对于 IPv6 迁移,我们是否应该替换运行 VLAN 的现有 L2 交换机?

aru*_*run 4 ipv6 migration ipv4

我的 L3 核心交换机 Nortel ERS ​​8600 兼容 IPv6。但是,在迁移到 IPv6 的过程中,我们是否还需要检查基于 VLAN 的园区网络中边缘/分布交换机的兼容性?

San*_*ann 6

一些潜在的攻击涉及在您的网络上放置一个流氓路由器或 DHCP 服务器。最好的保护是让 L2 交换机过滤流量。如果交换机端口连接到工作站,它可能不应该发送通常由 DHCP 服务器或路由器发送的数据包。如果您想要这样的保护,您应该查看交换机支持的协议。

对于在 L2 交换机上具有 RA Guard 的 IPv6 始终很重要。即使您自己不使用 IPv6,攻击者也可以通过伪装成 IPv6 路由器使设备认为您使用 IPv6。最好尽快在最靠近潜在攻击者(或意外配置错误设备的人)的交换机上过滤坏路由器广告

如果您想对网络进行更多控制,例如强制执行 DHCP 和防止地址欺骗,您还需要为这两种协议提供此类功能。


Mad*_*ter 5

这取决于您是否希望他们做任何 IP 感知的事情。以太网帧就是以太网帧就是以太网帧,正如 Gertrude Stein 没有说的那样;一个好的交换机会根据 MA​​C 地址重复它,而不用关心有效载荷是什么,所以如果这就是你的交换机所做的一切——第 2 层的东西,比如 VLAN 和端口镜像——你应该没问题。

当您希望交换机能够感知第 3 层,并且希望它们在该 (IP) 层执行双栈操作时,问题就开始了。例如,如果您希望每个交换机在每个 VLAN 上都有一个 ipv4 和一个 ipv6 管理地址,那么您需要检查您的交换机是否正确支持 ipv6。