-
思科 Nexus 交換器中存在高風險DoS 漏洞
思科發布安全公告,提醒客戶注意其Nexus 3000和9000系列交換器 NX-OS 軟體中間系統到中間系統 (IS-IS) 特性中的一個嚴重漏洞CVE-2025-20241。此漏洞的CVSS評分為7.4,可導致未認證的第二層(資料鏈結層)鄰近攻擊者傳送惡意建構的IS-IS封包重啟IS-IS進程,從而可能重新載入該裝置並引發拒絕服務條件。思科 Nexus 3000和9000設備中的漏洞 該漏洞是因為在解析入站 IS-IS 資料包時對輸入驗證不充分導致的。攻擊者必須與目標交換器位於相同的廣播域中,透過傳輸一個特別建構的IS-IS L1或L2封包才能利用該漏洞。 收到該封包後,NX-OS IS-IS 守護程序可能會崩潰,隨後重新載入整個交換器、破壞網路路由和流量轉送。此條件影響思科 Nexus 3000系列交換器以及處於獨立NX-OS模式的Nexus 9000系列交換器。 只有在至少一個介面上啟用了IS-IS的設備才易受攻擊。處於ACI模式、Firepower 1000/2100/4100/9300、mds 9000和UCS Fabric Interconnects 的產品確認不受影響。安全公告提到,如果 IS-IS 認證已配置,攻擊者必須提供有效金鑰才能利用該漏洞。若要驗證 IS-IS 的狀態,管理者必須執行以下 CLI 指令:如出現特性isis、路由器isis名稱以及至少一個 ip 路由器isis 名稱條目就可確認已被揭露。若要查看即時 IS-IS 端點,可使用:目前尚不存在臨時的應變措施,不過為IS-IS啟用區域認證,要求攻擊者在發送惡意資料包之前進行認證,可緩解風險。思科強烈建議客戶全面評估此緩解措施,以確保與其網路要求相容。思科也發布免費的軟體更新以修復漏洞。擁有有效服務合約的客戶應從思科支援和下載入口網站下載並安裝已修復版本。如無服務合同,則應聯絡思科 TAC,透過公告 URL 和產品序號,取得必要修補程式。開源衛士試用網址:https://oss.qianxin.com/#/login代碼衛士試用網址:https://sast.qianxin.com/#/login
-
什麼是VXLAN?
前言VXLAN即 ,是大二層網路中廣泛使用的網路虛擬化技術。在來源網路設備與目的網路設備之間建立一條邏輯VXLAN隧道,採用MAC in UDP(User Datagram Protocol)封裝方式,即,將虛擬機發出的原始以太報文完整的封裝在UDP報文中,然後在外層使用物理網絡的IP報文頭和以太報文頭封裝,這樣,封裝後的報文就像普通IP報文一樣,可以通過路由網絡轉發,這就像給二層網絡的虛擬機插上了路由的翅膀,使二層網格的翅膀限制了。 01為什麼需要VXLAN?為什麼需要VXLAN?這和伺服器的虛擬化趨勢緊密相關,一方面出現了虛擬機器動態遷移,要求虛擬機器在遷移前後的IP和MAC位址不能改變;另一方面,租戶數量激增,需要網路提供隔離海量租戶的能力。1.1 虛擬機器動態遷移伺服器虛擬化技術是把一台實體伺服器虛擬化成多台邏輯伺服器,這種邏輯伺服器稱為虛擬機器(VM)。透過伺服器虛擬化,可以有效提高伺服器的利用率,降低能源消耗,降低營運成本,所以虛擬化技術目前得到了廣泛的應用。伺服器虛擬化後,虛擬機動態遷移變得常態化,為了確保遷移時業務不會中斷,就要求在虛擬機遷移時,不僅虛擬機的IP位址不變,而且虛擬機的運作狀態也必須保持原狀(例如TCP會話狀態),所以虛擬機的動態遷移只能在同一個二層域中進行,而不能跨二層域遷移。傳統的三層網路架構限制了虛擬機器的動態遷移範圍,如下圖所示,遷移只能在一個較小的局部範圍內進行,應用程式受到了極大的限制。 統的三層網路架構限制了虛擬機器的動態遷移範圍 為了打破這個限制,實現虛擬機器的大範圍甚至跨地域的動態遷移,就要求把VM遷移可能涉及的所有伺服器都納入同一個二層網路域,這樣才能實現VM的大範圍無障礙遷移。眾所周知,同一台二層交換機可以實現下掛伺服器之間的二層通信,而且伺服器從該二層交換器的一個端口遷移到另一個端口時,IP地址是可以保持不變的。這樣就可以滿足虛擬機器動態遷移的需求了。 VXLAN的設計理念和目標正是由此而來的。VXLAN提供一套方法論,在IP網路基礎上,當來源與目的之間有通訊需求時,便在IP網路之上建立一條虛擬的隧道,透明轉送使用者資料。任兩點之間都能透過VXLAN隧道來通信,忽略底層網路的結構與細節。從伺服器的角度看,VXLAN為它們將整個基礎網路虛擬成了一台巨大的“二層交換器”,所有伺服器都連接在這台虛擬二層交換器上。而基礎網路之內如何轉送都是這台「巨大交換器」內部的事情,伺服器完全無需關心。 VXLAN将整个基础网络虚拟成了一台巨大的“二层交换机”基於這個「二層交換器」的模型,就很容易理解為什麼VXLAN可以實現VM動態遷移了:將虛擬機從「二層交換器」的一個端口換到另一個端口,完全無需變更IP位址。1.2 租戶數量激增,要求提供一個可隔離海量租戶的網絡在傳統的VLAN網路中,標準定義所支援的可用VLAN數量只有4000個左右。伺服器虛擬化後,一台實體伺服器中承載了多台虛擬機,每個虛擬機都有獨立的IP位址和MAC位址,相當於伺服器倍增了。例如,公有雲或其它大型虛擬化雲端資料中心動輒需容納數萬甚至更多租戶,VLAN的能力顯然已經力不從心。 VXLAN如何來解決上述問題呢? VXLAN在VXLAN幀頭中引入了類似VLAN ID的網路標識,稱為VXLAN網路標識VNI(VXLAN Network ID),由24位元組成,理論上可支援多達16M的VXLAN段,從而滿足了大規模不同租戶之間的標識、隔離需求。 02 VXLAN與VLAN之間有何不同?VLAN作為傳統的網路隔離技術,在標準定義中VLAN的數量只有4000個左右,無法滿足大二層網路的租戶間隔離需求。另外,VLAN的二層範圍一般較小且固定,無法支援虛擬機器大範圍的動態遷移。VXLAN完美地彌補了VLAN的上述不足,一方面透過VXLAN中的24位元VNI字段,提供多達16M租戶的識別能力,遠大於VLAN的4000;另一方面,VXLAN本質上在兩台交換器之間構建了一條穿越基礎IP網絡的虛擬隧道,將IP基礎網絡虛擬成一個巨型“二層交換機之間構建了一條穿越基礎IP網絡的虛擬隧道,將IP基礎網絡虛擬成一個巨型“二層交換機之間構建了一條穿越基礎IP網絡的虛擬隧道,將IP基礎網絡虛擬成一個巨型“二層交換機之間構建了一條主要遷移的雖然從名字來看,VXLAN是VLAN的一種擴充協議,但VXLAN建構虛擬隧道的本領已經與VLAN迥然不同了。下面來介紹下,VXLAN報文到底長啥樣。 VXLAN封包格式(以外層IP頭為IPv4格式為例)如上圖所示,VTEP對VM發送的原始以太幀(Original L2 Frame)進行了以下「包裝」:VXLAN Header增加VXLAN頭(8位元組),其中包含24位元的VNI字段,用來定義VXLAN網路中不同的租戶。此外,還包含VXLAN Flags(8比特,取值為00001000)和兩個保留欄位(分別為24比特和8比特)。UDP HeaderVXLAN頭和原始以太幀一起作為UDP的資料。在 UDP頭中,目的連接埠號碼(VXLAN Port)固定為4789,來源連接埠號碼(UDP Src. Port)是原始以太幀透過雜湊演算法計算後的值。Outer IP Header封裝外層IP頭。其中,來源IP位址(Outer Src. IP)為來源VM所屬VTEP的IP位址,目的IP位址(Outer Dst. IP)為目的VM所屬VTEP的IP位址。Outer MAC Header封裝外層以太頭。其中,來源MAC位址(Src. MAC Addr.)為來源VM所屬VTEP的MAC位址,目的MAC位址(Dst. MAC Addr.)為到達目的VTEP的路徑中下一跳設備的MAC位址。03VXLAN是如何運作的?本節將為您介紹VXLAN隧道的建立過程,並在這個過程中更了解VXLAN的工作原理。 3.1 VXLAN中的VTEP和VNI在介紹VXLAN隧道的建立過程前,先來了解VXLAN網路模型中一些常見的概念。如下圖所示,兩台伺服器之間透過VXLAN網路進行通訊。在兩台TOR交換器之間建立了一條VXLAN隧道,TOR交換器將伺服器發出的原始資料幀加以“包裝”,以便原始訊息可以在承載網路(例如IP網路)上傳輸。當到達目的伺服器所連接的TOR交換器後,離開VXLAN隧道,並將原始資料幀恢復出來,繼續轉送給目的伺服器。 VXLAN網路中出現了一些傳統網路中沒有的新元素,如VTEP、VNI等,它們的作用是什麼呢?以下將向您介紹這幾個新元素。3.2 什麼是VXLAN VTEPVTEP(VXLAN Tunnel Endpoints,VXLAN隧道端點)是VXLAN網絡的邊緣設備,是VXLAN隧道的起點和終點,源服務器發出的原始數據幀,在VTEP上被封裝成VXLAN格式的報文,並在IP網絡中傳遞到另外一個VTEP上,並經過解封轉還原出原始的數據幀,最後轉發給目的服務器。3.3 什麼是VXLAN VNIVNI(VXLAN Network Identifier,VXLAN…
-
如果你是開心的,其實這條路怎麼走都沒關係
偶然看到這個文章,感覺說的好對,轉發一下原創 來自青野力別管月台時鐘指向哪一格的擁擠,你的列車鳴笛,自有它漂浮的軌跡。 像雲選擇不靠岸——風就是它的行李。他們說花期該在春天整齊列隊, 你的野草卻在石縫裡,亮出倔強的綠。 盛夏、深秋……綻放何必排隊?便利商店暖光舔舐深夜的倦意, 耳機裡流著獨立樂團的囈語。 地鐵空蕩的末班車,載著未完成的詩句。無人認領的座位, 恰是自由的疆域。不必把遠方刻進行李箱的凹槽。 租來的小陽台,仙人掌正刺破黃昏的金箔。 快樂是此刻咖啡杯沿的奶沫。 是舊書店裡,突然撞見的靈魂段落。所以啊, 別數腳印是否排成筆直的虛線。 別問單身地圖是否缺少玫瑰的標記。 若你眼底有光, 腳步輕盈如未拆的信箋。整座城市, 都是你正在簽收的風景。 你是自己的方向,也是終點的意義。