Новые коммутаторы Cisco Catalyst и соединительные линии ISL?

После некоторых исследований я нашел ответ:

http://www.sans.org/security-resources/idfaq/vlan.php

В конфигурации по умолчанию можно вводить кадры 802.1q в не магистральные порты коммутатора и доставлять эти кадры в пункт назначения.

Можно заставить кадры 802.1q переходить из одной VLAN в другую, если кадры вводятся в порт коммутатора, принадлежащий собственной VLAN магистрального порта. [..]

Таким образом, я должен убедиться, что VLAN режима доступа не с использованием собственной VLAN, настроенной на магистрали:

[...] путем изменения собственной VLAN магистрального порта можно исключить скачкообразную перестройку VLAN. Это было проверено и подтвердилось.

Если порт коммутатора принудительно переведен в режим ДОСТУПА (switchport nonegotiate, switchport mode access) и назначен определенной VLAN (switchport access vlan X), это полностью безопасная установка; если подключенный (е) хост (ы) отправит какой-либо помеченный кадр, он будет отброшен, потому что на этом порте будет невозможно транкинг.

Если транкинг используется только между коммутаторами и у вас хорошая физическая безопасность, у любого компьютера нет возможности получить доступ к любой VLAN, кроме своей собственной.

Вы должны быть в относительной безопасности, используя следующую конфигурацию на интерфейсах, обращенных к хосту:

switchport mode access
switchport access vlan <vlan>

Это отключит DTP (протокол динамического транкинга) на порту и поможет предотвратить атаки с перескоком VLAN.

Кроме того, рекомендуется перечислять разрешенные сети VLAN на магистральных интерфейсах со следующей конфигурацией:

switchport trunk allowed vlan <vlan list>

Хороший справочник по передовым методам обеспечения безопасности уровня 2 можно найти здесь:

БЕЗОПАСНЫЙ УРОВЕНЬ 2 - ГЛУБОКАЯ БЕЗОПАСНОСТЬ - ВЕРСИЯ 2 (PDF)