[GTER] Usando Vlans

Julio Arruda jarruda-gter at jarruda.com
Wed Feb 18 22:49:22 -03 2009


bruno at openline.com.br wrote:
> --- "casfre at gmail.com" <casfre at gmail.com> escreveu:
>>      Nesse caso, o que me deixa "encucado" ( "farta" (de) leitura, com
>> já citei? ) é que o switch precisa de alguma coisa para saber o
>> destino dos pacotes, já que a porta 1 é comum entre todas as VLANs.
>> Pelo que o Júlio explicou, pode ser, por exemplo o MAC.
> 
> Sim, no port based VLAN é o mac. No tag based é o ID da VLAN
> no frame ethernet

Na verdade nao, em uma porta com 802.1Q, pacotes entrantes sao 
CLASSIFICADOS em uma VLAN, pelo tag, mas o destino dos pacotes, ai vai 
cair na historia do MAC destino de novo, neste caso, na tabela de 
forwarding DAQUELA VLAN somente..Se for nao-unicast ou desconhecido, vai 
fazer flooding para todas as outras portas na mesma VLAN, se for 
conhecido o destino, vai sair somente por aquela porta.

> 
>>      Sim, esse foi o primeiro uso que fiz, embora eu não me sinta
>> "seguro" usando VLANs para separar segmentos críticos 
> 
> Se colocar a vlan da configuração do switch no seguimento seguro
> não tem como entrar nele (de fora) para alterar as VLANs e
> ganhar acesso interno (pelo menos nenhum jeito que eu conheça)

Creio que nao precisava, ao menos antigamente, procure por VLAN leaking..
Por sinal, era a raiz do grande debate "VLANs sao seguras ou nao", 
sinceramente, nao lembro qual a conclusao, mas que dava para burlar as 
VLANs em alguns dispositivos, era esta a teoria..

> 
>> Nesse seu exemplo, não há "tag" nem VLAN id, ou
>> seja, o "firewall" possui uma interface ligada em cada segmento.
> 
> Exato, é como ter 2 switches separados
> 
> []s, !3runo Cabral
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list