我需要关于第2层安全性的问题进行确认。 我一直在做研究,我只是需要知道,我理解正确。
基本上,如果你的局域网有几台机器连接到交换机,并且这些机器正在播放LLDP或ARP之类的东西,那么这些广播的数据包是否永远不会逃离局域网(在交换机或机器中没有错误的软件和那种性质的东西)?
我知道这是一个基本的问题,但是我一直没有find直接的答案,希望能有一个简短的答案。 谢谢!
那么,大部分你是对的。 在正确的configuration/正常操作下,所有的第二层stream量都不应该“逃脱”它所在的VLAN。
有一些场景(我想到的是VLAN跳频和DTP协商),stream量可能会泄漏到其他VLAN,而不通过第三层设备(aka路由器)。
如果中继的本地VLAN ID与分配给产生通信的主机所在的交换机端口的VLAN ID相同,那么使用“VLAN跳跃”,则可以对802.1q标记进行双倍的stream量标记 ,然后该stream量“出现”在不同于其起始位置的VLAN上的中继线的另一端。
这就是为什么一个好的操作过程是不要使用VLAN 1作为接入端口(默认情况下,中继的本地VLAN是1)。 另一个良好的操作程序是为中继分配一个唯一的本地VLAN ID,然后使用此唯一的仅中继VLAN ID为您的组织中的每个中继线configuration每个中继。
你可能想看看这篇文章
同意,通过安全的configuration,主机上没有软件来中继这样的stream量,广播stream量应该被限制在交换networking的VLAN内。
关于第2层安全问题和缓解技术的另一个很好的参考:
SAFE第2层安全深度(思科白皮书)