知己知彼 用VLAN技术防御黑客攻击

核心提示： 大家可以看到，如果我们要去实施VTP，知己知彼 用VLAN技术防御黑客攻击(9)，是非常容易的，往往只需要2-3条命令就可以完成，重点注意两台VTP工作的域模式和域密码，在完成这样的操作后，但VTP实施以后，随之而来的VTP安全和稳定问题就出现了

大家可以看到，如果我们要去实施VTP，是非常容易的，往往只需要2-3条命令就可以完成。但VTP实施以后，随之而来的VTP安全和稳定问题就出现了。

VTP的模式缺省是VTP的服务器模式，这种模式下可以任意的删除，添加，更改VLAN的信息，所以这种模式下的安全性非常重要。攻击者通过VTP攻击获取权限后，对我们的局域网的架构可以任意更改了，造成网络的严重混乱。所以我们建议大家在进行VTP协议实施时，不管一个域中有多少台交换机，只保留一台是VTP的服务器模式，其他都是VTP的客户模式。

另外，为了保证VTP域的安全，VTP域可以设置密码，域中所有交换机必须设置成一样的密码。在VTP域中的交换机配置了同样的密码后，VTP才能正常工作。而不知道密码或密码错误的交换机讲无法获知VLAN的消息。不过有些遗憾的是VTP的域密码是明文在网络中传递的。

下面是一个VTP安全实施的实例，要求创建一个名为RT的VTP域，在两台交换机上配置VTP域模式,一台为Server，一台为Client，开启VTP裁剪，设置VTP版本为2，在VTP域为Server的交换机上创建VLAN10，20，30三个VLAN，在这个实例中将接口加入VLAN的部分我们将在VLAN配置实例中描述。重点注意两台VTP工作的域模式和域密码。在完成这样的操作后，最大程度保证VTP的正常工作。拓扑如图2所示

图2 VTP配置

Sw-vtpserver配置如下：

　　　Sw-vtpserver(config)#vtpmodeserver
　　Sw-vtpserver(config)#vtpdomainrt
　　Sw-vtpserver(config)#vtppruning
　　Sw-vtpserver(config)#vtpversion2
　　Sw-vtpserver(config)#vtppasswordcisco
　　Sw-vtpserver(config)#vlan10
　　Sw-vtpserver(config)#vlan20
　　Sw-vtpserver(config)#vlan30