资料下载

VLAN安全性-充分利用VLAN

由管理员撰写。发表于 VLAN网络

4.05 1 1 1 1 1 评分4.05(20投票)
压住他

vlan-security-1看看这个强大的网络工具的内幕,以便您的代理机构可以利用带宽,可用性和安全性带来的好处。

很容易理解为什么虚拟LAN在各种规模的网络上都变得非常流行。实际上,多个VLAN几乎与在一个组织中拥有多个单独的物理网络相同,而无需管理多个电缆工厂和交换机。

由于VLAN划分了一个网络,创建了多个广播域,因此它们有效地使来自广播域的流量保持隔离,同时增加了网络的带宽,可用性和安全性。

大多数受管交换机都具有VLAN功能,但这并不意味着它们都能同样出色地完成工作。似乎可以完成任务的数千个交换机淹没了市场,但是在购买之前必须特别考虑。

具有VLAN功能的网络中的交换机需要做的不仅仅是在其端口之间交换数据包。

核心骨干交换机承担着管理网络VLAN的繁重任务,以确保一切顺利进行。这些交换机的任务包括根据源和目的地(本质上是服务质量)对网络数据包进行优先级排序,确保所有边缘交换机都知道网络中配置的VLAN,连续监视每个VLAN上可能的网络环路,交换数据包根据需要在VLAN之间进行切换,并根据其配置确保网络安全。

边缘交换机(也称为访问交换机)专用于以下终端设备:用户工作站,网络外围设备,有时还包括服务器(大多数IT管理员正确地将服务器直接连接到核心骨干交换机)。边缘交换机必须与核心骨干交换机支持的VLAN功能兼容,否则,由于交换设备之间的不兼容,将不可避免地出现问题。

这是许多组织对包括Cisco Systems,HP和Juniper 网络s这样的公司的网络设备进行标准化的原因之一。

部署VLAN时,有以下五个主要注意事项:

 

1. VLAN交换机上的链接

VLAN交换机具有两种主要的链接类型:访问链接和中继链接。

访问链接是任何支持VLAN的交换机上最常见的链接类型。所有网络主机都连接到交换机的访问链接,以访问本地网络。这些链接是在每个交换机上找到的普通端口,但已配置为访问特定VLAN。

中继链路是将两个支持VLAN的交换机连接在一起的链路。将访问链接配置为访问特定VLAN时,几乎总是将中继链接配置为承载来自所有可用VLAN的数据。

 

2.本机VLAN,ISL和802.1q

 将交换机上的端口配置为访问链接时(http://www.hengshuiwuliu.com/networking-topics/vlan-networks/218-vlan-access-trunk-links.html),它可以访问一个特定的VLAN。连接到它的任何网络设备都将成为该VLAN的一部分。

进入或退出端口的以太网帧是标准的以太网II型帧(http://www.hengshuiwuliu.com/networking-topics/ethernet/ethernet-frame-formats/201-ethernet-ii.html),连接到端口的网络设备可以理解。因为这些帧仅属于一个网络,所以它们被称为“未标记”的-意味着它们不包含有关分配给哪个VLAN的任何信息。

另一方面,干线链接要复杂一些。因为它们承载来自所有VLAN的帧,所以有必要在它们遍历交换机时以某种方式识别帧。这称为VLAN标记。

这项工作已知的两种方法是ISL(交换机间链接,专有的Cisco协议)和IEEE 802.1q。在这两种方法中,802.1q是最流行的VLAN标记方法,并且在所有支持VLAN中继的供应商之间都兼容。

令人惊讶的是,当不支持VLAN中继的设备(计算机或交换机)连接到中继链路时,中继链路也可以配置为访问链路。这意味着,如果您在交换机上具有中继链路并连接计算机,则该端口将自动提供对特定VLAN的访问。在这种情况下,VLAN被称为“本地VLAN”,这是一个通用术语,是指当中继端口用作访问链接时为其配置的VLAN。

 

3,虚拟中继协议和VTP修剪

VTP是Cisco专有协议,可确保将VTP服务器(通常是核心交换机)拥有的所有VLAN信息传播到VTP域内的所有网络交换机。

在初始网络配置期间,所有交换机均配置为同一VTP域的成员。使用VTP,IT管理员可以在核心交换机上创建,删除或重命名VLAN。然后,所有信息将自动发送到VTP域的所有成员。 Garp VLAN注册协议(GVRP)是其他供应商(例如HP和Juniper)所用的VTP,它在最近几年已进行了微调,并且包括以前仅在Cisco VTP协议中实现的许多功能。

VTP修剪(http://www.hengshuiwuliu.com/networking-topics/vlan-networks/virtual-trunk-protocol.html)是VTP功能的扩展,可确保不会通过中继链路发送不必要的网络流量。仅当中继的接收端具有分配给该VLAN的端口时,才通过中继链路在VLAN上转发广播和未知的单播帧来完成此操作。

实际上,这意味着,例如,如果网络广播发生在VLAN5上,并且特定的交换机没有分配任何端口给VLAN5,则它将永远不会通过其中继链路接收广播流量。这将导致VLAN网络中的终端交换机接收到的广播或多播通信量大打折扣。

 

4. VLAN间路由

顾名思义,VLAN间路由就是关于VLAN之间的路由包的。这也许是高级交换机上最重要的功能之一。因为VLAN间路由(http://www.hengshuiwuliu.com/networking-topics/vlan-networks/222-intervlan-routing.html)根据第3层信息(IP地址)引导数据包,执行此功能的交换机称为第3层交换机,当然,这是最昂贵的。核心交换机通常是第3层交换机。在第3层交换机不可用的情况下,此功能也可以由具有两个或多个网卡的服务器或路由器来执行,该方法通常称为“棒上路由器”。

因为这是VLAN网络最重要的方面之一,所以第3层交换机必须具有快速交换结构(以Gbps为单位),并提供高级功能,例如对路由协议,高级访问列表和防火墙的支持。第3层交换机可以为VLAN网络提供出色的保护,但如果配置不当,也可能是网络管理员最难的噩梦。

 

5.保护VLAN设备

即使许多管理员和IT经理都知道VLAN技术和概念,但在VLAN安全性方面并不一定成立。

保护VLAN网络的首要原则是物理安全性。如果组织不希望其设备受到篡改,则必须进行物理访问 严格控制。核心交换机通常安全地位于访问受限的数据中心,而边缘交换机通常位于裸露的区域。

就像物理安全准则要求设备在受控空间中一样,基于VLAN的安全性也需要使用特殊工具并遵循一些最佳安全实践来达到预期效果。

这些最佳做法包括:

  • 卸下控制台端口电缆,并引入具有指定超时和受限访问策略的受密码保护的控制台或虚拟终端访问;
  • 将相同的命令应用于虚拟终端(telnet /安全外壳)部分,并创建访问列表以限制来自特定网络和主机的telnet / SHH访问;
  • 避免将VLAN1(默认VLAN)用作网络数据VLAN;
  • 在不需要它们的任何端口上禁用高风险协议(例如CDP,DTP,PAgP,UDLD);
  • 部署VTP域,VTP修剪和密码保护;
  • 通过使用IP访问列表控制VLAN间路由。
有关每种做法的动手细节,请通读我们的 基本的&Advanced Catalyst Layer3交换机配置指南.

 

提高油门

VLAN技术为网络提供了许多增强功能,并提供了在不降低速度,质量和网络可用性的情况下在隔离环境中运行多种服务的路径。如果在最初的实施过程中以及随后的持续管理过程中考虑了必要的基本安全准则,则VLAN可以大大减少管理开销。

可能犯的最严重的错误是低估了数据链路层和VLAN的重要性,尤其是在交换网络的体系结构中。

不应忘记,任何网络都只能像其最薄弱的链接一样健壮,因此需要对每一层给予同等的关注,以确保整个结构的稳固性。

 

关于文章

本文最初由Chris Partsenidis代表fedtechmagazine.com撰写。本文也可在此处以pdf格式下载:VLAN安全- 充分利用VLAN

 有关VLAN网络的更多信息,请阅读并访问我们专用的 VLAN网络部分.

 

上一个- VLAN间路由-VLAN网络之间的路由                         Beginning - VLAN概念-VLAN简介

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置