开发学院网络安全安全技术 知己知彼 用VLAN技术防御黑客攻击 阅读

知己知彼 用VLAN技术防御黑客攻击

 2008-01-22 13:11:13 来源:WEB开发网   
核心提示: 这条命令的功能,就是强制使端口的状态成为Trunk,知己知彼 用VLAN技术防御黑客攻击(6),不会去考虑对方接口状态,也就是说不管对方的接口是什么状态,交换机的所有以太网接口都属于VLAN 1,而且我们在配置二层交换机上配置IP地址时,我的接口都是Trunk,大家注意:这条命令仅仅在Tr

这条命令的功能,就是强制使端口的状态成为Trunk。不会去考虑对方接口状态,也就是说不管对方的接口是什么状态,我的接口都是Trunk。大家注意:这条命令仅仅在Trunk的真实接口上输入,这样使我们的接口在状态上是唯一的,可控性明显的增强了。

其次我们可以在Trunk的接口上再输入下面这条命令:

Switch(config-if)#switchport trunk allowed vlan 10,20,30

这条命令定义了在这个Trunk的接口只允许VLAN10,20,30的数据从此通过.如果还有其他VLAN存在,他们的数据将不能通过这个Trunk接口通过。这样允许那些VLAN通过,那些不能通过,就很容易实施。我们就通过这种简单控制数据的流向而达到安全的目的。

在完成了上述提升我们的VLAN安全三条命令后,我们的这些接口已经具备了较高的安全性。但读者肯定还有个疑问,那就是使用了这些命令后,DTP这些协议是否还在工作?回答是肯定的,DTP协议依旧在工作。

所以我们最后还有一条强烈建议大家在配制VLAN时,必加的命令:

Switch(config-if)#switchport nonegotiate

大家一看到这条命令,就知道它的功能了。Nonegotiate的意思就是不协商。所以上面这条命令就是帮助我们彻底的将发送和接收DTP包的功能完全关闭。在关闭的DTP协议后,该接口的状态将永远稳定成Trunk,使接口的状态达到了最大的稳定性,最大化避免了攻击者的各种试探努力。

另外,在802.1Q的Trunk中还有一个相关的安全问题,那就是Native VLAN。众所周知,在Cisco的Catalyst系列的交换机中,有几个缺省的VLAN。对于以太网用户而言,我们需要了解其中最重要的一个,那就是VLAN 1。缺省情况下,交换机的所有以太网接口都属于VLAN 1。而且我们在配置二层交换机上配置IP地址时,也是在VLAN 1这个接口下完成的。

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:知己知彼 VLAN 技术

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接