 |
|
|
概述
速率限制是大学、大型企业、运营商等组织的 IT 管理员的重要工具。对特殊的用户和端口限制带宽有助于控制网络拥塞,确保很高的性能,创建有效的网络,以及防止少量用户独占网络带宽。在推行千兆位到桌面( GTTD )计划的过程中,越来越多的组织开始在园区中安装千兆位以太网端口,因而速率限制变得更加重要。 IT 经理将需要管理这些千兆位以太网端口所占用的带宽,直到网络的分发和核心部分通过升级,可以支持更高的带宽需求为止。 Cisco Catalyst 3750 系列中的所有交换机都可以支持一套范围广泛的速率限制功能集,它可以用于千兆位以太网和快速以太网接口。 大学生是一种对网络资源要求很高的网络用户。有些学生在他们的宿舍中建立 Web 和 FTP 服务器。有些学生则从互联网上下载很大的文件,例如电影和音乐文件。还有一些学生利用他们的 PC 摄像机拍摄视频。随着他们将这些很大的媒体文件与校园内外的学生、家人和朋友共享,流量将会迅速增加。如果不进行速率限制,即使只有少数学生下载和发送很大的文件,都会导致网络速度的急剧下降。当网络在工作时间速度变慢时,教师可能无法下载重要的研究数据,因此这个问题会变得更加严重。
运营商的宽带接入网络遵从同理。
带宽管理不仅对于大学非常重要,对于企业环境同样也很重要。从互联网上下载大型文件的员工可能会独占一个带宽很小的、通往互联网或者企业内联网的 WAN 连接。采用速度较高的交换机和 PC 网络接口卡( NIC )的部门可能会控制企业骨干网和 WAN 连接,而其他部门则会遭受损失。
由于网络带宽不足而导致的网络拥塞可能会导致实时应用(例如 IP 电话和视频)的质量的大幅降低。与数据流量不同,这些实时应用对于由于网络拥塞导致的延时和抖动的承受能力非常低。如果不进行速率限制,从网络服务器上下载大型文件的用户可能会严重地影响他们的相邻用户的电话交谈或者视频会议。较低的网络可用性和性能可能会带来大量的 IT 投诉、降低员工的生产率,导致网络用户满意度的降低。
速率限制
利用速率限制, IT 经理可以控制输入和输出流量的速率,以确保用户或者应用不会超过所分配的最大传输速率,或者独占网络带宽。这种控制适用于快速以太网,更加重要的是,它适用于带宽更高的千兆位以太网端口。 IT 经理可以指定策略,为特定的用户、用户群组或者应用分配或高或低的带宽。例如,某个 IT 经理可能决定只向千兆位以太网端口上连接的教师用户分配 200Mbps 带宽。结合其他功能(例如基于时间的访问控制列表( ACL )),速率限制可以帮助 IT 经理精确地管理用户使用带宽的数量和时间,从而可以通过推迟购买更多 WAN 连接而节约资金。速率限制是一种强大的工具,可以帮助 IT 经理控制网络,在网络故障发生之前采取有效的预防措施。
Cisco Catalyst 3750 系列交换机的速率限制的主要构成包括:
- 缓存
- 队列阈值
- 队列调度
- 流量整型
- 流量监管
所有这些构成要素结合在一起,可以为大学和大型企业用户提供最佳的速率限制解决方案。
缓存
足够大的缓存对于在一个严重阻塞的网络中最大限度降低被丢弃的分组的数量非常重要。(如图 1 所示)通过将流量放在缓存中排序,较小的突发性流量不大可能导致重发。如果没有缓存,突发性流量可能会导致重发,从而进一步加剧网络拥塞。
图 1
缓存
解决方案
全新数据中心网络配备有双 Catalyst 6513 系列交换机,带双 Supervisor Engine 720 模块、双电源,以及 10/100/1000 和 10 千兆位以太网混合接口。每台服务器都连接到这两台交换机,以实现冗余。负责保护数据中心的是带集成 FWSM 的交换机, IP 安全( IPSec ) VPN 服务模块( VSM )则提供了数据中心应用和钻井平台等远程地点间的安全连接。
数据中心和远程灾难恢复地点间的双 10 千兆位以太网链路提供了高带宽存储网络。灾难恢复地点拥有一台 Cisco Catalyst 6513 交换机,带双 Supervisor Engine 720 模块、双电源和光纤通道接口模块。在连接的两端, Cisco MDS 9509 多层导向器交换机利用思科虚拟存储局域网( VSAN )技术管理存储集群。集群间的通信采用了 IP 光纤通道( FCIP ),以确保简便性和可靠性。目前,整个数据中心每周备份一次,夜间采用增量备份。
图 1 Woodside Petroleum 数据中心网络
整个网络利用 CiscoWorks 工具管理,与需要分别管理七家供应商解决方案的从前网络相比,是一种更为简化的解决方案。 Woodside 可以使用 CiscoWorks 的自动配置功能, 向许多 Cisco Catalyst 6500 交换机分发软件镜像和配置更新,同时先进的排障和监控工具则使其可以快速识别和解决问题。
成效和下一步
Woodside 希望其业务就绪思科数据中心网络能够提供更高的稳定性和永续性,系统管理较从前的多供应商网络更为简化,并提高了 IT 员工的生产效率。 “ 作出使用 Catalyst 6500 系列产品的决策,其中一个主要原因是从消除风险的角度考虑 ” , Alexander 说, “ 此平台的简易性、较少的交换机数量、更少的备件,对于决策过程无疑都是至关重要的。 ” 这些因素也导致了拥有成本的降低。凭借单一供应商解决方案, Woodside 还可以更快地解决问题,而非在若干家供应商间不断协调。
2004 年初, Woodside 搬入了新办公楼。虽然 IT 员工开始时关注的是思科 IP 电话的部署和电视会议网关,但是,公司已为数据中心网络奠定了坚实的基础,这是因为已安装了 Cisco Catalyst 6500 系列平台,其远程存储网络也为快速灾难恢复做好了准备。 Woodside 的交换功能使其可以直接向数据中心添加集成功能,而无需增添机架空间。公司正在考虑使用入侵检测系统模块( IDSM-2 )使数据中心更加安全。
Woodside 希望其业务就绪思科数据中心网络能够保护资源、优化业务能力,并支持容量和收入的发展。该网络提供了更高的业务永续性,其灵活性也加速了技术的调整能力,为能源领域动态的业务特点提供了更好的支持。
#p#多生成树协议
在 Cisco MISTP[ 多实例生成树协议 ] 的推动下, MST 通过将一些基于 VLAN 的生成树汇聚入不同的实例,并且每实例只运行一个(快速)生成树,从而改进了 RSTP 的可扩展性。为确定 VLAN 实例的相关性, 802.1s 引入了 MST 区域概念。每台运行 MST 的交换机都拥有单一配置,包括一个字母数字式配置名、一个配置修订号和一个 4096 部件表,它与潜在支持某个实例的各 4096 VLAN 相关联。作为公共 MST 区域的一部分,一组交换机必须共享相同的配置属性。重要的是请记住,配置属性不同的交换机会被视为位于不同的区域。
为确保一致的 VLAN 实例映射,协议需要识别区域的边界。因此,区域的特征都包括在 BPDU 中。交换机必须了解它们是否像邻居一样位于同一区域,因此会发送一份 VLAN 实例映射表摘要,以及修订号和名称。当交换机接收到 BPDU 后,它会提取摘要,并将其与自身的计算结果进行比较。为避免出现生成树环路,如果两台交换机在 BPDU 中所接收的参数不一致,负责接收 BPDU 的端口就会被宣布为边界端口。
IEEE 802.1s 引入了 IST (内部生成树)概念和 MST 实例。 IST 是一种 RSTP 实例,它扩展了 MST 区域内的 802.1D 单一生成树。 IST 连接所有 MST 网桥,并从边界端口发出、作为贯穿整个网桥域的虚拟网桥。 MST 实例( MSTI )是一种仅存在于区域内部的 RSTP 实例。它可以缺省运行 RSTP ,无须额外配置。不同于 IST 的是, MSTI 在区域外既不与 BPDU 交互,也不发送 BPDU 。 MST 可以与传统和 PVST+ 交换机互操作。思科实施定义了 16 种实例:一个 IST (实例 0 )和 15 个 MSTI ,而 802.1s 则支持一个 IST 和 63 个 MSTI 。
与传统生成树的互操作性
RSTP 和 MSTP 都能够与传统生成树协议互操作。但是,当与传统网桥交互时, 802.1w 的快速融合优势就会失去。
为保留与基于 802.1D 网桥的向后兼容性, IEEE 802.1s 网桥在其端口上接听 802.1D 格式的 BPDU 。如果收到了 802.1D BPDU ,端口会采用标准 802.1D 行为,以确保兼容性。例如,在图 3 中,交换机 A 上的“ P4 ”一旦在至少两倍的“ hello time ”中检测到 PVST+ BPDU ,它就会发送 PVST+ BPDU 。要说明的是,如果 PVST+ 网桥从网络中删除后,交换机 A 就无法发现拓扑结构变更,需要人工重启协议移植。
图 3
图 3 介绍了应用于 VLAN 2000 的转发拓扑结构,它映射至 RSTP/MSTP 区域中的 MST #2 。用于 IST 和 MST #2 的根交换机驻留于 RSTP/MSTP 区域内。 MSTI BPDU 并未发送至边界端口“ P4 ”外,只有 IST BPDU 是如此。通过在 PVST+ 域所有现用 VLAN 上复制 ISTP BPDU , MST 区域模拟了 PVST+ 邻居。然后, PVST+ 域接收 IST 上发送的 BPDU ,并选择交换机 B 作为 VLAN 2000 的根交换机(注:交换机 B 是 IST 的根。)
如果 PVST+ 域中出现拓扑结构变更,在传统云中生成的相应的拓扑结构变化通知( TCN ) BPDI 将由 IST 在 MST 域中处理,不致影响 MST 转发拓扑结构。为了避免可能导致环路的错误配置,强烈建议为 MST 域中的 PVST+ 实例(即 IST 根)配置根交换机。
主要定义
IEEE 802.1D —— IEEE 建议,在整个第二层域中定义单一无环路拓扑结构。由于 802.1D 无虚拟 LAN ( VLAN )感知功能,因此转发拓扑结构是唯一的,独立于网络中现用的 VLAN 。这种方案从计算开支的角度是可扩展的,但在配置多个 VLAN 的情况下,无法为冗余链接提供负载均衡功能 。
PVST+ ——思科生成树为每个 VLAN 构建了一个不同的逻辑拓扑结构。这种方案通过允许每个 VLAN 拥有不同的转发链接,实现了负载均衡,但它却是 CPU 密集型的——网桥协议数据单元( BPDU )是根据各个 VLAN 生成并处理的。
CHIARA REGALE 是思科城域以太网部的技术营销工程师。她主要从事城域以太网领域的解决方案设计和修正工作。从意大利 Politecnico of Turin 获得电信工程理学硕士学位后, Regale 加盟 Cisco Catalyst 6000 生成树协议开发团队,负责设计和实施特性,以改进生成树性能。她的联系方式为 chiara@cisco.com 。有关一些交换机转发拓扑结构的移植策略和样本配置,请参考 Packet Online 。
#p#以太网交换机发展到今天 , 除了网络接口从十兆 (10M), 百兆 (100M) 变成 千兆 (GE), 万兆 (10GE) 之外 , 交换机的功能可以说是大大加强 , 尤其是近年来广大用户对网络安全的需求 , 使得思科在交换机上不断开发出新的安全功能来满足用户的需求。例如在 3560 系列中 , 思科就会支持如下安全特性 :
· IEEE 802.1x 可以实现动态的、基于端口的安全,提供用户身份验证功能。
· 具有 VLAN 分配功能的 IEEE 802.1x 可以为某个特定的用户提供一个动态的 VLAN 。
· 支持话音 VLAN 的 IEEE 802.1x 允许一个 IP 电话接入话音 VLAN ,而无论端口是否经过授权。
· IEEE 802.1x 和端口安全可以对端口进行身份验证,并能管理所有 MAC 地址的网络接入权限,包括客户端的访问权限。
· 具有 ACL 的 IEEE 802.1x 允许基于特定身份的安全策略。
· 具有访客 VLAN 的 IEEE 802.1x 允许没有 IEEE 802.1x 的客户端通过访客 VLAN 进行有限的网络访问。
· 所有 VLAN 上的思科安全 VLAN ACL ( VACL )可以防止在 VLAN 中桥接未经授权的数据流。
· 思科标准和扩展 IP 安全路由器 ACL ( RACL )可以针对控制面板和数据面板流量,在路由接口上指定安全策略。
· 用于第二层接口的、基于端口的 ACL ( PACL )让用户可以将安全策略用于各个交换机端口。
· SSHv2 、 Kerberos 和 SNMPv3 可以通过在 Telnet 和 SNMP 进程中加密管理员流量,提供网络安全。
· 专用 VLAN 边缘可以在交换机接口之间提供安全和隔离,这有助于确保用户不能监听其他用户的流量。
· DHCP 监听使管理员能确保 IP 到 MAC 地址的一致映射,并对进入交换机端口的 DHCP 流量进行限速。
· DHCP 接口跟踪器(选项 82 )在主机 IP 地址请求中增加交换机端口 ID 。
· 端口安全可以根据 MAC 地址,保障对某个接入或者汇聚端口的访问权限。
· 控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置。
· 生成树协议根防护( STRG )防止不处于网络管理员控制范围的边缘设备成为生成树协议根节点。
· 支持 1000 个访问控制条目( ACE )
例如您可以使用 :
ip arp inspection limit { rate pps [ burst interval seconds ] | none }
命令来控制一个 interface 接受 ARP 请求的数量和速度 , 这个特性可以很好的抑制一些基于二层的网络攻击流量。
另外 , 思科的 3560 还支持交换端口的速率限制功能 , 利用这个功能用户可以很好地控制网路流量 , 确保网络上关键业务的可靠传输 , 甚至利用 QoS 和 CIR 来抑制网络病毒 , 蠕虫程序的传播。
· 思科承诺信息速率( CIR )功能能够以低达 8Kbps 的精确度保障带宽。
· 速率限制基于源和目的地 IP 地址、源和目的地 MAC 地址、第四层 TCP/UDP 信息或者这些字段的任意组合。
· 利用入口策略和出口整形,可以方便地管理来自于端设备或者上行链路的异步上行和下行数据流。
· 每个快速以太网或者千兆位以太网端口最多可以支持 64 个总或者单独策略控制器
例如 :
!
ip routing
mls qos
!
class-map match-all 64k
match access-group 110
!
!
policy-map aaa
class 64k
police 512000 32000 exceed-action drop
!
!
interface FastEthernet0/1
switchport mode access
no ip address
service-policy input aaa
!
ip http server ( 注 : 启动交换机的 HTTP 服务 , 使用图形界面管理。 )
!
access-list 110 permit ip host 192.168.1.1 any
access-list 110 permit ip any any
!
您可以参考 3560 的用户手册获得更多的帮助。 http://www.cisco.com/univercd/cc/td/doc/product/lan/cat3560/1225sea/3560scg/swqos.htm
网络交换机在今天还是构成计算机网络的基础核心设备 , 网络除了带宽加大之外 ( 万兆以太网的普及 ), 有效的管理也是解决网络安全 , 可靠运行的关键。有效的管理不仅包括网络交换机设备本身的配置 , 升级 , 以及日常监控 , 同时我们更需要对通过交换机的流量进行管理 , 对接入交换机的 PC 机 , IP 电话 , 打印机 , IP 摄像头等进行管理 , 对 MAC 地址 , IP 地址要严格管理和控制。只要大家重视网络的安全问题 , 合理的实施网络上的各种有效的控制手段 , 一个高速 , 可靠 , 稳定 , 智能的网络一定会为我们的工作 , 学习和生活带来无限乐趣。
李涛
顾问工程师
中央技术部
思科系统 ( 中国 ) 网络技术有限公司
#p#使用 VLAN 1 需注意的事项
VLAN 1 成为特殊 VLAN 的原因是,需要第二层设备才能由默认 VLAN 分配其端口,包括其管理端口。另外, CDP 、 PAgP 和 VTP 等许多第二层协议都需要发送到干线链路上的特定 VLAN 。基于这三个原因,最后选中了 VLAN 1 。
因此,如果裁剪不当, VLAN 1 有时会不明智地包含整个网络。当其直径达到一定程度时,不稳定性风险将迅速升高。不仅如此,如果使用几乎覆盖全网的 VLAN 执行管理任务,则将提高可信设备的风险,使其容易受到因误配置或意外接入而进入 VLAN 1 ,或者特意利用这种意外安全漏洞接入 VLAN 1 的不可信设备的攻击。
为挽回 VLAN 1 的声誉,可实施一个简单的通用安全准则:作为一项安全规定,网络管理员应该将任何 VLAN ,尤其是 VLAN 1 与并非绝对需要此 VLAN 的所有端口隔离开。
因此,对于 VLAN 1 ,上述准则可以转换成以下建议:
• 不使用 VLAN 1 传输带内管理流量,使用另一专用 VLAN ,将管理流量与用户数据和协议流量隔离开;
• 撤销 VLAN 1 中所有不需要的干线和接入端口(包括未连接端口和关闭端口)。
同样,上述规则也适用于管理 VLAN 读操作:
• 不在不需要的任何干线或接入端口上配置管理 VLAN (包括未连接端口和关闭端口);
• 为增强安全性,应尽可能不使用带内管理,转而使用带外管理(如果想详细了解带外管理基础设施,请参见 [3] )。
作为一项设计准则,必须“切掉”特定 VLAN 中不需要的流量。例如,为防止所有 telnet 连接,只运行 SSH 进程,通常会对管理 VLAN 中传输的流量应用 VLAN ACL 和 / 或 IP 过滤器。另外,也可以应用 QoS ACL ,以便限制呼叫流量的最高速率。
如果 VLAN 1 或者管理 VLAN 以外的 VLAN 出现安全问题,应使用自动或人工剪裁。需要注意的是,以透明或关闭方式配置 VTP 或者人工剪裁 VLAN 通常是增强对 VLAN 网络控制的最有效的方法。
命令示例:
CatOS Cisco IOS 软件
#p#“完全信任或完全不信任所有人同样有害”——英国谚语
正确决定并实施 VLAN 1 之后,下一个逻辑步骤是将注意力转向安全环境中另一常用的、同等重要的最佳实践。这是个通用的安全准则:将不可信设备与不可信端口相连,将可信设备或可信端口相连,断开所有其他端口。这个准则可转变为以下通用建议:
• 如果某端口与“外部”设备相连,则不要与它进行任何通信,否则,很可能会中了某人的圈套,产生对自己不利的效果。在这些端口上,应关闭 CDP 、 DTP 、 PAgP 、 UDLD 及其它不必要的协议,并启用 portfast/BPDU 防护。我们可以这样想这个问题:为什么要冒险与不可信任的邻居交谈呢?
• 启用根防护特性,防止直接或间接连接的 STP 型设备影响根桥的位置。
• 如果想限制或防止意外协议与网络级 VLAN 配置交互,应对 VTP 域作相应的配置,或者全部关闭 VTP 。这种预防措施不但能限制或防止将管理员的错误传播到整个网络,还能限制或防止 VTP 版本较高的新交换机意外地覆盖掉整个域的 VLAN 配置。
• 默认状态下,只能相信那些确实“可信”的端口,所有其它端口则一律定为“不可信”端口,以防止连接的设备不适当地修改 QoS 值。
• 关闭未使用端口,将其放置在未使用 VLAN 中。如果不与未使用 VLAN 建立连接,或者不在未使用 VLAN 中添加设备,就可以通过基本的物理或逻辑障碍来防止非授权访问。
命令示例:
CatOS Cisco IOS 软个件
为什么首先担心第二层安全性?
为使不同层次能够独立操作(只了解其相互接口),我们建立了 OSI 模型。 OSI 的思想是:只要留有各层次之间的标准接口,某层协议的开发就不会影响到其它层次。
遗憾的是,这意味着,当某个层次遭袭时,由于其它层次意识不到问题的存在,因而会危及通信的安全性(如图 1 所示)。
图 1 OSI 模型的结构
在这个体系结构中,系统的安全性只相当于最薄弱链路的安全性。
数据链路层与其它层次一样脆弱,可能会遭受各种攻击,因此,交换机必须通过配置加以保护。
#p#VLAN 网络可能会遇到哪类攻击?
第二层的多数攻击都将使设备失去攻击者跟踪能力,这样,攻击者就能够在转发路径上大肆执行恶意操作,先修改配置,然后攻击网络。
下面列出的是人们最常谈到的第二层攻击,无独有偶,这些也是 @stake 记录的攻击类型 [1] :
• MAC 洪泛攻击
• 802.1Q 和 ISL 标记攻击
• 双封装 802.1Q/ 嵌套式 VLAN 攻击
• ARP 攻击
• 专用 VLAN 攻击
• 组播暴力攻击
• 扩展树攻击
• 随机帧重压攻击
下面详细说明这些攻击。
MAC 洪泛攻击
从严格意义上讲,这种攻击不属于 “攻击”,因为它只是限制所有交换机和桥接器的工作路径。它们占用了用于保存所有接收分组的源地址的有限硬件学习表,当这些表充满后,由于无法再读到流量的地址,无法转发流量,因而会出现流量洪泛现象。但是,由于分组洪泛只局限在初始 VLAN 内,因而不允许 VLAN 跳转(如 @stake 的报告所示)。
恶意用户可以利用这种攻击将与其连接的交换机转变成哑伪集线器,搜索并查看所有洪泛流量。很多程序都可以用于执行此项任务,例如 macof ,它是 dsniff 套件的一部分 [4] 。恶意用户可以利用这个弱点发起实际攻击,例如 ARP 破坏攻击(欲知详情,请参见《 ARP 攻击》)。
非智能交换机无法抵御这种攻击,因为它不检查发送方的第二层标识,发送方只需发送伪分组就能假冒无限数量的设备。
思科的交换机支持多种特性,以便识别并控制所连设备的身份。这些交换机奉行的安全准则非常简单:认证和说明对所有不可信设备都至关重要。
需要强调的是,端口安全性、 802.1x 和动态 VLAN 这三个特性可用于根据用户的登陆 ID 和设备自身的 MAC 层标识限制设备连接。
例如,利用端口安全性,预防 MAC 洪泛攻击可以像限制每个端口可以使用的 MAC 地址数那么简单:设备流量的标识将直接与其原始端口相接。
802.1Q 和 ISL 标记攻击
标记攻击属于恶意攻击,利用它,一个 VLAN 上的用户可以非法访问另一个 VLAN 。例如,如果将交换机端口配置成 DTP auto ,用于接收伪造 DTP 分组,那么,它将成为干线端口,并有可能接收通往任何 VLAN 的流量。因此,恶意用户可以通过受控制的端口与其它 VLAN 通信。
有时候,即使只是接收普通分组,交换机端口也可能违背自己的初衷,像全能干线端口那样操作(例如,从本地以外的其它 VLAN 接收分组)。这种现象通常称为“ VLAN 渗漏”(如果想阅读关于类似问题的报告,请参见 [5] )。
对于第一种攻击,只需将所有不可信端口(不符合信任条件)上的 DTP 设置为“关”,即可预防这种攻击的侵袭;要对付第二种攻击,可以按照下面介绍的简单配置步骤操作(例如下一节中介绍的步骤),也可以通过软件升级实现。幸运的是, Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4000 和 Catalyst 6000 系列交换机并不需要进行这种升级,因为其上运行的软件和硬件能够在所有端口上实施适当的流量分类和隔离(如 @stake 在 [1] 中说明的那样)。
那么,报告中为什么会提及本地 VLAN 呢 [5] ?我们将在下面的章节中提供答案 ......
双封装 802.1Q/ 嵌套式 VLAN 攻击
虽然在交换机内部,但 VLAN 数字和标识用特殊扩展格式表示,目的是使转发路径保持端到端 VLAN 独立,而且不会损失任何信息。在交换机外部,标记规则由 ISL 或 802.1Q 等标准规定。
ISL 属于思科专有技术,是设备中使用的扩展分组报头的紧凑形式:由于每个分组总会获得一个标记,没有标识丢失风险,因而可以提高安全性。
另一方面,制订了 802.1Q 的 IEEE 委员会决定,为实现向下兼容性,最好支持本地 VLAN ,即不与 802.1Q 链路上任何标记显式相关的 VLAN 。这种 VLAN 以隐含方式用于 802.1Q 型端口上接收到的所有无标记流量。
这种功能是用户所希望的,因为利用这个功能, 802.1Q 型端口可以通过收发无标记流量直接与老 802.3 端口对话。但是,在所有其它情况下,这种功能可能会非常有害,因为通过 802.1Q 链路传输时,与本地 VLAN 相关的分组将丢失其标记,例如其服务等级( 802.1p 位)。
但是基于这些原因——丢失识别途径和丢失分类信息,就应避免使用本地 VLAN ,更不要说还有其它原因,如图 2 所示。
图 2 双封装攻击
先剥离,再送回
攻击者 802.1q 帧 帧
VLAN A VLAN B 数据 包含本地 VLAN A 的干线 VLAN B 数据
注意: 只有干线所有的本地 VLAN 与攻击者相同,才会发生作用。
当双封装 802.1Q 分组从 VLAN 恰巧与干线的本地 VLAN 相同的设备进入网络时,这些分组的 VLAN 标识将无法端到端保留,因为 802.1Q 干线总会对分组进行修改,即剥离掉其外部标记。删除外部标记之后,内部标记将成为分组的惟一 VLAN 标识符。因此,如果用两个不同的标记对分组进行双封装,流量就可以在不同 VLAN 之间跳转。
这种情况将被视为误配置,因为 802.1Q 标准并不逼迫用户在这些情况下使用本地 VLAN 。事实上,应一贯使用的适当配置是从所有 802.1Q 干线清除本地 VLAN (将其设置为 802.1q-all-tagged 模式能够达到完全相同的效果)。在无法清除本地 VLAN 时, 应选择未使用的 VLAN 作为所有干线的本地 VLAN ,而且不能将该 VLAN 用于任何其它目的 。 STP 、 DTP 和 UDLD (参见 [3] )等协议应为本地 VLAN 的唯一合法用户,而且其流量应该与所有数据分组完全隔离开。
#p#ARP 攻击
ARP 协议 [6] 是一项老技术。 ARP RFC 产生的时候,网络中的所有人都被视为“友好人士”,因而没有在 ARP 功能中考虑安全性。这样,任何人都可以声称自己是某个 IP 地址的所有者。更准确地说,任何人都可以声称其 MAC 地址与某个子网内的任何 IP 地址相关。这是完全可行的,因为 ARP 请求或答复中包含设备的第二层标识信息( MAC 地址)和第三层标识( IP 地址),而且没有核实机制,无法核查这些标识的准确性。
在另一个实例中,由于不能用准确、可靠的手段确认设备的身份,因而出现了严重的安全漏洞。这个例子同时表明,如果 OSI 模型中的较低层次遭到攻击,由于较高层意识不到问题的存在,因而将直接影响较高层的操作。( ARP 是一种独特的协议样本,它在第二层内运行,但从逻辑上,它位于 OSI 模型中数据链路层与网络层之间的边界上。)
@stake 发动的 ARP 攻击的目的是,通过发送包含伪造标识的 ARP 分组,欺骗某交换机将分组转发到另一个 VLAN 中的某台设备。但是,在所有思科设备中, VLAN 是正交的,因而不依赖于 MAC 地址。所以,只通过修改 ARP 分组中的设备标识,是不可能影响它与其它 VLAN 内设备的通信方式的。事实上,正如报告中所说,不可能进行任何 VLAN 跳转。
另一方面,在同一个 VLAN 内,利用 ARP 破坏或 ARP 欺诈攻击 [7] ,可以有效地欺骗终端站点或路由器识别伪造的设备标识,致使恶意用户能够以中间人的身份,发动中间人( MiM )攻击。
对于这种情况,一张图可对其进行最好的说明(见图 3 )。
图 3 ARP 破坏攻击
将免费信息送至 0000.0000.000B :我的 IP 地址为 1.1.1.1 ,我的 MAC 地址为 000:00:00:00:00:0C
PC 1.1.1.2 的 ARP 表受到侵袭。所有外出流量都将通过 PC 1.1.1.3 ,然后将流量透明地转发至路由器。
发动 MiM 攻击的方法是,在发送至受袭设备的 ARP 包中假冒另一台设备(例如默认网关),由于接收方不检查这些分组,因而其 ARP 表将接收假冒信息。
预防这种攻击有两种方法,一种方法是阻挡攻击者和受攻击设备之间的第二层直接通信,另一种方法是在网络中嵌入更多智能,使之能够检查转发 ARP 分组的标识是否正确。第一种方法可以通过 Cisco Catalyst 专用 VLAN 或专用 VLAN 边缘特性实现。第二种方法可以利用称为 ARP 检查的新特性实现,这种特性首先在 Cisco Catalyst 6500 Supervisor Engine II 上的 CatOS 7.5 中推出,以后将在 Cisco Catalyst 交换机的 Cisco IOS 软件中提供。
专用 VLAN 攻击
“专用 VLAN 攻击”有点用词不当,因为它对应的不是安全漏洞,而是对特性的某种期望。专用 VLAN 属于第二层特性,因而应该只在第二层隔离流量。另一方面,路由器则属于第 3 层( L3 )设备,当它与专用 VLAN 混合端口相连时,即使目的地与始发地在同一个子网中,也应该将该端口上接收到的第三层流量转发到相应的目的地( @stake 将这种行为称为第二层代理)。
因此,虽然两个相互隔绝的 VLAN 中的两台主机应该通过第二层直接通信相互交流,但它们通常在相互交谈时将路由器作为分组中继。
上述现象如图 4 所示。
图 4 第二层代理
与常规路由流量相同,如果需要,可以利用转发设备上相应的 ACL 配置对通过第二层代理中继的分组进行过滤。
利用输出思科 IOS ACL 阻挡中继流量的示例如下:
deny subnet/mask subnet/mask
permit any subnet/mask
deny any any
如果想详细了解 VLAN ,请参见 [8] 。
组播暴力攻击
这种攻击试图利用交换机的潜在安全漏洞(读操作:缺陷)发起第二层组播帧风暴。 @stake 希望通过测试了解第二层交换机快速接收到大量第二层组播帧时将发生什么情况。正确的反应是将流量限制在原始 VLAN 中,错误的反应是将帧泄漏到其它 VLAN 中。
@stake 的结果显示,这种攻击对 Cisco Catalyst 交换机无效,因为所有帧都包含在相应的广播域中(这个结果毫不奇怪:毕竟,在所有 Catalyst 交换机中,广播只是组播的一个特殊部分)。
生成树协议
试图利用交换机弱点(例如缺陷)发动攻击的另一种攻击是 STP 攻击。 @stake 测试的所有 Cisco Catalyst 交换机都支持这种协议。默认状态下, STP 是打开的,而且交换机上的所有端口都可以收听 STP 消息。 @stake 试图测试,在某些情况下,思科 PVST (每 VLAN 生成树)是否将无法打开 1 多个 VLAN 。攻击包括窥探线路上的 STP 帧,以便获取端口 STP 的 ID 。接下来,攻击者将发出 STP 配置 / 拓扑变更认可 BPDU ,宣布它称为优先级较低的新根桥。
在此过程中,测试者输入广播流量,看是否有 VLAN 漏出,结果是没有出现这种现象。这说明,在思科交换机上实施的 STP 的功能十分强大。
#p#随机帧重压攻击
这种攻击有很多形式,但主要特点是,它包含随机分布在多个分组域的暴力攻击,只保持源地址和目标地址不变。 @stake 工程师的多次测试表明,任何分组都无法成功地跳过 VLAN 。
专用 VLAN 可以更好地隔离第二层的主机,并防止它们受到不可信设备的意外恶意流量的攻击。使用时,可以建立互信任主机组,将第二层网络分成多个子域,只让友好设备相互交流。如果想详细了解专用 VLAN ,请参见 [8] 。
结论
实践表明, VLAN 技术的可靠性远远高于诽谤者的预期,只有用户误配置或特性误用才能突破其强大功能。
用户会犯的最严重的错误是,不重视高级交换网络体系结构中的数据链路层,尤其是 VLAN 。需要牢记的是, OSI 模型的安全性与其最薄弱链路的安全性相当。因此,必须同等地重视每一层次,才能保证整个结构的安全性。
• 设备或算法可能失败的一种方式,例如,当设备误操作、成为易受攻击的薄弱环节时。
基于 Cisco Catalyst 交换机的任何良好网络设备都应该包含本文介绍的最佳实践准则,这样才能有效保护网络的第二层安全体系结构免遭破坏。
虽然前面章节讨论的某些安全概念比较通用,但需要注意的是,本文针对的只是包含 Cisco Catalyst 交换机的网络,其它交换机厂商的实施方法可能大不相同,因而某些交换机可能更容易遭受本文介绍的各种攻击的侵袭。
参考资料
• 研究报告:安全使用 VLAN : @stake 安全评估—— 2002 年 8 月
http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/stake_wp.pdf
2. SAFE :企业网的安全蓝图, http://www.cisco.com/go/safe/
3. Catalyst 4500 、 5000 和 6500 系列交换机配置和管理的最佳实践, http://www.cisco.com/warp/customer/473/103.html
4. dsniff ,作者 Dug Song , http://monkey.org/~dugsong/dsniff/
5. VLAN 安全性测试报告, 2000 年 7 月, http://www.sans.org/newlook/resources/IDFAQ/vlan.htm
6. 以太网地址解析协议, RFC 826 , http://www.ietf.org/rfc/rfc0826.txt
7. ARP 欺骗攻击:
http://www.sans.org/newlook/resources/IDFAQ/switched_network.htm
8. 白皮书: Catalyst 6500 系列服务供应商特性(专用 VLAN )
http://www.cisco.com/warp/public/cc/pd/si/casi/ca6000/tech/c65sp_wp.htm
9. @stake , http://www.atstake.com/
缩略词与定义
|
802.1Q |
定义了标准 VLAN 标记方案的 IEEE 规范 |
|
BPDU |
桥协议数据单元 运行生成树协议的交换机所交换的信息 |
|
CDP |
思科发现协议 用于发现由兼容设备组成的网络拓扑的思科专有协议 |
|
DTP |
动态中继协议 用于动态协商中继参数(例如状态和格式)的思科专有协议 |
|
IEEE |
电子和电气工程师协会 |
|
ISL |
交换机间链路 思科专有 VLAN 标记格式 |
|
本地 VLAN |
不与 802.1Q 链路上任何标记显式相关的 VLAN |
|
OSI |
开放系统互联 网络参考模型 |
|
PAgP |
端口汇聚协议 用于动态协商通道参数(如端口数)的思科专有协议 |
|
STP |
生成树协议 IEEE 802.1D 标准中定义的桥协议 |
|
UDLD |
单向链路检测 用于核实物理链路双向性的思科专有协议 |
|
VLAN |
虚拟局域网 包含一个或多个交换机端口的虚拟广播域 |
|
VTP |
VLAN 中继协议 用于在预定域中分发 VLAN 信息的思科专有协议 |