我需要确认有关第 2 层安全性的问题。我一直在做研究,我只是想知道我理解得是否正确。
基本上,如果您有一个 LAN,其中有几台机器连接到交换机,并且这些机器正在广播 LLDP 或 ARP 或类似的东西,那么这些广播的数据包是否永远不会离开 LAN(交换机或机器中没有故障软件和类似的东西)?
我知道这是一个基本问题,但我找不到直接的答案,希望有人能给出一个简短的答案。谢谢!
答案1
嗯,大部分情况下您是对的。在正确配置/正常运行的情况下,所有第二层流量都不应能够“逃离”生成它的 VLAN。
在某些情况下(我想到的是 VLAN 跳跃和 DTP 协商),流量可以泄漏到其他 VLAN,而无需先经过第 3 层设备(又名路由器)。
使用“VLAN 跳跃”,如果本征 VLAN ID中继的 VLAN ID 与分配给生成流量的主机所在的交换机端口的 VLAN ID 相同,那么他或她可以双重 802.1q 标记其流量然后,此流量“出现”在与其起源地不同的 VLAN 上的中继的另一端。
这就是为什么一个好的操作程序是永远不要将 VLAN 1 用于您的访问端口(默认情况下,中继的本机 VLAN 为 1)。另一个好的操作程序是为中继分配一个唯一的本机 VLAN ID,然后使用这个唯一的中继专用 VLAN ID 配置组织中的每个中继。
你可能想看看这个文章
答案2
同意,在安全配置且中继此类流量的主机上没有软件的情况下,广播流量应该限制在交换网络上的 VLAN 内。
关于第 2 层安全问题和缓解技术的另一个很好的参考: