스위치 인터페이스가 트렁크 모드이고 특정 VLAN 통과가 허용되지 않지만 여전히 액세스할 수 있습니까?

그림에서는 집선 스위치의 2개의 기가비트 전기 포트 eth-trunk1과 eth-trunk2가 트렁크 유형으로 구성되어 VLAN 31~37이 통과할 수 있습니다. 액세스 스위치의 2개의 100M 전기 포트는 액세스 유형으로 구성되며 기본 VLAN은 각각 VLAN 22 및 VLAN 32입니다. 코어 스위치와 집합 스위치도 트렁크 인터페이스를 통해 연결되므로 VLAN 22~37이 통과할 수 있습니다.

이 토폴로지에 따르면 이론적으로 PC1과 PC2는 서로 다른 VLAN(VLAN 22 및 VLAN 32)에 속해 있으므로 직접 통신할 수 없어야 하며, 서로 다른 VLAN에 있는 호스트는 기본적으로 직접 통신할 수 없습니다. 그러나 실제 네트워크 환경에서는 PC1과 PC2가 서로 ping을 할 수 있게 되는 다음과 같은 상황이 있을 수 있습니다.

잘못된 구성: 스위치 구성에 다음과 같은 오류가 있습니다. 인터페이스의 VLAN 설정이 올바르지 않거나 트렁크 인터페이스 VLAN 패킷이 올바르게 필터링되지 않습니다.

기본 VLAN: 액세스 레이어 스위치의 인터페이스가 액세스 유형으로 구성되고 기본 VLAN이 설정되어 있더라도 이러한 인터페이스가 다른 VLAN의 데이터 패킷 통과를 명시적으로 금지하지 않으면 다른 VLAN의 데이터 패킷은 VLAN은 계속 통과합니다. 이러한 인터페이스를 통해 전송할 수 있습니다.

기타 라우팅 장치: 네트워크에는 서로 통신할 수 있도록 서로 다른 VLAN의 호스트를 연결하는 다른 레이어 3 장치(예: 라우터)가 있을 수 있습니다.

포트 보안: 스위치에서 포트 보안 기능이 활성화되어 있지만 부적절하게 구성된 경우 스위치에서 지정된 VLAN에 속하지 않는 패킷이 통과하도록 허용할 수 있습니다.

VLAN 누출: 경우에 따라 인터페이스가 액세스 유형으로 구성되어 있어도 VLAN 누출이 발생할 수 있습니다. 즉, 다른 VLAN의 패킷이 인터페이스를 통과할 수 있습니다.

네트워크 장치 취약점: 일부 네트워크 장치에는 다른 VLAN의 호스트가 일반적인 격리 메커니즘을 우회하여 통신하도록 허용하는 취약점이 있을 수 있습니다.

이 문제를 해결하려면 먼저 VLAN, 트렁크 인터페이스, 액세스 제어 목록 등의 설정을 포함하여 스위치 구성이 올바른지 확인해야 합니다. 동시에, 취약점으로 인해 서로 다른 VLAN에 있는 호스트 간의 불법 통신을 방지하기 위해 네트워크 장치의 보안 패치가 최신 상태인지 확인하십시오.