Требуется подтверждение на уровне безопасности 2 вопрос

Question

Требуется подтверждение на уровне безопасности 2 вопрос

Мне нужно подтверждение по вопросу о безопасности уровня 2. Я занимаюсь исследованиями, и мне просто нужно знать, что я правильно понимаю.

По сути, если у вас есть локальная сеть с несколькими компьютерами, подключенными к коммутатору, и эти машины передают LLDP или ARP или что-то в этом роде, правда ли, что эти переданные пакеты никогда не покинут локальную сеть (без неисправного программного обеспечения на коммутаторе или компьютерах? и тому подобное)?

Я знаю, что это основной вопрос, но я не смог найти прямой ответ на него, и я надеюсь, что кто-то может просто дать действительно краткий вопрос. Спасибо!

2

security arp link-layer

Источник

Mediocre Gopher 31 мар '11 в 23:29

2 ответа

Решение

Согласитесь, с безопасной конфигурацией и без программного обеспечения на хостах, передающих такой трафик, широковещательный трафик должен быть ограничен внутри VLAN в коммутируемой сети.

Еще один хороший справочник по вопросам безопасности уровня 2 и методам смягчения:

БЕЗОПАСНЫЙ Уровень 2 Безопасность Глубина (Белая книга Cisco)

0

Источник

chuckx 01 апр '11 в 00:12

Другие вопросы по тегам security arp link-layer

jliendo 31 мар '11 в 23:59 2011-03-31 23:59 · Accepted Answer · 2011-03-31 23:59

Ну, по большей части вы правы. При правильной конфигурации / нормальной работе весь трафик второго уровня не должен быть в состоянии "покинуть" VLAN, где он генерируется.

Существуют некоторые сценарии (на мой взгляд, переключение между VLAN и согласованием DTP), когда трафик может просачиваться в другие VLAN, не проходя сначала через устройство уровня 3 (он же маршрутизатор).

При использовании "VLAN hopping", если собственный VLAN ID магистрали совпадает с VLAN ID, назначенным порту коммутатора, на котором расположен хост, генерирующий трафик, он или она может удвоить 802.1q-тег его трафика, а затем этот трафик "появляется" на другом конце транка в VLAN, отличной от того, где он возник.

По этой причине хорошая операционная процедура состоит в том, чтобы никогда не использовать VLAN 1 для ваших портов доступа (по умолчанию собственная VLAN магистрали равна 1). Еще одна хорошая операционная процедура - назначить уникальный собственный идентификатор VLAN для соединительных линий, а затем настроить каждый транк в вашей организации с этим уникальным идентификатором VLAN только для соединительных линий.

Вы можете взглянуть на эту статью