新的 Cisco Catalyst 交換機和 ISL 中繼？

較新的 Catalyst 不再提供 ISL 中繼模式。現在，當使用 VLAN 進行 WAN 隔離時，我擔心 VLAN 跳躍/封裝攻擊。

1. 我能做些什麼來防止此類攻擊？
2. 我可以混合使用 ISL 和 802.1Q 中繼連接嗎？
3. 還有什麼我需要考慮的嗎？

謝謝

編輯：

如果所有主機都連接到“靜態訪問”配置的交換機埠並且 802.1Q 中繼僅在 Cisco 交換機之間，是否可以進行 VLAN 跳躍？

通過在面向主機的介面上使用以下配置，您應該相對安全：

switchport mode access
switchport access vlan <vlan>

這將禁用埠上的 DTP（動態中繼協議）並有助於防止 VLAN 跳躍攻擊。

此外，最好使用以下配置列舉中繼介面上允許的 VLAN：

switchport trunk allowed vlan <vlan list>

可以在此處找到第 2 層安全最佳實踐的良好參考：

安全第 2 層安全深度 — 第 2 版(PDF)

如果交換機埠被強制進入訪問模式（switchport nonegotiate, switchport mode access）並分配給特定的 VLAN（switchport access vlan X），這是一個完全安全的設置；如果連接的主機發送任何標記幀，它將被丟棄，因為在該埠上不可能進行中繼。

如果中繼只在交換機之間使用，並且您具有良好的物理安全性，那麼任何電腦都無法訪問除自己的 VLAN 之外的任何 VLAN。

引用自：https://serverfault.com/questions/243118