سلام دوستان.
آقا این switch port mode access واسه چیه؟به چه درد می خوره؟پیشاپیش از پاسخهاتون ممنونم.
موضوعات مشابه:
- راهنمایی در شبکه کردن 3Com 3C16794 OfficeConnect Dual Speed 8 Port Switch
- dslam corecess 48 port bridge mode ????
- تفاوت Mode های Access Point و Router در اکسس پوینت
- تفاوت Merge Mode و Replace Mode در Loopback Processing
- فرق بین Patch Panel و Switch Port چیست؟؟
Switchport برای ایمن کردن پورتهای سوئیچ یا روتر هست.
اما Access Modeبرای پورت هایی استفاده میشه بهشون End Device مثل کامپیوتر وصل میشه.
Trunk Modeهم هست که Devices مشابه بخوان بهم وصل شن مثل ۲ تا سوئیچ یا ۲ تا روتر
بطورDefault هم همهٔ پورت*ها Dynamic هستن
سلام برای جلوگیری از Vlan Happing
راستش نظرات کارشناسی دوستان فوق العاده هست !!! تعاریف جدبد در شبکه هم تولید شد همون NETWORK2.0
switchport mode access زمانی استفاده می شود که پورت فقط به یک VLAN خاص اختصاص داده می شود. حالا میتونه یک PC ، یک روتر باشد یا ....
فرمان Switchport هم پورت را در لایه 2 قرار می دهد نه اینکه ایمن می کند ....
Trunk هم یک پورت هست که به چند تا VLAN تعلق داره. حالا می تونه به یک سوئیچ دیگر وصل بشه ، یک روتر یا یک کارت شبکه روی یک سرور یا هر دستگاهی با این قابلیت !
نوشته اصلی توسط shabake_karan
با سلام
بله کاربرد اصلی چیزیه که آقای منصوری فرمودند.
اما درکل در خصوص Vlan Hopping هم نظر آقا وحید درسته . برای جلوگیری از این Attack باید Valn 1 رو خالی گذاشت که از
Double tagging جلوگیری بشه و هم اینکه Port ها رو از حالت Dynamic خارج کرد که نشه با روش های مختلف Trunk اش کرد.
باز هم در پایان آقای منصوری کارشون درسته !
VLAN hopping - Wikipedia, the free encyclopedia
ویرایش توسط kazem_m : 2010-08-19 در ساعت 10:54 AM
بله البته ... این درسته ، کاربرد VLan Hopping درست هست. اما استفاده از switchport access یکی از راه کاری های جلوگیری از Vlan hopping هست. اونهم در روشی که پورت شما Trunk شودو .....
در ضمن روش بهتری هم از خالی گذاشتن Vlan1 ( یا بهتره بگیم Native Vlan) هم وجود داره که نمی گم که search کنید
می شه از ISL هم استفاده کرد. اگر باز هم راه داره آقای منصوری بهتون بعدا خواهند گفت !
از یه vlan دیگه به عنوان native استفاده کنید .
switchport trunk native vlan vlan_id
ممنون از پاسخهاتون.اما این hopping که میگین چیه؟
نهههههههههههههههههههههه !
با تشکر از شما.
ولی در کل فکر می کنم قضیه سر اینه که Native vlan به Packet ها Tag اضافه نمی کنه و می شه با Double tagging ردش کرد. حالا شما Native رو عوض کنید ولی وقتی کسی عضوش باشه اگر Double Tag بفرسته رد می شه.
فکر می کنم آقای منصوری یه مورد خاصی رو می دونه که امید وارم آخرش به همه بگه !!! نه !!!!!!!!!!!!!!!!!
دوست عزیز
یه مقدار بحث از سوال شما خارج شد. ولی در مورد Hopping که پرسیدید
یکی از روش های Attack هست به این منظور که شما بتونید به Vlan ای که عضوش نیستید دسترسی پیدا کنید.
شاید براتون این سوال پیش بیاد پس Access list این وسط چکاره است ؟
همونطور که می دونید Vlan در لایه 2 عمل می کنه . این Attack هم روی لایه دو هست و اصلا به Access list که روی سه و
چهار عمل می کنه نمی رسه و کلا می تونه دورش می زنه.
این Attack به دو طریق Double Tag و ترانک کردن پورت های Dynamic به وجود می یاد واز این طریق نفوذگر می تونه به
Vlan مقصدش دسترسی پیدا کنه بدون اینکه مجوزی داشته باشه.
ویرایش توسط kazem_m : 2010-08-20 در ساعت 10:48 AM
سلام کاظم جان
حرف شما کاملا صحیحه ولی vlan ای رو به عنوان NATIVE انتخاب میکنن که کسی عضوش نباشه . اگه کسی عضو native vlan باشه بله ، حرف شما صحیح .
دستم درد نکنه چه بحثی به راه انداختم
اونهم این فرمان هست !
vlan dot1q tag native
با استفاده از این فرمان ، Native vlan رو هم tag می زنند تا از تمامی این بحث ها راحت شوند !!
جایزش مال من شد !
ویرایش توسط shabake_karan : 2010-08-20 در ساعت 01:15 PM
این کار بعضی جاها مشکل ساز میشه !اونهم این فرمان هست !
vlan dot1q tag native
با استفاده از این فرمان ، Native vlan رو هم tag می زنند تا از تمامی این بحث ها راحت شوند !!
جایزش مال من شد !
مجوز های ارسال و ویرایش
18سپاس
LinkBack URL
About LinkBacks
