对于IPv6迁移，我们应该替换运行VLAN的现有L2交换机吗？

Question

我的L3核心交换机，北电8600，是IPv6兼容的。然而，在迁移到IPv6时，我们是否也需要检查基于VLAN的校园网中edge/分发交换机的兼容性？

Answer 1

一些潜在的攻击包括在网络上放置一个流氓路由器或DHCP服务器。最好的保护是让L2交换机过滤流量。如果交换机端口转到工作站，它可能不应该发送通常由DHCP服务器或路由器发送的数据包。如果您想要这样的保护，您应该看看交换机支持的协议。

对于IPv6来说，在L2交换机上设置RA保护始终是很重要的。即使您自己不使用IPv6，攻击者也可以通过假装是IPv6路由器来使设备认为您这样做。过滤坏的路由器广告最好尽快在最接近潜在攻击者的交换机上完成(或者不小心配置不良设备的人)。

如果您想要对网络进行更多的控制，比如执行DHCP和防止地址欺骗，那么这两种协议都需要这样的特性。

Answer 2

这取决于你是否希望他们做任何IP感知的事情。以太网帧就是以太网帧，正如格特鲁德·斯坦( Gertrude Stein )没有说的那样；一个好的交换机会基于MAC地址重复它，而不关心有效载荷是什么，所以如果你的交换机都是层的--像VLAN和端口镜像之类的--你应该没事。

当您希望您的交换机能够感知到第3层时，如果您希望它们在该(IP)层执行双堆栈操作，那么问题就会开始。例如，如果您希望每个交换机在每个VLAN上同时具有一个ipv4和一个ipv6管理地址，那么您需要检查您的交换机是否正确地支持ipv6。