Когда я ошибочно помечаю трафик на порте (для переключения VLAN, как потенциальный злоумышленник), должен ли я видеть входящий трафик в эту VLAN на порту - например, путем зеркалирования соответствующего порта, когда входящая фильтрация VLAN отключена на управляемом коммутаторе ?
Более подробное объяснение: мне сказали для оборудования Netgear и Allied Telesis, что по умолчанию входящая фильтрация vlan не включена и что членство в VLAN применяется только к исходящему трафику. Таким образом, я бы ожидал, что входящий пакет с тегами VLAN 100 на порт, не входящий в VLAN 100, будет принят входящим, но отправитель не получит ответа (например, эхо-ответ icmp) из-за поведения фильтрации исходящего трафика членства в vlan).
Я проделал некоторую лабораторную работу и хотел убедиться, как эта функция действительно работает. может кто меня просветит?
Я не думаю, что в ваших предположениях есть что-то принципиально неправильное, есть единый список для каждой VLAN, включая включенные порты и то, должен ли трафик быть помечен или нет. Исходящая фильтрация - это основа, на которой функционирует разделение VLAN, не позволяющее портам передавать трафик, за который они не несут ответственности.
Netgear определяет входящую фильтрацию как:
Ingress Filtering - When enabled, the frame is discarded if this port is not a member of the VLAN with which this frame is associated. In a tagged frame, the VLAN is identified by the VLAN ID in the tag. In an untagged frame, the VLAN is the Port VLAN ID specified for the port that received this frame. When disabled, all frames are forwarded in accordance with the 802.1Q VLAN bridge specification.
Таким образом, ваше предположение кажется правильным, он будет принимать трафик и пересылать его другим членам этой группы, но возвращаемый трафик будет отфильтрован исходящим фильтром.