Pregunta Para la migración de IPv6, ¿debemos reemplazar los conmutadores L2 existentes que ejecutan VLAN?


Mi interruptor L3 Core, Nortel ERS 8600, es compatible con IPv6. Sin embargo, durante la migración a IPv6, ¿también debemos verificar la compatibilidad de los conmutadores perimetrales / de distribución en una red de campus basada en VLAN?


4
2017-07-10 08:43


origen




Respuestas:


Algunos de los posibles ataques implican poner un enrutador o servidor DHCP en su red. La mejor protección es dejar que los interruptores L2 filtran el tráfico. Si un puerto de conmutador va a una estación de trabajo, probablemente no debería enviar paquetes que normalmente envían un servidor DHCP o un enrutador. Si desea dicha protección, debe consultar los protocolos que admite el conmutador.

Para IPv6 tener RA Guard en los interruptores L2 siempre es importante. Incluso si no usa IPv6, un atacante puede hacer que los dispositivos piensen que lo hace simulando ser un enrutador IPv6. Filtrar anuncios de enrutador defectuosos se puede hacer lo más pronto posible en el interruptor más cercano al atacante potencial (o persona con un dispositivo mal configurado accidentalmente)

Si desea más control sobre la red, como aplicar DHCP y evitar la falsificación de direcciones, también necesita estas características para ambos protocolos.


6
2017-07-10 09:53





Depende de si desea que hagan algo con IP. Un marco de Ethernet es un marco de Ethernet es un marco de Ethernet, como Gertrude Stein no dijo; un buen conmutador lo repetirá en función de las direcciones MAC sin importar cuál es la carga útil, por lo que si eso es todo lo que hacen sus conmutadores (capa 2, como las VLAN y la duplicación de puertos), debería estar bien.

Los problemas comienzan cuando desea que sus conmutadores sean conscientes de la capa 3, y si quieres que hagan cosas de doble pila en esa capa (IP). Por ejemplo, si desea que cada conmutador tenga una dirección de administración tanto de ipv4 como de ipv6 en cada VLAN, deberá verificar que sus conmutadores sean compatibles con ipv6 correctamente.


5
2017-07-10 08:55