Skip to main content

7. Security Considerations (安全考虑)

传统上, 第 2 层网络只能被恶意端点从"内部"攻击——要么通过对 LAN 的不当访问并窥探流量, 要么通过注入欺骗数据包来"接管"另一个 MAC 地址, 或者通过泛洪并导致拒绝服务。用于传输第 2 层流量的 MAC-over-IP 机制显著扩大了这种攻击面。这可能通过恶意实体将自己注入网络来实现, 方法是订阅一个或多个承载 VXLAN 段的广播流量的组播组, 以及通过将 MAC-over-UDP 帧作为源发送到传输网络中以注入虚假流量, 可能劫持 MAC 地址。

本文档没有针对此类攻击纳入特定措施, 而是依赖于在 IP 之上分层的其他传统机制。相反, 本节概述了 VXLAN 环境中安全性的一些可能方法。

恶意端点的传统第 2 层攻击可以通过限制在 VXLAN 环境中部署和管理 VM/网关的管理和行政范围来缓解。此外, 这些行政措施可以通过 802.1X [802.1X] 等方案进行增强, 用于单个端点的准入控制。此外, VXLAN 基于 UDP 的封装的使用使得能够在物理交换机中配置和使用基于五元组的 ACL (Access Control List, 访问控制列表) 功能。

IP 网络上的隧道流量可以使用传统的安全机制 (如 IPsec) 进行保护, 这些机制对 VXLAN 流量进行身份验证并可选地进行加密。当然, 这需要与授权端点的身份验证基础设施相结合, 以获取和分发凭据。

VXLAN 覆盖网络是在现有 LAN 基础设施上指定和运行的。为了确保 VXLAN 端点及其 VTEP 在 LAN 上得到授权, 建议为 VXLAN 流量指定一个 VLAN, 并且服务器/VTEP 通过此 VLAN 发送 VXLAN 流量, 以提供一定程度的安全性。

此外, VXLAN 需要 VNI 与这些覆盖网络中的 VM 成员资格的正确映射。预期此映射将使用现有的安全方法完成并传达给 VTEP 和网关上的管理实体。

Last updated on