De acordo com a seção 8.2 do manual se uma porta estiver definida como VLAN estática, os pacotes recebidos nessa porta serão enviados para a VLAN configurada, estejam eles marcados ou não.
A minha VLAN 1 é um risco de segurança?
1
Primeiro, sou relativamente novo em VLANs. Eu tenho um switch ZyXEL GS-1524 e duas redes que eu quero manter separadas, mas elas precisam usar o mesmo roteador. O roteador está na porta 22, as portas 17 e 18 pertencem à primeira rede e todas as outras à segunda.
O problema é que o meu switch requer que todas as portas estejam na VLAN 1. Não parece ser suficiente criar apenas a VLAN 2 para a primeira rede, porque as mesmas portas pertencem à VLAN 1 e qualquer coisa conectada a uma porta pertencente a A VLAN 1 seria capaz de alcançá-lo.
Portanto, criei duas novas VLANs: VLAN 2 para a primeira rede e VLAN 3 para a segunda. Eu também mudei os PVIDs para que o que vem em untagged em 17 ou 18 seja marcado como VLAN 2 e o resto em VLAN 3. Desta forma, o que vem em untagged é forçado a permanecer dentro da VLAN que é designada via PVID.
Agora, o que acontece se um dispositivo conectado marcar seus pacotes? Os pacotes marcados não são marcados novamente. Se um dispositivo que deveria estar na VLAN 2 marcar seus pacotes como VLAN 3, nada iria dar errado, suponho, já que sua porta não está na VLAN 3. No entanto, todas as portas estão na VLAN 1 - o switch não me dá nenhuma escolha. Isso significa que todos os dispositivos podem alcançar um ao outro enquanto um ou ambos os lados (não seguro) marcarem seus pacotes como VLAN 1? Isso seria uma quebra de segurança!
por Thijs van Dien
19.05.2012 / 13:17