为什么不应该使用本机VLAN？

当前正在学习CCNA安全性，我被教导永远不要出于安全目的使用本机VLAN。思科论坛上的旧讨论非常清楚地表明了这一点：

您也不要使用默认VLAN，因为从默认VLAN更容易完成VLAN跳跃。

但是，从实际的角度来看，我无法准确指出正在解决的实际威胁。

我的想法如下：

• 攻击者位于本机VLAN上，也许他可以直接注入802.1q数据包，这些数据包将在不经过第一台交换机修改的情况下被转发（如来自本机VLAN），而即将到来的交换机会将这些数据包视为来自所选VLAN的合法数据包由攻击者。

  这确实会使VLAN跳跃攻击“容易得多”。但是，这不起作用，因为第一台交换机正确地认为在访问端口上接收802.1q数据包是异常的，因此会丢弃此类数据包。

• 位于非本地VLAN上的攻击者设法将交换机访问端口转换为中继端口。要将流量发送到本地VLAN，他只需更改其IP地址（单个命令），而不是在其网络接口上启用VLAN（四个命令），保存三个命令即可。

  我显然认为这最多是非常微不足道的收益。

• 回顾历史，我想我读了一些旧的建议，指出802.1q注入可能需要兼容的网卡和特定的驱动程序。这样的要求确实会限制攻击者注入802.1q数据包的能力，并使本机VLAN利用在以前的情况下更加实用。

  但是，如今这似乎并不是真正的限制，VLAN配置命令是Linux（至少）网络配置命令的常见部分。

即使这种做法不再解决任何特定的威胁，我们是否也可以考虑不使用本机VLAN的建议已过时且仅出于历史和配置方面的考虑而保留？还是有一种具体的方案，由于使用了本地VLAN，VLAN跳跃确实变得更加容易了？

您可能并且很可能将需要在您的中继端口上使用本机VLAN，至少在Cisco交换机上，其他厂商则以不同的方式使用它。但是您要记住，安全风险更多地与将VLAN 1（默认VLAN）设置为本地VLAN有关。

您应该将本地VLAN从VLAN 1更改为您创建的新VLAN。本地VLAN用于许多管理数据，例如DTP，VTP和CDP帧，以及用于生成树的BPDU。

当您获得全新的交换机时，VLAN 1是存在的唯一VLAN，这也意味着默认情况下所有端口都是该VLAN的成员。

如果您将VLAN 1用作本机VLAN，则您尚未配置的所有端口都属于该VLAN。因此，如果攻击者连接到未使用且未配置的端口（因为未使用），那么他就可以直接访问您的管理VLAN，并且可以读取和注入可以允许VLAN跳跃或捕获您不需要的数据包的数据包他/她看到，或更糟糕的是，SSH进入了您的交换机/路由器（切勿允许telnet）。

建议始终不要使用VLAN 1，因此，如果攻击者或不需要的客户端连接并最终到达VLAN 1，并且此VLAN上未配置任何内容（例如可用的网关），则它们将被卡住并且无法移动到任何地方，而您的本机VLAN类似于VLAN 900，由于它不是默认VLAN，因此不太可能具有任何端口访问权限。

许多工程师不会禁用未使用的端口，并且对重要内容使用VLAN 1会使您处于开放访问的情况，除非您使用802.1x之类的东西。工程师/网络管理员会忘记，您还有一个小小的安全漏洞，可以使攻击者受益。如果未使用您的VLAN 1并将端口保留为默认端口，那不是什么大问题，因为未使用它。

希望这对您的追求有所帮助。

困人