最近有遇到問私有vlan,查了點資料整理:打個比方5000個主機連在運營商交換機上,運營商把這些主機放在同乙個vlan裡,有乙個非常大的安全隱患:其中任意一台主機冒充閘道器,其它主機出網流量就被假冒閘道器劫持了。
運營商把每個主機放在乙個獨一無二的vlan裡,可以杜絕arp欺騙,但是卻沒有那麼多vlan,畢竟vlan最大值也不過4096其實,使用者主機只要能arp廣播發現閘道器的mac位址,進而和閘道器通訊,就可以與整個internet通訊,對嗎?因為閘道器是連在internet上的
那怎樣的解決方案,可以讓主機只能arp廣播發現閘道器的mac位址,從而杜絕arp欺騙攻擊?同時又最大程度減少vlan的使用數量?這個解決方案的名字叫"私有vlan"
私有vlan(private vlan)
主機們被分配在同乙個secondary vlan(101)裡,可是它們卻不在乙個廣播域裡,所以它們無法通過arp廣播發現彼此的mac位址。arp欺騙攻擊很顯然無法一展身手。
閘道器被分配在primary vlan(100)裡。神奇的一幕發生了,位於vlan 100裡的閘道器卻與每-
個位於vlan 101的主機在乙個廣播域。既然在乙個廣播域,主機們就可以arp廣播發現閘道器的mac位址,進而可以與internet主機通訊。
為什麼同屬於vlan 101的主機,卻不在乙個廣播域?
而閘道器和主機不在乙個vlan裡,卻能工作在乙個廣播域?3002089150
其實,這些奇巧淫技沒有什麼稀奇,不過是技術上一點小技巧。交換機的內部交換矩陣,按照配置的指令,將primary vlan(100)與每乙個主機vlan(101)橋接(bridging)在一起,但不是完全橋接,因為主機之間卻無法橋接。
VLAN是什麼 什麼是VLAN
vlan,是英文virtual local area network的縮寫,中文名為 虛擬區域網 vlan是一種將區域網 lan 裝置從邏輯上劃分 注意,不是從物理上劃分 成一www.cppcns.com個個網段 或者說是更小的區域網lan 從而實現虛擬工作組 單元 的資料交換技www.cppcns...
Vlan知識之一 為什麼需要VLAN
為什麼需要vlan 什麼是vlan?vlan virtual lan 翻譯成中文是 虛擬區域網 lan可以是由少數幾台家用計算機構成的網路,也可以是數以百計的計算機構成的企業網路。vlan 所指的lan 特指使用路由器分割的網路 也就是廣播域。在此讓我們先複習一下廣播域的概念。廣播域,指的是廣播幀 ...
VPC是什麼意思,什麼是私有網路(VPC)能做什麼
1 什麼是私有網路 vpc vpc全稱 virtual private cloud 是公有雲上私有網路,通俗講就就就是使用者自可定義的網路,您可以在這個私有網路內部署雲主機 負載均衡 資料庫 nosql快儲存等雲服務資源,簡單的說就是你可以在這個上面繼續為別人提供雲服務。你可自由劃分網段 制定路由策...