资料下载

VLAN安全提示-最佳做法

由管理员撰写。发表于 思科交换机-Catalyst交换机配置

4.2444444444444 1 1 1 1 1 评分4.24(45投票)
压住他

思科交换机VLAN安全1本文重点介绍VLAN安全性及其在业务网络环境中的实现。我们提供了提示和Cisco CLI命令,可帮助您升级VLAN网络安全性。

尽管许多管理员和IT经理都知道VLAN技术和概念,但不幸的是,事实证明,对于VLAN安全性,这并不适用。尽管本节主要关注在Cisco交换机上实现的安全性,但是许多概念可以应用于其他供应商交换机。

保护VLAN网络的首要原则是物理安全性。如果您不想篡改设备,则必须严格控制对设备的物理访问。 核心交换机通常安全地位于访问受限的数据中心中,但是边缘交换机并不是那么幸运,它们通常放置在裸露的区域。

就像物理安全准则要求设备在受控空间中一样,基于VLAN的安全性也需要使用特殊工具并遵循一些“最佳安全实践”才能获得预期的结果。

让我们看一下管理员或IT经理可以采取的一些重要步骤,以使他们的网络摆脱当今大多数网络所遭受的安全问题:

 

卸下控制台端口电缆,引入具有指定超时和限制访问权限的受密码保护的控制台/ Vty访问。 

思科交换机背面的控制台端口可直接访问系统。如果不采取任何措施确保这种访问方法的安全,那么使用流行的“蓝色控制台电缆”的任何人都可能会对交换机保持完全暴露。在控制台和telnet / ssh端口上配置复杂的用户凭据将确保在尝试访问设备时,任何不需要的访问者都将保持黑暗状态。 使用“ exec-timeout”命令等特殊命令, 当管理员意外忘记注销会话时,它将在编程的超时值之后自动超时。

以下是一组命令,这些命令将帮助您完成上述措施,以帮助限制对swich的访问:

开关# 配置终端
开关(配置)# 用户名管理员权限15个机密* Firewall.cx *
开关(配置)# 线控台0
开关(配置线)# 本地登录
开关(配置线)# 密码思科
开关(配置线)# 执行超时60 0

 

我们还将相同的命令应用于VTY(telnet / ssh)部分,并创建一个 访问列表115 限制来自特定网络的telnet / ssh访问& hosts:

开关(配置)# 行vty 0 15
开关(配置行)# 密码思科
开关(配置行)# 本地登录
开关(配置行)# 执行超时60 0
开关(配置行)# 首选运输ssh 
开关(配置行)# 115英寸访问等级
 

以下是 访问列表115 我们创建了:

开关(配置)# 访问列表115备注-= [限制VTY访问] =-
开关(配置)# 访问列表115允许IP主机74.200.84.4任何
开关(配置)# 访问列表115允许IP主机69.65.126.42任何
开关(配置)# 访问列表115允许ip 192.168.50.0 0.0.0.255任何
开关(配置)# 访问列表115备注


始终确保使用“秘密定义用户名及其密码时,用户名语法中的“”参数而不是“ password”参数。经典的“密码”参数使用的加密算法要弱得多,因此很容易被解密。

为了说明这一点,您可以使用'password'参数,然后将经过加密的密码复制到我们流行的密码中 思科7类密码解密 页,看看会发生什么!

 

避免使用VLAN1(默认VLAN) 为您的网络数据

VLAN 1是一种特殊的VLAN,它是根据设计选择的,用于承载特定信息,例如CDP(思科发现协议),VTP,PAgP等。 VLAN 1从未打算用作标准VLAN来承载网络数据。

默认配置下,Cisco交换机上的所有访问链接都设置为VLAN 1,这会导致严重的安全问题,因为可以直接访问网络主干。 结果,如果不适当修剪,VLAN 1可能最终会不明智地跨越整个网络。

使用潜在的无处不在的VLAN进行管理的做法会使受信任的设备面临来自不受信任的设备的安全攻击的更高风险,这些不信任的设备会通过错误配置或纯粹的意外事件获得对VLAN 1的访问,并尝试利用此意外的安全漏洞。

根据一般经验,网络管理员应从不需要该VLAN的所有端口修剪任何VLAN,尤其是VLAN 1。

以下示例修剪VLAN 1 到5和7到8,在中继模式下仅允许访问VLAN 6。此外,我们仅将端口分配给VLAN 6:

开关(配置)# 接口fastethernet0 / 24
切换(config-if)# switchport中继允许vlan删除? (救命)
字 该端口处于中继模式时,不允许的VLANS的VLAN ID


切换(config-if)# 允许switchport中继VLAN删除1,2,3,4,5,7,8
切换(config-if)# 交换端口访问VLAN 6



在不需要端口的所有端口上禁用高风险协议 

如果端口连接到“外部”设备,请勿尝试说其语言-可以将其转化为他人的优势并用于您的网络。确保禁用诸如CDP,DTP,PAgP,UDLD之类的协议(单向链路检测协议) 并始终启用生成树  portfast &端口上的bpduguard。

以下是有关如何禁用上述协议并启用生成树portfast bpduguard的示例:

开关(配置)# 接口fastethernet0 / 24
切换(config-if)# 没有CDP启用
切换(config-if)# 没有udld端口
切换(config-if)# 生成树portfast
切换(config-if)# 生成树bpduguard启用
切换(config-if)# 生成树保护根

最后,如果不使用该端口,请发出“关掉”命令,以确保未经适当授权的任何人都无法访问它。


VTP域,VTP修剪和密码保护

这里有两个选择–适当地配置VTP域或完全关闭VTP! VTP是一个很好的工具,可确保所有VLAN信息都被传送到您的网络交换机。如果未采取必要的安全措施,则擦除整个网络的VLAN配置就像将交换机连接到具有“破坏性”的适当配置一样容易。

 配置为具有相同“ VTP域”,角色类型为“服务器”以及实际VTP服务器的“ VTP修订版”编号更高的交换机(通常是核心交换机),这是引起任何服务器重大混乱和恐慌的所有必要措施网络规模。所有其他交换机将自动“侦听”新的“ VTP服务器”并清除所有现有的VLAN信息。然后,您可以开始寻找新工作。

核心交换机上的一些简单的不言自明的命令将有助于确保避免上述情况:

CoreSwitch(配置)# vtp域firewall.cx
CoreSwitch(配置)# vtp密码fedmag机密
CoreSwitch(配置)# vtp模式服务器
CoreSwitch(配置)# vtp版本2
CoreSwitch(配置)# VTP修剪

边缘交换机需要“vtp模式客户端”和“VTP密码”命令,之后他们将自动从您的核心交换机接收所有必要的VLAN信息。

您可以使用“显示VTP状态’命令:

核心交换机 显示VTP状态
支持VTP版本          : 1 to 3
VTP版本正在运行             : 2
VTP域名               : 防火墙
VTP修剪模式                : 已启用
VTP陷阱生成           : Disabled
设备编号                            : c062.6b10.5600
配置最后由192.168.50.1于3-16-11 16:53:48修改
接口Vl1上的本地更新程序ID为192.168.50.1(找到的编号最小的VLAN接口)

功能VLAN:
--------------
VTP操作模式                       : 服务器
本地支持的最大VLAN   : 1005
现有VLAN数量               : 8
配置修订                    : 25
MD5摘要                                   :0xDD 0x9D 0x3B 0xA0 0x80 0xD8 0x7A 0x3A
                                                     0x1F 0x2F 0x2A 0xDB 0xCD 0x84 0xCE 0x5F

 

 

使用IP访问列表控制VLAN间路由

VLAN间路由是一项很棒的必要功能。因为在许多情况下需要隔离VLAN或限制VLAN之间的访问,所以必须使用IP访问列表。

IP访问列表的创建方式应允许VLAN之间的正常流量通过,但不要暴露需要保护的网络。创建访问列表后,它们将直接应用于核心第3层交换机的VLAN接口。  根据访问列表,将拒绝所有从指定VLAN尝试传递到其他VLAN的流量,以确保不暴露核心网络。 

让我们以一个常见的例子来使本技巧更实用。

您已经创建了一个新的访客VLAN(VLAN 6 –网络192.168.141.0/24),以为公司访客提供免费的Internet访问。要求是允许完全Internet访问,但限制对其他VLAN的访问。 另外,还认为必须配置DHCP服务器,以使您的生活更轻松,麻烦更少。

这是用于为该VLAN服务的DHCP服务器的配置:

CoreSwitch(配置)# ip dhcp池vlan6-Guest-Internet 
CoreSwitch(DHCP配置)# 网络192.168.141.0 255.255.255.0
CoreSwitch(DHCP配置)# DNS服务器192.168.130.5
CoreSwitch(DHCP配置)#  默认路由器192.168.141.1

注意 192.168.141.1 是我们的核心交换机VLAN 6 IP地址,并且 192.168.130.5 是我们位于不同VLAN上的DNS服务器。

接下来,我们创建必要的访问列表。

CoreSwitch(配置)# 访问列表100备注-[允许访客DNS请求到DNS服务器]-
CoreSwitch(配置)# 访问列表100许可udp 192.168.141.0 0.0.0.255主机192.168.130.5 eq 53
CoreSwitch(配置)# access-list 100备注[DHCP服务器接收客户端请求所必需]
CoreSwitch(配置)# 访问列表100允许udp任何任何eq引导程序
CoreSwitch(配置)# 访问列表100允许udp任何任何eq bootpc
CoreSwitch(配置)# access-list 100备注-[拒绝访客访问其他VLAN]-
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.50.0 0.0.0.255登录
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.130.0 0.0.0.255登录
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.135.0 0.0.0.255登录
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.160.0 0.0.0.255登录
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.131.0 0.0.0.255登录
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.170.0 0.0.0.255登录
CoreSwitch(配置)# 访问列表100拒绝  ip 192.168.141.0 0.0.0.255 192.168.180.0 0.0.0.255登录
CoreSwitch(配置)# access-list 100备注-[允许访客访问其他地方–Internet]-
CoreSwitch(配置)# 访问列表100许可ip 192.168.141.0 0.0.0.255任何
CoreSwitch(配置)# 访问列表100备注

 

 请注意,我们最初允许DNS和DHCP请求,然后拒绝访问所有VLAN。最后,我们允许其他任何地方访问。我们的访问列表的这种逻辑结构旨在满足核心交换机执行的自上而下访问列表的检查。

如果我们将DNS或Bootp放在访问列表的最后,则显然将失败,因为拒绝声明将占上风。  Finally, the ‘ 日志 在deny语句上看到的参数将触发核心交换机上的日志条目,从而使我们能够捕获所有试图持久访问其他VLAN的来宾

最后一步是按照“传入”方向将访问列表应用于新创建的VLAN接口:

CoreSwitch(配置)# 接口vlan 6
CoreSwitch(config-if)# ip访问组100 in

 

文章摘要

VLAN技术很棒–它为网络提供了极大的增强,并提供了在孤立的环境中运行多种服务的路径,而不会牺牲速度,质量和网络可用性。如果在初始实施和正在进行的管理过程中考虑了必要的基本安全准则,它可能会产生奇迹,并显着减少IT管理员或经理的管理开销。另一方面,如果忽略这些安全准则,则整个网络即将面临的风险将受到威胁,并且只是时间问题。

IT管​​理员或管理人员可能犯的最严重的错误是,低估了数据链路层(尤其是VLAN)在交换网络体系结构中的重要性。

不应忘记,任何网络都只能像其最薄弱的链接一样健壮,因此应该对它的所有层给予同等的关注,以确保其整个结构健全。

返回思科交换机部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网 安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置