全国最大诚信黑客接单

网站入侵,红包控制,密码破解,木马制作,app作弊程序开发

黑客vlan穿透(vlan 安全)

本文目录一览:

内网能穿透vlan的设置上外网么

既然是同一个vlan的,可以在可以上网的ip机器上面,安装ccproxy,然后通过这个代理去上网

这些机器属于同一个vlan吗?

如果不属于的话,还是要看vlan间路由的配置了,不然是没有办法的

关于交换机VLAN穿透的问题。

把那三个接口设为Vlan4,直连两个交换机,配置Trunk,但需要3层交换

VLAN穿透是什么?

VLAN(虚拟局域网)。LAN可以是由少数几台家用计算机构成的网络,也可以是说利用VLAN穿透防火墙达到轻易的和目标机器建立不安全连接(比如银行的主机)

1、端口做trunk模式;

switchport trunk native vlan id

switchport mode trunk

2、做VLAN裁剪,可以设定哪些VLAN可以透传;

switchport trunk allowed vlan 1,2,3,5,

携带vlan1标记的数据帧想进入trunk端口,但是trunk端口所属的vlan就是vlan1,那

这里要收入一个概念:Native VLAN 。

Native VLAN是trunk上才有的概念.主要的目的是不丢弃非标记帧.接收方交换机把所有接收到的未标记的数据包转发到NATIVE VLAN中,而不是丢弃.默认是VLAN1.

801.q的TRUNK中可以存在多个VLAN。各个VLAN都被加上一个头,并在该头部说明VLAN号码,但是有一个VLAN,不加头,不进行封装。就是native vlan。交换机在发送数据时候会使用vlan的标记来标记该数据属于哪个vlan,802.1Q允许一个不打标记的vlan,凡在这个segement上没有打标记,对端交换机读数据时候没有读到802.1Q的标记则认为是native vlan。简单的来说Native Vlan 是802.1Q协议封装下的一种特殊Vlan,来自该VLAN的流量在穿越TRUNK接口时不打TAG,缺省时VLAN1为Native Vlan 。

而VLAN1 为交换机的缺省VLAN,一般不承载用户DATA也不承载管理流量,只承载控制信息:如CDP,DTP,BPDU,VTP,Pagp等。

Native Vlan是对于中继接口为对象,不是trunk接口谈不上Native Vlan。一般在trunk接口传送的是打了标签的数据包,那么如果有没有打标签的数据呢,这才用到Native Vlan,把这些没有打标签的数据打了Native Vlan的标签进入交换机,cisco里管理vlan和native vlan默认都是vlan 1。

对于TRUNK端口接收到一个无VLAN标记的数据帧时,802.1Q会打上NATIVE VLAN标记转发到NATIVE VLAN[默认为VLAN1 ,可以修改,若修改要确保网络内所有交换机都一致],而ISL会丢弃。

802.1QTRUNK对于VLAN1向外转发的数据帧不会打上VLAN标记会直接进行转发。

如果两台通信的交换机配置的native vlan不一致,就会报mismatch错误,一个支持vlan的交换机,互连一个不支持vlan的交换机。之间则是通过native lan来交换数据。两端native vlan不匹配的trunk链路,一端的端口会被block住,而不会转发流量。

在IP电话系统中,电话机是可以直接把数据打上标签的,但是普通PC不行,很多情况,电话机和PC是用同一条网线的,这时候,这个接口就被设定为trunk模式,电话机就用打了标签的数据传,PC没法打,交换机在收到没有标签的数据就按照隐含的switchport trunk native vlan 1为数据打上native vlan标签进入交换机传输。

vlan也是有其安全隐患的,黑客利用vlan hopping 穿过vlan。杜绝此种安全隐患方法:

1.把native vlan干掉,不让这vlan的数据在Trunk链路上跑

2.不把native vlan分配给普通用户使用

3.强制native vlan在通过trunk的时候打tag。命令vlan dot1q tag native

简单地说就是----

相当于一个tag标志的vlan

1、如果进入该端口的包不带该vlan,则直接通过;如果进入该端口的包带native vlan,则剥离native vlan并允许通过;

2、如果出该端口的包不带该vlan,则直接通过;如出该端口的包带native vlan,则剥离native vlan并允许通过

哪些方法可以用来防止vlan跳跃攻击

VLAN跳跃攻击是使用交换机对本征vlan不加标的方式进行的欺骗的,方法有许多种

1,更改本征vlan,默认是1,我们改成111,并让本征vlan也加标,也就是说加了111的标的数据才是本征vlan,所以黑客想要通过加1的标或者不加标的数据进行跳跃攻击就没办法实现了

2,把无用的交换机接口关闭,这样即使接入也无法发送数据

3,跟2差不多,使用端口安全控制

  • 评论列表:
  •  冬马颇倔
     发布于 2022-07-12 03:28:15  回复该评论
  • 本文目录一览:1、内网能穿透vlan的设置上外网么2、关于交换机VLAN穿透的问题。3、VLAN穿透是什么?4、携带vlan1标记的数据帧想进入trunk端口,但是trunk端口所属的vlan就是vlan1,那5、哪些方法可以用来防止vlan跳跃攻击内网能穿透vlan的设置上外

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.