Scopo Vlan NAtiva

[ciscoboy88]

Si hai ragione...scusami ho detto una stronzata...
cmq su vlan attacker ad esempio il pc che cerca di sniffare i dati di una rete con un attack vlan invia un frame con un tag dot1q nascosto oltre...guarda qua su questo link l'immagine in basso : http://www.netsetup.it/index.php?option ... &Itemid=43


Lui manda un frame con un tag dot1q,...ma non dovrebbe essere lo switch a taggare il frame quando esce dalla porta in trunk ????!!!!

[Gianremo.Smisek]

credo che, piu' semplicemente, possiamo riassumere che la native vlan raccoglie traffico non taggato. Senza creare altri dubbi

P.S. quello di cui parli e' il VLAN Hopping e lo contrasti settando la native vlan ad una vlan non usata.

[ciscoboy88]

Lo so intel..ma uno deve capire a che scopo serve il traffico taggato e non taggato...cioè quando implementi una rete...ti sei mai chiesto perchè ti serve il traffico non taggato ? se uno te lo chiede cosa gli dici ?

[Gianremo.Smisek]

se non sai a cosa serve un traffico taggato/non taggato, allora hai sbagliato qualcosa fin dall'inizio. Non hai compreso bene il concetto di segmentazione in VLAN...

[Dagoth]

ciscoboy il traffico taggato ti serve perché devi capire i dati a quali vlan dati appartengono! Il traffico non taggato invece è quello generato dagli stessi switch e quindi viene scambiato fra loro, non con gli end device, per cui non ha bisogno di essere associato ad una particolare vlan.

[ciscoboy88]

il traffico taggato lo avevo già compreso...l'unica cosa che non avevo compreso era il traffico non taggato...xk su cisco mette la vlan di management insieme a quella nativa...e ti crea confusione...

[Gianremo.Smisek]

non preoccuparti.. e' per comodita'.

[ciscoboy88]

Capito...cmq adesso mi è + chiaro...fate conto che ho già la ccna..ma ce l'ho da due anni..e il concetto di vlan native nn avevo mai approfondito cosi bene il discorso...

[ciscoboy88]

Un ultim cosa...ma quando creo la vlan nativa in una porta in Trunk...e ho settato l'allowed per alcune vlan...devo comprendere anche quella Nativa o quella Nativa cmq funziona lo stesso in quanto è traffico non taggato ?

[Dagoth]

In realtà non la crei, la imposti soltanto. Comunque non va inclusa nelle allowed, è una cosa a parte. Puoi facilmente sperimentarla sul packet tracer sta cosa.

[ciscoboy88]

Sisi l'ho appena sperimentato...infatti va cmq....se tu non la permetti lui la droppa in modo che non viene elaborata per cercare nella sua mac address table per vedere quale porta è nella vlan che è anche la vlan nativa...cmq anche se metto in due switch vlan native diverse funziona cmq....strano vero ?

[Gianremo.Smisek]

le vlan native non devono essere allowate nei trunk, altrimenti gli attacchi vlan hopping "fanno carne di porco" (si dice dalle mie parti)

[ciscoboy88]

Eh si...infatti poi ci sono arrivato...ma cmq se attacco uno switch in una porta access...quello switch si comporta da HUb cioè può supportare massimo una VLAN per collegamento ameno che non lo metti in trunk...giusto ???

[TeoUfo]

Se colleghi uno switch ad una porta access quello switch continuerà a esercitare la funzione di switch esclusivamente su frames untagged.

Un hub è un ripetitore di segnale, uno switch deve analizzare le informazioni contenute nel src mac address e le salva in CAM o TCAM.

Nessuno poi ci vieta di disabilitare totalmente la nativa sui trunk (cisco stesso lo consiglia nell'ultima SAFE blueprint): STP (PVSTP) continuerà a funzionare in ogni caso, dato che prevede un'istanza separata per ogni VLAN.

Ciao

M

[ciscoboy88]

Capito...ma se io non permetto alcune vlan...lo STP per quelle vlan non passerà esatto ??