交换机安全学习笔记 第四章 VLAN

zhangxinba

Trunk 口  思科称为：native VLAN  华为称为：PVID   说白了就是Trunk端口本身所属的VLAN,因为，Trunk端口要"透传"多个VLAN的流量，其本身不属于任何一个VLAN。但是Trunk端口在交换机内部要与一个VLAN ID关联，此VLAN ID就是 思科的：native VLAN  华为的：PVID。

Trunk口的native VLAN 是不带标签通过的。到对端后会打上对端端口响应的native VLAN标签。如果两端native VLAN不一致就会发生VLAN跳跃问题（VLAN hopping）！
思科有CDP 思科发现协议（Cisco Discovery Protocol）若两端的trunk端口native VLAN 配置不一致会发出相关告警。


由于802.1Q规范并没有禁止多个连贯的标记（tag）串连起来。事实上QinQ技术也正是利用这一点缓解了单层VLAN4096个的限制。提供了4096*4096中可能的组合较好扩展了分配给每个VLAN ID的12比特的限制。   但是这一特性也成为了一下攻击的基础。

双嵌套（double-nested）VLAN攻击
          注意：仅当Trunk口的native VLAN 与攻击者所在端口的VLAN ID 一致且分别属于用Trunk口互联的两台交换机下时，攻击才会生效。

攻击者<--->交换机1<--->交换机2<--->受害者

         利用的就是Trunk口的native VLAN 是不带标签通过的。到对端后会打上对端端口响应的native VLAN标签。的特性。
         1、在攻击者发出以太网帧时就带上2个tag。外层tag与攻击者接入端口的tag一致。内层tag与受害者所在VLAN一致。
         2、当该攻击帧进入交换机1后通过交换机1~2之间的Trunk 口时由于与Trunk口nativeVLAN一致所以剥离外层的tag标签 此时攻击帧还剩下一层与受害者VLAN相同的内层标签。
         3、当交换机2Trunk端口收到攻击帧后发现攻击帧VLAN与受害者VLAN相同 按照该VLAN转发。  至此完成了跨越VLAN的攻击。

         在协议立场上看，并没有违规事件——讲802.1Q的帧头部串接起来并不违法。
          有三种方法可以来组织该攻击:
         1、确保不将native VLAN分配给任何访问端口。

         2、从Trunk中清除native VLAN（不建议使用）。

         3、强制Trunk上的所有流量都携带一个tag（首选的方法）。 警告：当与不支持该方法的交换机互相通信时native VLAN上的通信会中断！
              配置：不同版本可以在全局或端口下配置
                  全局 CiscoSwitch（config）#vlan dot1q tag native
                  端口 CiscoSwitch（config）#interface GigabitEthernet2/1
                         CiscoSwitch（config-if）#switchport trunk native vlan tag

       此外就是一些针对VLAN透传相关协议的攻击

       动态中继协议DTP，是 VLAN 组中思科的私有协议，主要用于协商两台设备间链路上的中继过程及中继封装 802.1Q 类型。DTP的用途是取代动态ISL（Dynamic ISL，DISL）。
        针对性的在连接普通用户的LAN口配置成access端口并将它们植入一个static(静态)VLAN.这样该端口会静默的丢弃DTP帧。




另外 阅读华为的文档时  基于MAC 基于子网 基于策略等VLAN划分都有如下描述：

• 　　当收到的报文为untagged报文时，会以报文的源MAC地址为根据去匹配MAC-VLAN表项。如果匹配成功，则按照匹配到的VLAN ID和优先级进行转发；如果匹配失败，则按其它匹配原则进行匹配。
  

• 
  当收到的报文为tagged报文时，处理方式和基于接口的VLAN一样：如果接口允许携带该VLAN标记的报文通过，则正常转发；如果不允许，则丢弃该报文。
  
  若使用软件自行打上tag则可以不需要基于MAC 基于子网 基于策略匹配 可骗过交换机。（我推测的）所以....还是老老实实的做基于端口的VLAN划分吧