zoukankan      html  css  js  c++  java

  • 跨vlan攻击

    1. 基本配置
    2. 验证
    3. 测试
    4. 应对方案

    1、基本配置

    【SW1】

    interface GigabitEthernet0/0/10

    port link-type access

    port default vlan 10

    interface GigabitEthernet0/0/5

    port link-type trunk

    port trunk pvid vlan 10

    port trunk allow-pass vlan 2 to 4094

    【SW2】

    interface GigabitEthernet0/0/10

    port link-type access

    port default vlan 20

    interface GigabitEthernet0/0/5

    port link-type trunk

    port trunk pvid vlan 20

    port trunk allow-pass vlan 2 to 4094

    -----------------------------------------------------------

     【验证】

    [sw1]dis po vl ac

    T=TAG U=UNTAG

    -------------------------------------------------------------------------------

    Port Link Type PVID VLAN List

    -------------------------------------------------------------------------------

    GE0/0/1 hybrid 1 U: 1

    GE0/0/2 hybrid 1 U: 1

    GE0/0/3 hybrid 1 U: 1

    GE0/0/4 hybrid 1 U: 1

    GE0/0/5 trunk 10 U: 10

    T: 1 20 30

    GE0/0/6 hybrid 1 U: 1

    GE0/0/7 hybrid 1 U: 1

    GE0/0/8 hybrid 1 U: 1

    GE0/0/9 hybrid 1 U: 1

    GE0/0/10 access 10 U: 10

    [sw2]dis po vl ac

    T=TAG U=UNTAG

    -------------------------------------------------------------------------------

    Port Link Type PVID VLAN List

    -------------------------------------------------------------------------------

    GE0/0/1 hybrid 1 U: 1

    GE0/0/2 hybrid 1 U: 1

    GE0/0/3 hybrid 1 U: 1

    GE0/0/4 hybrid 1 U: 1

    GE0/0/5 trunk 20 U: 20

    T: 1 10 30

    GE0/0/6 hybrid 1 U: 1

    GE0/0/7 hybrid 1 U: 1

    GE0/0/8 hybrid 1 U: 1

    GE0/0/9 hybrid 1 U: 1

    GE0/0/10 access 20 U: 20

    【测试】

    PC>ping 10.1.10.2

    Ping 10.1.10.2: 32 data bytes, Press Ctrl_C to break

    From 10.1.10.2: bytes=32 seq=1 ttl=128 time=63 ms

    From 10.1.10.2: bytes=32 seq=2 ttl=128 time=47 ms

    From 10.1.10.2: bytes=32 seq=3 ttl=128 time=62 ms

    From 10.1.10.2: bytes=32 seq=4 ttl=128 time=63 ms

    From 10.1.10.2: bytes=32 seq=5 ttl=128 time=78 ms

    PC1发往PC2帧的变化:

    1)SW1的10口增加PVID,在交换机内部以tag10处理

    2)SW1的5口为trunk链路,允许了VLAN10以untag的方式通过,这意味着拿掉了tag10

    3)SW2的5口为trunk链路,允许了VLAN20以untag的方式通过,这意味着增加了tag20,该帧以TAG20在交换机内部处理

    4)SW2的10口为access链路,允许VLAN20以untag的方式通过,这意味着拿掉tag20从该接口发出去

    应对方案:

    这是跨越VLAN攻击,华为设备上不支持给PVID的VLAN增加TAG。建议方案:

    PVID改为一个没有业务流量的VLAN,比如30

    interface GigabitEthernet0/0/5

    port link-type trunk

    port trunk pvid vlan 30 //等于一个黑洞VLAN,所有攻击流量都甩掉没有业务的VLAN30中去

    port trunk allow-pass vlan 10 20 30 
  • 相关阅读:
    javascript小测试
    js设计模式--策略模式
    js设计模式--迭代器模式
    面试题自我解析
    js设计模式--工厂模式
    js设计模式--单体模式
    Python学习一:Python简介
    Angularjs学习笔记《一》
    实现字体最小,不是默认的12px,可以在视觉上最小达到6px
    css3 transform之后,图片的清晰度下降解决方式
  • 原文地址:https://www.cnblogs.com/yy50567893/p/13468188.html
Copyright © 2011-2022 走看看