Является ли моя VLAN 1 угрозой безопасности?

Question

Является ли моя VLAN 1 угрозой безопасности?

Прежде всего, я относительно новичок в VLAN. У меня есть коммутатор ZyXEL GS-1524 и две сети, которые я хочу разделить, но они должны использовать один и тот же маршрутизатор. Маршрутизатор находится на порте 22, порты 17 и 18 принадлежат первой сети, а все остальные - второй.

Проблема заключается в том, что мой коммутатор требует, чтобы все порты были в VLAN 1. Казалось, что недостаточно создать только VLAN 2 для первой сети, потому что те же порты принадлежат VLAN 1, и все, что связано с портом, принадлежащим VLAN 1, будет быть в состоянии достичь этого.

Поэтому я создал две новые VLAN: VLAN 2 для первой сети и VLAN 3 для второй. Я также изменил PVID так, чтобы то, что входит без тегов 17 или 18, было помечено как VLAN 2, а остальные VLAN 3. Таким образом, то, что входит без тегов, вынуждено оставаться в VLAN, назначенной через PVID.

Сети VLAN порты

Что произойдет, если подключенное устройство пометит свои пакеты? Помеченные пакеты не перезаписываются. Если устройство, которое должно быть в VLAN 2, помечает свои пакеты как VLAN 3, я полагаю, что ничего не пошло бы не так, поскольку его порт не находится в VLAN 3. Однако все порты находятся в VLAN 1 - коммутатор не дает мне никаких выбор. Означает ли это, что все устройства могут достигать друг друга, пока одна или обе стороны (не уверены) помечают свои пакеты как VLAN 1? Это было бы нарушением безопасности!

1

switch vlan zyxel

Источник

Thijs van Dien 19 май '12 в 11:17

2 ответа

Другие вопросы по тегам switch vlan zyxel

David Schwartz 19 май '12 в 15:41 2012-05-19 15:41 · Answer 1 · 2012-05-19 15:41

Согласно разделу 8.2 руководства, если для порта задана статическая VLAN, пакеты, полученные на этот порт, будут отправляться в настроенную VLAN независимо от того, помечены они или нет.

2

Источник

David Schwartz 19 май '12 в 15:41

Jukka Aho 22 июл '21 в 15:55 2021-07-22 15:55 · Answer 2 · 2021-07-22 15:55

Совсем недавно я купил подержанный GS-1548, который работает на той же прошивке, что и GS-1524, и имеет ту же проблему.

Короче говоря, пользовательский веб-интерфейс управления не позволяет удалять порты из VLAN 1 (фиксированной VLAN управления). Все порты всегда являются частью VLAN 1, как в тегированном, так и в нетегированном режиме. Вы можете свободно удалять порты из других VLAN, но режим «не член» не может быть переключен в VLAN 1.

Быстрый поиск в Google показал, что это ограничение реализовано только на стороне клиента — в коде JavaScript, который запускается в вашем браузере. Пользователь Blogger под ником berry120 опубликовал инструкции о том, как обойти эту проверку вручную с помощью инструментов веб-разработчика, встроенных в ваш браузер.

Я пошел еще дальше и написал пользовательский скрипт, который прозрачно обходит проверку и позволяет управлять VLAN 1 точно так же, как и другими VLAN. Вы можете найти это здесь.

(Та же проблема (и ее исправление) также относится и к другим моделям ZyXEL Switch 1500 Series: ES-1528 и ES-1552.)