异步路由、单播泛洪产生的安全侦听风险

 

存在于经典网络架构中的一个信息窃取风险

 

 

背景：核心交换机和其他IDC用三层互联，和接入交换机运行二层网络。核心交换机运行VRRP做本IDC内网网关（左边为主，右边为备）。现有其他IDC需访问本IDC内10.1.1.1

 

拓扑：

 

流量走向：

 

入向流量：

1、目的为10.1.1.1的流量到达右边核心交换机

2、右边核心交换机查看本机MAC地址表匹配目标MAC，结果发现查不到，于是在同vlan内泛洪此流量

3、同vlan内10.1.1.1与10.1.1.2都收到此流量

 

出向流量：

4、10.1.1.1查路由表，发现内网网关为核心交换机，此时左边核心交换机为VRRP主，故ARP解析将左边交换机MAC解析为网关地址

5、流量交给左边交换机，左边交换机根据三层路由表将数据直接传出去

 

 

产生问题：右边核心通过泛洪将数据包发给了vlan内所有的服务器，那么只要拿到这个vlan内任意一台服务器的权限就可以嗅探到到达此vlan的所有包

 

 

问题原因：由于回包不经过右边交换机，所以右边交换机永远学不到10.1.1.1的MAC。学不到MAC就要在同vlan内泛洪。（单播泛洪）

 

 

解决方案：

1、核心交换机做堆叠

2、在交换机无关端口开启阻塞端口泛洪。（SW(config-if)#switchport block unicast）

3、采用全三层组网结构