CCNP SWITCH(300-115)学习指南描述了VLAN双标记***的原理,双标记***的防御方式,该部分内容在书里第20章(保护VLAN的安全)中有详细的描述。要彻底理解VLAN双标记***还是要通过实验测试才行。

演示:VLAN的双标记***

wKioL1j8g0PhMoocAACDN9_S68s857.png

                                         演示环境

演示环境:首先完成交换机的基础配置,设置VLAN、设置Trunk端口、将***机划入VLAN1R3划入VLAN2、交换机的Trunk链路使用802.1q封装、本征VLAN保持默认的VLAN1

理解VLAN双标记前提:要想彻底理解VLAN双标记***,必须要理解以下知识:

1.802.1q干道的本征VLAN是不会被打上标记的。

2.交换机某个VLAN端口收到带有和该端口相同VLAN标记的数据帧时会怎么处理?

3.交换机某个VLAN端口收到带有和该端口不同VLAN标记的数据帧时会怎么处理?

演示目标:首先要完成VLAN双标记***,使得***机(VLAN1)的数据帧能够到达R3VLAN2),捕获并分析VLAN双标记数据帧,最后要测试交换机接入端口收到不同VLAN标记时的处理方式。

双标记***:在***机上使用Yersinia***器对192.168.20.141 ping 192.168.20.140的数据包产生两个VLAN的标记,第一层标记是VLAN1,第二层标记是VLAN2。如下图所示:

wKiom1j8g_eR-UwEAACu8V46Y3c021.png

从上图可以看出VLAN双标记实现的方式,当S1F1/0端口收到***机发出带有2VLAN标记的信息时,S1查看到第一层的VLAN标记是VLAN1,它的F1/0端口也属于VLAN1,首先S1是不会将该数据帧丢弃的,它会把数据帧发送至Trunk接口,由于Trunk链路的本征VLAN也是VLAN1,因此S1移除了VLAN1的标记并把数据从Trunk链路发送出去,此时数据帧上只有VLAN2的标记了,S2当然会把带有VLAN2标记的数据帧转发到VLAN2的端口上,这样就实现了把数据帧从VLAN1注入到VLAN2——整个过程只依靠2层交换。

重点:VLAN双标记***就是利用了不打标记的本征VLAN,***者必须要和本征VLAN处于同一个VLAN。说得直白点:***者必须要让交换机去掉自己制造的第一层VLAN标记,才能使第二层标记的VLAN生效。

双标记***续:下面是另外一种情况,***者所处的VLAN不和本征VLAN相同,如下图所示:***者处于VLAN3,本征VLANVLAN1。***者制造的第一层标记是VLAN3,第二层是VLAN2

wKiom1j8hDqh9Yh1AACXWfNYcpE011.png

这种情况下交换机并不会对双标记数据帧做处理,因为VLAN3本来就要打上标记才能发送,这个双标记的数据帧只能被属于VLAN3的主机接收。那如果***机制造的第一层标记不是VLAN3而是VLAN1呢?此时交换机S1会把该数据帧丢弃,因为该标记(VLAN1)并不属于端口所属的VLANVLAN3)。

总结:实现VLAN双标记***必须满足两个条件:1.***主机必须和本征VLAN处于同一个VLAN2.交换机不会对本征VLAN进行标记。

3.防御的方式就是尽量不满足***的条件。