我的VLAN 1有安全风险吗?
首先,我对VLAN比较陌生。我有一个ZyXEL GS-1524交换机和两个网络,我想保持独立,但他们需要使用相同的路由器。路由器位于端口22,端口17和18属于第一个网络,所有其他端口属于第二个网络。
问题是,我的交换机要求所有端口都在VLAN 1上,似乎只为第一个网络创建VLAN 2是不够的,因为相同的端口属于VLAN 1,任何连接到VLAN 1的端口都可以到达。
因此,我创建了两个新的VLAN :第一个网络的VLAN 2和第二个网络的VLAN 3。我还更改了PVID,使17或18上未标记的内容被标记为VLAN 2,其余的VLAN 3被标记。这样,未标记的内容将被迫保留在通过PVID分配的VLAN中。
现在,如果连接的设备标记其数据包会发生什么?标记的数据包不会被重定位。如果一个应该在VLAN 2上的设备将其数据包标记为VLAN 3,我想没有什么问题,因为它的端口不在VLAN 3中。然而,所有的端口都在VLAN 1中--交换机没有给我任何选择。这是否意味着只要任何一方或双方(不确定)将它们的数据包标记为VLAN 1,所有设备都可以到达对方?那就违反了安全规定!
回答 2
Server Fault用户
发布于 2012-05-19 11:41:38
根据手册的8.2节,如果将端口设置为静态VLAN,则在该端口上接收的数据包将被发送到配置的VLAN,不管它们是否被标记。
Server Fault用户
发布于 2021-07-22 15:55:08
我最近刚买了一个二手的GS-1548,它运行着与GS-1524相同的固件,并展示了同样的问题。
简而言之,基于web的管理UI不允许从VLAN 1(固定管理VLAN)中删除端口。所有端口都是VLAN 1的一部分,无论是在标记模式还是无标记模式下。您可以自由地从其他VLAN中移除端口,但是在VLAN 1中“非成员”模式是不可切换的。
Google的快速搜索显示,这个限制只在浏览器中运行的JavaScript代码中实现客户端。一个名为berry120的博客用户使用内置在浏览器中的web工具发布了关于如何手动绕过此检查的说明。。
我更进一步,编写了一个用户脚本,该脚本透明地绕过检查,并允许您以与其他VLAN完全相同的方式管理VLAN 1。你可以找到它,这里。
(同样的问题也适用于ZyXEL交换机1500系列的其他型号: ES-1528和ES-1552。)
https://serverfault.com/questions/390629
复制相似问题
腾讯云开发者
