Para a migração IPv6, devemos substituir os switches L2 existentes que executam VLANs?

4

Meu switch L3 Core, o Nortel ERS 8600, é compatível com IPv6. No entanto, durante a migração para o IPv6, precisamos também verificar a compatibilidade dos switches de borda / distribuição em uma rede de campus baseada em VLAN?

    
por arun 10.07.2014 / 10:43

2 respostas

6

Alguns dos possíveis ataques envolvem colocar um roteador não autorizado ou servidor DHCP em sua rede. A melhor proteção é deixar os switches L2 filtrarem o tráfego. Se uma porta de switch for para uma estação de trabalho, ela provavelmente não deverá enviar pacotes que normalmente um servidor DHCP ou um roteador enviaria. Se você quiser tal proteção, você deve olhar para os protocolos que o switch suporta.

Para o IPv6, ter o RA Guard nos switches L2 é sempre importante. Mesmo que você não use o IPv6 por conta própria, um invasor pode fazer com que os dispositivos pensem que você faz isso fingindo ser um roteador IPv6. A filtragem de anúncios ruins do roteador pode ser feita o mais rápido possível no switch mais próximo do invasor potencial (ou pessoa com um dispositivo acidentalmente mal configurado)

Se você quiser mais controle sobre a rede, como aplicar o DHCP e evitar falsificação de endereços, também precisará desses recursos para os dois protocolos.

    
por 10.07.2014 / 11:53
5

Depende se você quer que eles façam alguma coisa com reconhecimento de IP. Um frame ethernet é um frame ethernet que é um frame ethernet, como Gertrude Stein não disse; um bom switch irá repeti-lo com base nos endereços MAC sem se preocupar com a carga útil, portanto, se isso é tudo que seus switches fazem - coisas da camada 2 como VLANs e espelhamento de porta - você deve estar bem, independentemente disso.

Os problemas começam quando você quer que seus switches tenham consciência da camada 3, e se você quer que eles façam coisas de pilha dupla nessa camada (IP). Por exemplo, se você quiser que cada switch tenha um endereço de gerenciamento ipv4 e ipv6 em cada VLAN, será necessário verificar se os switches suportam o ipv6 corretamente.

    
por 10.07.2014 / 10:55