任务3.2 VLAN的安全配置

计算机网络安全管理技术项目三任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

子任务2管理VLAN的安全配置局域网的安全管理【任务目标】

1．能正确配置VLAN中继链路的安全操作方法2．能正确配置管理VLAN的安全操作方法项目三任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

子任务2管理VLAN的安全配置局域网的安全管理【任务环境】1、主流PC机一台2、PacketTracer软件

任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置【网络拓扑图】【VLAN及IP地址分配表】

设备名接口所属VlanIP地址/子网掩码默认网关SW1Fa0/24Trunk————Vlan10——54/24——Vlan20——54/24——SW2Fa0/1Vlan10————Fa0/2Vlan20————Fa0/24Trunk————PC1Fa0——/2454PC2Fa0——/2454任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置【知识支撑】1、VLAN跳跃攻击在路由器的帮助下，VLAN跳跃使得来自一个VLAN的流量可以被其他VLAN看到。在某些情况下，攻击者可以嗅探数据并提取密码和其他敏感的信息。这种攻击是通过配置不正确的中继端口来实现的。默认情况下，中继端口能够访问所有VLAN并且通过相同的物理链路传递多个VLAN的流量，这种链路一般是在交换机之间。任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置在基本的VLAN跳跃攻击中，攻击者利用大多数交换机上的默认自动中继配置。攻击者通过配置，把自己伪装成交换机。这一欺骗要求攻击者能够模拟ISL或802.1Q信令以及Cisco专有的动态中继协议(DTP)。通过欺骗一个交换机，使它认为攻击者是一个需要中继的另一台交换机，攻击者随后就可以获得对中继端口上允许的所有VLAN的访问。这一攻击需要在端口上进行配置，支持auto或dynamic中继模式，才能取得成功。最终，攻击者成为在交换机上中继的所有VLAN的成员并且能够跳跃。

任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置VLAN跳跃攻击可以采用下面两种方法发起：（1）从攻击主机发出欺骗DTP信息导致交换机进入中继模式。攻击者可以发送标记为目标VLAN的流量，交换机随后就会把该数据表转发到目的地；

（2）引入一个欺诈交换机并且启用中继配置。攻击者随后就可以通过欺诈交换机到受害者交换机上的所有VLAN。任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置2、VLAN双重标签攻击另一种VLAN攻击类型是双重标签(或双重封装)VLAN跳跃攻击。这种攻击的类型利用了交换机硬件的工作方式。大多数交换机只执行一层802.1Q的解封装，这就可能允许攻击者在特定环境下把隐藏的802.1Q标签嵌入到数据帧中。这个标签允许数据帧进入到初始802.1Q标签没有指定的VLAN。双重封装VLAN跳跃攻击的一个重要特性就是即使中继端口被禁用了，主机通常也能在没有中继链路的网段上发送数据帧。

任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置这种类型的攻击是单向的，而且只有当攻击者连接的端口在特定VLAN中，此VLAN与中继端口的本征VLAN一样时，该攻击才奏效。这种攻击的思路是双重标签允许攻击者在VLAN上向主机或服务器发送数据，而这些数据本应该被某些类型的访问控制配置阻塞掉的；而且这些返回流量也将被放行，这使得攻击者能够与通常被阻塞的VLAN上的设备进行通信。任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

3、确保VLAN中继链路的安全

（1）将用户端口设置为接入模式

（2）关闭DTP

（3）手动配置中继模式

（4）将用户不使用的VLAN作为NativeVlan

（5）中继链路上配置allowedvlan

任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

【任务实施】1、绘制网络拓扑图2、根据VLAN及IP地址分配表创建VLAN，同时将端口划入相应的VLAN中，主要配置命令如下：

SW2(config)#intf0/1SW2(config-if)#swmodeaccess//设置端口为接入模式SW2(config-if)#swaccessvlan10//将端口划入到vlan10中SW2(config)#intf0/2SW2(config-if)#swmodeaccessSW2(config-if)#swaccessvlan20SW1(config)#vlan10SW1(config)#vlan20//创建vlanSW2(config)#vlan10SW2(config)#vlan20任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

3、根据VLAN及IP地址分配表配置各设备的ip地址等参数，主要配置命令如下：

SW1(config)#iprouting//开启三层交换SW1(config)#intvlan10SW1(config-if)#ipadd54

SW1(config)#intvlan20SW1(config-if)#ipadd54

//创建交换机SVI接口，并设置其IP地址任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

4、交换机间创建中继链路，主要配置命令如下：

SW1(config)#intf0/24SW1(config-if)#swtrunkencapdot1q//封装802.1q协议SW1(config-if)#swmodetrunk//设置端口为中继模式SW1(config-if)#swnonegotiate//关闭DTP协议SW2(config)#intf0/24SW2(config-if)#swmodetrunkSW2(config-if)#swnonegotiate任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

5、NativeVlan的配置，主要配置命令如下：

SW1(config)#vlan15SW1(config)#intf0/24SW1(config-if)#swtrunknativevlan15//将中继链路上的本征vlan设置为vlan15SW2(config)#vlan15SW2(config)#intf0/24SW2(config-if)#swtrunknativevlan15任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

6、AllowedVlan的配置，主要配置命令如下：

SW1(config)#intf0/24SW1(config-if)#swtrunkallowedvlan10,20//设置中继链路上只允许通过vlan10和vlan20的流量SW2(config)#intf0/24SW2(config-if)#swtrunkallowedvlan10,20任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

7、查看中继链路信息，以SW1为例，如下所示。

SW1#showinttrunkPortModeEncapsulationStatusNativevlanFa0/24on802.1qtrunking15PortVlansallowedontrunkFa0/2410,20……//以上输出信息可以看到中继的封装协议、状态、NativeVlan和AllowedVlan等信息任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

8、验证PC1与PC2间的连通性，如下所示。

PacketTracerPCCommandLine1.0C:\>pingPingingwith32bytesofdata:Replyfrom:bytes=32time=1msTTL=127Replyfrom:bytes=32time<1msTTL=127Replyfrom:bytes=32time<1msTTL=127Replyfrom:bytes=32time<1msTTL=127Pingstatisticsfor:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=1ms,Average=0ms任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

9、在PacketTracer环境下保存文件，下一个任务-管理VLAN的安全配置将在此网络拓扑的基础上进行。

任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置项目三任务3.2VLAN的安全配置

子任务1VLAN中继链路的安全配置

子任务2管理VLAN的安全配置局域网的安全管理【任务环境】1、主流PC机一台2、PacketTracer软件

任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置【网络拓扑图】

任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置【VLAN分配表】【网络IP地址分配表】

设备名接口所属VlanSW1Fa0/24TrunkSW2Fa0/1Vlan10Fa0/2Vlan20Fa0/3Vlan30Fa0/24Trunk设备名接口IP地址/子网掩码默认网关SW1Vlan1054/24——Vlan2054/24——Vlan3054/24——SW2Vlan3053/24——PC1Fa0/2454PC2Fa0/2454PC3Fa0/2454任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置【知识支撑】

1、标记攻击标记攻击属于恶意攻击，利用它，一个VLAN上的用户可以非法访问另一个VLAN上的用户。例如，如果将交换机端口配置成DTPauto模式，用于接收伪造DTP分组，那么它将成为中继端口，并有可能接收通往任何VLAN的流量。由此，恶意用户可以通过受控制的端口与其它VLAN通信。有时即便只是接收普通分组，交换机端口也可能违背自己的初衷，像全能中继端口那样操作。例如，从本地以外的其它VLAN接收分组，这种现象通常称为“VLAN渗漏”。任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置2、确保管理VLAN的安全

（1）将用户不使用的vlan作为管理Vlan

（2）管理交换机的设备不可以与其他用户通信

（3）交换机使用SSH协议作为远程访问协议

（4）只有管理交换机的设备可以远程登录到各交换机上进行远程管理任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置

【任务实施】1、打开上次任务的文件，在此基础上绘制网络拓扑图2、根据VLAN分配表创建VLAN，同时将端口划入相应的VLAN中，主要配置命令如下：

SW2(config)#intf0/3SW2(config-if)#swmodeaccess//设置端口为接入模式SW2(config-if)#swaccessvlan30//将端口划入到vlan30中SW1(config)#vlan30SW2(config)#vlan30//创建vlan任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置3、根据VLAN及IP地址分配表配置各设备的ip地址等参数。

4、AllowedVlan的配置，主要配置命令如下：SW1(config)#intf0/24SW1(config-if)#swtrunkallowedvlanadd30//设置中继链路上添加可通过vlan30的流量SW2(config)#intf0/24SW2(config-if)#swtrunkallowedvlanadd30SW1(config)#intvlan30SW1(config-if)#ipadd54

SW2(config)#intvlan30SW1(config-if)#ipadd53

任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置5、验证各PC间的连通性通过验证发现此时各PC间可以互通。

6、配置PC3不可以和其他PC连通，并进行验证。主要配置命令如下：SW1(config)#access-list1denyhostSW1(config)#access-list1permitany//设置访问控制列表，阻止PC3的流量SW1(config)#intvlan10SW1(config-if)#ipaccess-group1out//将访问控制列表应用到vlan10接口的出方向上SW1(config)#intvlan20SW1(config-if)#ipaccess-group1out//将访问控制列表应用到vlan20接口的出方向上任务3.2VLAN的安全配置

子任务2管理VLAN的安全配置7、开启SW1和SW2的远程访问SW1(config)#ipdomain-nameSW1(config)#cryptokeygeneratersaSW1(config)#usernameuser01passwordP@ssw0rd1SW1(config)#linevty015SW1(c