虚拟LAN安全的最佳实践经验虚拟LAN安全的最佳实践经验ng=0width="100%"border=0>独立的安全调研公司@stake[9]最近对CiscoCatalyst2950、Catalyst3550、Catalyst4500和Catalyst6500系列交换机上采用的虚拟LAN（VLAN）技术进行了一次安全检查[1]。虽然此次检查没有暴露出严重的安全漏洞，但必须指出的是，如果交换机的配置不正确或不适当，则很有可能引发意外行为或发生安全问题。去年，思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则，例如《SAFE蓝图》[2]或《Catalyst4500、5000和6500系列交换机最佳实践经验》[3]。但是，迄今为止，思科还没有提供一本全面介绍与VLAN相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。本文的目的是全面介绍思科工程师多年积累的丰富经验和建议，帮助客户和现场工程师正确地在思科交换机上配置VLAN。除此以外，本文还将通过要点说明解释@stake测试的主要结果，阐述解决安全问题的方法。基本安全准则要想创建安全的交换网，必须先熟悉基本安全准则。需要特别注意的是，SAFE最佳实践[2]中强调的基本准则是设计任何安全交换网的基石。如果用户不希望任何设备受损，则必须严格控制对该设备的访问。不仅如此，所有网络管理员都应该使用思科平台上提供的所有实用安全工具，包括系统密码的基本配置、IP准入过滤器和登陆检查，以及RADIUS、TACACS+、Kerberos、SSH、SNMPv3、IDS等更先进的工具（详情参见[3]）。必须使所有基本安全准则得到满足之后，再关注更先进的安全细节。在下面的章节中，我们将说明与VLAN相关的问题。虚拟LAN第二层（L2）交换机指能够将若干端口组成虚拟广播域，且各虚拟广播域之间相互隔离的设备。这些域一般称为虚拟LAN（VLAN）。VLAN的概念与网络领域中的其它概念相似，流量由标记或标签标识。标识对第二层设备非常重要，只有标识正确，才能隔离端口并正确转发接收到的流量。正如后面章节中将要介绍的那样，缺乏标识有时是引发安全问题的原因，因而需要避免。如果设备中的所有分组与相应VLAN标记紧密结合，则能够可靠区分不同域的流量。这就是VLAN交换体系结构的基本前提。值得注意的是，在物理链路（有时称为干线）上，思科设备使用的是ISL或802.1Q等常用的VLAN标记技术。与此同时，思科设备使用先进标记技术在内部保留VLAN信息，并用于流量转发。此时，我们可以得出这样的结论：如果从源节点发送出去之后，分组的VLAN标识不能被修改，即保持端到端不变，则VLAN的可靠性应等价于物理安全性。关于这个问题，我们还将在下面详细讨论。控制面板恶意用户特别希望能够访问网络设备的管理控制台，因为一旦成功，就能够容易地根据他们的需要修改网络配置。在基于VLAN的交换机中，除与带外端口直接连接外，管理CPU还可以使用一个或多个VLAN执行带内管理。另外，它还可以使用一个或多个VLAN与其它网络设备交换协议流量。基本物理安全准则要求网络设备位于可控（锁定）空间，主要VLAN安全准则则要求将带内管理和协议流量限制在可控环境中。这个要求可以通过以下工具和最佳实践经验实现：•流量和协议ACL或过滤器•QoS标记和优先级划分（控制协议由相应的服务等级或DSCP值区分）•有选择地关闭不可信端口上的第二层协议（例如关闭接入端口上的DTP）•只在专用VLAN上配置带内管理端口•避免使用VLAN1传输任何数据流量命令示例：Catalyst操作系统（CatOS）软件CiscoIOSò软件使用VLAN1需注意的事项VLAN1成为特殊VLAN的原因是，需要第二层设备才能由默认VLAN分配其端口，包括其管理端口。另外，CDP、PAgP和VTP等许多第二层协议都需要发送到干线链路上的特定VLAN。基于这三个原因，最后选中了VLAN1。因此，如果裁剪不当，VLAN1有时会不明智地包含整个网络。当其直径达到一定程度时，不稳定性风险将迅速升高。不仅如此，如果使用几乎覆盖全网的VLAN执行管理任务，则将提高可信设备的风险，使其容易受到因误配置或意外接入而进入VLAN1，或者特意利用这种意外安全漏洞接入VLAN1的不可信设备的攻击。为挽回VLAN1的声誉，可实施一个简单的通用安全准则：作为一项安全规定，网络管理员应该将任何VLAN，尤其是VLAN1与并非绝对需要此VLAN的所有端口隔离开。因此，对于VLAN1，上述准则可以转换成以下建议：•不使用VLAN1传输带内管理流量，使用另一专用VLAN，将管理流量与用户数据和协议流量隔离开；•撤销VLAN1中所有不需要的干线和接入端