本文目录一览:
- 1、内网能穿透vlan的设置上外网么
- 2、关于交换机VLAN穿透的问题。
- 3、VLAN穿透是什么?
- 4、携带vlan1标记的数据帧想进入trunk端口,但是trunk端口所属的vlan就是vlan1,那
- 5、哪些方法可以用来防止vlan跳跃攻击
内网能穿透vlan的设置上外网么
既然是同一个vlan的,可以在可以上网的ip机器上面,安装ccproxy,然后通过这个代理去上网
这些机器属于同一个vlan吗?
如果不属于的话,还是要看vlan间路由的配置了,不然是没有办法的
关于交换机VLAN穿透的问题。
把那三个接口设为Vlan4,直连两个交换机,配置Trunk,但需要3层交换
VLAN穿透是什么?
VLAN(虚拟局域网)。LAN可以是由少数几台家用计算机构成的网络,也可以是说利用VLAN穿透防火墙达到轻易的和目标机器建立不安全连接(比如银行的主机)
1、端口做trunk模式;
switchport trunk native vlan id
switchport mode trunk
2、做VLAN裁剪,可以设定哪些VLAN可以透传;
switchport trunk allowed vlan 1,2,3,5,
携带vlan1标记的数据帧想进入trunk端口,但是trunk端口所属的vlan就是vlan1,那
这里要收入一个概念:Native VLAN 。
Native VLAN是trunk上才有的概念.主要的目的是不丢弃非标记帧.接收方交换机把所有接收到的未标记的数据包转发到NATIVE VLAN中,而不是丢弃.默认是VLAN1.
801.q的TRUNK中可以存在多个VLAN。各个VLAN都被加上一个头,并在该头部说明VLAN号码,但是有一个VLAN,不加头,不进行封装。就是native vlan。交换机在发送数据时候会使用vlan的标记来标记该数据属于哪个vlan,802.1Q允许一个不打标记的vlan,凡在这个segement上没有打标记,对端交换机读数据时候没有读到802.1Q的标记则认为是native vlan。简单的来说Native Vlan 是802.1Q协议封装下的一种特殊Vlan,来自该VLAN的流量在穿越TRUNK接口时不打TAG,缺省时VLAN1为Native Vlan 。
而VLAN1 为交换机的缺省VLAN,一般不承载用户DATA也不承载管理流量,只承载控制信息:如CDP,DTP,BPDU,VTP,Pagp等。
Native Vlan是对于中继接口为对象,不是trunk接口谈不上Native Vlan。一般在trunk接口传送的是打了标签的数据包,那么如果有没有打标签的数据呢,这才用到Native Vlan,把这些没有打标签的数据打了Native Vlan的标签进入交换机,cisco里管理vlan和native vlan默认都是vlan 1。
对于TRUNK端口接收到一个无VLAN标记的数据帧时,802.1Q会打上NATIVE VLAN标记转发到NATIVE VLAN[默认为VLAN1 ,可以修改,若修改要确保网络内所有交换机都一致],而ISL会丢弃。
802.1QTRUNK对于VLAN1向外转发的数据帧不会打上VLAN标记会直接进行转发。
如果两台通信的交换机配置的native vlan不一致,就会报mismatch错误,一个支持vlan的交换机,互连一个不支持vlan的交换机。之间则是通过native lan来交换数据。两端native vlan不匹配的trunk链路,一端的端口会被block住,而不会转发流量。
在IP电话系统中,电话机是可以直接把数据打上标签的,但是普通PC不行,很多情况,电话机和PC是用同一条网线的,这时候,这个接口就被设定为trunk模式,电话机就用打了标签的数据传,PC没法打,交换机在收到没有标签的数据就按照隐含的switchport trunk native vlan 1为数据打上native vlan标签进入交换机传输。
vlan也是有其安全隐患的,黑客利用vlan hopping 穿过vlan。杜绝此种安全隐患方法:
1.把native vlan干掉,不让这vlan的数据在Trunk链路上跑
2.不把native vlan分配给普通用户使用
3.强制native vlan在通过trunk的时候打tag。命令vlan dot1q tag native
简单地说就是----
相当于一个tag标志的vlan
1、如果进入该端口的包不带该vlan,则直接通过;如果进入该端口的包带native vlan,则剥离native vlan并允许通过;
2、如果出该端口的包不带该vlan,则直接通过;如出该端口的包带native vlan,则剥离native vlan并允许通过
哪些方法可以用来防止vlan跳跃攻击
VLAN跳跃攻击是使用交换机对本征vlan不加标的方式进行的欺骗的,方法有许多种
1,更改本征vlan,默认是1,我们改成111,并让本征vlan也加标,也就是说加了111的标的数据才是本征vlan,所以黑客想要通过加1的标或者不加标的数据进行跳跃攻击就没办法实现了
2,把无用的交换机接口关闭,这样即使接入也无法发送数据
3,跟2差不多,使用端口安全控制