虚拟LAN安全的最佳实践经验

虚拟LAN安全的最佳实践经验

独立的安全调研公司 @stake [9] 最近对 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4500 和 Catalyst 6500 系列交换机上采用的虚拟 LAN （ VLAN ）技术进行了一次安全检查 [1] 。虽然此次检查没有暴露出严重的安全漏洞，但必须指出的是，如果交换机的配置不正确或不适当，则很有可能引发意外行为或发生安全问题。

去年，思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则，例如《 SAFE 蓝图》 [2] 或《 Catalyst 4500 、 5000 和 6500 系列交换机最佳实践经验》 [3] 。但是，迄今为止，思科还没有提供一本全面介绍与 VLAN 相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。

本文的目的是全面介绍思科工程师多年积累的丰富经验和建议，帮助客户和现场工程师正确地在思科交换机上配置 VLAN 。除此以外，本文还将通过要点说明解释 @stake 测试的主要结果，阐述解决安全问题的方法。

基本安全准则

要想创建安全的交换网，必须先熟悉基本安全准则。需要特别注意的是， SAFE 最佳实践 [2] 中强调的基本准则是设计任何安全交换网的基石。

如果用户不希望任何设备受损，则必须严格控制对该设备的访问。不仅如此，所有网络管理员都应该使用思科平台上提供的所有实用安全工具，包括系统密码的基本配置、 IP 准入过滤器和登陆检查，以及 RADIUS 、 TACACS 、 Kerberos 、 SSH 、 SNMPv3 、 IDS 等更先进的工具（详情参见 [3] ）。

必须使所有基本安全准则得到满足之后，再关注更先进的安全细节。在下面的章节中，我们将说明与 VLAN 相关的问题。

虚拟 LAN

第二层（ L2 ）交换机指能够将若干端口组成虚拟广播域，且各虚拟广播域之间相互隔离的设备。这些域一般称为虚拟 LAN （ VLAN ）。

VLAN 的概念与网络领域中的其它概念相似，流量由标记或标签标识。标识对第二层设备非常重要，只有标识正确，才能隔离端口并正确转发接收到的流量。正如后面章节中将要介绍的那样，缺乏标识有时是引发安全问题的原因，因而需要避免。

如果设备中的所有分组与相应 VLAN 标记紧密结合，则能够可靠区分不同域的流量。这就是 VLAN 交换体系结构的基本前提。

值得注意的是，在物理链路（有时称为干线）上，思科设备使用的是 ISL 或 802.1Q 等常用的 VLAN 标记技术。与此同时，思科设备使用先进标记技术在内部保留 VLAN 信息，并用于流量转发。

此时，我们可以得出这样的结论：如果从源节点发送出去之后，分组的 VLAN 标识不能被修改，即保持端到端不变，则 VLAN 的可靠性应等价于物理安全性。

关于这个问题，我们还将在下面详细讨论。

控制面板

恶意用户特别希望能够访问网络设备的管理控制台，因为一旦成功，就能够容易地根据他们的需要修改网络配置。

在基于 VLAN 的交换机中，除与带外端口直接连接外，管理 CPU 还可以使用一个或多个 VLAN 执行带内管理。另外，它还可以使用一个或多个 VLAN 与其它网络设备交换协议流量。

基本物理安全准则要求网络设备位于可控（锁定）空间，主要 VLAN 安全准则则要求将带内管理和协议流量限制在可控环境中。这个要求可以通过以下工具和最佳实践经验实现：

• 流量和协议 ACL 或过滤器

• QoS 标记和优先级划分（控制协议由相应的服务等级或 DSCP 值区分）

• 有选择地关闭不可信端口上的第二层协议（例如关闭接入端口上的 DTP ）

• 只在专用 VLAN 上配置带内管理端口

• 避免使用 VLAN 1 传输任何数据流量

命令示例：

Catalyst 操作系统（ CatOS ）软件 Cisco IOS 软件

本新闻共6页,当前在第1页 1 2 3 4 5 6

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有