zoukankan      html  css  js  c++  java

  • 跨vlan攻击

    1. 基本配置
    2. 验证
    3. 测试
    4. 应对方案

    1、基本配置

    【SW1】

    interface GigabitEthernet0/0/10

    port link-type access

    port default vlan 10

    interface GigabitEthernet0/0/5

    port link-type trunk

    port trunk pvid vlan 10

    port trunk allow-pass vlan 2 to 4094

    【SW2】

    interface GigabitEthernet0/0/10

    port link-type access

    port default vlan 20

    interface GigabitEthernet0/0/5

    port link-type trunk

    port trunk pvid vlan 20

    port trunk allow-pass vlan 2 to 4094

    -----------------------------------------------------------

     【验证】

    [sw1]dis po vl ac

    T=TAG U=UNTAG

    -------------------------------------------------------------------------------

    Port Link Type PVID VLAN List

    -------------------------------------------------------------------------------

    GE0/0/1 hybrid 1 U: 1

    GE0/0/2 hybrid 1 U: 1

    GE0/0/3 hybrid 1 U: 1

    GE0/0/4 hybrid 1 U: 1

    GE0/0/5 trunk 10 U: 10

    T: 1 20 30

    GE0/0/6 hybrid 1 U: 1

    GE0/0/7 hybrid 1 U: 1

    GE0/0/8 hybrid 1 U: 1

    GE0/0/9 hybrid 1 U: 1

    GE0/0/10 access 10 U: 10

    [sw2]dis po vl ac

    T=TAG U=UNTAG

    -------------------------------------------------------------------------------

    Port Link Type PVID VLAN List

    -------------------------------------------------------------------------------

    GE0/0/1 hybrid 1 U: 1

    GE0/0/2 hybrid 1 U: 1

    GE0/0/3 hybrid 1 U: 1

    GE0/0/4 hybrid 1 U: 1

    GE0/0/5 trunk 20 U: 20

    T: 1 10 30

    GE0/0/6 hybrid 1 U: 1

    GE0/0/7 hybrid 1 U: 1

    GE0/0/8 hybrid 1 U: 1

    GE0/0/9 hybrid 1 U: 1

    GE0/0/10 access 20 U: 20

    【测试】

    PC>ping 10.1.10.2

    Ping 10.1.10.2: 32 data bytes, Press Ctrl_C to break

    From 10.1.10.2: bytes=32 seq=1 ttl=128 time=63 ms

    From 10.1.10.2: bytes=32 seq=2 ttl=128 time=47 ms

    From 10.1.10.2: bytes=32 seq=3 ttl=128 time=62 ms

    From 10.1.10.2: bytes=32 seq=4 ttl=128 time=63 ms

    From 10.1.10.2: bytes=32 seq=5 ttl=128 time=78 ms

    PC1发往PC2帧的变化:

    1)SW1的10口增加PVID,在交换机内部以tag10处理

    2)SW1的5口为trunk链路,允许了VLAN10以untag的方式通过,这意味着拿掉了tag10

    3)SW2的5口为trunk链路,允许了VLAN20以untag的方式通过,这意味着增加了tag20,该帧以TAG20在交换机内部处理

    4)SW2的10口为access链路,允许VLAN20以untag的方式通过,这意味着拿掉tag20从该接口发出去

    应对方案:

    这是跨越VLAN攻击,华为设备上不支持给PVID的VLAN增加TAG。建议方案:

    PVID改为一个没有业务流量的VLAN,比如30

    interface GigabitEthernet0/0/5

    port link-type trunk

    port trunk pvid vlan 30 //等于一个黑洞VLAN,所有攻击流量都甩掉没有业务的VLAN30中去

    port trunk allow-pass vlan 10 20 30 
  • 相关阅读:
    每日一题(文化课)一题---------19/7/30
    XXXXX,这个域名
    CF1037E. Trips
    bzoj3124: [Sdoi2013]直径 树形dp two points
    luogu P3952 时间复杂度 模拟
    AGC016D
    CF444E. DZY Loves Planting
    模拟赛
    HDU 3949 XOR [线性基|高斯消元]
    博客搬家
  • 原文地址:https://www.cnblogs.com/yy50567893/p/13468188.html
Copyright © 2011-2022 走看看