سلام دوستان.
آقا این switch port mode access واسه چیه؟به چه درد می خوره؟پیشاپیش از پاسخهاتون ممنونم.
Printable View
سلام دوستان.
آقا این switch port mode access واسه چیه؟به چه درد می خوره؟پیشاپیش از پاسخهاتون ممنونم.
Switchport برای ایمن کردن پورتهای سوئیچ یا روتر هست.
اما Access Modeبرای پورت هایی استفاده میشه بهشون End Device مثل کامپیوتر وصل میشه.
Trunk Modeهم هست که Devices مشابه بخوان بهم وصل شن مثل ۲ تا سوئیچ یا ۲ تا روتر
بطورDefault هم همهٔ پورت*ها Dynamic هستن
سلام برای جلوگیری از Vlan Happing
راستش نظرات کارشناسی دوستان فوق العاده هست !!! تعاریف جدبد در شبکه هم تولید شد همون NETWORK2.0
switchport mode access زمانی استفاده می شود که پورت فقط به یک VLAN خاص اختصاص داده می شود. حالا میتونه یک PC ، یک روتر باشد یا ....
فرمان Switchport هم پورت را در لایه 2 قرار می دهد نه اینکه ایمن می کند ....
Trunk هم یک پورت هست که به چند تا VLAN تعلق داره. حالا می تونه به یک سوئیچ دیگر وصل بشه ، یک روتر یا یک کارت شبکه روی یک سرور یا هر دستگاهی با این قابلیت !
[QUOTE=shabake_karan;271308]راستش نظرات کارشناسی دوستان فوق العاده هست !!! تعاریف جدبد در شبکه هم تولید شد همون NETWORK2.0
switchport mode access زمانی استفاده می شود که پورت فقط به یک VLAN خاص اختصاص داده می شود. حالا میتونه یک PC ، یک روتر باشد یا ....
فرمان Switchport هم پورت را در لایه 2 قرار می دهد نه اینکه ایمن می کند ....
Trunk هم یک پورت هست که به چند تا VLAN تعلق داره. حالا می تونه به یک سوئیچ دیگر وصل بشه ، یک روتر یا یک کارت شبکه روی یک سرور یا هر دستگاهی با این قابلیت ![/QUOTE]
با سلام
بله کاربرد[B] اصلی[/B] چیزیه که آقای منصوری فرمودند.
اما درکل در خصوص Vlan Hopping هم نظر آقا وحید درسته . برای جلوگیری از این Attack باید Valn 1 رو خالی گذاشت که از
Double tagging جلوگیری بشه و هم اینکه Port ها رو از حالت Dynamic خارج کرد که نشه با روش های مختلف Trunk اش کرد.
باز هم در پایان آقای منصوری کارشون درسته ! :)
[URL="http://en.wikipedia.org/wiki/VLAN_hopping"]VLAN hopping - Wikipedia, the free encyclopedia[/URL]
بله البته ... این درسته ، کاربرد VLan Hopping درست هست. اما استفاده از switchport access یکی از راه کاری های جلوگیری از Vlan hopping هست. اونهم در روشی که پورت شما Trunk شودو .....
در ضمن روش بهتری هم از خالی گذاشتن Vlan1 ( یا بهتره بگیم Native Vlan) هم وجود داره که نمی گم که search کنید :p
می شه از ISL هم استفاده کرد. اگر باز هم راه داره آقای منصوری بهتون بعدا خواهند گفت !
از یه vlan دیگه به عنوان native استفاده کنید .
[LEFT] [B]switchport trunk native vlan[/B] [I]vlan_id[/I][/LEFT]
ممنون از پاسخهاتون.اما این hopping که میگین چیه؟
نهههههههههههههههههههههه !
[QUOTE=al1p0ur;271367]از یه vlan دیگه به عنوان native استفاده کنید .
[LEFT][B]switchport trunk native vlan[/B] [I]vlan_id[/I][/LEFT]
[/QUOTE]
با تشکر از شما.
ولی در کل فکر می کنم قضیه سر اینه که Native vlan به Packet ها Tag اضافه نمی کنه و می شه با Double tagging ردش کرد. حالا شما Native رو عوض کنید ولی وقتی کسی عضوش باشه اگر Double Tag بفرسته رد می شه.
فکر می کنم آقای منصوری یه مورد خاصی رو می دونه که امید وارم آخرش به همه بگه !!! نه !!!!!!!!!!!!!!!!!
[QUOTE=it-eng;271390]ممنون از پاسخهاتون.اما این hopping که میگین چیه؟[/QUOTE]
دوست عزیز
یه مقدار بحث از سوال شما خارج شد. ولی در مورد Hopping که پرسیدید
یکی از روش های Attack هست به این منظور که شما بتونید به Vlan ای که عضوش نیستید دسترسی پیدا کنید.
شاید براتون این سوال پیش بیاد پس Access list این وسط چکاره است ؟
همونطور که می دونید Vlan در لایه 2 عمل می کنه . این Attack هم روی لایه دو هست و اصلا به Access list که روی سه و
چهار عمل می کنه نمی رسه و کلا می تونه دورش می زنه.
این Attack به دو طریق Double Tag و ترانک کردن پورت های Dynamic به وجود می یاد واز این طریق نفوذگر می تونه به
Vlan مقصدش دسترسی پیدا کنه بدون اینکه مجوزی داشته باشه.
[QUOTE=kazem_m;271512]
ولی در کل فکر می کنم قضیه سر اینه که Native vlan به Packet ها Tag اضافه نمی کنه و می شه با Double tagging ردش کرد. حالا شما Native رو عوض کنید ولی وقتی کسی عضوش باشه اگر Double Tag بفرسته رد می شه.
[/QUOTE]
سلام کاظم جان
حرف شما کاملا صحیحه ولی vlan ای رو به عنوان NATIVE انتخاب میکنن که کسی عضوش نباشه . اگه کسی عضو native vlan باشه بله ، حرف شما صحیح .
دستم درد نکنه چه بحثی به راه انداختم:D
اونهم این فرمان هست !
vlan dot1q [I]tag[/I] native
با استفاده از این فرمان ، Native vlan رو هم tag می زنند تا از تمامی این بحث ها راحت شوند !!
جایزش مال من شد ! :D
[QUOTE=shabake_karan;271538]اونهم این فرمان هست !
vlan dot1q [I]tag[/I] native
با استفاده از این فرمان ، Native vlan رو هم tag می زنند تا از تمامی این بحث ها راحت شوند !!
جایزش مال من شد ! :D[/QUOTE]
این کار بعضی جاها مشکل ساز میشه !