我的 L3 核心交换机 Nortel ERS 8600 兼容 IPv6。但是在迁移到 IPv6 期间,我们是否还需要检查基于 VLAN 的园区网络中的边缘/分布交换机的兼容性?
答案1
一些潜在的攻击涉及在您的网络上放置流氓路由器或 DHCP 服务器。最好的保护是让 L2 交换机过滤流量。如果交换机端口连接到工作站,它可能不应该发送通常由 DHCP 服务器或路由器发送的数据包。如果您想要这样的保护,您应该查看交换机支持的协议。
对于 IPv6,在 L2 交换机上配备 RA Guard 始终很重要。即使您自己不使用 IPv6,攻击者也可以通过伪装成 IPv6 路由器让设备认为您使用 IPv6。最好尽快在最靠近潜在攻击者(或意外配置错误设备的人)的交换机上过滤不良路由器通告
如果您想要对网络有更多的控制权,例如强制执行 DHCP 和防止地址欺骗,您也需要这两种协议的此类功能。
答案2
这取决于您是否希望它们执行任何 IP 感知操作。以太网帧就是以太网帧,正如 Gertrude Stein 所说;好的交换机会根据 MAC 地址重复该操作,而不关心有效负载是什么,因此,如果您的交换机只执行这些操作(第 2 层操作,如 VLAN 和端口镜像),那么无论如何您都应该没问题。
当你希望你的交换机能够感知第 3 层时,问题就开始了,和如果您希望它们在该 (IP) 层执行双栈操作。例如,如果您希望每个交换机在每个 VLAN 上都拥有一个 ipv4 和一个 ipv6 管理地址,那么您需要检查您的交换机是否正确支持 ipv6。