VLAN如何避免灾难

交换机不是设计成安全的设备，它的功能仍然是提高网络性能，如果我们想把交换机变成安全机制的一部分，前提是我们必须首先正确配置交换机。其次，开关的制造商必须有一个全面的了解，对交换机软件的基本标准和贯彻实施这些标准。如果有一个网络安全的严格要求，或不使用共享开关，特殊开关应保证网络的安全性。如果你要分享一个不受信任的网络和信任的用户之间的一个开关，它只能是一个安全的灾难。

VLAN确实可以隔离共享相同交换机甚至共享一组交换机的网络服务，但当交换机设计者将这种隔离添加到产品中时，优先级不是安全问题，VLAN的工作原理是限制和过滤广播业务。不幸的是，VLAN依赖于软件和配置机制而不是硬件来完成这项任务。

近年来，一些防火墙已经成为VLAN设备，这意味着基于分组的标签规则可以传输一个数据包到一个特定的VLAN。然而，作为一个VLAN设备防火墙，Web托管的网站有很多灵活的规则，使防火墙依赖于标签不符合安全设计。开关的外部设备也可以生成标签可以很容易地连接到一个数据包欺骗防火墙。

VLAN的工作原理是什么VLAN的安全优势是什么如果您决定使用VLAN作为安全系统的一部分，如何最大限度地避免VLAN的弱点呢

分区函数

开关这个词最初是用来描述这样一种装置，它将网络接口称为港口和网络服务之间的交换。不久前，局域网交换机被称为桥。现在，即使是IEEE标准，相关的交换机都不可避免地使用桥术语。

网桥用于在同一局域网上连接不同的部分，本地网络指的是不需要路由的本地网络。网桥软件通过检测包中包含的MAC地址来了解哪个端口连接到网络设备。一段时间后，桥上学会了如何通过构建生成树和表正确的网络接口发送数据包。这些生成树和表映射MAC地址的端口，通过一定的算法，选择正确的网络接口和避免环路。通过发送数据包到正确的网络接口桥接减少网络流量，可以看作是一个公路桥连接两条不同的道路，和两条道路之间必要的交通流只能通过高速公路。

虽然桥降低了网络流量，从整体上来说，它可以使网络更有效地运行。桥还需要发送广播数据包到所有的端口，任何局域网，广播就是广播一个消息被发送到所有系统在局域网ARP（地址解析协议）包广播信息的一个例子。

作为港口和其他管理软件数量的增加，桥梁的设备的功能越来越强大，新功能的出现：桥连接器具有分区的功能，可以分为多个虚拟的桥梁。当分区这样的广播信息将仅限于那些端口，在虚拟的桥和相应的VLAN，而不是发送到所有的端口。

限制对VLAN的广播不能阻止连接到同一个桥但属于另一个VLAN的VLAN中的系统。但是记住，即使在同一网络上的机器不能相互通信，ARP广播也被用来获得与特定IP相对应的MAC地址，即使没有MAC地址。

思科网站介绍，在两种情况下，一个包可以在VLAN连接在同一交换机传输。在第一种情况下，系统建立了TCP / IP连接在同一VLAN，然后开关复位，使一个开关端口属于一个VLAN通信将继续。由于双方在自己的ARP缓冲区有自己的MAC地址，使桥知道哪个端口目的MAC地址是指向。在第二种情况下，有人想手动配置VLAN创建系统被访问一个静态ARP项。这就要求他知道目标系统的MAC地址可能需要直接访问目标系统的身体。

使用开关软件可以改善这两种情况所描述的问题。这些软件的功能是消除数据包传输时所需的信息，在Cisco的高端交换机中，每个VLAN的生成树都是分离的，其他交换机要么具有相似的特性，要么可以设置过滤每个VLAN成员的桥接信息。

链路聚合

多个开关可以通过制备机理和开关之间的开关之间的分组交换共享同一个VLAN，你可以设置一个开关，使一个连接端口，可以发送一个数据包在连接任何VLAN。当数据包传输之间切换，每个数据包的基础上加入了802.1Q协议标签。802.1Q协议发送数据包之间的桥梁，一个IEEE标准。接收开关消除数据包的标签，发送的数据包到正确的端口，或发送数据包到正确的VLAN数据包时广播包。

这四个字节长的802.1q连接到以太网数据包头，其次是源地址第一个字节包含8100，即802.1Q标签协议类型。最后两个字节包含一个可能的优先级，一个标志和一个12位VID（VLAN标识符）。VID的值是0和4095之间，而0和4095保留。VID的默认值是1，这个值是默认值为开关的双向端口的VLAN配置。

链路聚合是一个推荐的配置基于Cisco交换机默认配置。如果一个端口发现另一个开关连接到这个端口，这个端口可以协商链路聚合。默认的连接端口VLAN和VLAN，这称为端口的本地VLAN，管理员可以指定任何VLAN的链接港口。

连接端口可以设置为阻止这个VLAN分组的传输，和链路端口的本地VLAN设置为任何其他VLAN中VID不同。记得链路端口的默认vlan是西元1，你可以选择设置链路端口的本地VLAN 1001，或任何开关允许不被任何其他VLAN的应用。

防火墙和虚拟局域网

当你知道如何开关股VLAN信息，可以更准确地评价防火墙支持VLAN，防火墙支持VLAN可以从VLAN交换机的头802.1Q标记的数据包，并将部署防火墙，然后用来检测安全规则。到目前为止，我们只讨论了以太网的情况，和802.1Q标签也适用于其他类型的网络，如ATM和FDDI。

802.1Q标记不提供认证；他们只不过是一种开关用于标识特定的数据包从一个特定的VLAN，有人伪造IP源地址多年，VLAN标签也可以伪造的。最新的Linux操作系统，对VLAN交换模式的支持，可以生成本地系统管理员可以选择任何VLAN标签。

为了安全使用802.1Q标签的关键是这样的网络设计：交换机链路连接到防火墙的界面，和基于VLAN的安全检测将在防火墙接口进行。如果有其他线路，可以达到防火墙的接口，对VLAN标签伪造的可能性就会增加。开关本身必须正确配置，链路聚合链路端口是专门配置，然后添加到非默认的视频。

在任何讨论关于开关、保护开关设备的管理权威的结论都是一样的。开关，像其他的网络设备，可以三种方式管理：Telnet、HTTP、SNMP。关掉不使用的管理方法，在管理的方式使用添加访问控制。因为当一个攻击者来自网络外部，防火墙可以控制他接近开关。当攻击者来自网络或攻击者访问内部系统并攻击时，防火墙将无能为力。