Translated Vlan

ساخت وبلاگ

آخرین مطالب

امکانات وب

Translated Vlan

786

تعاریف VLAN

 

 

بعدازخلاص شدن این فصل شماقادربه این بخش های ذیل خواهیدبودید:

  • توضیح خواهددادید هدف vlan رادرسیویچ.
  • تجزیه کردن وپیکربندی vlan راخواهیددانستید.
  • پیکربندی vlan رادرپورت های سیویچ خواهیددانستید.
  • پیکربندی trunk  درسیویچ vlan.
  • پیکربندی داینومیک درtrunking  درپرتکول DTP.
  • حل مشکیل درVLAN وtrunk درهنگامی پیکربندی سیویچ
  • تنظیم کردن امنیت کاهش کردن دادن حملات درvlan .
  • شرح دادن بهترین راه برای امنیت درvlan.

 

 

 

 

 

 

 

VLAN Definitions

تعاریف VLAN

  • Within a switched internetwork, VLANs provide segmentation and organizational flexibility.
  • VLAN ها در یک شبکه اینترنت متصل، انعطاف پذیری بخش بندی و سازمانی را ارائه می دهند.
  • VLANs provide a way to group devices within a LAN.
  • Vlan ها راهی برای گروه بندی دستگاه ها در یک شبکه فراهم می کنند.
  • A group of devices within a VLAN communicate as if they were attached to the same wire.

یک گروه از دستگاه های VLAN ارتباط برقرار می کنند به شرط اینکه آنها به یک سیم متصل شده باشند.

  • VLANs are based on logical connections, instead of physical connections.

VLAN ها براساس اتصالات منطقی، به جای اتصالات فیزیکی است.

  • VLANs allow an administrator to segment networks based on factors such as function, project team, or application, without regard for the physical location of the user or device

VLAN ها اجازه می دهد که مدیر شبکه را بر اساس عوامل مانند عملکرد، تیم پروژه یا برنامه تقسیم کند بدون توجه به مکان فیزیکی کاربر یا دستگاه

 

 

 

Benefits of VLANs

  • مزایای VLAN ها
    • The primary benefits of using VLANs are as follows:

مزایای اولیه استفاده از VLAN ها به شرح زیر است:

  • Ø Security - Groups that have sensitive data are separated from the rest of the network, decreasing the chances of confidential information breaches. As shown in the figure, faculty computers are on VLAN 10 and completely separated from student and guest data traffic.
  • امنیت - گروه هایی که اطلاعات حساس دارند از بقیه شبکه جدا می شوند و احتمال شكستن اطلاعات محرمانه را كاهش می دهند. همانطور که در شکل نشان داده شده است، کامپیوترهای هیات علمی در VLAN 10 هستند و به طور کامل از ترافیک داده دانشجویی و مهمان جدا می شوند.
    • Ø Cost reduction - Cost savings result from reduced need for expensive network upgrades and more efficient use of existing bandwidth and uplinks.
    • کاهش هزینه - صرفه جویی در هزینه به دلیل کاهش نیاز به ارتقاء شبکه های گران قیمت و استفاده موثر از پهنای باند موجود و uplinks.) خط‌ ارسال‌ از ايستگاه‌ زمينى‌ به‌ ماهواره‌)
      • Ø Better performance - Dividing flat Layer 2 networks into multiple logical workgroups (broadcast domains) reduces unnecessary traffic on the network and boosts performance.
      • عملکرد بهتر - تقسیم شبکه های لایه 2 صحیح به گروه های کاری منطقی (دامنه های پخش)، ترافیک غیر ضروری را در شبکه کاهش می دهد و عملکرد را افزایش می دهد.
        • Ø Shrink broadcast domains - Dividing a network into VLANs reduces the number of devices in the broadcast domain. As shown in the figure, there are six computers on this network but there are three broadcast domains: Faculty, Student, and Guest.
        • دامنه های پخش کوچک - تقسیم شبکه به VLAN، تعداد دستگاه های موجود در دامنه پخش را کاهش می دهد. همانطور که در شکل نشان داده شده است، شش رایانه در این شبکه وجود دارد، اما سه حوزه پخش وجود دارد: دانشکده، دانشجو و مهمان.
          • Ø Improved IT staff efficiency - VLANs make it easier to manage the network because users with similar network requirements share the same VLAN.
          • بهبود کارایی کارکنان فناوری اطلاعات - VLAN ها شبکه مدیریت را ساده تر می کنند، زیرا کاربران با نیازهای شبکهای مشابه یک VLAN مشابه دارند.
            • Ø Simpler project and application management - VLANs aggregate users and network devices to support business or geographic requirements.
            • مدیریت پرونده و پروژه ساده تر - VLAN ها کاربران و دستگاه های شبکه را برای پشتیبانی از شرایط تجاری یا جغرافیایی جمع می کنند.

 

 

 

Types of VLANs

  • انواع VLAN ها
    • Data VLAN: A data VLAN is a VLAN that is configured to carry user-generated traffic.
    • a: داده VLAN یک  VLAN است که برای حمل ترافیک تولید شده پیکربندی شده است.
      • Default VLAN: All switch ports become a part of the default VLAN after the initial boot up of a switch loading the default configuration.
      • پیش فرض VLAN: تمام پورت های سوئیچ بخشی از VLAN پیش فرض می شوند پس از بارگزاری اولیه سوئیچ بارگذاری پیکربندی پیش فرض.
        • Native VLAN: A native VLAN is assigned to an 802.1Q trunk port.
        • VLAN بومی: یک VLAN مادری به پورت 802.1Q تنه اختصاص داده شده است.
          • Trunk ports are the links between switches that support the transmission of traffic associated with more than one VLAN.
          • پورت های ترانکونی ارتباط بین سوئیچ هایی هستند که از انتقال ترافیک مرتبط با بیش از یک VLAN پشتیبانی می کنند.
            • An 802.1Q trunk port supports traffic coming from many VLANs (tagged traffic), as well as traffic that does not come from a VLAN (untagged traffic).
            • یک پورت 802.1Q ترانک پشتیبانی از ترافیک از بسیاری از VLAN ها (ترافیک برچسب گذاری شده)، و همچنین ترافیک که از یک VLAN (ترافیک غیرضمیه) نیست.
              • Management VLAN
              • مدیریتvlan
                • A management VLAN is any VLAN configured to access the management capabilities of a switch.
                • VLAN مدیریت هر VLAN پیکربندی شده برای دسترسی به قابلیت های مدیریت سوئیچ است.
                  • To create the management VLAN, the switch virtual interface (SVI) of that VLAN is assigned an IP address and subnet mask, allowing the switch to be managed via HTTP, Telnet, SSH, or SNMP. Because the out-of-the-box configuration of a Cisco switch has VLAN 1 as the default VLAN, VLAN 1 would be a bad choice for the management VLAN.
                  • برای ایجاد VLAN مدیریت، سوئیچ رابط مجازی (SVI) آن VLAN یک آدرس IP و ماسک زیر شبکه اختصاص داده می شود، که اجازه می دهد این سوئیچ از طریق HTTP، Telnet، SSH یا SNMP مدیریت شود. از آنجا که پیکربندی خارج از جعبه یک سوئیچ سیسکو دارای VLAN 1 به عنوان VLAN به طور پیش فرض، VLAN 1 انتخاب بد برای مدیریت VLAN است.

 

 

 

Voice VLANs

  • VLAN های صوتی

 

  • A separate VLAN is needed to support Voice over IP (VoIP). VoIP traffic requires:
  • جداگانه برای پشتیبانی از Voice over IP (VoIP) مورد نیاز است. ترافیک VoIP نیاز دارد:
  • Assured bandwidth to ensure voice quality
  • پهنای باند اطمینان برای اطمینان از کیفیت صدا
    توانایی در اطراف ناحیه های متداول در شبکه مسیریابی می شود
    تاخیر کمتر از 150 مگابایت بر روی شبکه
  •  
  • Transmission priority over other types of network traffic
  • اولویت انتقال بیش از انواع دیگر ترافیک شبکه
  • Ability to be routed around congested areas on the network
  • توانایی در اطراف ناحیه های متداول در شبکه مسیریابی می شود
  • Delay of less than 150 ms across the network
  • تاخیر کمتر از 150 مگابایت بر روی شبکه

 

VLAN Trunks

  • A VLAN trunk, or trunk, is a point-to-point link between two network devices that carries more than one VLAN.
  • نه یا تنه VLAN یک اتصال نقطه به نقطه بین دو دستگاه شبکه است که بیش از یک VLAN حمل می کند.
    • A VLAN trunk extends VLANs across an entire network.
    • تنه VLAN   VLAN ها را در یک شبکه کامل گسترش می دهد.
      • Cisco supports IEEE 802.1Q for coordinating trunks on Fast Ethernet, Gigabit Ethernet, and 10-Gigabit Ethernet interfaces.
      • سیسکو از IEEE 802.1Q برای هماهنگی تنه در اترنت سریع، گیگابیت اترنت و اینترفیس 10 گیگابیت اترنت پشتیبانی می کند.

 

 

Controlling Broadcast Domains with VLANs

  • برچسب زدن اترنت فریم برای شناسایی VLAN

 

 

Tagging Ethernet Frames for VLAN Identification

  • برچسب زدن اترنت فریم برای شناسایی VLAN

 

  • VLAN Tag Field Details
  • اطلاعات VLAN برچسب
    • The VLAN tag field consists of a Type field, a tag control information field, and the FCS field:
    • فیلد برچسب VLAN شامل یک فیلد Type، فیلد اطلاعات کنترل تگ و فیلد FCS است.
      • Ø Type - A 2-byte value called the tag protocol ID (TPID) value. For Ethernet, it is set to hexadecimal 0x8100.
      • Type - یک مقدار 2 بایت به نام شناسه پروتکل برچسب (TPID) نامیده می شود. برای اترنت، آن را به 0x8100 هگزادسیمال تنظیم شده است.
        • Ø User priority - A 3-bit value that supports level or service implementation.
        • اولویت کاربر - مقدار 3 بیتی است که از اجرای سطح یا سرویس پشتیبانی می کند.
          • Ø Canonical Format Identifier (CFI) - A 1-bit identifier that enables Token Ring frames to be carried across Ethernet links.
          • شناسه فرمت کاننیکال (CFI) - یک شناسه یک بیتی است که قاب فریم Token Ring را می توان در سراسر لینک های اترنت حمل کرد.
            • Ø VLAN ID (VID) - A 12-bit VLAN identification number that supports up to 4096 VLAN IDs.
            • VLAN ID (VID) - یک شناسه VLAN 12 بیتی است که تا 4096 شناسه VLAN پشتیبانی می کند.

 

Native VLANs and 802.1Q Tagging

  • VLAN بومی و 802.1Q برچسب زدن
    • Tagged Frames on the Native VLAN:
    • برچسب های Frames در VLANبومی

 

  • Some devices that support trunking, add a VLAN tag to native VLAN traffic.

 

  • برخی از دستگاه هایی که از trunking پشتیبانی می کنند، یک برچسب VLAN را به ترافیک بومی VLAN اضافه می کنند.
    • Control traffic sent on the native VLAN should not be tagged.
    • ترافیک ارسال شده به VLAN بومی نباید برچسب گذاری شود.
      • If an 802.1Q trunk port receives a tagged frame with the VLAN ID the same as the native VLAN, it drops the frame.
      • اگر یک پورت 802.1Q با یک شناسه VLAN همانند VLAN بومی دریافت می کند، فرم آن را از بین می برد.
        • Untagged Frames on the Native VLAN:
        • قابهای Untagged در VLAN بومی:
          • When a Cisco switch trunk port receives untagged frames (which are unusual in a well-designed network), it forwards those frames to the native VLAN.
          • هنگامی که یک پورت سوپربای سیسکو فریمهای غیرقطعی را دریافت می کند (که در یک شبکه به خوبی طراحی شده غیر معمول است)، این فریم ها را به VLAN بومی هدایت می کند.

 

 

 

Voice VLAN Tagging

 

 

VLAN Ranges on Catalyst Switches

  • VLAN محدوده در کاتالیست سوئیچ
    • Normal Range VLANs

محدوده نرمال vlan

  • Used in small- and medium-sized business and enterprise networks.
  • در شبکه های تجاری و تجاری شرکت های کوچک و متوسط مورد استفاده قرار می گیرد.
    • Identified by a VLAN ID between 1 and 1005.
    • شناسایی شده توسط شناسه VLAN بین 1 و 1005.
      • IDs 1002 through 1005 are reserved for Token Ring and FDDI VLANs.
      • شناسه های 1002 تا 1005 برای Token Ring و VLAN های FDDI محفوظ می باشند.
        • IDs 1 and 1002 to 1005 are automatically created and cannot be removed.
        • شناسه 1 و 1002 تا 1005 به صورت خودکار ایجاد می شوند و نمی توانند برداشته شوند.
          • Configurations are stored within a VLAN database file, called vlan.dat. The vlan.dat file is located in the flash memory of the switch.
          • تنظیمات در یک فایل پایگاه داده VLAN، به نام vlan.dat ذخیره می شود. فایل vlan.dat در حافظه فلش سوئیچ واقع شده است.
            • The VLAN Trunking Protocol (VTP), which helps manage VLAN configurations between switches, can only learn and store normal range VLANs.
            • Trunking protocol(VTP)، که به مدیریت تنظیمات VLAN بین سوئیچ ها کمک می کند، تنها می تواند VLAN محدوده طبیعی را یاد بگیرد و ذخیره کند.
              • Extended Range VLANs
              • محدوده VLAN های محدوده
                • Enable service providers to extend their infrastructure to a greater number of customers. Some global enterprises could be large enough to need extended range VLAN IDs.
                • ارائه دهندگان خدمات را قادر به گسترش زیرساخت خود را به تعداد بیشتری از مشتریان. بعضی از شرکت های جهانی می توانند به اندازه ای بزرگ باشند که نیاز به شناسایی VLAN های گسترده دارند.
                  • Are identified by a VLAN ID between 1006 and 4094.
                  • توسط شناسه VLAN بین 1006 و 4094 مشخص می شود.
                    • Configurations are not written to the vlan.dat file.
                    • تنظیمات به فایل vlan.dat نوشته نشده است.
                      • Support fewer VLAN features than normal range VLANs.
                      • پشتیبانی VLAN کمتر از VLAN محدوده طبیعی.
                        • Are, by default, saved in the running configuration file.
                        • آیا، به طور پیش فرض، در فایل پیکربندی در حال اجرا ذخیره می شود.
                          • VTP does not learn extended range VLANs.

VTP VLAN محدوده وسیع را یاد نمی گیرد.

 

 

Creating a VLAN

ایجادکردن VLAN

 

 

 

 

Assigning Ports to VLANs

 

  • اختصاص دادن پورت ها به VLAN ها

 

 

 

Changing VLAN Port Membership

تغییر عضویت بندر VLAN

 

 

 

 

Deleting VLAN

  • حذف VLAN

برای حذف VLAN دستورذیل رااجرامیکنم

 

 

Verifying VLAN Information

  • تأیید اطلاعات VLAN

 

 

Configuring IEEE 802.1Q Trunk Links

  • پیکربندی IEEE 802.1Q Trunk Links

 

 

 

 

 

Resetting the Trunk to Default State

  • تنظیم مجدد Trunk به حالت پیش فرض
  • برایکه به حالت اولی شان بیاوریم ازدستوری ذیل استفاده میکنم

 

 

 

Verifying Trunk Configuration

  • تأیید پیکربندی تنه

 

 

 

Introduction to DTP

معرفی به DTP

  • Trunk negotiation is managed by the Dynamic Trunking Protocol (DTP), which operates on a point-to-point basis only, between network devices.
  • ترنک مزاکره میکندتوسط داینومیک ترنک به خاطرمدیریت کردن(DTP)که به کارمی اندازد نقطه به نقطه بین دیواس ها.
    • DTP is a Cisco proprietary protocol that is automatically enabled on Catalyst 2960 and Catalyst 3560 Series switches.
    • DTP یک پرتکول سیسکواست که به صورت اتوماتیک کتلیست 2960 وکتلیست 3560 رابه کارمی اندازددرسیویچ.
      • Switches from other vendors do not support DTP.

سیویچ یک ازسخت افزارهای است که DTP راپشتبانی نه میکند.

  • DTP manages trunk negotiation only if the port on the neighbor switch is configured in a trunk mode that supports DTP.
  • DTP مدیریت میکندمزاکره ترنک رااگرپورت روشن بودسیویچ پهلوی شان پیکربندی میشودکه DTP راپشتبانی میکند.

 

 

 

Introduction to DTP

 

 

 

Negotiate Interface Mode

  • گفتگوی حالت رابط

 

 

 

 

IP Addressing Issues with VLAN

  • آدرس آی پی با VLAN
    • Each VLAN must correspond to a unique IP subnet.
    • هر VLAN باید با یک زیر شبکه IP منحصر به فرد باشد.
      • If two devices in the same VLAN have different subnet addresses, they cannot communicate.

اگر دو دستگاه در یک VLAN یک آدرس متناوب متفاوت داشته باشند، نمی توانند ارتباط برقرار کنند.

 

 

Missing VLANs

  • گم شدن VLAN ها
    • If there is still no connection between devices in a VLAN, but IP addressing issues have been ruled out, refer to the flowchart  troubleshoot:
    • اگر هنوز بین دستگاه های VLAN ارتباطی وجود نداشته است، اما مسائل مربوط به آدرس آی پی رد شده اند، به رفع مشکل فلوچارت مراجعه کنید:

 

 

 

Introduction to Troubleshooting Trunks

  • مقدمه ای بر عیب یابی خطوط
    • Sometimes a switch port may behave like a trunk port even if it is not configured as a trunk port.
    • گاهی اوقات پورت سوئیچ ممکن است مانند یک پورت تنه رفتار کند، حتی اگر آن را به عنوان یک پورت تنه پیکربندی نکنید.
      • For example, an access port might accept frames from VLANs different from the VLAN to which it is assigned.
      • به عنوان مثال، یک پورت دسترسی می تواند فریم ها را از VLAN های متفاوت از VLAN که به آن اختصاص داده شده است، بپذیرد.
        • This is called VLAN leaking.
        • این راخرابی vlan گویند.

 

 

Common Problems with Trunks

  • مشکلات مشترک با تنه

 

 

Trunk Mode Mismatches        

  • عدم تناسب حالت تنه

 

  • When a port on a trunk link is configured with a trunk mode that is incompatible with the neighboring trunk port, a trunk link fails to form between the two switches.

هنگامی که یک پورت در لینک تنه با حالت تنه پیکربندی شده است که با پورت تنه همسایه ناسازگار است، یک لینک trunk قادر به ایجاد بین دو سوئیچ نیست.

 

 

Incorrect VLAN List

  • فهرست نادرست VLAN
    • For traffic from a VLAN to be transmitted across a trunk, it must be allowed on the trunk.
    • برای ترافیک از یک VLAN که باید در یک تنه منتقل شود باید بر روی تنه مجاز باشد.
      • To do so, use the switchport trunk allowed vlan vlan-id command.

برای انجام این کار، از ترمینال switchport اجازه vlan vlan-id اجازه داده شود.

 

 

Switch Spoofing Attack

  • سوء استفاده کردن حمله
    • VLAN hopping enables traffic from one VLAN to be seen by another VLAN.

VLAN hoppingباعث می شود ترافیک از یک VLAN به یکی دیگر از VLAN ها برسد

 

  • Switch spoofing is a type of VLAN hopping attack that works by taking advantage of an incorrectly configured trunk port.
  • .سوء استفاده از spoofing نوعی از حمله hopping VLAN است که با استفاده از یک پورت تنه پیکربندی نادرست پیکربندی می کند.
    • By default, trunk ports have access to all VLANs and pass traffic for multiple VLANs across the same physical link, generally between switches.
    • به طور پیش فرض، پورت های ترانک دارای دسترسی به تمامی VLAN ها و انتقال ترافیک برای چند VLAN در یک لینک فیزیکی، به طور کلی بین سوئیچ ها هستند.
      • In a basic switch spoofing attack, the attacker takes advantage of the fact that the default configuration of the switch port is dynamic auto.
      • در یک حمله اساسی سوئیفت، مهاجم مزایای این واقعیت را دارد که پیکربندی پیش فرض سوئیچ سوئیچ خودکار پویا است
        • The network attacker configures a system to spoof itself as a switch.
        • مهاجم شبکه، یک سیستم را تنظیم می کند که خودش را به عنوان یک سوئیچ دستکاری کند.
          • This spoofing requires that the network attacker be capable of emulating 802.1Q and DTP messages.
          • این دروغ گفتن نیاز به مهاجم شبکه دارد که بتواند پیامهای 802.1Q و DTP را تقلید کند.
            • By tricking a switch into thinking that another switch is attempting to form a trunk, an attacker can gain access to all the VLANs allowed on the trunk port.
            • با فریب دادن سوئیچ به فکر کردن که سوئیچ دیگری در حال تلاش برای تشکیل یک تنه است، مهاجم می تواند به تمام VLAN های مجاز در پورت تنه دسترسی پیدا کند.
              • The best way to prevent a basic switch spoofing attack is to turn off trunking on all ports, except the ones that specifically require trunking.
              • بهترین راه برای جلوگیری از حمله اساسی سوئیچ سوئیچ کردن این است که ترانکینگ را در تمام پورت ها خاموش کنید، به جز مواردی که به طور خاص نیاز به ترانکینگ دارند.
                • On the required trunking ports, disable DTP, and manually enable trunking.

در پورت های ترانکینگ مورد نیاز، DTP را غیرفعال کنید و به صورت دستی ترکان را فعال کنید.

 

Switch Spoofing Attack

 

 

 

 

Double-Tagging Attack

  • حمله دوگانه

 

  • Another type of VLAN attack is a double-tagging (or double-encapsulated) VLAN hopping attack.
  • نوع دیگر
  • یک از حمله VLAN یک حمله متقاطع دو لبه (یا دوباربگیر) VLAN است.
    • This type of attack takes advantage of the way that hardware on most switches operates.
    • این نوع حمله از مزیتی است که سخت افزار در بسیاری از سوئیچ ها استفاده می کند.
      • Most switches perform only one level of 802.1Q de-encapsulation, which allows an attacker to embed a hidden 802.1Q tag inside the frame.
      • اکثر سوئیچ ها فقط یک سطح از انحصار سازی 802.1Q را انجام می دهند، که به مهاجم امکان می دهد که برچسب تگ 802.1Q را در داخل قاب قرار دهد.
        • This tag allows the frame to be forwarded to a VLAN that the original 802.1Q tag did not specify.
        • این تگ اجازه می دهد قاب به یک VLAN ارسال شود که برچسب اصلی 802.1Q مشخص نکرده باشد.
          • An important characteristic of the double-encapsulated VLAN hopping attack is that it works even if trunk ports are disabled, because a host typically sends a frame on a segment that is not a trunk link
          • یکی از ویژگی های مهم دوپینگی VLAN hopping attack این است که حتی اگر پورت های ترانک غیرفعال می شوند کار می کنند زیرا میزبان به طور معمول یک فریم را در یک بخش که یک لینک تنه

 

 

 

 

Double-Tagging Attack

  • حمله دوگانه
    • A double-tagging VLAN hopping attack follows three steps:
    • یک حمله متقاطع VLAN دوبرابر به سه مرحله انجام می شود
      • 1. The attacker sends a double-tagged 802.1Q frame to the switch.
      • 1. مهاجم یک فریم 802.1Q با برچسب دوگانه را به سوئیچ ارسال می کند.
        • The outer header has the VLAN tag of the attacker, which is the same as the native VLAN of the trunk port. The assumption is that the switch processes the frame received from the attacker as if it were on a trunk port or a port with a voice VLAN (a switch should not receive a tagged Ethernet frame on an access port). For the purposes of this example, assume that the native VLAN is VLAN 10. The inner tag is the victim VLAN; in this case, VLAN 20.
        • هدر بیرونی دارای برچسب VLAN مهاجم است که همان VLAN بومی از پورت تنه است. فرض این است که سوئیچ فریم های دریافت شده از حمله را پردازش می کند همانطور که در پورت تنه و یا یک پورت با یک VLAN صوتی (یک سوئیچ نباید یک قاب اترنت برچسب دار در یک پورت دسترسی دریافت کند). برای اهداف این مثال، فرض کنید که VLAN مادری VLAN 10 است. تگ داخلی، VLAN قربانی است؛ در این مورد، VLAN 20.
          • 2. The frame arrives on the switch, which looks at the first 4-byte 802.1Q tag. The switch sees that the frame is destined for VLAN 10, which is the native VLAN. The switch forwards the packet out on all VLAN 10 ports after stripping the VLAN 10 tag. On the trunk port, the VLAN 10 tag is stripped, and the packet is not retagged because it is part of the native VLAN. At this point, the VLAN 20 tag is still intact and has not been inspected by the first switch.

2. قاب به سوئیچ وارد می شود، که به اولین تگ 802.1Q با 4 بایت نگاه می کند. این سوئیچ می بیند که قاب برای VLAN 10، که VLAN بومی است، طراحی شده است. بعد از انحلال VLAN 10، سوئیچ بسته را بر روی تمام پورت VLAN 10 هدایت می کند. در بندر تنه، تگ VLAN 10 تکه تکه شده است و بسته بسته شده است زیرا این بخشی از VLAN مادری است. در این مرحله، برچسب VLAN 20 هنوز دست نخورده است و با اولین سوئیچ بازرسی نشده است.

  • 3. The second switch looks only at the inner 802.1Q tag that the attacker sent and sees that the frame is destined for VLAN 20, the target VLAN. The second switch sends the frame on to the victim port or floods it, depending on whether there is an existing MAC address table entry for the victim host.

3. سوئیچ دوم فقط در تگ 802.1Q داخلی است که مهاجم ارسال می کند و می بیند که قاب برای VLAN 20، هدف VLAN مقصد است. سوئیچ دوم فریم را به پورت قربانی ارسال می کند یا آن را سیل می کند، بسته به اینکه آیا یک ورودی جدول MAC موجود برای میزبان قربانی وجود دارد.

  • This type of attack is unidirectional and works only when the attacker is connected to a port residing in the same VLAN as the native VLAN of the trunk port. Thwarting this type of attack is not as easy as stopping basic VLAN hopping attacks.

این نوع حمله یک طرفه است و تنها زمانی کار می کند که مهاجم به یک پورت ساکن در همان VLAN به عنوان VLAN بومی پورت تنه متصل شود. تهاجم به این نوع حمله آسان نیست به عنوان متوقف کردن حملات hopping پایه VLAN.

  • The best approach to mitigating double-tagging attacks is to ensure that the native VLAN of the trunk ports is different from the VLAN of any user ports. In fact, it is considered a security best practice to use a fixed VLAN that is distinct from all user VLANs in the switched network as the native VLAN for all 802.1Q trunks.

 

بهترین روش برای کاهش حملات دوگانه برچسب زدن این است که اطمینان حاصل شود که VLAN بومی پورت های تنه متفاوت از VLAN هر پورت کاربر است. در حقیقت، این یک بهترین روش امنیتی برای استفاده از یک VLAN ثابت است که از همه VLAN های کاربر در شبکه متصل به عنوان VLAN بومی برای تمام تنه های 802.1Q متمایز است.

 

Double-Tagging Attack

 

 

PVLAN Edge

 

  • Some applications require that no traffic be forwarded at Layer 2 between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor.
  • بعضی از برنامه ها نیاز به ترافیک در Layer 2 بین پورت های سوئیچ همانطور که یک همسایه ترافیک تولید شده توسط یک همسایه دیگر را نمی بیند.
    • In such an environment, the use of the Private VLAN (PVLAN) Edge feature, also known as protected ports, ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.

در چنین محیطی، استفاده از ویژگی خصوصی VLAN (PVLAN) Edge که همچنین به عنوان پورت های محافظت شده شناخته می شود، تضمین می کند که تبادل یکپارچه سازی، پخش یا چندرسانه ای بین این پورت ها روی سوئیچ وجود ندارد.

  • The PVLAN Edge feature has the following characteristics:
  • ویژگی PVLAN Edge دارای ویژگی های زیر است:
    • Ø A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port, except for control traffic. Data traffic cannot be forwarded between protected ports at Layer 2.
    • یک پورت حفاظت شده، هر گونه ترافیک(unicast,multicast,or broadcast)را به هر پورت دیگر که همچنین یک پورت حفاظت شده است، به جز ترافیک کنترل، ارسال نمی کند. ترافیک داده بین پورت های محافظت شده در Layer 2 نمی تواند منتقل شود.
      • Ø Forwarding behavior between a protected port and a non protected port proceeds as usual.
      • رفتار حمل و نقل بین یک پورت محافظت شده و یک پورت محافظت نشده به طور معمول ادامه می یابد.
        • Ø Protected ports must be manually configured.
        • پورت های حفاظتی باید به صورت دستی پیکربندی شوند.
          • To configure the PVLAN Edge feature, enter the switchport protected command in interface configuration mode.
          • برای پیکربندی ویژگی PVLAN Edge، فرمان محافظت سوئیچپورت را در حالت پیکربندی رابط وارد کنید.
            • To disable protected port, use the no switchport protected interface configuration mode command.
            • برای غیرفعال کردن پورت حفاظت شده، از حالت تنظیم پیکربندی رابط کاربری محافظت نشده switchport استفاده کنید.
              • To verify the configuration of the PVLAN Edge feature, use the show interfaces interface-id switchport global configuration mode command.
              • برای تأیید پیکربندی ویژگی PVLAN Edge، از اینترفیس show-interface-id switchover command استفاده کنید.

 

 

+ نوشته شده در  پنجشنبه بیست و هفتم مهر ۱۳۹۶ساعت 11:8&nbsp توسط sayed Baqir Hashemi  | 

chapter two database translated...
ما را در سایت chapter two database translated دنبال می کنید

برچسب : نویسنده : sayedbaqirhashemi11 بازدید : 193 تاريخ : يکشنبه 21 آبان 1396 ساعت: 1:36

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه