什么是私有VLAN?

什么是私有VLAN?

IPv6系列-详解自动分配IPv6地址

  • 私有VLAN该若何明白?
  • 私有vlan的特征是什么?
  • vlan和私有vlan又有什么区别?
  • 怎么用私有vlan来阻止ARP攻击?
  • 为什么私有vlan内里还分主vlan和辅vlan?该怎么区分?

 

5000个主机连在运营商交流机上,运营商把这些主机放在同一个VLAN里,有一个非常大的安全隐患:其中随便一台主机冒充网关,其它主机出网流量就被冒充网关挟制了。

 

运营商把每个主机放在一个举世无双的VLAN里,可以杜绝ARP诱骗,然则却没有那么多VLAN,究竟VLAN最大值也不外4096。

 

实在,用户主机只要能ARP广播发现网关的mac地址,进而和网关通讯,就可以与整个Internet通讯,对吗?由于网关是连在Internet上的。

 

那怎样的解决方案,可以让主机只能ARP广播发现网关的MAC地址,从而杜绝ARP诱骗攻击?同时又最大水平削减VLAN的使用数目?这个解决方案的名字叫“私有VLAN“。

 

什么是私有VLAN?

什么是私有VLAN?

 

 

私有VLAN(Private VLAN)

主机们被分配在同一个Secondary VLAN(101)里,可是它们却不在一个广播域里,以是它们无法通过ARP广播发现相互的MAC地址。ARP诱骗攻击很显然无法一展身手。

 

网关被分配在Primary VLAN(100)里。神奇的一幕发生了,位于VLAN 100里的网关却与每一个位于VLAN 101的主机在一个广播域。既然在一个广播域,主机们就可以ARP广播发现网关的MAC地址,进而可以与Internet主机通讯。

 

吃葡萄不吐葡萄皮,不吃葡萄倒吐葡萄皮。为什么同属于VLAN 101的主机,却不在一个广播域?而网关和主机不在一个VLAN里,却能事情在一个广播域?

 

实在,这些奇巧淫技没有什么稀奇,不外是技术上一点小技巧。交流机的内部交流矩阵,根据设置的指令,将Primary VLAN(100)与每一个主机VLAN (101)桥接(Bridging)在一起,但不是完全桥接,由于主机之间却无法桥接。

网络安全之交换机常见的VLAN跳跃攻击和生成树攻击原理

分享到 :
相关推荐

发表评论

登录... 后才能评论