问VLAN交换机可以利用哪些安全问题来危害网络？

EN

作为一种抽象，托管交换机的操作可以用三个平面来描述：

1. 用于配置交换机的管理平面(SSH、HTTP.)。
2. 控制平面，控制如何转发(L2)或路由(L3)数据包。它可以从它看到的数据包中学习MAC地址，还有一些协议可以用来共享信息、防止循环(生成树)或处理最短路由路径(OSPF)。
3. 执行实际切换工作的数据平面或转发平面。

撇开交换机本身可能存在的软件漏洞不谈，主要问题仍然是控制平面和管理平面对数据平面中转发的数据的保护效果如何。数据平面还处理交换机之间的所有控制平面协议通信，如果所看到的数据包必须由控制平面处理，则将该分组转发给它。

在安全配置中，每个访问端口只能看到它自己的VLAN内部的流量，并且交换机不应该接受来自它们的任何控制平面协议流量。如果这些协议中的任何一个是在访问端口上打开的，则连接到该端口的攻击者可能会模拟另一个交换机和

• 从自己的VLAN越狱，例如
  • 成为具有MitM位置的生成树根或节点。
  • 激活端口上的集群并查看所有带有802.1Q标记的通信(DTP、VTP、HSRP.)

• 导致DoS攻击，例如淹没CDP表，或淹没任何在控制平面上造成过多处理的BPDU，耗尽其资源。
• 完全禁用802.1QVLAN，使所有网络都能看到对方(VTP)。

叶尔西尼亚是一个自动化所有这些技巧的工具。

必须确保管理平面的安全，因为通过更改配置，可以消除端口所具有的任何较低的平面限制。理想情况下，您将拥有一个完全独立的管理VLAN。