Yerel VLAN olmayan bir Bagajdan gelen VLAN işlem trafiğini desteklemeyen bir anahtar

10

Son zamanlarda mühendisin VLAN 41 taşıyan bir gövdeye sahip VLAN'ları desteklemeyen bir HP anahtarına sahip Çok Katmanlı Cisco anahtarının bulunduğu bir kurulumla karşılaştı.

HP anahtarı alındığında 802.1q trafiğiyle ne yapmalıdır?

802.1q etiketine sahip olmayan yerel VLAN'ın geçeceğini, ancak bagajdaki diğer VLAN'lara ne olacağını anlıyorum.

— dcrearer
kaynak

"Desteklemiyor" un doğasına bağlıdır. 0x8100 protokolünün ne olduğunu biliyorsanız, çerçeveyi düşürmesi gerekir. Ancak bu güvenli bir bahis olmaz.

— Ricky Beam

11

802.1Q etiketlerini desteklemeyen bir anahtar etiketli kareleri düşürmelidir. Bununla birlikte, birçok basit anahtar 802.1Q'ya hiç uymaz ve etiketli çerçeveleri tıpkı etiketlenmemiş çerçeveler gibi iletir - çoğunlukla VLAN bölümlemesinin amacından ödün vermez.

Basit bir anahtar, Q etiketini işaretleyen TPID'yi göz ardı edebilir ve bunu, daha önce olduğu Ethertype alanı gibi çerçeve yükü olarak kabul edebilir. Sonuç, etiketli çerçevelerin etiketsiz çerçeveler gibi değiştirilmesidir. Anahtarın hedef MAC adresi SAT'da depolanmayacağından, çerçevenin de tüm bağlantı noktalarına yayınlanması muhtemeldir.

VLAN gövdesini asla desteklemeyen bir anahtara yapılandırmamalısınız.

— Zac67
kaynak

Hedef MAC'in ana sorun olmadığını bilmediği için paketi yayınlayan anahtar. Tüm bunlardan sonra anahtarlar her zaman yapar ve nihai hedeflerin ya 802.1Q'yu desteklemesi ve doğru şeyi yapması ya da desteklememesi ve paketi düşürmesi beklenir. Ve orijinal pakete bir cevap alındığında, anahtar iletişimde yer alan her iki MAC adresini de bilecektir. Daha sorunlu olan, VLAN etiketine veya daha büyük paketlerle başa çıkamayan anahtarlara bağlı olarak aynı MAC'nin farklı arayüzler üzerinden yönlendirilmesi gereken yapılandırmalardır.

— kasperd

Etiketin çerçeveyi daha uzun (4 bayt) yaptığını unutmayın, bu nedenle artık beklenen MTU'dan (1518'e karşı 1514) daha büyük olabilir. Anahtar, bunu büyük boyutlu bir çerçeve olarak bırakmalıdır. Bazı çok eski Cisco anahtarları, etiketsiz bir bağlantı noktasında 1518B etiketli bir çerçeve verildiğinde kilitlenir.

— Ricky Beam

@RickyBeam Gerçekten de yorumumun son yarım cümlesinin noktası bu. Paketlerin düşürülmesi anlaşılır bir davranış olacaktır. Ama aslında anahtarın çökmesine neden olmak gerçekten kötü. Anahtarınıza bağlı tüm cihazlara güvenmeniz gerekmez, bu yüzden bunlardan biri anahtarın çökmesine neden olabilirse, bu bir DoS vektörüdür.

— kasperd

1

802.1q etiketine sahip olmayan yerel VLAN'ın geçeceğini, ancak bagajdaki diğer VLAN'lara ne olacağını anlıyorum.

Bu aslında tanımsız. Bazı anahtarlar etiketli kareleri hatalı biçimlendirilmiş veya dev olarak bırakır, bazı anahtarlar etiketleri sıyırır ve bazı anahtarlar yalnızca çerçeveleri geçirir.

— Ron Maupin
kaynak

Cisco anahtarları bile modele bağlı olarak bu durumda etiketli çerçeveleri farklı şekilde ele alır. Sadece bir sertifikayı yeniledim ve bu kavram büyük bir konuşma / tartışmaya dönüştü. Ron'un belirttiği gibi bir cevap yok. HP'den öğrenmeniz veya teste başlamanız gerekir. Wireshark bunun için kullanışlıdır.

— Fixitrod