私有VLAN該如何理解? 私有vlan的特性是什么? vlan和私有vlan又有什么區別? 怎么用私有vlan來阻止ARP攻擊? 為什么私有vlan里面還分主vlan和輔vlan?該怎么區分?
5000個主機連在運營商交換機上,運營商把這些主機放在同一個VLAN里,有一個非常大的安全隱患:其中任意一臺主機冒充網關,其它主機出網流量就被假冒網關劫持了。
運營商把每個主機放在一個獨一無二的VLAN里,可以杜絕ARP欺騙,但是卻沒有那么多VLAN,畢竟VLAN最大值也不過4096。
其實,用戶主機只要能ARP廣播發現網關的mac地址,進而和網關通信,就可以與整個Internet通信,對嗎?因為網關是連在Internet上的。
那怎樣的解決方案,可以讓主機只能ARP廣播發現網關的MAC地址,從而杜絕ARP欺騙攻擊?同時又最大程度減少VLAN的使用數量?這個解決方案的名字叫“私有VLAN“。
私有VLAN(Private VLAN)
主機們被分配在同一個Secondary VLAN(101)里,可是它們卻不在一個廣播域里,所以它們無法通過ARP廣播發現彼此的MAC地址。ARP欺騙攻擊很顯然無法一展身手。
網關被分配在Primary VLAN(100)里。神奇的一幕發生了,位于VLAN 100里的網關卻與每一個位于VLAN 101的主機在一個廣播域。既然在一個廣播域,主機們就可以ARP廣播發現網關的MAC地址,進而可以與Internet主機通信。
吃葡萄不吐葡萄皮,不吃葡萄倒吐葡萄皮。為什么同屬于VLAN 101的主機,卻不在一個廣播域?而網關和主機不在一個VLAN里,卻能工作在一個廣播域?
其實,這些奇巧淫技沒有什么稀奇,不過是技術上一點小技巧。交換機的內部交換矩陣,按照配置的指令,將Primary VLAN(100)與每一個主機VLAN (101)橋接(Bridging)在一起,但不是完全橋接,因為主機之間卻無法橋接。
