VLAN 技术分析合集 及配置.docx
《VLAN 技术分析合集 及配置.docx》由会员分享,可在线阅读,更多相关《VLAN 技术分析合集 及配置.docx(92页珍藏版)》请在冰点文库上搜索。
VLAN技术分析合集及配置
VLAN之间的访问控制
路由器通过以太网的子口建立与下连交换机TRUNK口相连。
要求管理VLAN可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN,但是其它VLAN不可以访问管理VLAN。
下面把路由器上的配置附上:
ipaccess-listextendedinfilter
evaluatemppacket
denyip10.54.16.00.0.0.25510.54.17.00.0.0.255
denyip10.54.16.00.0.0.25510.54.18.00.0.0.255
denyip10.54.16.00.0.0.25510.54.19.00.0.0.255
denyip10.54.16.00.0.0.25510.54.31.00.0.0.255
denyip10.54.17.00.0.0.25510.54.16.00.0.0.255
denyip10.54.17.00.0.0.25510.54.18.00.0.0.255
denyip10.54.17.00.0.0.25510.54.19.00.0.0.255
denyip10.54.17.00.0.0.25510.54.31.00.0.0.255
denyip10.54.18.00.0.0.25510.54.16.00.0.0.255
denyip10.54.18.00.0.0.25510.54.17.00.0.0.255
denyip10.54.18.00.0.0.25510.54.19.00.0.0.255
denyip10.54.18.00.0.0.25510.54.31.00.0.0.255
denyip10.54.19.00.0.0.25510.54.16.00.0.0.255
denyip10.54.19.00.0.0.25510.54.17.00.0.0.255
denyip10.54.19.00.0.0.25510.54.18.00.0.0.255
denyip10.54.19.00.0.0.25510.54.31.00.0.0.255
permitipanyany
exit
ipaccess-listextendedoutfilter
permitipanyanyreflectmppacket
exit
interfacefastethernet0
ipaddress10.255.49.2255.255.255.252
exit
interfacefastethernet1
exit
interfacefastethernet1.1
descriptionGuanli
ipaddress10.54.31.254255.255.255.0
encapsulationdot1q1
exit
interfacefastethernet1.2
descriptionYewu
ipaddress10.54.17.254255.255.255.0
encapsulationdot1q2
ipaccess-groupoutfilterout
ipaccess-groupinfilterin
exit
interfacefastethernet1.3
descriptionBangong
ipaddress10.54.16.254255.255.255.0
encapsulationdot1q3
ipaccess-groupoutfilterout
ipaccess-groupinfilterin
exit
interfacefastethernet1.4
descriptionCaiwu
ipaddress10.54.18.254255.255.255.0
encapsulationdot1q4
ipaccess-groupoutfilterout
ipaccess-groupinfilterin
exit
interfacefastethernet1.5
descriptionJiating
ipaddress10.54.19.254255.255.255.0
encapsulationdot1q5
ipaccess-groupoutfilterout
ipaccess-groupinfilterin
exit
iproute0.0.0.00.0.0.010.255.49.1
VLAN技术实例之旁门左道
某局域网的IP地址主要通过DHCP来分配,各VLAN的PC都使用位于VLAN1的一台DHCP服务器来获取IP地址和网关等参数。
管理员发现在该网络中存在一个奇怪的现象,就是有一些机器有的时候获得的不是本VLAN的IP地址,而是别的VLAN的地址,更奇怪的是,使用别的VLAN的地址也能正常通讯!
这怎么可能呢?
经过观察,管理员终于跟踪到一个具体的表现。
一台PC连接在交换机3548-03的F0/37端口,该端口属于VLAN1,但当前获得的是VLAN4的IP地址:
192.168.4.111,它与其它网段互通没有问题。
在DOS窗口中输入命令ipconfig/all可以查看到PC的MAC地址00-d0-b7-19-06-fa。
在3548-03交换机上使用命令:
showmac-address-tabledynamicinterfacef0/37,没错该PC是连接在这个端口上:
Non-staticAddressTable:
DestinationAddressAddressTypeVLANDestinationPort
----------------------------------------------------
00d0.b719.06faDynamic1FastEthernet0/37
在核心交换机6509的路由模块MSFC上ping192.168.4.111,通的,showarp|in192.168.4.111观察ARP记录,正确无误;从别的网段ping和tracert该地址,通的;使用工具扫描,分析结果可以确定地址192.168.4.111的确是那台PC。
这样说来,很可能是VLAN1和VLAN4在网络的某个地方被连通了。
假设是这样,怎么才能找出这个错误的连接点呢?
既然该PC使用VLAN1或VLAN4的IP地址都可以与别的网段连通,那么它和位于MSFC上的网关通讯肯定是正常的。
由于MSFC的唯一邻接的二层设备就是6509的交换引擎,所以引擎的MAC地址表中无论是VLAN1或VLAN4都应该有该工作站的MAC地址记录。
使用命令showcamp看到如下结果:
6509_se>(enable)showcam00-d0-b7-19-06-fa
*=StaticEntry.+=PermanentEntry.#=SystemEntry.R=RouterEntry.
X=PortSecurityEntry$=Dot1xSecurityEntry
VLANDestMAC/RouteDes[CoS]DestinationPortsorVCs/[ProtocolType]
----------------------------------------------------------------------
100-d0-b7-19-06-fa3/2[ALL]
400-d0-b7-19-06-fa3/1[ALL]
好了,胜利在望。
端口3/2连接的是3548-03交换机,正确的,MAC地址出现在VLAN1中,也是正确的;端口3/1连接的是另一台交换机3548-01,何以它会报告该MAC地址出现在VLAN4中呢?
登录3548-01交换机,使用showcdpnei得到如下输出:
设备名称本地端口设备型号远端端口
3548-01Fas0/33127TSWS-C3548-XFas0/38
3548-01Fas0/38127TSWS-C3548-XFas0/33
可以看到,设备出现在自已的cdpnei表中,说明端口f0/33和f0/38可能通过交叉线或HUB之类的设备相连形成了环路;通过命令showvlan可以发现,f0/33端口属于VLAN1,而f0/38端口则属于VLAN4,问题至此水落石出。
如果端口f0/33和f0/38都属于VLAN1,且允许了spantreeportfast特性,那就很可能会引起生成树的环路。
现象为网络时通时断,MSFC的MAC地址在正确的端口(15/1或16/1)和出问题的交换机端口之间flapping。
技术观点:
谈谈VLAN的设计与应用(图)
VLAN相互受影响
根据VLAN的定义和技术规范,VLAN不是由独享的物理设备和物理链路搭建的物理子网或网段,VLAN与实实在在的物理子网的本质区别在于,VLAN之间要共享物理设备和物理链路,因此,VLAN间就会通过所共享的设备和链路相互影响。
这种影响是如何产生的呢?
VLAN是通过将一个物理拓扑中的两个或多个节点通过逻辑组合而形成的,要想实现这种逻辑的组合就必须使用支持VLAN的交换设备,但真正提供VLAN功能的是这些设备内部的软件。
也就是说,VLAN所构造的子网(广播域)是软件实现的,而不是由网络拓扑所决定的。
网络拓扑仅对由软件所建立的VLAN有所限制。
知道了VLAN的工作原理,就不难解释VLAN间的影响了,同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。
VLAN对交换机和链路的共享可分为两种类型:
一种是“广播共享”,即VLAN划定的广播域贯穿共享设备和链路(如图1所示),换句话说广播共享是二层的共享。
另一种我们称之为“路由共享”,也可以说是三层共享,在这种类型的共享中,不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如图2中虚线所示),通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。
VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。
从图1可清楚地看出所共享的网络资源(交换机和链路)。
在正常情况下,VLAN间的这种影响不被我们所注意,原因是共享的交换机有足够的交换能力,链路不是很拥挤,但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。
这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽,并长时间占用物理链路,其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧,但其所依赖的网络资源已被用尽,因此,VLAN1所覆盖的网络区域就会出现异常。
如果故障点发生在核心交换机附近,那么整个网络就有可能瘫痪。
这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。
三层共享有作用
由VLAN的性质所决定,完全消除VLAN间的链路和设备的共享在理论上是不可能的。
我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。
如何做到这一点呢?
在实践中我们总结出如下原则:
1)应尽量避免在同一交换机中配置多个VLAN;2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。
前者较好理解,也容易实现,我们重点讨论后者,即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。
从图1可以看出,由于VLAN1(VLAN2也是这样)的范围跨越了整个网络,如果把所有VLAN的覆盖面都限定在核心交换机的同一侧,这些资源被共享的程度不就减轻了吗?
按此想法我们可以将图1所示的网络改变为图2所示的结构。
由于在这种结构中不存在跨越核心交换机的虚网,因此各VLAN的广播包就不会穿过核心交换机,但这些广播包却均能到达核心交换机,同时核心交换机上还会有ACL允许的VLAN间的正常数据流(如图2中的虚线所示)通过。
很显然,这时的核心交换机既阻挡了各VLAN的广播包,又转发了VLAN间的正常数据流,其被共享的形式由“广播式”变成了“路由式”,受VLAN影响的程度变小。
有人可能会说,把核心交换机从二层提到了三层,性能会下降。
这种说法无疑是正确的,但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。
从图2还可以看出,尽管受单个VLAN影响的程度和范围均变小,但共享链路的长度和强度并没有本质的变化。
三层结构最有效
细心的读者可能还会发现,图2所示网络中的VLAN没有体现VLAN技术的原始目的——不同物理位置上的计算机能像在同一物理网中一样相互访问。
这个问题正是本文涉及的核心问题,也是针对规划、部署VLAN提出的新观点:
在网络中,特别是较大型网络,不要企图利用VLAN去实现不同物理位置上计算机的互联互通,互通性要由路由策略去实现。
这在以往会有些问题,但网络技术发展到今天,交换机与路由器间的差别变得越来越小,原来用二层实现的方法很多都能够用三层技术所代替。
用三层技术代替二层的功能有很多优点,主要表现在:
结构更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。
继续分析图2中所存在的问题不难看出,尽管核心交换机被共享的形式改变了,但仍存在受到各VLAN出现异常情况的影响。
要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生,很容易想到在核心交换机和划有VLAN的交换机之间加上一层,以隔离核心交换机和各个VLAN。
这时就形成了目前较为流行的三层拓扑结构的网络,如图3所示。
在三层网络结构中,汇聚层与核心层之间的区域不再有VLAN,汇聚层交换机的VLAN也仅限于部分端口,这时汇聚层交换机成为被“路由共享”的交换机,而且这种“路由共享”比图2的情况更弱。
如果使汇聚层交换机的性能远高于接入层的交换机,那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。
任何方案都具有利的一面和不利的一面,三层拓扑结构的网络也会带来一些问题:
1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理,对于这个问题的解决方案可充分利用网管软件。
2)由于VLAN数量的增多、路由协议等技术的引入,此时的网络会比二层平面交换网络要复杂,对网络技术人员的要求更高,管理维护成本会有所增加。
这两点是大型网络管理本身的要求,大型网络的管理不可能不使用网络管理工具,技术人员的缺乏更是各个企业都面临的问题,对此有的专家提出了“IT物业”的理念,也许这就是将来解决这个问题的最终方案。
创新使用虚拟局域网
VLAN以不同的用途部署在企业网络中,这些用途包括网络安全认证、使无线客户机可以在802.11b接入点之间漫游、隔离IP语音传输流以及一种在混合协议网络上容纳遗留协议传输流的方法。
VLAN是在差不多六年前推出的,其中的大多数VLAN是基于IEEE802.1Q和802.1p标准的。
802.1Q规范建立了一种标准的将VLAN成员信息插入到以太网帧中的方式。
而802.1p是使第二层交换机能够为传输流提供优先级和执行动态多播过滤的规范。
当VLAN首次推出时,被视为一种简化地址管理的途径,它使IT部门在网络上任何位置部署服务器和PC,然后将这些设备虚拟地连接在一起组成设备组。
运行在大多数管理网络设备上的软件可以被用来将PC媒介访问控制地址(MAC)与VLAN建立关系,使客户机在从一个端口转移到另一端口时,可以自动地连接到网络上。
当第三层交换机的出现时,观察家说,VLAN技术将变得过时,因为子网之间的线速度路由将使用户可以更加容易地控制网络广播传输流。
此外,DHCP在IP网络上普遍地应用解决了用户移动性的问题。
但是,据IDC说,由于第三层交换机只在全球以太网交换机端口安装基础中占6%,因此,VLAN仍在网络专业人员中得到广泛的使用。
用户也出于网络管理之外的理由在他们的网络中使用802.1Q技术。
无线局域网
当Wi-Fi加入到局域网阵营后,管理漫游客户机变得很棘手。
网管人员可以将无线传输流隔离到一个VLAN中,保证没有人在从一个接入点转移到另一个接入点时脱离网络。
利用VLAN管理遗留协议
VLAN是可以为一些企业中尚存在的一些老的应用提供特殊协议服务,方便网络管理人员管理网络,不必为这些老家伙建立独立的物理网络。
在国外的一家医院的应用中,他们仍在使用DigitalVAX小型机处理运行在遗留DECnet协议上的定制医疗数据库,同时还在使用NovellNetWare4.11服务器。
Novell服务器和用户,以及DECnet建立独立的VLAN,使得基于IP和WindowsNT/2000服务器的大部分网络避免被IPX和DECnet传输流所压垮。
将VoIP传输流隔离到不同的VLAN中也已经成为3Com、Cisco、Alcatel、Nortel和Avaya等IP电话厂商的标准建议。
所有这些厂商都在自己的交换机和IPPBX设备上支持802.1Q技术,使IP语音流被隔离到自己的VLAN上。
厂商和用户说,作为一种为故障检测而隔离语音流的手段,将语音保持在它自己的虚拟网段上很有用。
它还可以保证在一个网络的很多网段上发生广播风暴或大型文件下载时,语音质量不会降低。
VLAN的优缺点
巩固私有VLAN和VLAN访问控制列表的网络
前言
其中一个关键要素到建立一个成功的网络安全设计是识别和强制执行一个适当信任模式。
适当信任模式定义了谁需要谈与谁并且什么样的数据流需要被交换;应该否决其他数据流。
一旦适当信任模式被识别,然后安全设计员应该决定如何强制执行型号。
因为重要资源是全局可用的并且网络攻击的新的表演变,网络安全基础设施倾向于变得更加复杂,并且更多产品是可用的。
防火墙、路由器、LAN交换机、入侵检测系统、AAA服务器和VPN是可帮助强制执行型号的某些技术和产品。
当然,每一个这些产品和技术在整体安全实施之内扮演一个特定的角色,并且了解设计员是重要的这些元素如何可以配置。
使用的组件
本文不限于特定软件和硬件版本。
背景信息
识别和强制执行一个适当信任模式似乎是一项非常基本任务,但在几年支持的安全实施之后,我们的经验表明安全事件经常与恶劣的安全设计有关。
通常这些设计差是不强制执行一个适当信任模式的一个直接后果,有时因为什么是公正必要的没有了解,其他次正因为充分地没有了解也没有误用介入的技术。
本文详细解释如何二个功能可用在我们的Catalyst交换机,专用VLAN(PVLANs)并且VLAN访问控制表(VACLs),在两可帮助保证适当信任模型企业并且服务提供商环境。
强制执行适当信任模式的重要性
不强制执行适当信任模型的一个立即后果是整体安全实施变得较不对免疫有恶意的活动。
非敏感区域(DMZs)普通是被实施没有强制执行正确的制度因而实现一个潜在入侵者的活动。
此部分分析DMZs经常如何是被实施和设计差的后果。
我们以后将解释如何缓和,或者在最佳的案件避免,这些后果。
通常,DMZ服务器只应该处理流入请求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ分段,例如数据库服务器。
同时,DMZ服务器不应该彼此谈或首次与外界的任何连接。
这在一个简单信任型号清楚地定义了必要的数据流;然而,我们经常看型号不足够被强制执行的这种。
设计员通常倾向于使用一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之间。
例如,所有服务器位于普通的VLAN。
因为什么都在同样VLAN之内不控制数据流,如果其中一个服务器被攻陷然后在同一个分段可以使用同一个服务器来源攻击对任何服务器和主机。
这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵者的活动。
一般,只用于防火墙和信息包过滤器控制流入的连接,但是什么都通常没有完成从DMZ限制被发起的连接。
一些时间前有允许入侵者通过发送HTTP流开始X终端仿真程序会话的cgi-bi脚本的一个着名的弱点;这是应该由防火墙允许的数据流。
如果入侵者足够幸运,他或她可能使用另一种款待得到根提示,典型地缓冲溢出攻击。
这类问题可以通过强制执行一个适当信任模式避免的大多时代。
首先,服务器不应该彼此谈,并且不应该于这些服务器其次发起连接与外界。
同样备注适用于许多其他方案,去从所有正常不信任的分段至小型服务器站在应用程序服务提供商。
PVLANs和VACLs在Catalyst交换机可帮助保证一个适当信任模式。
PVLANs将通过限制主机的之间数据流帮助在一个共用段,而VACLs将通过提供对产生或被注定的所有数据流的进一步控制贡献给一个特定段。
这些功能在以下部分讨论。
专用VLAN
PVLANs是可用的在运行CatcOs5.4或以上,在Catalyst4000的Catalyst6000,2980G、2980G-A、运行CatcOs6.2或以上的2948G和4912G。
从我们的透视图,PVLANs是准许分离数据流在把广播分段的变成第二层的一个工具(L2)一个非广播multi-access-like分段。
交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助VLAN)能出去属于同样主VLAN的端口。
交易(它可以是查出,属性或者走向交换机自端口被映射对辅助VLAN的双向属性VLAN)可以转发到属于同一属性VLAN的一个混乱端口或端口。
多个端口映射对同样隔离VLAN不能交换任何数据流。
以下镜象显示概念。
图1:
专用VLAN
主VLAN在蓝色表示;辅助VLAN在红色和黄色表示。
Host-1连接到属于辅助VLAN红色交换机的端口。
Host-2连接到属于辅助VLAN黄色交换机的端口。
当主机传输时,数据流运载辅助VLAN。
例如,当时Host-2传输,其数据流在VLAN黄色去。
当那些主机接受时,数据流来自VLAN蓝色,是主VLAN。
升级会员 