存在于经典网络架构中的一个信息窃取风险
背景:核心交换机和其他IDC用三层互联,和接入交换机运行二层网络。核心交换机运行VRRP做本IDC内网网关(左边为主,右边为备)。现有其他IDC需访问本IDC内10.1.1.1
拓扑:
流量走向:
入向流量:
1、目的为10.1.1.1的流量到达右边核心交换机
2、右边核心交换机查看本机MAC地址表匹配目标MAC,结果发现查不到,于是在同vlan内泛洪此流量
3、同vlan内10.1.1.1与10.1.1.2都收到此流量
出向流量:
4、10.1.1.1查路由表,发现内网网关为核心交换机,此时左边核心交换机为VRRP主,故ARP解析将左边交换机MAC解析为网关地址
5、流量交给左边交换机,左边交换机根据三层路由表将数据直接传出去
产生问题:右边核心通过泛洪将数据包发给了vlan内所有的服务器,那么只要拿到这个vlan内任意一台服务器的权限就可以嗅探到到达此vlan的所有包
问题原因:由于回包不经过右边交换机,所以右边交换机永远学不到10.1.1.1的MAC。学不到MAC就要在同vlan内泛洪。(单播泛洪)
解决方案:
1、核心交换机做堆叠
2、在交换机无关端口开启阻塞端口泛洪。(SW(config-if)#switchport block unicast)
3、采用全三层组网结构