Question Pour la migration IPv6, devons-nous remplacer les commutateurs L2 existants exécutant des VLAN?


Mon commutateur principal L3, Nortel ERS 8600, est compatible IPv6. Toutefois, lors de la migration vers IPv6, devons-nous également vérifier la compatibilité des commutateurs de périphérie / de distribution dans un réseau de campus basé sur un réseau local virtuel?


4
2017-07-10 08:43


origine




Réponses:


Certaines des attaques potentielles impliquent l’installation d’un routeur ou d’un serveur DHCP non autorisé sur votre réseau. La meilleure protection consiste à laisser les commutateurs L2 filtrer le trafic. Si un port de commutateur se rend sur un poste de travail, il ne devrait probablement pas envoyer de paquets envoyés par un serveur DHCP ou un routeur. Si vous souhaitez une telle protection, vous devez vous reporter aux protocoles pris en charge par le commutateur.

Pour IPv6, il est toujours important d’avoir RA Guard sur les commutateurs L2. Même si vous n'utilisez pas vous-même IPv6, un attaquant peut faire croire aux dispositifs que vous le faites en prétendant être un routeur IPv6. Il est préférable de filtrer les annonces de routeur défectueuses dès que possible sur le commutateur le plus proche de l'attaquant potentiel (ou de la personne dont le périphérique a été accidentellement mal configuré).

Si vous souhaitez davantage de contrôle sur le réseau, par exemple pour appliquer DHCP et empêcher l'usurpation d'adresse, vous devez également disposer de telles fonctionnalités pour les deux protocoles.


6
2017-07-10 09:53





Cela dépend si vous voulez qu'ils fassent quoi que ce soit avec une compatibilité IP. Une trame ethernet est une trame ethernet, comme Gertrude Stein ne l’a pas dit; Un bon commutateur le répètera en fonction des adresses MAC sans se soucier de la charge utile. Par conséquent, si c'est tout ce que font vos commutateurs (éléments de la couche 2 tels que les VLAN et la mise en miroir des ports), tout va bien.

Les problèmes commencent lorsque vous souhaitez que vos commutateurs prennent en compte la couche 3, et si vous voulez qu'ils fassent des choses à double pile à cette couche (IP). Par exemple, si vous souhaitez que chaque commutateur ait à la fois une adresse de gestion ipv4 et ipv6 sur chaque VLAN, vous devez vérifier que vos commutateurs prennent en charge correctement ipv6.


5
2017-07-10 08:55