的F0/24和Switch-2的F0/24手动配置成Trunk,要保证Trunk线路的安全,关闭Trunk的DTP协议。Switch-2的F0/2在VLAN20,和PC3相接,F0/1在VLAN10,和PC4相接。更改两台交换机上的Native vlan为99。 Switch-1 (config)# vtp mode server Switch-1 (config)# vtp domain rt Switch-1 (config)#vtp pruning Switch-1 (config)#vtp version 2 Switch-1 (config)#vtp password cisco Switch-1(config)# vlan 99 Switch-1(config)# vlan 10 Switch-1(config-vlan)# name yanfa Switch-1(config)#interface fastethernet 0/1 Switch-1(config-if)# switchport mode access Switch-1(config-if)# switchport access vlan 10 Switch-1(config)# vlan 20 Switch-1(config-vlan)# name renshi Switch-1(config)#interface fastethernet 0/2 Switch-1(config-if)# switchport mode access Switch-1(config-if)# switchport access vlan 20 Switch-1(config)#interface fastethernet 0/24 Switch-1(config-if)#shutdown Switch-1(config-if)#switchport trunk encapsulation dot1q Switch-1(config-if)#switchport trunk allowed vlan 99,10,20 Switch-1(config-if)#switchport mode trunk Switch-1(config-if)#switchport trunk native vlan 99 Switch-1(config-if)#switchport nonegotiate Switch-1(config-if)#no shutdown Switch-2配置如下: Switch-2 (config)#vtp domain rt Switch-2 (config)#vtp password cisco Switch-2 (config)#vtp pruning Switch-2 (config)#vtp version 2 Switch-2 (config)#vtp mode client Switch-2(config)#interface fastethernet 0/1 Switch-2 (config-if)# switchport mode access Switch-2 (config-if)# switchport access vlan 10 Switch-2(config)#interface fastethernet 0/2 Switch-2 (config-if)# switchport mode access Switch-2 (config-if)# switchport access vlan 20 Switch-2(config)#interface fastethernet 0/24 Switch-2(config-if)#shutdown Switch-2(config-if)#switchport trunk encapsulation dot1q Switch-2(config-if)#switchport trunk allowed vlan 99,10,20 Switch-2(config-if)#switchport mode trunk Switch-2(config-if)#switchport trunk native vlan 99 Switch-2(config-if)#switchport nonegotiate Switch-2(config-if)#no shutdown 下面是ISL封装时的做法,和801.1Q相同的部分我们就省略了。重点给大家演示Trunk链路的配置。其它vlan的创建,接口的加入和802.1Q完全相同。 Switch1(config)#interface fastethernet 0/24 Switch1(config-if)#shutdown Switch1(config-if)#switchport trunk encapsulation isl Switch1(config-if)#switchport trunk allowed vlan 1-5,1002-1005 Switch1(config-if)#switchport mode trunk Switch1(config-if)#switchport nonegotiate Switch1(config-if)#no shutdown
|
.jpg)
.jpg)
.jpg)
|
||||
 |
||||
|
|
|
||||
|
|
||||
|
|
|
||||
|
|
||||
|
|
