ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

RE: [inet-admins] Ethernet VLANs





--------------------------------------------------------
Basil (Vasily) Dolmatov, CCIE #5347, CCNP-Security, CCDA
LightCom Corp. http://www.lightcom.ru

>
> Хмм. По моему скромному мнению, "packet leakage" не может считатьс
> я security
> threat'ом, если он, конечно, не постоянный, достаточного объёма и
> предсказуемости. Опять же, ликадж обычно случается на транках, а н
> е на шине
> свича, то есть там, где на одном физическом порту появляются пакет
> ы более чем из одного vlan'а.
Да и там-то он возможен только в "барахляных" (с) :) транковых протоколах
типа
802.1q, где есть понятие Native VLAN, который и оказывается в таких случаях
в роли "помойки"... Опять-таки, то, что Native VLAN на транке не нужно
использовать
для пользовательского траффика - это уже во всех FAQ'ах прописано...

( 802.1q - это как раз пример того, как стандарт создается имея в виду
совместимость
с дешевыми и ублюдочными железками, которыми загажен рынок... Явное
лоббирование со
стороны вендоров привело к созданию поразительно ублюдочного и эклектичного
стандарта.
Может туда еще и разрешение на packet leakage пропишут, если Bay кому-ниудь
денежек даст :)

>В пределах одного свича по-моему, всё вполне в норме.
И не в пределах тоже, если на транках - ISL.
> (Кроме всяких барахляных свичей, типа Bay) ;^)
Именно.

>
> Если же вы параноидальны насчёт секьюрити, то у вас корее всего не
> т проблем с
> деньгами на покупку разделных устройств. Если денег нет, а проблему решить
> надо, значит вам секьюрити не так важна, как вам казалось. :)
Именно.

=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.