Мне нужно подтверждение по вопросу о безопасности уровня 2. Я проводил исследования, и мне просто нужно знать, что я правильно это понимаю.
По сути, если у вас есть локальная сеть с несколькими компьютерами, подключенными к коммутатору, и эти машины транслируют LLDP или ARP или что-то в этом роде, правда ли, что эти широковещательные пакеты никогда не выйдут из локальной сети (без неисправного программного обеспечения в коммутаторе или машинах и тому подобное)?
Я знаю, что это базовый вопрос, но я не смог найти на него прямого ответа и надеюсь, что кто-то сможет дать действительно краткий ответ. Спасибо!
Что ж, по большей части вы правы. При правильной конфигурации / нормальной работе весь трафик второго уровня не должен «выходить» из VLAN, где он генерируется.
Есть несколько сценариев (на ум приходит переключение VLAN и согласование DTP), когда трафик может просачиваться в другие VLAN, не проходя сначала через устройство уровня 3 (также известный как маршрутизатор).
С "перескоком VLAN", если собственный идентификатор VLAN транка совпадает с идентификатором VLAN, назначенным порту коммутатора, где находится хост, генерирующий трафик, то он или она может двойной 802.1q-тег это трафик а затем этот трафик «появляется» на другом конце магистрали в VLAN, отличной от того, откуда он исходил.
Это причина того, почему хорошая операционная процедура - никогда не использовать VLAN 1 для ваших портов доступа (по умолчанию собственная VLAN транка равна 1). Еще одна хорошая операционная процедура - назначить уникальный собственный идентификатор VLAN для магистралей, а затем настроить каждую магистраль в вашей организации с этим уникальным идентификатором VLAN только для магистрали.
Вы можете взглянуть на это статья
Согласовано, что с безопасной конфигурацией и отсутствием программного обеспечения на хостах, ретранслирующих такой трафик, широковещательный трафик должен быть ограничен в рамках VLAN в коммутируемой сети.
Еще один полезный справочник по проблемам безопасности уровня 2 и методам их устранения:
БЕЗОПАСНАЯ безопасность уровня 2: подробное описание (официальный документ Cisco)