Native VLAN چیست؟

وقتی ما در سویئچ ها اقدام به ساخت vlan میکنیم و پروتوکول 8o2.1q را فعال میکنیم به فریم های داده یک هدر اضافه میشود که دارای یک tag مربوط به vlan خاص خود میباشد.اما اگر در این شبکه فریمی وجود داشته باشد که دارای این هدر نیست باید به Vlan ای منتصب شود که این فریم ها متعلق به ان است که به این vlan , native vlan گفته میشود.این اتفاق زمانی رخ میدهد که پورت در حالت ترانک باشد و از پروتوکول 8o2.1q استفاده کند, معمولا native vlan ها همان vlan های شماره یک هستند که بصورت پیش فرض بر روی سویئچ ها وجود دارد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

به معنای دیگر در صورتی که Native Vlan بر روی یک پورت به صورت مثال 1 تعریف شده باشد در صورتی که پکتی از آن پورت وارد سوییچ شود و دارای tag مربوط به Vlan ها نباشد آن را جزو پکتهای مربوط به Vlan 1 در عملیات سوییچینگ به حساب میآورد. اینvlan دارای یک مشکل بزرگ امنیتی است که میتوان ان را هک کرد و به ان vlan hopping میگویند.این امر از دو طریق به وجود خواهد امد که به ان میپردازیم:

  • Switch spoofing: با توجه به اینکه در حالت پیش فرض پورت ها داینامیک هستند و امکان ترانک شدن در ان فعال است و اگر allowed vlan all باشد که بصورت پیش فرض همه روی این حالت هستند, سیستم را عضو vlan ای که مد نظرمان است می کنیم حالا همه بسته ها به آن می رسد.رفتار سوییچ را انجام میدهیم و ترافیک vlan ها را می بینیم که با استفاده از access list ها میتوانیم جلوی انرا بگیریم یا در حالت ترانک :
# no negotiation
  • Double tagging: در native vlan ها که بصورت پیش فرض vlan 1 هستند بسته ها بدون tag ارسال میشوند ،در صورتی که Native Vlan بر روی یک پورت تعریف شده باشد وقتی که پکتی از آن پورت وارد سوییچ شود و دارای tag مربوط به Vlan ها نباشد آن را جزو پکتهای مربوط به Vlan 1 در عملیات سوییچینگ به حساب می آورد. Vlan 1 در تمامی سویچ ها بدون معرفی قابل عبور می باشد.

در اینجا هکر به vlan1 رفته وکنار تگ1 یک تگ 10 میچسباند , سوییچ هنگام process به تگ 10 نگاه میکند و انرا به سمته vlan10 هدایت میکند.برای جلوگیری از این کار میتوان native vlan را از vlan1 تغییر داد ویا Native vlan را با تگ ارسال کنیم با این دستور:

Switch(config-if)# switchport trunk native vlan tag

نظرات