[GTER] Usando Vlans
Julio Arruda
jarruda-gter at jarruda.com
Wed Feb 18 22:49:22 -03 2009
bruno at openline.com.br wrote:
> --- "casfre at gmail.com" <casfre at gmail.com> escreveu:
>> Nesse caso, o que me deixa "encucado" ( "farta" (de) leitura, com
>> já citei? ) é que o switch precisa de alguma coisa para saber o
>> destino dos pacotes, já que a porta 1 é comum entre todas as VLANs.
>> Pelo que o Júlio explicou, pode ser, por exemplo o MAC.
>
> Sim, no port based VLAN é o mac. No tag based é o ID da VLAN
> no frame ethernet
Na verdade nao, em uma porta com 802.1Q, pacotes entrantes sao
CLASSIFICADOS em uma VLAN, pelo tag, mas o destino dos pacotes, ai vai
cair na historia do MAC destino de novo, neste caso, na tabela de
forwarding DAQUELA VLAN somente..Se for nao-unicast ou desconhecido, vai
fazer flooding para todas as outras portas na mesma VLAN, se for
conhecido o destino, vai sair somente por aquela porta.
>
>> Sim, esse foi o primeiro uso que fiz, embora eu não me sinta
>> "seguro" usando VLANs para separar segmentos críticos
>
> Se colocar a vlan da configuração do switch no seguimento seguro
> não tem como entrar nele (de fora) para alterar as VLANs e
> ganhar acesso interno (pelo menos nenhum jeito que eu conheça)
Creio que nao precisava, ao menos antigamente, procure por VLAN leaking..
Por sinal, era a raiz do grande debate "VLANs sao seguras ou nao",
sinceramente, nao lembro qual a conclusao, mas que dava para burlar as
VLANs em alguns dispositivos, era esta a teoria..
>
>> Nesse seu exemplo, não há "tag" nem VLAN id, ou
>> seja, o "firewall" possui uma interface ligada em cada segmento.
>
> Exato, é como ter 2 switches separados
>
> []s, !3runo Cabral
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list