交换机术语.docx
《交换机术语.docx》由会员分享,可在线阅读,更多相关《交换机术语.docx(15页珍藏版)》请在冰豆网上搜索。
交换机术语
双工模式是什么意思
交换机的全双工是指交换机在发送数据的同时也能够接收数据,两者同步进行,这好像我们平时打电话一样,说话的同时也能够听到对方的声音。
目前的交换机都支持全双工。
全双工的好处在于迟延小,速度快。
提到全双工,就不能不提与之密切对应的另一个概念,那就是“半双工”,所谓半双工就是指一个时间段内只有一个动作发生,举个简单例子,一天窄窄的马路,同时只能有一辆车通过,当目前有两量车对开,这种情况下就只能一辆先过,等到头儿后另一辆再开,这个例子就形象的说明了半双工的原理。
早期的对讲机、以及早期集线器等设备都是实行半双工的产品。
随着技术的不断进步,半双工会逐渐退出历史舞台。
交换机端口镜像是什么意思?
请各位知道的告诉我一下!
!
!
!
!
!
!
!
可以设置一个端口为另一个端口,或者VLAN的镜像。
那么所有关于这个端口或这个VLAN的数据在镜像端口都有一份copy,镜像端口可以接网络分析仪,来分析网络。
一般是用来监控流量的。
。
端口镜像就是把一个端口的数据复制到另一个端口。
目前有2种镜像:
一种是基础端口的,一种是基于VLAN的,在CISCO的产品,大多数(我知道)都只支持一种镜像,不能同时做2个镜像。
主要的作用就是一些安全产品和审计通过镜像上的数据来分析网络。
什么是端口镜像?
把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。
为什么需要端口镜像 ?
通常为了部署IDS产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
端口镜像的别名
端口镜像通常有以下几种别名:
●PortMirroring
通常指允许把一个端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●MonitoringPort
监控端口
●SpanningPort
通常指允许把所有端口的流量复制到另外一个端口,同时这个端口不能再传输数据。
●SPANport
在Cisco产品中,SPAN通常指SwitchPortANalyzer。
某些交换机的SPAN端口不支持传输数据。
●LinkModeport
支持端口镜像的交换机
02.1Q是标准协议
你这个问法有问题啊,802.1Q是标准协议,VLAN都是基于这个协议的,除非采用私有协议的厂家,比如思科。
但是交换机都是支持这个协议的,VLAN可以基于端口,也可以基于MAC地址,都是可以跨交换机使用的。
基于端口的主机是固定的,即换了端口它就不属于这个VLAN了。
基于MAC地址的VLAN是主机无论在哪个端口上用,它都属于固定的VLAN。
您需要哪一种VLAN?
为了减少碰撞和广播风暴、增强安全性,用户通常要求交换机具有划分VLAN功能,也就是说,在交换机上实现划分子网。
VLAN是一组可以互换单一播送数据包的交换机上的端口。
当一个数据包从一个属于某VLAN的端口进行广播时,交换机收到数据包,然后将它拷贝到这一VLAN所包括的所有端口上。
一般来说,不同VLAN之间是不能互相通信的,但是有些交换机支持一个端口既可以属于这个VLAN,又可以属于另外一个VLAN。
一些交换机依赖于附加的用于交换机之间进行VLAN信息通信的协议,允许一个VLAN跨越到多台交换机的端口上。
VLAN的划分方式通常有如下几种:
最早的VLAN划分是基于端口(Port Based )的,即通过端口来划分VLAN;现在的交换机还支持通过MAC地址(MAC Based )和IP地址(Protocol Based )来划分VLAN;一些较新的交换机,还可以通过策略服务(Policy Servie)来管理VLAN,进一步简化了VLAN的划分和管理。
大部分交换机VLAN都遵循IEEE 802.1Q标准,有些交换机则遵循CGMP (Cisco Group Management Protocol)专有标准。
虚拟LAN安全的最佳实践经验
虚拟LAN安全的最佳实践经验
独立的安全调研公司@stake[9]最近对CiscoCatalyst2950、Catalyst3550、Catalyst4500和Catalyst6500系列交换机上采用的虚拟LAN(VLAN)技术进行了一次安全检查[1]。
虽然此次检查没有暴露出严重的安全漏洞,但必须指出的是,如果交换机的配置不正确或不适当,则很有可能引发意外行为或发生安全问题。
去年,思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则,例如《SAFE蓝图》[2]或《Catalyst4500、5000和6500系列交换机最佳实践经验》[3]。
但是,迄今为止,思科还没有提供一本全面介绍与VLAN相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。
本文的目的是全面介绍思科工程师多年积累的丰富经验和建议,帮助客户和现场工程师正确地在思科交换机上配置VLAN。
除此以外,本文还将通过要点说明解释@stake测试的主要结果,阐述解决安全问题的方法。
基本安全准则
要想创建安全的交换网,必须先熟悉基本安全准则。
需要特别注意的是,SAFE最佳实践[2]中强调的基本准则是设计任何安全交换网的基石。
如果用户不希望任何设备受损,则必须严格控制对该设备的访问。
不仅如此,所有网络管理员都应该使用思科平台上提供的所有实用安全工具,包括系统密码的基本配置、IP准入过滤器和登陆检查,以及RADIUS、TACACS+、Kerberos、SSH、SNMPv3、IDS等更先进的工具(详情参见[3])。
必须使所有基本安全准则得到满足之后,再关注更先进的安全细节。
在下面的章节中,我们将说明与VLAN相关的问题。
虚拟LAN
第二层(L2)交换机指能够将若干端口组成虚拟广播域,且各虚拟广播域之间相互隔离的设备。
这些域一般称为虚拟LAN(VLAN)。
VLAN的概念与网络领域中的其它概念相似,流量由标记或标签标识。
标识对第二层设备非常重要,只有标识正确,才能隔离端口并正确转发接收到的流量。
正如后面章节中将要介绍的那样,缺乏标识有时是引发安全问题的原因,因而需要避免。
如果设备中的所有分组与相应VLAN标记紧密结合,则能够可靠区分不同域的流量。
这就是VLAN交换体系结构的基本前提。
值得注意的是,在物理链路(有时称为干线)上,思科设备使用的是ISL或802.1Q等常用的VLAN标记技术。
与此同时,思科设备使用先进标记技术在内部保留VLAN信息,并用于流量转发。
此时,我们可以得出这样的结论:
如果从源节点发送出去之后,分组的VLAN标识不能被修改,即保持端到端不变,则VLAN的可靠性应等价于物理安全性。
关于这个问题,我们还将在下面详细讨论。
控制面板
恶意用户特别希望能够访问网络设备的管理控制台,因为一旦成功,就能够容易地根据他们的需要修改网络配置。
在基于VLAN的交换机中,除与带外端口直接连接外,管理CPU还可以使用一个或多个VLAN执行带内管理。
另外,它还可以使用一个或多个VLAN与其它网络设备交换协议流量。
基本物理安全准则要求网络设备位于可控(锁定)空间,主要VLAN安全准则则要求将带内管理和协议流量限制在可控环境中。
这个要求可以通过以下工具和最佳实践经验实现:
• 流量和协议ACL或过滤器
• QoS标记和优先级划分(控制协议由相应的服务等级或DSCP值区分)
• 有选择地关闭不可信端口上的第二层协议(例如关闭接入端口上的DTP)
• 只在专用VLAN上配置带内管理端口
• 避免使用VLAN1传输任何数据流量
命令示例:
Catalyst操作系统(CatOS)软件CiscoIOSò软件
使用VLAN1需注意的事项
VLAN1成为特殊VLAN的原因是,需要第二层设备才能由默认VLAN分配其端口,包括其管理端口。
另外,CDP、PAgP和VTP等许多第二层协议都需要发送到干线链路上的特定VLAN。
基于这三个原因,最后选中了VLAN1。
因此,如果裁剪不当,VLAN1有时会不明智地包含整个网络。
当其直径达到一定程度时,不稳定性风险将迅速升高。
不仅如此,如果使用几乎覆盖全网的VLAN执行管理任务,则将提高可信设备的风险,使其容易受到因误配置或意外接入而进入VLAN1,或者特意利用这种意外安全漏洞接入VLAN1的不可信设备的攻击。
为挽回VLAN1的声誉,可实施一个简单的通用安全准则:
作为一项安全规定,网络管理员应该将任何VLAN,尤其是VLAN1与并非绝对需要此VLAN的所有端口隔离开。
因此,对于VLAN1,上述准则可以转换成以下建议:
• 不使用VLAN1传输带内管理流量,使用另一专用VLAN,将管理流量与用户数据和协议流量隔离开;
• 撤销VLAN1中所有不需要的干线和接入端口(包括未连接端口和关闭端口)。
同样,上述规则也适用于管理VLAN读操作:
• 不在不需要的任何干线或接入端口上配置管理VLAN(包括未连接端口和关闭端口);
• 为增强安全性,应尽可能不使用带内管理,转而使用带外管理(如果想详细了解带外管理基础设施,请参见[3])。
作为一项设计准则,必须“切掉”特定VLAN中不需要的流量。
例如,为防止所有telnet连接,只运行SSH进程,通常会对管理VLAN中传输的流量应用VLANACL和/或IP过滤器。
另外,也可以应用QoSACL,以便限制呼叫流量的最高速率。
如果VLAN1或者管理VLAN以外的VLAN出现安全问题,应使用自动或人工剪裁。
需要注意的是,以透明或关闭方式配置VTP或者人工剪裁VLAN通常是增强对VLAN网络控制的最有效的方法。
命令示例:
CatOSCiscoIOS软件
“完全信任或完全不信任所有人同样有害”——英国谚语
正确决定并实施VLAN1之后,下一个逻辑步骤是将注意力转向安全环境中另一常用的、同等重要的最佳实践。
这是个通用的安全准则:
将不可信设备与不可信端口相连,将可信设备或可信端口相连,断开所有其他端口。
这个准则可转变为以下通用建议:
• 如果某端口与“外部”设备相连,则不要与它进行任何通信,否则,很可能会中了某人的圈套,产生对自己不利的效果。
在这些端口上,应关闭CDP、DTP、PAgP、UDLD及其它不必要的协议,并启用portfast/BPDU防护。
我们可以这样想这个问题:
为什么要冒险与不可信任的邻居交谈呢?
• 启用根防护特性,防止直接或间接连接的STP型设备影响根桥的位置。
• 如果想限制或防止意外协议与网络级VLAN配置交互,应对VTP域作相应的配置,或者全部关闭VTP。
这种预防措施不但能限制或防止将管理员的错误传播到整个网络,还能限制或防止VTP版本较高的新交换机意外地覆盖掉整个域的VLAN配置。
• 默认状态下,只能相信那些确实“可信”的端口,所有其它端口则一律定为“不可信”端口,以防止连接的设备不适当地修改QoS值。
• 关闭未使用端口,将其放置在未使用VLAN中。
如果不与未使用VLAN建立连接,或者不在未使用VLAN中添加设备,就可以通过基本的物理或逻辑障碍来防止非授权访问。
命令示例:
CatOSCiscoIOS软个件
为什么首先担心第二层安全性?
为使不同层次能够独立操作(只了解其相互接口),我们建立了OSI模型。
OSI的思想是:
只要留有各层次之间的标准接口,某层协议的开发就不会影响到其它层次。
遗憾的是,这意味着,当某个层次遭袭时,由于其它层次意识不到问题的存在,因而会危及通信的安全性(如图1所示)。
图1OSI模型的结构
在这个体系结构中,系统的安全性只相当于最薄弱链路的安全性。
数据链路层与其它层次一样脆弱,可能会遭受各种攻击,因此,交换机必须通过配置加以保护。
VLAN网络可能会遇到哪类攻击?
第二层的多数攻击都将使设备失去攻击者跟踪能力,这样,攻击者就能够在转发路径上大肆执行恶意操作,先修改配置,然后攻击网络。
下面列出的是人们最常谈到的第二层攻击,无独有偶,这些也是@stake记录的攻击类型[1]:
• MAC洪泛攻击
• 802.1Q和ISL标记攻击
• 双封装802.1Q/嵌套式VLAN攻击
• ARP攻击
• 专用VLAN攻击
• 组播暴力攻击
• 扩展树攻击
• 随机帧重压攻击
下面详细说明这些攻击。
MAC洪泛攻击
从严格意义上讲,这种攻击不属于“攻击”,因为它只是限制所有交换机和桥接器的工作路径。
它们占用了用于保存所有接收分组的源地址的有限硬件学习表,当这些表充满后,由于无法再读到流量的地址,无法转发流量,因而会出现流量洪泛现象。
但是,由于分组洪泛只局限在初始VLAN内,因而不允许VLAN跳转(如@stake的报告所示)。
恶意用户可以利用这种攻击将与其连接的交换机转变成哑伪集线器,搜索并查看所有洪泛流量。
很多程序都可以用于执行此项任务,例如macof,它是dsniff套件的一部分[4]。
恶意用户可以利用这个弱点发起实际攻击,例如ARP破坏攻击(欲知详情,请参见《ARP攻击》)。
非智能交换机无法抵御这种攻击,因为它不检查发送方的第二层标识,发送方只需发送伪分组就能假冒无限数量的设备。
思科的交换机支持多种特性,以便识别并控制所连设备的身份。
这些交换机奉行的安全准则非常简单:
认证和说明对所有不可信设备都至关重要。
需要强调的是,端口安全性、802.1x和动态VLAN这三个特性可用于根据用户的登陆ID和设备自身的MAC层标识限制设备连接。
例如,利用端口安全性,预防MAC洪泛攻击可以像限制每个端口可以使用的MAC地址数那么简单:
设备流量的标识将直接与其原始端口相接。
802.1Q和ISL标记攻击
标记攻击属于恶意攻击,利用它,一个VLAN上的用户可以非法访问另一个VLAN。
例如,如果将交换机端口配置成DTPauto,用于接收伪造DTP分组,那么,它将成为干线端口,并有可能接收通往任何VLAN的流量。
因此,恶意用户可以通过受控制的端口与其它VLAN通信。
有时候,即使只是接收普通分组,交换机端口也可能违背自己的初衷,像全能干线端口那样操作(例如,从本地以外的其它VLAN接收分组)。
这种现象通常称为“VLAN渗漏”(如果想阅读关于类似问题的报告,请参见[5])。
对于第一种攻击,只需将所有不可信端口(不符合信任条件)上的DTP设置为“关”,即可预防这种攻击的侵袭;要对付第二种攻击,可以按照下面介绍的简单配置步骤操作(例如下一节中介绍的步骤),也可以通过软件升级实现。
幸运的是,CiscoCatalyst2950、Catalyst3550、Catalyst4000和Catalyst6000系列交换机并不需要进行这种升级,因为其上运行的软件和硬件能够在所有端口上实施适当的流量分类和隔离(如@stake在[1]中说明的那样)。
那么,报告中为什么会提及本地VLAN呢[5]?
我们将在下面的章节中提供答案......
双封装802.1Q/嵌套式VLAN攻击
虽然在交换机内部,但VLAN数字和标识用特殊扩展格式表示,目的是使转发路径保持端到端VLAN独立,而且不会损失任何信息。
在交换机外部,标记规则由ISL或802.1Q等标准规定。
ISL属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式:
由于每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
另一方面,制订了802.1Q的IEEE委员会决定,为实现向下兼容性,最好支持本地VLAN,即不与802.1Q链路上任何标记显式相关的VLAN。
这种VLAN以隐含方式用于802.1Q型端口上接收到的所有无标记流量。
这种功能是用户所希望的,因为利用这个功能,802.1Q型端口可以通过收发无标记流量直接与老802.3端口对话。
但是,在所有其它情况下,这种功能可能会非常有害,因为通过802.1Q链路传输时,与本地VLAN相关的分组将丢失其标记,例如其服务等级(802.1p位)。
但是基于这些原因——丢失识别途径和丢失分类信息,就应避免使用本地VLAN,更不要说还有其它原因,如图2所示。
图2双封装攻击
先剥离,再送回
攻击者802.1q帧帧
VLANAVLANB数据包含本地VLANA的干线VLANB数据
注意:
只有干线所有的本地VLAN与攻击者相同,才会发生作用。
当双封装802.1Q分组从VLAN恰巧与干线的本地VLAN相同的设备进入网络时,这些分组的VLAN标识将无法端到端保留,因为802.1Q干线总会对分组进行修改,即剥离掉其外部标记。
删除外部标记之后,内部标记将成为分组的惟一VLAN标识符。
因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同VLAN之间跳转。
这种情况将被视为误配置,因为802.1Q标准并不逼迫用户在这些情况下使用本地VLAN。
事实上,应一贯使用的适当配置是从所有802.1Q干线清除本地VLAN(将其设置为802.1q-all-tagged模式能够达到完全相同的效果)。
在无法清除本地VLAN时,应选择未使用的VLAN作为所有干线的本地VLAN,而且不能将该VLAN用于任何其它目的。
STP、DTP和UDLD(参见[3])等协议应为本地VLAN的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。
ARP攻击
ARP协议[6]是一项老技术。
ARPRFC产生的时候,网络中的所有人都被视为“友好人士”,因而没有在ARP功能中考虑安全性。
这样,任何人都可以声称自己是某个IP地址的所有者。
更准确地说,任何人都可以声称其MAC地址与某个子网内的任何IP地址相关。
这是完全可行的,因为ARP请求或答复中包含设备的第二层标识信息(MAC地址)和第三层标识(IP地址),而且没有核实机制,无法核查这些标识的准确性。
在另一个实例中,由于不能用准确、可靠的手段确认设备的身份,因而出现了严重的安全漏洞。
这个例子同时表明,如果OSI模型中的较低层次遭到攻击,由于较高层意识不到问题的存在,因而将直接影响较高层的操作。
(ARP是一种独特的协议样本,它在第二层内运行,但从逻辑上,它位于OSI模型中数据链路层与网络层之间的边界上。
)
@stake发动的ARP攻击的目的是,通过发送包含伪造标识的ARP分组,欺骗某交换机将分组转发到另一个VLAN中的某台设备。
但是,在所有思科设备中,VLAN是正交的,因而不依赖于MAC地址。
所以,只通过修改ARP分组中的设备标识,是不可能影响它与其它VLAN内设备的通信方式的。
事实上,正如报告中所说,不可能进行任何VLAN跳转。
另一方面,在同一个VLAN内,利用ARP破坏或ARP欺诈攻击[7],可以有效地欺骗终端站点或路由器识别伪造的设备标识,致使恶意用户能够以中间人的身份,发动中间人(MiM)攻击。
对于这种情况,一张图可对其进行最好的说明(见图3)。
图3ARP破坏攻击
将免费信息送至0000.0000.000B:
我的IP地址为1.1.1.1,我的MAC地址为000:
00:
00:
00:
00:
0C
PC1.1.1.2的ARP表受到侵袭。
所有外出流量都将通过PC1.1.1.3,然后将流量透明地转发至路由器。
发动MiM攻击的方法是,在发送至受袭设备的ARP包中假冒另一台设备(例如默认网关),由于接收方不检查这些分组,因而其ARP表将接收假冒信息。
预防这种攻击有两种方法,一种方法是阻挡攻击者和受攻击设备之间的第二层直接通信,另一种方法是在网络中嵌入更多智能,使之能够检查转发ARP分组的标识是否正确。
第一种方法可以通过CiscoCatalyst专用VLAN或专用VLAN边缘特性实现。
第二种方法可以利用称为ARP检查的新特性实现,这种特性首先在CiscoCatalyst6500SupervisorEngineII上的CatOS7.5中推出,以后将在CiscoCatalyst交换机的CiscoIOS软件中提供。
专用VLAN攻击
“专用VLAN攻击”有点用词不当,因为它对应的不是安全漏洞,而是对特性的某种期望。
专用VLAN属于第二层特性,因而应该只在第二层隔离流量。
另一方面,路由器则属于第3层(L3)设备,当它与专用VLAN混合端口相连时,即使目的地与始发地在同一个子网中,也应该将该端口上接收到的第三层流量转发到相应的目的地(@stake将这种行为称为第二层代理)。
因此,虽然两个相互隔绝的VLAN中的两台主机应该通过第二层直接通信相互交流,但它们通常在相互交谈时将路由器作为分组中继。
上述现象如图4所示。
图4第二层代理
与常规路由流量相同,如果需要,可以利用转发设备上相应的ACL配置对通过第二层代理中继的分组进行过滤。
利用输出思科IOSACL阻挡中继流量的示例如下:
denysubnet/masksubnet/mask
permitanysubnet/mask
denyanyany
如果想详细了解VLAN,请参见[8]。
组播暴力攻击
这种攻击试图利用交换机的潜在安全漏洞(读操作:
缺陷)发起第二层组播帧风暴。
@stake希望通过测试了解第二层交换机快速接收到大量第二层组播帧时将发生什么情况。
正确的反应是将流量限制在原始VLAN中,错误的反应是将帧泄漏到其它VLAN中。
@stake的结果显示,这种攻击对CiscoCatalyst交换机无效,因为所有帧都包含在相应的广播域中(这个结果毫不奇怪:
毕竟,在所有Catalyst交换机中,广播只是组播的一个特殊部分)。
生成树协议
试图利用交换机弱点(例如缺陷)发动攻击的另一种攻击是STP攻击。
@stake测试的所有CiscoCatalyst交换机都支持这种协议。
默认状态下,