去年，思科系統(tǒng)公司一直致力于在若干文檔中制定安全網(wǎng)絡(luò)配置的最佳實(shí)踐準(zhǔn)則，例如《 SAFE 藍(lán)圖》 [2] 或《 Catalyst 4500 、 5000 和 6500 系列交換機(jī)最佳實(shí)踐經(jīng)驗(yàn)》 [3] 。但是，迄今為止，思科還沒有提供一本全面介紹與 VLAN 相關(guān)的所有最佳實(shí)踐經(jīng)驗(yàn)、可方便客戶和現(xiàn)場(chǎng)工程師參考的文檔。

本文的目的是全面介紹思科工程師多年積累的豐富經(jīng)驗(yàn)和建議，幫助客戶和現(xiàn)場(chǎng)工程師正確地在思科交換機(jī)上配置 VLAN 。除此以外，本文還將通過要點(diǎn)說明解釋 @stake 測(cè)試的主要結(jié)果，闡述解決安全問題的方法。

基本安全準(zhǔn)則

要想創(chuàng)建安全的交換網(wǎng)，必須先熟悉基本安全準(zhǔn)則。需要特別注意的是， SAFE 最佳實(shí)踐 [2] 中強(qiáng)調(diào)的基本準(zhǔn)則是設(shè)計(jì)任何安全交換網(wǎng)的基石。

如果用戶不希望任何設(shè)備受損，則必須嚴(yán)格控制對(duì)該設(shè)備的訪問。不僅如此，所有網(wǎng)絡(luò)管理員都應(yīng)該使用思科平臺(tái)上提供的所有實(shí)用安全工具，包括系統(tǒng)密碼的基本配置、 IP 準(zhǔn)入過濾器和登陸檢查，以及 RADIUS 、 TACACS+ 、 Kerberos 、 SSH 、 SNMPv3 、 IDS 等更先進(jìn)的工具（詳情參見 [3] ）。

必須使所有基本安全準(zhǔn)則得到滿足之后，再關(guān)注更先進(jìn)的安全細(xì)節(jié)。在下面的章節(jié)中，我們將說明與 VLAN 相關(guān)的問題。

虛擬 LAN

第二層（ L2 ）交換機(jī)指能夠?qū)⑷舾啥丝诮M成虛擬廣播域，且各虛擬廣播域之間相互隔離的設(shè)備。這些域一般稱為虛擬 LAN （ VLAN ）。

VLAN 的概念與網(wǎng)絡(luò)領(lǐng)域中的其它概念相似，流量由標(biāo)記或標(biāo)簽標(biāo)識(shí)。標(biāo)識(shí)對(duì)第二層設(shè)備非常重要，只有標(biāo)識(shí)正確，才能隔離端口并正確轉(zhuǎn)發(fā)接收到的流量。正如后面章節(jié)中將要介紹的那樣，缺乏標(biāo)識(shí)有時(shí)是引發(fā)安全問題的原因，因而需要避免。

如果設(shè)備中的所有分組與相應(yīng) VLAN 標(biāo)記緊密結(jié)合，則能夠可靠區(qū)分不同域的流量。這就是 VLAN 交換體系結(jié)構(gòu)的基本前提。

值得注意的是，在物理鏈路（有時(shí)稱為干線）上，思科設(shè)備使用的是 ISL 或 802.1Q 等常用的 VLAN 標(biāo)記技術(shù)。與此同時(shí)，思科設(shè)備使用先進(jìn)標(biāo)記技術(shù)在內(nèi)部保留 VLAN 信息，并用于流量轉(zhuǎn)發(fā)。

此時(shí)，我們可以得出這樣的結(jié)論：如果從源節(jié)點(diǎn)發(fā)送出去之后，分組的 VLAN 標(biāo)識(shí)不能被修改，即保持端到端不變，則 VLAN 的可靠性應(yīng)等價(jià)于物理安全性。

關(guān)于這個(gè)問題，我們還將在下面詳細(xì)討論。

控制面板

惡意用戶特別希望能夠訪問網(wǎng)絡(luò)設(shè)備的管理控制臺(tái)，因?yàn)橐坏┏晒Γ湍軌蛉菀椎馗鶕?jù)他們的需要修改網(wǎng)絡(luò)配置。

在基于 VLAN 的交換機(jī)中，除與帶外端口直接連接外，管理 CPU 還可以使用一個(gè)或多個(gè) VLAN 執(zhí)行帶內(nèi)管理。另外，它還可以使用一個(gè)或多個(gè) VLAN 與其它網(wǎng)絡(luò)設(shè)備交換協(xié)議流量。

基本物理安全準(zhǔn)則要求網(wǎng)絡(luò)設(shè)備位于可控（鎖定）空間，主要 VLAN 安全準(zhǔn)則則要求將帶內(nèi)管理和協(xié)議流量限制在可控環(huán)境中。這個(gè)要求可以通過以下工具和最佳實(shí)踐經(jīng)驗(yàn)實(shí)現(xiàn)：

• 流量和協(xié)議 ACL 或過濾器

• QoS 標(biāo)記和優(yōu)先級(jí)劃分（控制協(xié)議由相應(yīng)的服務(wù)等級(jí)或 DSCP 值區(qū)分）

• 有選擇地關(guān)閉不可信端口上的第二層協(xié)議（例如關(guān)閉接入端口上的 DTP ）

• 只在專用 VLAN 上配置帶內(nèi)管理端口

• 避免使用 VLAN 1 傳輸任何數(shù)據(jù)流量

命令示例：

Catalyst 操作系統(tǒng)（ CatOS ）軟件 Cisco IOS ò 軟件

使用 VLAN 1 需注意的事項(xiàng)

VLAN 1 成為特殊 VLAN 的原因是，需要第二層設(shè)備才能由默認(rèn) VLAN 分配其端口，包括其管理端口。另外， CDP 、 PAgP 和 VTP 等許多第二層協(xié)議都需要發(fā)送到干線鏈路上的特定 VLAN 。基于這三個(gè)原因，最后選中了 VLAN 1 。

因此，如果裁剪不當(dāng)， VLAN 1 有時(shí)會(huì)不明智地包含整個(gè)網(wǎng)絡(luò)。當(dāng)其直徑達(dá)到一定程度時(shí)，不穩(wěn)定性風(fēng)險(xiǎn)將迅速升高。不僅如此，如果使用幾乎覆蓋全網(wǎng)的 VLAN 執(zhí)行管理任務(wù)，則將提高可信設(shè)備的風(fēng)險(xiǎn)，使其容易受到因誤配置或意外接入而進(jìn)入 VLAN 1 ，或者特意利用這種意外安全漏洞接入 VLAN 1 的不可信設(shè)備的攻擊。

為挽回 VLAN 1 的聲譽(yù)，可實(shí)施一個(gè)簡(jiǎn)單的通用安全準(zhǔn)則：作為一項(xiàng)安全規(guī)定，網(wǎng)絡(luò)管理員應(yīng)該將任何 VLAN ，尤其是 VLAN 1 與并非絕對(duì)需要此 VLAN 的所有端口隔離開。

因此，對(duì)于 VLAN 1 ，上述準(zhǔn)則可以轉(zhuǎn)換成以下建議：

• 不使用 VLAN 1 傳輸帶內(nèi)管理流量，使用另一專用 VLAN ，將管理流量與用戶數(shù)據(jù)和協(xié)議流量隔離開；

• 撤銷 VLAN 1 中所有不需要的干線和接入端口（包括未連接端口和關(guān)閉端口）。

同樣，上述規(guī)則也適用于管理 VLAN 讀操作：

• 不在不需要的任何干線或接入端口上配置管理 VLAN （包括未連接端口和關(guān)閉端口）；

• 為增強(qiáng)安全性，應(yīng)盡可能不使用帶內(nèi)管理，轉(zhuǎn)而使用帶外管理（如果想詳細(xì)了解帶外管理基礎(chǔ)設(shè)施，請(qǐng)參見 [3] ）。

作為一項(xiàng)設(shè)計(jì)準(zhǔn)則，必須“切掉”特定 VLAN 中不需要的流量。例如，為防止所有 telnet 連接，只運(yùn)行 SSH 進(jìn)程，通常會(huì)對(duì)管理 VLAN 中傳輸?shù)牧髁繎?yīng)用 VLAN ACL 和 / 或 IP 過濾器。另外，也可以應(yīng)用 QoS ACL ，以便限制呼叫流量的最高速率。

如果 VLAN 1 或者管理 VLAN 以外的 VLAN 出現(xiàn)安全問題，應(yīng)使用自動(dòng)或人工剪裁。需要注意的是，以透明或關(guān)閉方式配置 VTP 或者人工剪裁 VLAN 通常是增強(qiáng)對(duì) VLAN 網(wǎng)絡(luò)控制的最有效的方法。

命令示例：

CatOS Cisco IOS 軟件

“完全信任或完全不信任所有人同樣有害”——英國(guó)諺語(yǔ)

正確決定并實(shí)施 VLAN 1 之后，下一個(gè)邏輯步驟是將注意力轉(zhuǎn)向安全環(huán)境中另一常用的、同等重要的最佳實(shí)踐。這是個(gè)通用的安全準(zhǔn)則：將不可信設(shè)備與不可信端口相連，將可信設(shè)備或可信端口相連，斷開所有其他端口。這個(gè)準(zhǔn)則可轉(zhuǎn)變?yōu)橐韵峦ㄓ媒ㄗh：

• 如果某端口與“外部”設(shè)備相連，則不要與它進(jìn)行任何通信，否則，很可能會(huì)中了某人的圈套，產(chǎn)生對(duì)自己不利的效果。在這些端口上，應(yīng)關(guān)閉 CDP 、 DTP 、 PAgP 、 UDLD 及其它不必要的協(xié)議，并啟用 portfast/BPDU 防護(hù)。我們可以這樣想這個(gè)問題：為什么要冒險(xiǎn)與不可信任的鄰居交談呢？

• 啟用根防護(hù)特性，防止直接或間接連接的 STP 型設(shè)備影響根橋的位置。

• 如果想限制或防止意外協(xié)議與網(wǎng)絡(luò)級(jí) VLAN 配置交互，應(yīng)對(duì) VTP 域作相應(yīng)的配置，或者全部關(guān)閉 VTP 。這種預(yù)防措施不但能限制或防止將管理員的錯(cuò)誤傳播到整個(gè)網(wǎng)絡(luò)，還能限制或防止 VTP 版本較高的新交換機(jī)意外地覆蓋掉整個(gè)域的 VLAN 配置。

• 默認(rèn)狀態(tài)下，只能相信那些確實(shí)“可信”的端口，所有其它端口則一律定為“不可信”端口，以防止連接的設(shè)備不適當(dāng)?shù)匦薷?QoS 值。

• 關(guān)閉未使用端口，將其放置在未使用 VLAN 中。如果不與未使用 VLAN 建立連接，或者不在未使用 VLAN 中添加設(shè)備，就可以通過基本的物理或邏輯障礙來防止非授權(quán)訪問。

命令示例：

CatOS Cisco IOS 軟個(gè)件

為什么首先擔(dān)心第二層安全性？

為使不同層次能夠獨(dú)立操作（只了解其相互接口），我們建立了 OSI 模型。 OSI 的思想是：只要留有各層次之間的標(biāo)準(zhǔn)接口，某層協(xié)議的開發(fā)就不會(huì)影響到其它層次。

遺憾的是，這意味著，當(dāng)某個(gè)層次遭襲時(shí)，由于其它層次意識(shí)不到問題的存在，因而會(huì)危及通信的安全性（如圖 1 所示）。

圖 1 OSI 模型的結(jié)構(gòu)

在這個(gè)體系結(jié)構(gòu)中，系統(tǒng)的安全性只相當(dāng)于最薄弱鏈路的安全性。

數(shù)據(jù)鏈路層與其它層次一樣脆弱，可能會(huì)遭受各種攻擊，因此，交換機(jī)必須通過配置加以保護(hù)。

VLAN 網(wǎng)絡(luò)可能會(huì)遇到哪類攻擊？

第二層的多數(shù)攻擊都將使設(shè)備失去攻擊者跟蹤能力，這樣，攻擊者就能夠在轉(zhuǎn)發(fā)路徑上大肆執(zhí)行惡意操作，先修改配置，然后攻擊網(wǎng)絡(luò)。

下面列出的是人們最常談到的第二層攻擊，無獨(dú)有偶，這些也是 @stake 記錄的攻擊類型 [1] ：

• MAC 洪泛攻擊

• 802.1Q 和 ISL 標(biāo)記攻擊

• 雙封裝 802.1Q/ 嵌套式 VLAN 攻擊

• ARP 攻擊

• 專用 VLAN 攻擊

• 組播暴力攻擊

• 擴(kuò)展樹攻擊

• 隨機(jī)幀重壓攻擊

下面詳細(xì)說明這些攻擊。

MAC 洪泛攻擊

從嚴(yán)格意義上講，這種攻擊不屬于 “攻擊”，因?yàn)樗皇窍拗扑薪粨Q機(jī)和橋接器的工作路徑。它們占用了用于保存所有接收分組的源地址的有限硬件學(xué)習(xí)表，當(dāng)這些表充滿后，由于無法再讀到流量的地址，無法轉(zhuǎn)發(fā)流量，因而會(huì)出現(xiàn)流量洪泛現(xiàn)象。但是，由于分組洪泛只局限在初始 VLAN 內(nèi)，因而不允許 VLAN 跳轉(zhuǎn)（如 @stake 的報(bào)告所示）。

惡意用戶可以利用這種攻擊將與其連接的交換機(jī)轉(zhuǎn)變成啞偽集線器，搜索并查看所有洪泛流量。很多程序都可以用于執(zhí)行此項(xiàng)任務(wù)，例如 macof ，它是 dsniff 套件的一部分 [4] 。惡意用戶可以利用這個(gè)弱點(diǎn)發(fā)起實(shí)際攻擊，例如 ARP 破壞攻擊（欲知詳情，請(qǐng)參見《 ARP 攻擊》）。

非智能交換機(jī)無法抵御這種攻擊，因?yàn)樗粰z查發(fā)送方的第二層標(biāo)識(shí)，發(fā)送方只需發(fā)送偽分組就能假冒無限數(shù)量的設(shè)備。

思科的交換機(jī)支持多種特性，以便識(shí)別并控制所連設(shè)備的身份。這些交換機(jī)奉行的安全準(zhǔn)則非常簡(jiǎn)單：認(rèn)證和說明對(duì)所有不可信設(shè)備都至關(guān)重要。

需要強(qiáng)調(diào)的是，端口安全性、 802.1x 和動(dòng)態(tài) VLAN 這三個(gè)特性可用于根據(jù)用戶的登陸 ID 和設(shè)備自身的 MAC 層標(biāo)識(shí)限制設(shè)備連接。

例如，利用端口安全性，預(yù)防 MAC 洪泛攻擊可以像限制每個(gè)端口可以使用的 MAC 地址數(shù)那么簡(jiǎn)單：設(shè)備流量的標(biāo)識(shí)將直接與其原始端口相接。

802.1Q 和 ISL 標(biāo)記攻擊

標(biāo)記攻擊屬于惡意攻擊，利用它，一個(gè) VLAN 上的用戶可以非法訪問另一個(gè) VLAN 。例如，如果將交換機(jī)端口配置成 DTP auto ，用于接收偽造 DTP 分組，那么，它將成為干線端口，并有可能接收通往任何 VLAN 的流量。因此，惡意用戶可以通過受控制的端口與其它 VLAN 通信。

有時(shí)候，即使只是接收普通分組，交換機(jī)端口也可能違背自己的初衷，像全能干線端口那樣操作（例如，從本地以外的其它 VLAN 接收分組）。這種現(xiàn)象通常稱為“ VLAN 滲漏”（如果想閱讀關(guān)于類似問題的報(bào)告，請(qǐng)參見 [5] ）。

對(duì)于第一種攻擊，只需將所有不可信端口（不符合信任條件）上的 DTP 設(shè)置為“關(guān)”，即可預(yù)防這種攻擊的侵襲；要對(duì)付第二種攻擊，可以按照下面介紹的簡(jiǎn)單配置步驟操作（例如下一節(jié)中介紹的步驟），也可以通過軟件升級(jí)實(shí)現(xiàn)。幸運(yùn)的是， Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交換機(jī)并不需要進(jìn)行這種升級(jí)，因?yàn)槠渖线\(yùn)行的軟件和硬件能夠在所有端口上實(shí)施適當(dāng)?shù)牧髁糠诸惡透綦x（如 @stake 在 [1] 中說明的那樣）。

那么，報(bào)告中為什么會(huì)提及本地 VLAN 呢 [5] ？我們將在下面的章節(jié)中提供答案 ......

雙封裝 802.1Q/ 嵌套式 VLAN 攻擊

雖然在交換機(jī)內(nèi)部，但 VLAN 數(shù)字和標(biāo)識(shí)用特殊擴(kuò)展格式表示，目的是使轉(zhuǎn)發(fā)路徑保持端到端 VLAN 獨(dú)立，而且不會(huì)損失任何信息。在交換機(jī)外部，標(biāo)記規(guī)則由 ISL 或 802.1Q 等標(biāo)準(zhǔn)規(guī)定。

ISL 屬于思科專有技術(shù)，是設(shè)備中使用的擴(kuò)展分組報(bào)頭的緊湊形式：由于每個(gè)分組總會(huì)獲得一個(gè)標(biāo)記，沒有標(biāo)識(shí)丟失風(fēng)險(xiǎn)，因而可以提高安全性。

另一方面，制訂了 802.1Q 的 IEEE 委員會(huì)決定，為實(shí)現(xiàn)向下兼容性，最好支持本地 VLAN ，即不與 802.1Q 鏈路上任何標(biāo)記顯式相關(guān)的 VLAN 。這種 VLAN 以隱含方式用于 802.1Q 型端口上接收到的所有無標(biāo)記流量。

這種功能是用戶所希望的，因?yàn)槔眠@個(gè)功能， 802.1Q 型端口可以通過收發(fā)無標(biāo)記流量直接與老 802.3 端口對(duì)話。但是，在所有其它情況下，這種功能可能會(huì)非常有害，因?yàn)橥ㄟ^ 802.1Q 鏈路傳輸時(shí)，與本地 VLAN 相關(guān)的分組將丟失其標(biāo)記，例如其服務(wù)等級(jí)（ 802.1p 位）。

但是基于這些原因——丟失識(shí)別途徑和丟失分類信息，就應(yīng)避免使用本地 VLAN ，更不要說還有其它原因，如圖 2 所示。

圖 2 雙封裝攻擊

先剝離，再送回

攻擊者 802.1q 幀 幀

VLAN A VLAN B 數(shù)據(jù) 包含本地 VLAN A 的干線 VLAN B 數(shù)據(jù)

注意： 只有干線所有的本地 VLAN 與攻擊者相同，才會(huì)發(fā)生作用。

當(dāng)雙封裝 802.1Q 分組從 VLAN 恰巧與干線的本地 VLAN 相同的設(shè)備進(jìn)入網(wǎng)絡(luò)時(shí)，這些分組的 VLAN 標(biāo)識(shí)將無法端到端保留，因?yàn)?802.1Q 干線總會(huì)對(duì)分組進(jìn)行修改，即剝離掉其外部標(biāo)記。刪除外部標(biāo)記之后，內(nèi)部標(biāo)記將成為分組的惟一 VLAN 標(biāo)識(shí)符。因此，如果用兩個(gè)不同的標(biāo)記對(duì)分組進(jìn)行雙封裝，流量就可以在不同 VLAN 之間跳轉(zhuǎn)。

這種情況將被視為誤配置，因?yàn)?802.1Q 標(biāo)準(zhǔn)并不逼迫用戶在這些情況下使用本地 VLAN 。事實(shí)上，應(yīng)一貫使用的適當(dāng)配置是從所有 802.1Q 干線清除本地 VLAN （將其設(shè)置為 802.1q-all-tagged 模式能夠達(dá)到完全相同的效果）。在無法清除本地 VLAN 時(shí)， 應(yīng)選擇未使用的 VLAN 作為所有干線的本地 VLAN ，而且不能將該 VLAN 用于任何其它目的 。 STP 、 DTP 和 UDLD （參見 [3] ）等協(xié)議應(yīng)為本地 VLAN 的唯一合法用戶，而且其流量應(yīng)該與所有數(shù)據(jù)分組完全隔離開。

ARP 攻擊

ARP 協(xié)議 [6] 是一項(xiàng)老技術(shù)。 ARP RFC 產(chǎn)生的時(shí)候，網(wǎng)絡(luò)中的所有人都被視為“友好人士”，因而沒有在 ARP 功能中考慮安全性。這樣，任何人都可以聲稱自己是某個(gè) IP 地址的所有者。更準(zhǔn)確地說，任何人都可以聲稱其 MAC 地址與某個(gè)子網(wǎng)內(nèi)的任何 IP 地址相關(guān)。這是完全可行的，因?yàn)?ARP 請(qǐng)求或答復(fù)中包含設(shè)備的第二層標(biāo)識(shí)信息（ MAC 地址）和第三層標(biāo)識(shí)（ IP 地址），而且沒有核實(shí)機(jī)制，無法核查這些標(biāo)識(shí)的準(zhǔn)確性。

在另一個(gè)實(shí)例中，由于不能用準(zhǔn)確、可靠的手段確認(rèn)設(shè)備的身份，因而出現(xiàn)了嚴(yán)重的安全漏洞。這個(gè)例子同時(shí)表明，如果 OSI 模型中的較低層次遭到攻擊，由于較高層意識(shí)不到問題的存在，因而將直接影響較高層的操作。（ ARP 是一種獨(dú)特的協(xié)議樣本，它在第二層內(nèi)運(yùn)行，但從邏輯上，它位于 OSI 模型中數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層之間的邊界上。）

@stake 發(fā)動(dòng)的 ARP 攻擊的目的是，通過發(fā)送包含偽造標(biāo)識(shí)的 ARP 分組，欺騙某交換機(jī)將分組轉(zhuǎn)發(fā)到另一個(gè) VLAN 中的某臺(tái)設(shè)備。但是，在所有思科設(shè)備中， VLAN 是正交的，因而不依賴于 MAC 地址。所以，只通過修改 ARP 分組中的設(shè)備標(biāo)識(shí)，是不可能影響它與其它 VLAN 內(nèi)設(shè)備的通信方式的。事實(shí)上，正如報(bào)告中所說，不可能進(jìn)行任何 VLAN 跳轉(zhuǎn)。

另一方面，在同一個(gè) VLAN 內(nèi)，利用 ARP 破壞或 ARP 欺詐攻擊 [7] ，可以有效地欺騙終端站點(diǎn)或路由器識(shí)別偽造的設(shè)備標(biāo)識(shí)，致使惡意用戶能夠以中間人的身份，發(fā)動(dòng)中間人（ MiM ）攻擊。

對(duì)于這種情況，一張圖可對(duì)其進(jìn)行最好的說明（見圖 3 ）。

圖 3 ARP 破壞攻擊

將免費(fèi)信息送至 0000.0000.000B ：我的 IP 地址為 1.1.1.1 ，我的 MAC 地址為 000:00:00:00:00:0C

PC 1.1.1.2 的 ARP 表受到侵襲。所有外出流量都將通過 PC 1.1.1.3 ，然后將流量透明地轉(zhuǎn)發(fā)至路由器。

發(fā)動(dòng) MiM 攻擊的方法是，在發(fā)送至受襲設(shè)備的 ARP 包中假冒另一臺(tái)設(shè)備（例如默認(rèn)網(wǎng)關(guān)），由于接收方不檢查這些分組，因而其 ARP 表將接收假冒信息。

預(yù)防這種攻擊有兩種方法，一種方法是阻擋攻擊者和受攻擊設(shè)備之間的第二層直接通信，另一種方法是在網(wǎng)絡(luò)中嵌入更多智能，使之能夠檢查轉(zhuǎn)發(fā) ARP 分組的標(biāo)識(shí)是否正確。第一種方法可以通過 Cisco Catalyst 專用 VLAN 或?qū)Ｓ?VLAN 邊緣特性實(shí)現(xiàn)。第二種方法可以利用稱為 ARP 檢查的新特性實(shí)現(xiàn)，這種特性首先在 Cisco Catalyst 6500 Supervisor Engine II 上的 CatOS 7.5 中推出，以后將在 Cisco Catalyst 交換機(jī)的 Cisco IOS 軟件中提供。

專用 VLAN 攻擊

“專用 VLAN 攻擊”有點(diǎn)用詞不當(dāng)，因?yàn)樗鼘?duì)應(yīng)的不是安全漏洞，而是對(duì)特性的某種期望。專用 VLAN 屬于第二層特性，因而應(yīng)該只在第二層隔離流量。另一方面，路由器則屬于第 3 層（ L3 ）設(shè)備，當(dāng)它與專用 VLAN 混合端口相連時(shí)，即使目的地與始發(fā)地在同一個(gè)子網(wǎng)中，也應(yīng)該將該端口上接收到的第三層流量轉(zhuǎn)發(fā)到相應(yīng)的目的地（ @stake 將這種行為稱為第二層代理）。

因此，雖然兩個(gè)相互隔絕的 VLAN 中的兩臺(tái)主機(jī)應(yīng)該通過第二層直接通信相互交流，但它們通常在相互交談時(shí)將路由器作為分組中繼。

上述現(xiàn)象如圖 4 所示。

圖 4 第二層代理

與常規(guī)路由流量相同，如果需要，可以利用轉(zhuǎn)發(fā)設(shè)備上相應(yīng)的 ACL 配置對(duì)通過第二層代理中繼的分組進(jìn)行過濾。

利用輸出思科 IOS ACL 阻擋中繼流量的示例如下：

deny subnet/mask subnet/mask

permit any subnet/mask

deny any any

如果想詳細(xì)了解 VLAN ，請(qǐng)參見 [8] 。

組播暴力攻擊

這種攻擊試圖利用交換機(jī)的潛在安全漏洞（讀操作：缺陷）發(fā)起第二層組播幀風(fēng)暴。 @stake 希望通過測(cè)試了解第二層交換機(jī)快速接收到大量第二層組播幀時(shí)將發(fā)生什么情況。正確的反應(yīng)是將流量限制在原始 VLAN 中，錯(cuò)誤的反應(yīng)是將幀泄漏到其它 VLAN 中。

@stake 的結(jié)果顯示，這種攻擊對(duì) Cisco Catalyst 交換機(jī)無效，因?yàn)樗袔及谙鄳?yīng)的廣播域中（這個(gè)結(jié)果毫不奇怪：畢竟，在所有 Catalyst 交換機(jī)中，廣播只是組播的一個(gè)特殊部分）。

生成樹協(xié)議

試圖利用交換機(jī)弱點(diǎn)（例如缺陷）發(fā)動(dòng)攻擊的另一種攻擊是 STP 攻擊。 @stake 測(cè)試的所有 Cisco Catalyst 交換機(jī)都支持這種協(xié)議。默認(rèn)狀態(tài)下， STP 是打開的，而且交換機(jī)上的所有端口都可以收聽 STP 消息。 @stake 試圖測(cè)試，在某些情況下，思科 PVST （每 VLAN 生成樹）是否將無法打開 1 多個(gè) VLAN 。攻擊包括窺探線路上的 STP 幀，以便獲取端口 STP 的 ID 。接下來，攻擊者將發(fā)出 STP 配置 / 拓?fù)渥兏J(rèn)可 BPDU ，宣布它稱為優(yōu)先級(jí)較低的新根橋。

在此過程中，測(cè)試者輸入廣播流量，看是否有 VLAN 漏出，結(jié)果是沒有出現(xiàn)這種現(xiàn)象。這說明，在思科交換機(jī)上實(shí)施的 STP 的功能十分強(qiáng)大。

隨機(jī)幀重壓攻擊

這種攻擊有很多形式，但主要特點(diǎn)是，它包含隨機(jī)分布在多個(gè)分組域的暴力攻擊，只保持源地址和目標(biāo)地址不變。 @stake 工程師的多次測(cè)試表明，任何分組都無法成功地跳過 VLAN 。

專用 VLAN 可以更好地隔離第二層的主機(jī)，并防止它們受到不可信設(shè)備的意外惡意流量的攻擊。使用時(shí)，可以建立互信任主機(jī)組，將第二層網(wǎng)絡(luò)分成多個(gè)子域，只讓友好設(shè)備相互交流。如果想詳細(xì)了解專用 VLAN ，請(qǐng)參見 [8] 。

結(jié)論

實(shí)踐表明， VLAN 技術(shù)的可靠性遠(yuǎn)遠(yuǎn)高于誹謗者的預(yù)期，只有用戶誤配置或特性誤用才能突破其強(qiáng)大功能。

用戶會(huì)犯的最嚴(yán)重的錯(cuò)誤是，不重視高級(jí)交換網(wǎng)絡(luò)體系結(jié)構(gòu)中的數(shù)據(jù)鏈路層，尤其是 VLAN 。需要牢記的是， OSI 模型的安全性與其最薄弱鏈路的安全性相當(dāng)。因此，必須同等地重視每一層次，才能保證整個(gè)結(jié)構(gòu)的安全性。

• 設(shè)備或算法可能失敗的一種方式，例如，當(dāng)設(shè)備誤操作、成為易受攻擊的薄弱環(huán)節(jié)時(shí)。

基于 Cisco Catalyst 交換機(jī)的任何良好網(wǎng)絡(luò)設(shè)備都應(yīng)該包含本文介紹的最佳實(shí)踐準(zhǔn)則，這樣才能有效保護(hù)網(wǎng)絡(luò)的第二層安全體系結(jié)構(gòu)免遭破壞。

雖然前面章節(jié)討論的某些安全概念比較通用，但需要注意的是，本文針對(duì)的只是包含 Cisco Catalyst 交換機(jī)的網(wǎng)絡(luò)，其它交換機(jī)廠商的實(shí)施方法可能大不相同，因而某些交換機(jī)可能更容易遭受本文介紹的各種攻擊的侵襲。

參考資料

• 研究報(bào)告：安全使用 VLAN ： @stake 安全評(píng)估—— 2002 年 8 月

http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf

2. SAFE ：企業(yè)網(wǎng)的安全藍(lán)圖， http://www.cisco.com/go/safe/

3. Catalyst 4500 、 5000 和 6500 系列交換機(jī)配置和管理的最佳實(shí)踐， http://www.cisco.com/warp/customer/473/103.html

4. dsniff ，作者 Dug Song ， http://monkey.org/~dugsong/dsniff/

5. VLAN 安全性測(cè)試報(bào)告， 2000 年 7 月， http://www.sans.org/newlook/resources/IDFAQ/vlan.htm

6. 以太網(wǎng)地址解析協(xié)議， RFC 826 ， http://www.ietf.org/rfc/rfc0826.txt

7. ARP 欺騙攻擊：

http://www.sans.org/newlook/resources/IDFAQ/switched_network.htm

8. 白皮書： Catalyst 6500 系列服務(wù)供應(yīng)商特性（專用 VLAN ）

http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/c65sp_wp.htm

9. @stake ， http://www.atstake.com/

縮略詞與定義