交換機(jī)不是被設(shè)計(jì)用來作安全設(shè)備的，其功能仍是以提高網(wǎng)絡(luò)性能為主。如果要將交換機(jī)納入安全機(jī)制的一部分，前提是首先要對交換機(jī)進(jìn)行正確的配置，其次交換機(jī)的制造商要對交換機(jī)軟件的基礎(chǔ)標(biāo)準(zhǔn)有著全面理解并徹底實(shí)現(xiàn)了這些標(biāo)準(zhǔn)。如果對網(wǎng)絡(luò)安全有著嚴(yán)格的要求，還是不要使用共享的交換機(jī)，應(yīng)該使用專門的交換機(jī)來保證網(wǎng)絡(luò)安全。如果一定要在不可信的網(wǎng)絡(luò)和可信的用戶之間共享一個交換機(jī)，那么帶來的只能是安全上的災(zāi)難。

VLAN的確使得將網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行隔離成為可能，這些業(yè)務(wù)共享同一交換機(jī)甚至共享一組交換機(jī)。但是交換機(jī)的設(shè)計(jì)者們在把這種隔離功能加入到產(chǎn)品之中時(shí)，優(yōu)先考慮的并不是安全問題。VLAN的工作原理是限制和過濾廣播業(yè)務(wù)流量，不幸的是，VLAN是依靠軟件和配置機(jī)制而不是通過硬件來完成這一任務(wù)的。

最近幾年，一些防火墻已經(jīng)成為VLAN設(shè)備，這意味著可以制定基于包標(biāo)簽的規(guī)則來使一個數(shù)據(jù)包轉(zhuǎn)到特定的VLAN。然而，作為VLAN設(shè)備的防火墻也為網(wǎng)頁寄存站點(diǎn)增加了很多靈活的規(guī)則，這樣防火墻所依賴的這些標(biāo)簽在設(shè)計(jì)時(shí)就不是以安全為準(zhǔn)則了。交換機(jī)之外的設(shè)備也可以生成標(biāo)簽，這些標(biāo)簽可以被輕易地附加在數(shù)據(jù)包上用來欺騙防火墻。

VLAN的工作原理究竟是怎樣的？VLAN又有著什么樣的安全性上的優(yōu)點(diǎn)呢？如果決定使用VLAN作為安全體系的一部分，怎樣才能最大限度地避免VLAN的弱點(diǎn)呢？

分區(qū)功能

“交換機(jī)”一詞最早被用來描述這樣一種設(shè)備，這種設(shè)備將網(wǎng)絡(luò)業(yè)務(wù)在被稱之為“端口”的網(wǎng)絡(luò)接口間進(jìn)行交換。就在不久以前，局域網(wǎng)的交換機(jī)被稱作“橋接器”。現(xiàn)在，即使是與交換機(jī)相關(guān)的IEEE標(biāo)準(zhǔn)中也不可避免地用到“橋接器”這一術(shù)語。

橋接器用來連接同一局域網(wǎng)上不同的段，這里的局域網(wǎng)指的是不需要路由的本地網(wǎng)絡(luò)。橋接器軟件通過檢測收到數(shù)據(jù)包中所含的MAC地址來獲悉哪個端口聯(lián)接到哪個網(wǎng)絡(luò)設(shè)備。最初，橋接器將所有收到的數(shù)據(jù)包發(fā)送到每個端口，經(jīng)過一段時(shí)間以后，橋接器通過建立生成樹和表的方法獲悉如何將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口。這些生成樹和表將MAC地址映射到端口的工作，是通過一些選擇正確網(wǎng)絡(luò)接口和避免回路的算法來完成的。通過將數(shù)據(jù)包發(fā)送到正確的網(wǎng)絡(luò)接口，橋接器減少了網(wǎng)絡(luò)業(yè)務(wù)流量。可以將橋接器看作是連接兩條不同道路的高速公路，在高速公路上只通過兩條道路間必要的交通流量。

盡管橋接器從整體上減少了網(wǎng)絡(luò)業(yè)務(wù)流量，使得網(wǎng)絡(luò)可以更加高效地運(yùn)行。橋接器仍然需要對所有端口進(jìn)行廣播數(shù)據(jù)包的發(fā)送。在任何局域網(wǎng)中，廣播的含義是：一個消息廣播發(fā)送給局域網(wǎng)內(nèi)所有系統(tǒng)。ARP（地址解析協(xié)議）包就是廣播信息的一個例子。

隨著端口數(shù)目和附加管理軟件數(shù)目的增多，橋接器設(shè)備的功能變得越來越強(qiáng)。一種新的功能出現(xiàn)了：橋接器具有了分區(qū)功能，可被分成多個虛擬橋。當(dāng)通過這種方式進(jìn)行分區(qū)時(shí)，廣播信息將被限制在與虛擬橋和對應(yīng)的VLAN的那些端口上，而不是被發(fā)送到所有的端口。

將廣播限制在一個VLAN中并不能夠阻止一個VLAN中的系統(tǒng)訪問與之連接在同一橋接器而屬于不同VLAN的系統(tǒng)。但要記住，ARP廣播被用來獲得與特定IP對應(yīng)的MAC地址，而沒有MAC地址，即使在同一網(wǎng)絡(luò)中的機(jī)器也不能相互通信。

Cisco網(wǎng)站上描述了在兩種情況下，數(shù)據(jù)包可以在連接于同一交換機(jī)的VLAN中傳送。在第一種情況下，系統(tǒng)在同一VLAN中建立了TCP/IP連接，然后交換機(jī)被重新設(shè)置，使得一個交換機(jī)的端口屬于另一個VLAN。通信仍將繼續(xù)，因?yàn)橥ㄐ烹p方在自己的ARP緩沖區(qū)中都有對方的MAC地址，這樣橋接器知道目的MAC地址指向哪個端口。在第二種情況下，某人希望手動配制VLAN，為要訪問的系統(tǒng)建立靜態(tài)ARP項(xiàng)。這要求他知道目標(biāo)系統(tǒng)的MAC地址，也許需要在物理上直接訪問目標(biāo)系統(tǒng)。

這兩種情況中所描述的問題能夠通過使用交換機(jī)軟件來得到改善，這些軟件的功能是消除數(shù)據(jù)包在傳送時(shí)所需要的信息。在Cisco的高端交換機(jī)中，將每個VLAN所存在的生成樹進(jìn)行分離。其他的交換機(jī)要么具有類似的特點(diǎn)，要么能被設(shè)置成可以對各個VLAN里的成員的橋接信息進(jìn)行過濾。

鏈路聚合

多個交換機(jī)可以通過配制機(jī)制和在交換機(jī)間交換數(shù)據(jù)包的標(biāo)簽來共享同一VLAN。你可以設(shè)置一個交換機(jī)，使得其中一個端口成為鏈路，在鏈路上可以為任何VLAN傳送數(shù)據(jù)包。當(dāng)數(shù)據(jù)包在交換機(jī)之間傳遞時(shí)，每個數(shù)據(jù)包被加上基于802.1Q協(xié)議的標(biāo)簽，802.1Q協(xié)議是為在橋接器間傳送數(shù)據(jù)包而設(shè)立的IEEE標(biāo)準(zhǔn)。接收交換機(jī)消除數(shù)據(jù)包的標(biāo)簽，并將數(shù)據(jù)包發(fā)送到正確的端口，或在數(shù)據(jù)包是廣播包的情況下發(fā)送到正確的VLAN。

這些四字節(jié)長的802.1Q被附加在以太網(wǎng)數(shù)據(jù)包頭中，緊跟在源地址后。前兩個字節(jié)包含81 00，是802.1Q標(biāo)簽協(xié)議類型。后兩個字節(jié)包含一個可能的優(yōu)先級，一個標(biāo)志和12比特的VID（VLAN Identifier）。VID的取值在0到4095之間，而0和4095都作為保留值。VID的默認(rèn)值為1，這個值同時(shí)也是為VLAN配置的交換機(jī)的未指定端口的默認(rèn)值。

根據(jù)Cisco交換機(jī)的默認(rèn)配置，鏈路聚合是推薦的配置。如果一個端口發(fā)現(xiàn)另一個交換機(jī)也連在這個端口上，此端口可以對鏈路聚合進(jìn)行協(xié)商。默認(rèn)的鏈路端口屬于VLAN1，這個VLAN被稱作該端口的本地VLAN。管理員能夠?qū)㈡溌范丝谥付ńo任何VLAN。

可以通過設(shè)置鏈路端口來防止這種VLAN間數(shù)據(jù)包的傳送，將鏈路端口的本地VLAN設(shè)置成不同于其他任何VLAN的VID。記住鏈路端口的默認(rèn)本地VLAN是VID 1�？梢赃x擇將鏈路端口的本地VLAN設(shè)置為1001，或者任何交換機(jī)允許的且不被其他任何VLAN所使用的值。

防火墻和VLAN

知道了交換機(jī)如何共享VLAN信息之后，就可以更準(zhǔn)確地評價(jià)支持VLAN的防火墻。支持VLAN的防火墻從支持VLAN的交換機(jī)那里獲得頭部帶有802.1Q標(biāo)簽的數(shù)據(jù)包，這些標(biāo)簽將被防火墻展開，然后用來進(jìn)行安全規(guī)則的檢測。盡管到目前為止，我們只討論了以太網(wǎng)的情況，802.1Q標(biāo)簽同樣適用于其他類型的網(wǎng)絡(luò)，比如ATM 和FDDI。

802.1Q標(biāo)簽并不能提供身份驗(yàn)證，它們只不過是交換機(jī)用來標(biāo)志從特定VLAN來的特定數(shù)據(jù)包的一種方式。如同許多年來人們偽造IP源地址一樣，VLAN標(biāo)簽同樣可以被偽造。最新的Linux操作系統(tǒng)帶有對工作于VLAN交換機(jī)模式的支持，可以生成本地系統(tǒng)管理員可以選擇的任意VLAN標(biāo)簽。

安全使用802.1Q標(biāo)簽的關(guān)鍵在于設(shè)計(jì)這樣一種網(wǎng)絡(luò)：交換機(jī)鏈路連接到防火墻接口，而基于VLAN標(biāo)簽的安全檢測將在防火墻接口進(jìn)行。如果有其他的線路能夠到達(dá)防火墻的接口，偽造VLAN標(biāo)簽的可能性就會增大。交換機(jī)本身必須被正確配置，進(jìn)行鏈路聚合的鏈路端口要進(jìn)行特殊配置，然后加入到非默認(rèn)VID中。

在任何關(guān)于交換機(jī)的討論中，保護(hù)對交換機(jī)設(shè)備的管理權(quán)限這一結(jié)論是永遠(yuǎn)不變的。交換機(jī)和其他網(wǎng)絡(luò)設(shè)備一樣可以從三種途徑進(jìn)行管理：Telnet、HTTP和SNMP。關(guān)掉不使用的管理途徑，在所使用的管理途徑上也要加上訪問控制。因?yàn)楫?dāng)攻擊者來自網(wǎng)絡(luò)外部時(shí)，防火墻可以控制他對交換機(jī)的訪問；當(dāng)攻擊者來自網(wǎng)絡(luò)內(nèi)部或者攻擊者獲得了訪問內(nèi)部系統(tǒng)的權(quán)限而發(fā)起攻擊時(shí)，防火墻對此將無能為力。

【相關(guān)文章】

• 網(wǎng)絡(luò)管理必殺技 虛擬局域網(wǎng)技術(shù)解析
  

• 專用虛擬局域網(wǎng)技術(shù)與應(yīng)用分析
  

• 虛擬局域網(wǎng)技術(shù)、VLAN管理與測試