Professional Documents
Culture Documents
Vlans - HUN
Vlans - HUN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Overview of VLANs
VLAN-ok előnyei
Biztonság
Költségcsökkentés
Jobb teljesítmény
Szórási tartományok méretének csökkentése
IT személyzet hatékonyságának növekedése
Könnyebb projekt- és alkalmazásmenedzsment
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
VLAN-ok előnyei
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3
VLAN-ok előnyei
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
VLAN-ok előnyei
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
Overview of VLANs
VLAN-ok típusai
AdatVLAN
Alapértelmezett VLAN
Natív VLAN
Felügyeleti VLAN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
Overview of VLANs
VLAN-ok típusai
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
Adat VLAN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
Alapértelmezett VLAN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9
Natív VLAN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Natív VLAN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11
Felügyeleti VLAN
A kapcsoló felügyeleti funkcióinak elérésére szolgál
Alapértelmezés szerint a VLAN 1
A felügyeleti VLAN létrehozásához a VLAN virtuális
interfészéhez (Switch Virtual Interface, SVI) kell IP-címet és
alhálózati maszkot rendelni.
Ajánlás: : a VLAN 1-től és a többi VLAN-tól különböző VLAN
használata felügyeleti VLAN-ként
Egynél több felügyeleti VLAN több helyen lehetnek
hálózati támadások
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
VLANs in a Multi-Switched Environment
VLAN Trunks
A VLAN trönk port egynél több VLAN forgalmát képes
továbbítani
A VLAN trönk kiterjeszti a VLAN-okat a hálózat egészére
A VLAN trönkök lehetővé teszik a VLAN-ok forgalmának
kapcsolók közötti továbbítását, így ugyanabba a VLAN-ba
tartozó, de különböző kapcsolóhoz csatlakozó eszközök is
képesek forgalomirányító közvetítése nélkül kommunikálni
A Cisco IOS támogatja IEEE802.1Q trönk protokollt
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
VLANs in a Multi-Switched Environment
Controlling Broadcast Domains with VLANs
VLAN-ok használatával csökkenthető a szórási
tartományok mérete
Minden VLAN saját szórási tartományt alkot
Egy adott VLAN-ba küldött egyedi, csoportos és szórásos
forgalom csak az adott VLAN-on belül kerül továbbításra
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
Ethernet keretfejléc címkézése VLAN
információval
Ethernet keret címkézése = VLAN információ beszúrása a fejlécbe
Több VLAN forgalma is továbbítható egy trönkporton
Többféle protokoll létezik, legnépszerűbb: IEEE 802.1Q
A protokoll szabványosítja, hogyan kerül beillesztésre a VLAN
információ a keretfejlécbe
Amikor a kacsoló egy VLAN-hoz hozzárendelt hozzáférési módú
porton keretet fogad, akkor a keretfejlécbe egy VLAN-címkét szúr
be, majd újraszámítja a keretellenőrző összeget (FCS), és a
címkézett keretet egy trönkporton továbbküldi.
Trönkporton érkező keret esetén a kapcsoló eltávolítja a VLAN
címkéjét, majd továbbküldi egy nemtrönk porton
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15
Ethernet keret címkézése
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
VLAN-címke mező felépítése
Típus (Type) - Egy 2 bites protokoll azonosító érték
(Tag Protocol ID, TPID). Ethernet esetén az értéke
hexadecimális 0x8100.
Felhasználói prioritás (User Priority) - Egy 3 bites
érték, amely a QoS megvalósítását támogatja
Kanonikus formátumazonosító (Canonical Format
Identifier, CFI) – Egy 1 bites VLAN aznosító, amely
Token Ring keretek továbbítást teszi lehetővé Ethernet
linkeken.
VLAN ID (VID) - Egy 12 bites VLAN azonosító, amely
így maximum 4096 VLAN ID-t támogat
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
VLANs in a Multi-Switched Environment
Native VLANs and 802.1Q Tagging
A natív VLAN-on küldött vezérlési forgalmat nem kell címkézni.
Ha egy trönk port egy a natív VLAN ID-val megcímkézett keretet
fogad, akkor eldobja azt.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
VLAN Assignment
VLAN Ranges on Catalyst Switches
• Normál tartományú VLAN-ok
• VLAN ID 1 - 1005
• Konfigurációjuk a vlan.dat-ban tárolódik (flash)
• 1, 1002 – 1005 automatikusan jön létre (nem törölhető, nem
átnevezhető)
• 1002 – 1005 Token Ring és FDDI számára
• VTP csak ezeket a VLAN-okat képes megtanulni
• Kiterjesztett tartományú VLAN-ok
• VLAN ID 1006 - 4096
• Nincsenek benne a vlan.dat fájlban
• Kevesebb VLAN funkciót támogatnak
• Konfigurációjuk a running config-ban tárolódik
• VTP nem tanulja meg őket
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
VLAN Assignment
Creating a VLAN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20
VLAN Assignment
Assigning Ports to VLANs
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
VLAN Assignment
Changing VLAN Port Membership
A port visszakerül az
alapértelmezett VLAN-ba
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
VLAN Assignment
Changing VLAN Port Membership (cont.)
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
VLAN Assignment VLAN törlése után a hozzátartozó
Deleting VLANs portok egészen addig nem lesznek
képesek más állomásokkal
kommunikálni, amíg a
hozzárendelésük egy aktív VLAN-
hoz meg nem történik.
Fa0/11 „eltűnt”
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
VLAN Assignment
Verifying VLAN Information (cont.)
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
VLAN Assignment
Configuring IEEE 802.1q Trunk Links
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
VLAN Assignment
Resetting the Trunk To Default State
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
VLAN Assignment
Resetting the Trunk To Default State (cont.)
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
DTP - Dynamic Trunking Protocol
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29
DTP - Dynamic Trunking Protocol
Az Ethernet trönk interfészek különböző trönkölési módokat
támogatnak.
Egy interfész trönk (trunking) vagy nem trönk (nontrunking)
módúra konfigurálható, illetve megadható az is, hogy a
trönkölést egyeztesse a hozzá csatlakozó szomszédos
interfésszel.
A hálózati eszközök között a trönk egyeztetését a pont-pont
alapon működő dinamikus trönkprotokoll (DynamicTrunking
Protocol, DTP) végzi.
A DTP a trönk egyeztetését csak akkor hajtja végre, ha a
szomszédos kapcsolón lévő port is olyan trönk módra van
beállítva, amely támogatja a DTP-t.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30
Dynamic Trunking Protocol
Negotiated Interface Modes
Támogatott trönk módok és parancsaik
switchport mode dynamic auto
switchport mode dynamic desirable
switchport mode trunk
switchport nonegotiate
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31
Access és Dynamic Auto
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 33
Trunk
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34
Nonegotiate
switchport nonegotiate
Megakadályozza, hogy az interfész DTP-s kereteket
generáljon.
Csak akkor alkalmazható, ha a kapcsolóport access
vagy trunk módban van
Trönk kapcsolathoz a szomszédos interfészt
manuálisan kell trönk interfésznek beállítani
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35
Troubleshooting VLANs and Trunks
Leggyakoribb trönkölési hibák
Natív VLAN keveredés
A trönk portok különböző natív VLAN-okkal vannak konfigurálva.
Konzolon egy figyelmeztetés
A vezérlő- és felügyeleti forgalom téves irányítását eredményezi. Ez
biztonsági kockázatot jelent.
Trönkmód keveredés
Az egyik trönkporton be van kapcsolva a trönk mód, a másikon pedig
ki van kapcsolva.
A trönk kapcsolat működésképtelenségét okozza.
A trönkökön engedélyezett VLAN-ok
A trönkön engedélyezett VLAN-ok listája nem lett az éppen aktuális
trönkölési igényeknek megfelelően frissítve.
Nem várt forgalom, vagy éppen semmilyen forgalom nem lesz a
trönkön keresztül továbbítva.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36
Attacks on VLANs
VLAN ugrás - VLAN hopping attack
Azt használják ki, hogy a kapcsolók portjainak alapértelmezett
beállítása dynamic auto
A hálózati támadó úgy konfigurál egy rendszert, hogy az
kapcsolónak álcázza magát.
Így az eredeti kapcsoló megkísérel vele trönk kapcsolatot
kiépíteni a támadó hozzáférést szerez a trönkporton
engedélyezett valamennyi VLAN-hoz
Védekezés:
• Trönkölés kikapcsolása mindenhol, ahol nem szükséges
• Trönk porton DTP letiltása, és a trunk manuális beállítása
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37
Kettős címkézéssel végrehajtott VLAN
ugrásos támadás - Double-Tagging Attack
Azt a módot használja ki, ahogyan a legtöbb kapcsoló
hardvere működik:
a 802.1Q beágyazásnak csak egyszintű visszafejtését
hajtja végre
a támadó egy rejtett 802.1Q címkét ágyaz be a keret
belsejébe. Ez a címke lehetővé teszi a keretnek egy
olyan VLAN-ba történő továbbítását, amely az eredeti
802.1Q címkében nem volt megadva.
A kettős beágyazásos VLAN ugrásos támadás egy
fontos tulajdonsága, hogy akkor is működik, ha a trönk
portok le vannak tiltva
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38
Kettős címkézéses VLAN ugrásos
támadás 3 lépése
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39
Attacks on VLANs
Double-Tagging Attack
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40
Attacks on VLANs
PVLAN Edge
A védett portok semmilyen forgalmat (egyedi címzésű,
csoportcímzésű vagy szórásos) nem továbbítanak más
védett portok felé, kivéve a vezérlő forgalmat. Második
rétegben a védett portok között nem lehet adatot
továbbítani.
A védett és a nem védett portok közötti továbbítás a
szokásos módon történik.
Védett portokat manuálisan kell beállítani:
switchport protected
no switchport protected
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42
Design Best Practices for VLANs
VLAN-ok tervezésének bevált gyakorlatai
Összes port a VLAN 1-től eltérő VLAN-hoz legyen társítva:
Az összes nem használt port, egy a hálózaton másra nem
használt, "fekete lyuk" VLAN-hoz tartozzon
Használaton kívüli portok letiltása
Felügyeleti és a felhasználói adatforgalom szétválasztása
A felügyeleti és a natív VLAN számának megváltoztatása
(Ne a VLAN 1 legyen)
Csak a felügyeleti VLAN eszközei kapcsolódhassanak a
kapcsolóhoz távoli felügyelet céljából
Kizárólag SSH kapcsolat engedélyezése
Az automatikus egyeztetés (DTP autonegotiation) letiltása
Ne használjuk a dynamic auto és a dynamic desirable módot
Külön VLAN a hang- és az adatforgalom számára
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43