内容摘要:VLAN技术的应用为网络的安全防范提供了一种基于管理方式上的策略方法,网络安全在某种程度上得到了一定的保障,但安全往往与危险并存,面对这些花样翻新的攻击手段,如何采取有效的防范措施?在本文中,将针对应用VLAN技术管理的网络,介绍黑客的攻击手段和我们可以采取的防御手段。
Switch(config-if)#switchport mode dynamic desirable
这条命令使我们所有的接口都处于了自适应的状态,会根据对方的接口状态来发生自适应的变化,对方是Access,就设置自己为Access;对方是Trunk,就设置自己为Trunk。除了desirable这个参数以外,还有一个和它功能比较相似的参数:Auto。这两个参数其实都有自适应的功能,稍微的一点不同在于是否是主动的发出DTP(DYNAMIC TRUNK PROTCOL)的包,有就是说是否主动的和对方进行端口状态的协商。Desirable能主动的发送和接收DTP包,去积极和对方进行端口的商讨,不会去考虑对方的接口是否是有效的工作接口,而Auto只能被动的接收DTP包,如果对方不能发送DTP消息,则永远不会完成数据通信。说到这,大家肯定认为Auto这个参数安全系数要比Desirable参数,其实这两个参数的实施所产生的安全隐患是一样的。大家想想,VLAN跳跃攻击往往是对方将自己的接口设为主动自适应状态,那么我们不管用哪个参数,其结果是完全一样的。
这样的两个参数本意是给我们减轻工作负担,加快VLAN的配置而产生的。但随着网络的不断发展,针对这个特性而引发的安全隐患(比如:VLAN的跳跃攻击就是利用了这个特性),越来越引起我们的关注。
想要解决这个安全隐患,只需进行以下操作。
步骤1:我们首先将交换机上所有接口上,输入这个命令:
Switch(config-if)# switchport mode access
我们将交换机的所有接口都强制设为Access状态,这样做的目的是当攻击者设定自己的接口为Desirable状态时,怎么协商所得到的结果都是Accsee状态。使攻击者没法利用交换机上的空闲端口,伪装成Trunk端口,进行局域网攻击。
再在Trunk接口上输入:
Switch(config-if)# switchport mode trunk
来源:IT168 责编:豆豆技术应用