当我在端口上错误地标记流量(像潜在攻击者一样进行 VLAN 跳跃)时,我是否应该能够看到该端口上到该 VLAN 的入口流量 - 就像在托管交换机上禁用 VLAN 入口过滤时通过镜像相关端口一样?
更详细的解释:我被告知,对于 Netgear 和 Allied Telesis 设备,默认情况下不启用 VLAN 入口过滤,并且 VLAN 成员资格仅适用于出口流量。因此,我预计,在不属于 VLAN 100 成员的端口上,入口 VLAN 100 标记数据包将被接受,但由于 VLAN 成员资格的出口过滤行为,发送方不会收到任何答复(如 icmp echo reply)。
我一直在做一些实验室工作,想确定这个功能究竟是如何工作的。也许有人可以启发我?
答案1
我认为您的假设没有任何根本错误,每个 VLAN 都有一个列表,包括启用的端口,以及流量是否要标记或未标记。出口过滤是 VLAN 分离功能的基础,不允许端口传输不负责的流量。
Netgear 将入口过滤定义为:
Ingress Filtering - When enabled, the frame is discarded if this port is not a member of the VLAN with which this frame is associated. In a tagged frame, the VLAN is identified by the VLAN ID in the tag. In an untagged frame, the VLAN is the Port VLAN ID specified for the port that received this frame. When disabled, all frames are forwarded in accordance with the 802.1Q VLAN bridge specification.
因此看起来你的假设是正确的,它将接受流量并将其转发给该组中的其他成员,但返回流量将被出口过滤器过滤掉。