数据中心安全技术.pdf

1 数据中心安全数据中心安全 数据中心安全建立在一套行之有效的安全策略的基础上。 这套策略应当准确地定义您的数据 中心的接入和连接要求。 在制定了一套正确的安全策略之后， 您就可以利用多种先进的思科 技术和产品防止您的数据中心遭受内部和外部威胁， 确保数据的保密性和完整性。 思科提供 了一组功能强大的网络安全技术，如下图所示。 图图 1- 1 数据中心安全和数据中心网络 1.1 数据中心安全拓扑数据中心安全拓扑 一直以来，内联网数据中心都是一个安全措施严重不足的区域。根据客户调查、层出不 穷的安全威胁和日益增长的专利信息保护需求，企业必须为数据中心提供足够的安全保障， 防止来自内部的攻击无论是有意还是无意导致。 图 2- 1 提供了一个大规模企业网络的结构图。图 2- 1 还显示了内联网数据中心在网络中 的位置。在这个拓扑中，内联网数据中心汇聚交换机被直接连接到园区核心交换机。数据中 心交换机和园区核心之间没有部署防火墙或者 ids 设备。拓扑设计的目的是为位于内联网 中心的网络设备和应用创建安全周边和区域，以提供与外部（互联网）设备和系统类似的安 全保障。 图图 2- 1 企业网络和内联网数据中心 存储网络存储网络 多层应用多层应用 web 服务器 ip 网络基础设施网络基础设施 安全 应用优化应用优化 第二/三层 防火墙 缓存 内容 交换机 应用服务器 磁带 db 服务器 大型机大型机 ip 通信通信 运营运营 pdf created with pdffactory pro trial version 2 1.2 分组过滤：汇聚层分组过滤：汇聚层 分组过滤为拦截来自外部或者内部的恶意网络和应用流量提供了一种重要的方法。 可以在内 联网数据中心汇聚层部署的分组过滤服务包括 acl、独立防火墙设备和基于集成化的防火 墙模块。图 2- 2 显示了数据中心汇聚层的位置。 图图 2- 2 内联网数据中心汇聚层 园区核心 数据中心 汇聚层 前端层 应用层 pdf created with pdffactory pro trial version 3 1.2.1 acl 防护防护 在数据中心部署 acl 有助于通过基本的第三层和第四层分组过滤限制对设备的访问（例如 子网隔离） 。通过设置，acl 可以按照端口进行过滤，但是在大部分情况下不能提供上层应 用检测。 这在一定程度上是因为 acl 不能支持状态分组检测， 而这正是 acl 和防火墙之间 的关键区别。 状态分组检测让防火墙可以对面向连接的请求进行基于分组的检测， 拒绝不完 整的或者异常的请求。 1.2.2 防火墙防护防火墙防护 在采用防火墙装置的典型设计中， 防火墙可以部署在数据中心汇聚层和核心交换机之间。 这 种内嵌式拓扑有时被用于连接互联网的数据中心设计 图图 2- 3 防火墙设备部署 对于那些希望部署灾难恢复或者业务连续性的企业，内容交换模块（csm）的路由健康 注入（rhi）功能在内部网络中扮演着一个重要的角色。这项功能让 csm 可以为多层交换 功能卡（msfc）中的虚拟 ip 地址（vip）设置一个主路由。该路由随后将通过内部路由协 议广播到整个网络。 数据库层 园区核心 pdf created with pdffactory pro trial version 4 图图 2- 4 部署在数据中心服务交换机的防火墙 当数据中心汇聚交换机收到输入流量时， 一个静态路由将这些流量通过第二层发送到服务交 换机。图 2- 4 显示了服务交换机的位置和连接，以及它们与防火墙的物理连接。服务交换机 拥有两个第二层中继链路，其中主链路被连接到第二层主汇聚交换机，而从链路（拦截）被 连接到从第二层汇聚交换机。在流量到达服务交换机时，它会被转发到交换机的外部接口。 防火墙随后会将内部接口之外的流量拦截或者转发到服务交换机。 因为防火墙的外部和内部 接口都连接到同一台交换机，所以常常会导致安全问题。最主要的问题之一是可能会发生 “vlan 跳跃” 。vlan 跳跃是指攻击者能够跳过 vlan，从而绕过防火墙。 集成化防火墙部署集成化防火墙部署 防火墙服务模块（fwsm）是 catalyst 6000 系列交换机的一种集成化防火墙。fwsm 的配 置类似于 pix 防火墙，因而可以对内部、外部流量和服务器间通信进行状态分组检测。该 模块能够以 5gb 的吞吐率提供分组检测和支持 ospf 动态路由协议。 图 2- 5 显示了配有一对 fwsm 的内联网数据中心汇聚交换机。 园区核心 pdf created with pdffactory pro trial version 5 图图 2- 5 配有 fwsm 的数据中心汇聚交换机 上述功能和下面将要介绍的一些功能（例如虚拟防火墙）让 fwsm 成为为数据中心重新设 计安全方案的一个重要考虑因素。它的一个特殊应用是为多层服务器群设计和部署安全策 略。利用 fwsm，多层服务器可以变得更加简洁和便于管理， 如 2- 6 所示，fwsm 可以与 msfc 部署在同一个机箱中，并且可以部署在 msfc 内侧或者 外侧。图 2- 6 中还显示了 csm 的位置。 图图 2- 6 fwsm、msfc 和 csm 的逻辑结构图（fwsm 位于 msfc 内侧和外侧） 为了防止因为 vlan 配置错误而导致流量绕过 fwsm， 须密切注意 fwsm 的外侧和内侧接 口上设置了哪些 vlan。在 msfc 的哪一侧放置 fwsm 取决于您希望采用的配置类型。 1.3 分组过滤：接入层分组过滤：接入层 通过在接入层部署 pvlan 和 ios acl 或者 vlan acl （vacl） ， 限制服务器群中的 园区核心 msfc 外侧 msfc 内侧 数据中心 汇聚交换机 数据中心 汇聚交换机 pdf created with pdffactory pro trial version 6 服务器与其他设备或者服务器之间的通信。pvlan 的概念非常简单：pvlan 为在同一个 服务器群中的服务器之间进行第二层隔离提供了一种重要的方法。 所有进入服务器群的流量 都将通过一个主 vlan。这个主 vlan 会被镜像到一个或者多个从 vlan。从 vlan 可以 被设置为独立的或者共同的 vlan。安放在独立 vlan 中的服务器不能与服务器群中的任 何其他服务器通信。 位于共同 vlan 中的服务器则只能与共同 vlan 中的其他服务器通信。 图图 2- 7 pvlan 限制服务器通信 因为 pvlan 只能在服务器之间提供第二层隔离， 所以您必须在 cisco ios 或者思科 防火墙上设置 acl，以拒绝任何第三层访问。如果流量的源地址是服务器群中的某个设备， 那么它的目的地地址就不能是服务器群中的另外一个设备。 如果没有采用这种过滤措施， 分 组可能会从第三层路由到目的地服务器，从而绕过第二层隔离。 pvlan 具有很多优点。 如果数据中心的服务器存在敏感资料， 那么就可以将每台路 由器置于一个独立的 vlan 中，同时不会浪费 ip 地址。pvlan 还有助于提供安全保障： 如果数据中心的一台服务器受到攻击，攻击者无法通过第二层或者第三层访问其他的服务 器。 1.4 数据中心多层服务器群的安全保护数据中心多层服务器群的安全保护 多层（常被称为 n 层）服务器群主要包含三个层次：表示层、应用层和数据库层。根 据所部署的应用，web 层和应用层可能会位于同一个物理服务器或者不同的服务器。大部 分供应商都提供了一种三层物理模式，即 web 层和应用层分别位于不同的服务器。 这种多层架构大大提高了数据中心网络架构的复杂性。在多层架构中，用户通常需要 为每个层次部署安全措施。过滤是一种相当有效的安全措施，应当在表示层前端，表示层和 应用层之间， 以及应用层和物理层之间执行。 分组过滤也经常在位于同一个层次的不同服务 器之间进行。 推荐的分组过滤方式取决于所部署的架构类型。 对于上面所介绍的物理多层服 务器群，思科建议您在每个层次进行过滤，以便为服务器群提供最大限度的安全性。 如果使用传统的、 基于装置的防火墙， 每层的过滤至少需要为每个层次部署两个防火墙。 这提高了物理连接、管理和可靠性保障的复杂性。图 2- 8 显示了一个典型的多层服务器群架 构，其中每个层次都部署了基于装置的防火墙。 主 vlan 主 vlan 独立 共同 独立 共同 pdf created with pdffactory pro trial version 7 图图 2- 8 基于装置的防火墙可以为多层服务器群提供安全保障 思科的 fwsm 防火墙模块为降低在多层架构中部署安全措施的复杂性提供了一个重要的方 法。通过将防火墙整合到中央地点，可以大幅度降低管理和物理连接的复杂性。 您可以通过在每层之间进行路由和分组过滤在 fwsm 上为每个层次提供不同的 vlan。这使得 vlan 之间的所有流量都可以穿越 fwsm，从而将分组过滤服务集中到一 对物理防火墙上。fwsm 支持“虚拟防火墙功能” 。这种功能让单个 fwsm 可以“虚拟化” 为多个逻辑防火墙。这种虚拟化可以在每层创建多个独立的逻辑防火墙。在必要情况下，甚 至可以为每个客户建立多个防火墙。图 2- 9 显示了采用 fwsm 的多层服务器群。 图图 2- 9 fwsm 为多层服务器群提供安全保障 园区核心 第一层 web 层 第二层 第三层 应用层 服务器层 园区核心园区核心 采用 多防火墙 虚拟技术 的 fwsm web 层层 应用层 数据库层 pdf created with pdffactory pro trial version 8 1.5 入侵检测安全保护入侵检测安全保护 网络网络 ids：汇聚层：汇聚层 网络 ids 设备应当被部署在数据中心的汇聚交换机中，以便为数据中心网络设备提供全面 的保护并为服务器群组件提供第一道防线。这些网络 ids 传感器可以通过逻辑配置，放置 在汇聚交换机中部署的其他防火墙模块之后。 这使得传感器可以阻止未经过滤的、 穿越防火 墙的攻击。 在将 ids 设备部署于汇聚交换机中时，您应当设置网络 ids 传感器，使其监控同步流量。 这让传感器只需获得流量的一侧数据， 就可以监控流量的两个部分， 从而减少传感器的误报 和漏报。网络 ids 设备能够通过主动调整 acl 抵御网络攻击。在网络行为违反了预定的策 略，而且符合攻击特征时，ids 设备就会动态设置 acl，及时抵御网络攻击在它威胁 到任何服务器或者设备之前。图 2- 10 显示了在数据中心部署网络 ids 的结构图。 pdf created with pdffactory pro trial version 9 图图 2- 10 数据中心的网络 ids 因为可能会有大量的流量流经数据中心，思科建议您部署一个支持千兆吞吐率的 ids 设备。 支持千兆吞吐率的 ids 能够监控更多流经数据中心的流量，从而提高安全性。目前，思科 提供的 ids 设备ids 4250能够提供千兆监控功能。 在不久的将来，思科将推出一个 针对 catalyst 6000 的千兆 ids 模块。这些设备的功能较为类似，因而无论您采用哪个设备， 关于应当在哪些环节监控哪些类型的流量的建议都是相同的。 1.5.1 网络网络 ids：接入层：接入层 ids 传感器也可以部署到数据中心的接入层。这可以为网络设备和服务器提供一个可 选的额外防线。 在接入层，传感器应当设置为监控来自服务器群的同步和异步流量。对于服务器和应 用流量，同步流量监控将以更加精确的方式进行。另外，监控来自服务器的异步流量，如果 攻击者能够控制一台服务器，并开始从内部服务器群发动攻击，接入交换机中的网络 ids 传感器就能够监控和抵御攻击，从而防止其他的内部系统遭受攻击。 园区核心 输出 流量 输入 流量 汇聚层网络 ids 监控同步 流量 数据中心 汇聚交换机 输出 流量 更加 精确的 服务器和 应用监控 输入流量 pdf created with pdffactory pro trial version 10 1.5.2 主机主机 ids/ips 主机 ids 解决方案为服务器上运行的服务器操作系统和应用提供了全面的安全保护。 主机 ids 代理软件可以被加载到服务器平台，从一个集中管理地点进行监控。目前支持的 服务器操作系统包括：windows 2000、windows nt 和 sun solaris。主机 ids 传感器可以通 过主动监控发往服务器的流量和在攻击实施之前及时加以阻止，有效地抵御攻击。 图图 2- 11 用于服务器群的 hids 上游的网络 ids 可以防范网络攻击和某些针对服务器、应用的攻击，而主机 ids 传感 器可以防范不同类型的恶意攻击，例如： o os 和应用漏洞 o 上载恶意可执行程序 o 信息搜集 o 监听程序安装 o 密码攻击 o 缓冲溢出 部署主机 ips，可以直接抵御面向系统的漏洞攻击。csa是一个灵活的主机 ips 解决方 案，可以通过保护大部分网络攻击的目标网络终端，满足所有这些要求。csa 是一个 可以解决系统所面临的威胁的安全系统，有助于建立一个稳定的应用环境。 数据中心中采用 csa的终端可以使用的防范功能： o 基于主机的入侵防范 o 缓冲溢出防范 o 网络蠕虫防范 o 操作系统加固 o web 服务器保护 o 蠕虫和病毒传播防范 企业数据中心的目的是让应用对用户高度可用，而 csa 的安全功能有助于实现这个目标。 例如，通过防范病毒和蠕虫的传播，可以缩短企业遭遇的服务器停机时间。这样，企业可以 在抵御某个特定的网络威胁的同时，保持用户所期望的服务水平。 园区核心 服务器 os 和应用 保护 主机 ids 防火墙 formatted: bullets and numbering formatted: bullets and numbering pdf created with pdffactory pro trial version 11 1.6 服务器群中部署第二层安全服务器群中部署第二层安全 第二层攻击往往是园区网络环境的关注重点， 但是在讨论数据中心安全时也不能忽视这 种攻击。 设计和部署一个旨在防御第二层入侵和攻击的安全策略， 是数据中心安全设计的一 个非常重要的组成部分。 很多用于防范这种攻击的功能还有助于确保错误设置或者意外事件 不会为数据中心带来不必要的中断。 为了提高接入层和服务模块的可扩展性、移动性和互操作性，第二层协议和功能通常会 被集成到数据中心网络环境中。 一个折叠式的单层数据中心网络架构包含两个层次： 汇聚层 和接入层（前端） 。图 3- 1 显示了数据中心网络中的这些层次。 图图 3- 1 数据中心设计中的第二层和第三层 园区核心或 互联网边缘 第三层 汇聚层 第二层 直接连接或者受 到攻击的设备 接入层 （前端） 攻击者 pdf created with pdffactory pro trial version 12 在服务器群中，很多服务器都位于同一个子网（网段）中。如果一台服务器受到攻击， 其他服务器也遭受攻击的可能性将会大为增加。 或者， 如果服务器是安全的， 不会遭受攻击， 但是攻击者能够控制交换机， 那么这个服务器收发的所有流量都会被攻击者捕获而不论 服务器的 os 和应用是否安全。 1.6.1mac 泛滥攻击防护泛滥攻击防护 mac 泛滥攻击是指攻击者利用交换机的内容寻址内存（cam）表的固定硬件限制发 动攻击。catalyst 交换机的 cam 表存储着每个与交换机相连设备的源 mac 地址和相关端 口。catalyst 6000 上的 cam 表可以容纳 12.8 万个条目。这 12.8 万个条目被分为 8 页，每 页可以存储 1.6 万条目。 一个 17 位散列算法被用于生成 cam 表中的每个条目。 如果散列计 算得到相同的值，那么每个条目就会被存储在不同的页面中。在这 8 个页面都填满之后，流 量就会被以广播方式发送到收到源流量的 vlan 上的所有端口。许多工具（包括 macof 和 dsniff）可以用于攻击模拟测试，以检验安全设置。每个工具可以填充整个 cam 表，导致 指定 vlan 上的所有流量都以泛洪方式发送到所有端口，从而导致这些工具可以监听所有 流量。一旦所有流量都从交换机以泛洪方式发出，vlan 上的所有流量都将被看到。 在图 3- 2 中，攻击者的主机位于 vlan 10 之上。攻击者可以将 mac 地址以泛洪方式发送 到交换机上的端口 3/25。在达到 cam 表阈值时，交换机就会变做一个集线器，将流量以广 播方式发送到所有端口。这种泛滥攻击也可能发生在配有 vlan 10 的相邻交换机上，但是 攻击范围仅限于源 vlan，而不会影响其他 vlan。 图图 3- 2 数据中心的 mac 泛洪攻击 防护方法防护方法 可以被用于防范 mac 泛滥攻击的功能包括： o 端口安全 端口安全可以为每个端口设置特定的mac地址， 或者只允许特定数量的mac地址。 当一个安全的端口收到数据包时，数据包的源 mac 地址会与该端口上手动配置或 者自动配置（学习）的安全源地址列表进行比较。如果连接到该端口设备的 mac 地址与安全地址列表不符，该端口就将永久性关闭（缺省模式） ，或者关闭设定的一 段时间，或者丢弃来自于该地址的数据包。该端口的响应取决于您设定它以怎样的 方式处理违反安全策略的攻击。 攻击者可以 监控发往 服务器 b和 d 的流量 攻击者 deleted: 滥 deleted: 滥 pdf created with pdffactory pro trial version 13 o vmps vlan管理策略服务器 （vmps） 可以根据请求客户端的源mac地址动态地将vlan 分配到某个端口。 一个 vmps 数据库文件可以提供一个 vlan到 mac 地址的镜像。 交换机可以利用此镜像关系， 验证请求客户端的 mac 地址。最初化设置 vmps 时， 预先配置好的数据库文件会从一个 tftp 服务器上下载下来。vmps 利用 vlan 查 询协议（vqp）与客户端通信。该协议建立在 udp 的基础上，没有经过身份验证， 而且以明文显示。思科并不建议用户使用 vmps，因为 vmps 数据库的配置和维护 会导致沉重的工作负担，而且客户端和交换机之间的通信可能会出现安全问题。 o 802.1x 802.1x 利用可扩展身份验证协议（eap）对接入交换机的设备进行身份验证，通过 验证后才允许它转发流量到交换机。发出请求的一方（客户端）必须得到身份验证 方（交换机）的许可。身份验证方会利用一个 radius 服务器验证客户端的请求。 如果客户端不能通过身份验证，连接请求将会被拒绝，客户端将无法建立到交换机 的连接。 1.6.2 arp 伪装攻击防护伪装攻击防护 主动 arp 可以被用于发起 arp 伪装攻击。arp 请求消息放置在发往一个网段中所有 设备的广播帧中。网段中的每个设备都会收到广播消息并检查其中的 ip 地址。无论是拥有 被请求的 ip 地址的主机，还是一个知道该主机位置的路由器，都可以通过单播方式向请求 者发回目标 mac 地址。 当某个主机加入一个网段时，它会使用一个主动 arp（广播消息）向该网段中的其他 计算机和设备发布它的 ip 地址。如果网络上的计算机和设备没有该主机的 arp 条目，它就 会忽略这个 arp。 但是，如果设备拥有发出主动 arp 设备的 arp 条目，情况将会有所不同。图 3- 4 提 供了 arp 伪装攻击方式的示意图。当服务器 a为它的缺省网关（）的 mac 地 址发出 arp 请求时，它会将响应存放在它的 arp 表中。现在，如果攻击者发出一个主动虚 假 arp，表示自己是 ，服务器 a 就会更新其 arp 表，从而将流量转发到攻击 者，因为服务器 a认为攻击者的计算机是它的缺省网关。 图图 3- 4 arp 伪装 在上面这个例子中，攻击者正在进行中间人（mim）攻击，但是可以躲过安全技术的检 查， 因为所有流量仍然可以正常抵达预定目的地。 这种攻击可以利用一些广为人知的工具 （例 如 ettercap）进行。 为.1 发出的 arp 数据中心 汇聚交换机 我是.1 服务器 a .5 服务器b .4 服务器 c .3 服务器 d .2 攻击者 pdf created with pdffactory pro trial version 14 防护方法防护方法 目前存在多种可以抵御 arp 伪装攻击的功能。 o 端口安全端口安全 o 802.1x o 静态静态 arp 条目条目 静态 arp 配置可以在一个高度重视安全性的数据中心环境中使用。在这种环境中， 对安全的关注超过了对维护静态 apr 镜像所带来的运营负担的担忧。 o pvlan pvlan可以对位于同一个vlan或者广播域中的数据中心服务器进行第二层隔离。 这项功能为防范基于 arp 的攻击提供了一种有效的方法。 o arp 检测检测 arp 检测是一个让你可以利用 vlan 访问控制列表（vacl）拒绝或者允许一个 vlan 中的 arp 流量通过的特性。为了防止 arp 伪装攻击，arp 检测功能可以将 特定的 mac 和 ip 地址捆绑到一起；例如，一个缺省网关（路由器）和它的 mac 地址。 1.6.3 pvlan 漏洞攻击防护漏洞攻击防护 pvlan 在同一个网段的主机之间实施第二层隔离。如图 3- 7 所示，当攻击者发出包含 目的地（即攻击对象）的 mac 和 ip 地址的数据包时，pvlan 可以通过实施 pvlan 中隔 离 vlan 规则，禁止数据包的转发。 图图 3- 7 pvlan 的执行进程 如果攻击者将目的地 mac 地址改为 msfc 路由器的 mac 地址，而没有改变目的地 ip 地址，将会发生什么情况？在图 3- 8 所示的例子中，攻击者发出一个包含路由器 mac 地 址（mac:c）的数据包，但是并没有改变 ip 地址，而是保留了原来的目的地 ip 地址（ip:2） 。 图图 3- 8 绕过 pvlan 限制 独立 vlan 攻击者 mac:b ip2 攻击对象 mac:b ip2 独立 vlan 丢弃 混合端口 路由器 mac:c ip:3 汇聚 交换机 独立 vlan 攻击者 mac:b ip2 实施 pvlan 规则 路由器转发 分组 pdf created with pdffactory pro trial version 15 pvlan 安全功能将按照预期方式运行。因为按照预定方式执行了规则，不会导致 pvlan 问题。 由于数据包的目的地 mac 地址为缺省网关的 mac 地址， 所以 pvlan 不会 拦截数据包。该数据包将会被转发到路由器。路由器随后也将把数据包转发到目的地 ip 地 址（ip:2） 。这样，攻击者就成功地躲过了预先设置的 pvlan 安全功能。 防护方法防护方法 o vacl 为了防止攻击者绕过安全措施并控制 pvlan 中的服务器，可以在交换机上设置 vacl，或者在 msfc 或路由器的入口上设置 acl。acl 可以防止任何一个带有 pvlan 源地址的分组被转发到一个也位于本地子网上的目的地址。通过设置这些 acl，可以制止更改 pvlan 配置的尝试。当 pix 防火墙充当服务器缺省网关时， 这个问题会得到一定程度的缓解，因为 pix 通常不会像路由器一样转发这些分组。 混合端口 独立端口 攻击对象 mac:b ip2 汇聚交换机 mac:c ip:3 独立 vlan deleted: lan pdf created with pdffactory pro trial version 16 如需了解更多关于如何设置和设计配有 pvlan 的网络的信息，请参阅“在数据中心部署专 用 vlan” 。 1.6.4vlan 跳跃安全防护跳跃安全防护 trunk 端口在数据中心的使用相当普遍。数据中心接入交换机通常使用 trunk 连接到 汇聚层交换机。在缺省情况下，当设置了一个 trunk 端口之后，它会传输所有 vlan。每台 支持多个服务器 vlan 的接入交换机都必须与数据中心汇聚交换机建立一条 trunk 连接， 如图 3- 9 所示。 图图 3- 9 数据中心中的 802.1qtrunk 在缺省情况下，所有 trunk 都会传输 vlan 1，而且所有端口都位于 vlan 1 中。思科发现 协议（cdp）和 vlantrunk 协议（vtp）控制消息也在缺省设置下通过 vlan 1 传输。即 使某个 trunk 接口退出了 vlan 1，控制消息仍然会通过 vlan 1 传输虽然此时没有数 据流量在 vlan 1 上传输。 在图 3- 10 所示的例子中，终端主机被设置为利用 802.1q 封装的 trunk 模式连接到数据中心 接入交换机。终端主机之所以能够获得访问权限，是因为主机和接入交换机的本机 vlan 都被设为 vlan 1。攻击者可以利用两个 vlan 标签对数据包进行双重封装。 园区核心园区核心 802.1q trunk 端口 802.1q trunk 端口 汇聚层 前端 接入层 （web 服务器） pdf created with pdffactory pro trial version 17 图图 3- 10 采用两个标签的 802.1q 攻击 当交换机从攻击者收到进行双重封装的分组时，它会除去第一个 vlan 标签（本机 vlan） ， 将分组转发到 vlan 10。 在这种情况下， 攻击者所连接的端口并不需要传输 vlan 10，攻击者就可以连接到 vlan 10。攻击者只需要通过一个 trunk 端口为分组添加标签， 就可以连接到交换机。 防护方法防护方法 o 本机本机 vlan 可以采取多个步骤来抵御这种类型的攻击。 首先， 清除所有trunk端口的本机vlan。 控制协议仍然可以通过本机 vlan 传输，但是数据流量将不会通过它传输。如果因 为某种原因无法从 trunk 端口清除本机 vlan，可以将一个未被使用的 vlan 专门 用作本机 vlan。 o dtp 另外， 还必须在所有用户端口上禁用 dtp。 如果某个端口保留了自动配置的 dtp （这 是很多交换机的缺省设置） ， 攻击者就可以连接该端口， 自行让该端口开始提供 trunk 功能，进而传输所有 vlan 信息。 1.6.5 生成树漏洞安全防护生成树漏洞安全防护 数据中心汇聚和接入交换机之间的第二层交换域， 为企业服务器群创建了一个高可扩展 和移动的环境。可以利用生成树协议（stp）来为冗余数据中心网络架构建立一个无环路拓 扑。stp 使用网桥协议数据单元（bpdu）来交换消息，其中包含配置、拓扑改动和确认信 息。 一台发送 bpdu 的恶意交换机可以强迫网络拓扑发生变化，从而导致拒绝访问服务 dos攻击。 如图3- 11所示， 攻击者向