Kategorie Netzwerktechnik - Forum Sicherheit
Broadcast-Traffic anderer Vlans im eignen Vlan
geschrieben am 04.08.2006 um 12:38 von paule
Hallo Leute,
mal schnell eine Frage zum Wochenende.
Gibt es einen Mechanismus oder eine Fehlkonfiguration die Verursachen kann, dass Broadcast über Vlan-Grenzen gesendet werden kann? Hab schon bissel was gefunden in Richtung Multicast und TV-Streaming usw.
Hintergrund ist folgender. Traffic soll duch ein Netz mit Vlans über ein Vlan durchgeleitet werden, welches ich nicht selber administriere. Bevor ich das in Betrieb genommen hab, natürlich erstmal einen Sniffer auf den Port gesetzt. Und siehe da, an sich hätte garnichts da sein sollen, allerhand Traffic aus anderen Vlans kam zu Tage. Hab auch mal die Config des Netzes überfliegen können und an sich war nichts eingeschaltet was auf ein solches Verhalten hindeuten könnte. Einzig die Vlankonfiguration sah mir ein bisschen eigenartig aus. Sind Telco T4R Switche und da ist ein Vlan definiert welches über alle Switche und alle Ports geht, und dann halt noch andere Vlans die auf eine Teilmenge des ersten Vlans definiert ist.
Bin jetzt eher in Cisco fit, und da kann ein Port nur ein Trunk sein oder man weisst ihm einem Vlan zu. Alles andere wäre mir auch nicht loggisch. Aber wie es da aussieht, sind auf einem Port 2 Vlans gelegt, unlogisch, ist aber so.
Nu fang ich erstmal an ein paar Infos darüber zu suchen. Für mich ist das ein grobes Sicherheitsrisio. Und bevor das nicht behoben ist, werd ich mich hütten da anzustecken. Kurios ist nur, dass keinerlei getaggte Pakete mit auf dem Port liegen, aber der Port in 2 Vlans liegt.
Feature oder Bug?
Gruß paule
geschrieben am 04.08.2006 um 14:22 von bewa
Re: Broadcast-Traffic anderer Vlans im eignen Vlan
Gibt es einen Mechanismus oder eine Fehlkonfiguration die Verursachen kann, dass Broadcast über Vlan-Grenzen gesendet werden kann?
Normalerweise nur Vlan-Fehlconfiguration, wenn ich gerade nichts übersehe.
Bin jetzt eher in Cisco fit, und da kann ein Port nur ein Trunk sein oder man weisst ihm einem Vlan zu.
Auf 2900XL und noch älteren Plattformen gab es übrigens wohl mal Multi-Port-Vlans oder so ähnlich, wenn ich mich recht erinnere. Ist aber inzwischen wieder ausgestorben.
Kurios ist nur, dass keinerlei getaggte Pakete mit auf dem Port liegen, aber der Port in 2 Vlans liegt.
Feature oder Bug?
Du siehst also Traffic aus 2 verschiedenen Vlans, jeglicher Traffic ist untagged und kann auch nur aus diesen beiden Vlans kommen? Also in Cisco Vokabular ein Trunk mit mehreren nativ Vlans?
Das macht eigentlich keinen Sinn. Wenn man Hosts in mehrere Vlans packen möchte, ist das oft schon ein Design-Fehler, aber wenn schon, dann gehört das geroutet, nicht einfach alles auf den Port abgekippt.
geschrieben am 04.08.2006 um 15:28 von Mirko
Ich kann spontan auch keinen Sinn in einem solchen Feature erkennen. Laut Datenblatt machen die T4R einfach 802.1Q. Hast Du ein Handbuch von so einem Switch?
Mirko
geschrieben am 04.08.2006 um 21:47 von (Gast)
Handbuch hab ich schon überflogen. Und da die Switche da nicht in meiner Hand liegen hab kann ich vorerst nicht viel sagen.
Was ich bisher sagen kann ist, dass der Port der mir zugewiesen wurde wohl laut kurz gesehener config im administrativen nativen Vlan1 liegt und dann halt noch in einem anderen.
Broadcast Traffic ist aber aus allen anderen Vlans herraus zu lesen. Kenne die Netztopologie da nicht im Detail aber auf den ersten Blick fand ich Traffic, aus mindestens 3 weiteren Vlans. Testen kann ich aber erst nächste Woche wieder.
Und wenn ich so überleg werd ich auch mal probieren ein paar Unicast-Pakete an die anderen Vlans zu adressieren. Bisher hatte ich mich ja nur passiv an den Port geklemmt und gelauscht. Irgendwie hab ich im Gefühl dass nicht nur Broadcast durchdrückt. Aber wir werden sehen.
Wenn ich mehr Fakten hab, meld ich mich noch einmal. Werd den Kollegen da mal die Configs und die Topologie aus den Rippen leiern. Bissel überrascht war der auch, dass seine Vlans wohl nicht so sauber konfiguriert zu sein scheinen.
Gruß paule
geschrieben am 06.08.2006 um 07:41 von paule
Moin,
so ich hab mal was aus dem Handbuch entnommen. Doof nur, dass es das Handbuch nicht online irgendwo gibt. Das Bild soll nur die in meinen Augen unsinnige Config des Switches zeigen. Aber vielleicht hab ich ja nur einen Denkfehler.
Laut dem Example hier wäre Vlan1(default) auf allen Ports des Switches untagged.
Port 1/1/10 wäre eine Art, sagen wir es in Ciscosprache, Trunk und führt Vlan 15 bis 21 getagged.
Wenn ich mir dann aber Port 1/1/1 - 1/1/5 angucke fängt es schon an unklar zu werden. Lt. der Config wären die 5 Ports ja ungetagged in Vlan 1 und 15 bis 21, was in meinen Augen unlogisch ist.
Ich meine Ausgehenden Traffic aus dem Port würde man ja noch hinbekommen, aber was ist wenn ein Paket den Port erreicht? Wie will der eine Zuordung zu einem Vlan treffen, wenn das Paket nicht getagged ist?
Fragen über Fragen........
Wenn einer das Handbuch zum tiefer lesen will, kann ich es versuchen ihm zukommen zu lassen, leider hat das über 30 MB und 1.174 Seiten. Bissel groß also.
EDIT: Hab noch was im Handbuch gefunden. Deutet wohl darauf hin, dass wenn ein Paket den Port erreicht und keinen Tag hat das Vlan der PVID des Ports verpasst bekommt. Ist keiner Explizit zugeordnet, dann halt wohl Vlan1.
Port VLAN Identifier
In Port-based VLAN classification within a Bridge, the VID associated with an untagged or
priority-tagged frame (i.e., a frame with no tag header, or a frame with a tag header that
carries the null VLAN ID) is determined according to the port of arrival of the frame into the
switch. This classification mechanism requires the association of a specific VLAN ID, the
Port VLAN Identifier (PVID), with each of the switch’s ports.
The PVID for a given port provides the VID for untagged and priority-tagged frames received
through that port. The PVID value may be configured by the default vlan command in
Interface Configuration mode or by the add ports default command in Specific VLAN
Configuration mode.
If no PVID value has been explicitly configured for a port, the PVID assumes the value of the
default PVID which is 1.
The Default VLAN
On the switch's default configuration there is one default VLAN that has the following
properties:
• The VLAN name is default.
• It contains all the ports on the switch.
• The default VLAN is untagged on all ports.
• The default VLAN is the PVID of all the ports on the switch.
• The default VLAN has an internal VLAN ID of 1.[/b]
geschrieben am 07.08.2006 um 12:48 von paule
So kurzer Zwischenbericht. Hab mich in die IP-Ranges die beim Sniffen zu Tage kamen geklemmt und siehe da, ich kann auch ohne Probleme Unicast-Pakete an alle adressieren. So wie es aussieht wohl kein Bug, sondern eher eine schlechte oder falsche Config der Switche da.
geschrieben am 08.08.2006 um 22:00 von paule
So Problem hat sich nun erledigt. Hab mit meinem Kollegen noch ein bissel was rumkonfiguriert und siehe da, man bekommt eine saubere Vlan-config hin. Die Switche haben da halt nur den Makel, in meinem Augen, dass man da mehrere Vlans untagged auf einen Port packen kann, die dann halt outgoing aus dem Port kommen würden. Wenn ein Paket untagged incoming zum Port kommt wird es mit dem default-vlan des konfigurierten Ports getagged, dieses war auf allen Switchen und Ports bisher defaultvlan1.
Da lob ich mir weiterhin die Vlan-Config auf Cisco-Geräten. :)
-paule
[ Dieses Thema im Live-Forum aufrufen ]
|
