VLANイングレスフィルタリング-正しく理解し、その機能を検証しますか?
ポートでトラフィックに誤ってタグを付けると(VLAN潜在的な攻撃者のようにホッピングする)、ポートでこのVLAN)への入力トラフィックを確認できるはずです。 -管理対象スイッチでVLANイングレスフィルタリングが無効になっている場合に、問題のポートをミラーリングするなど?
より長い説明:NetgearとAllied Telesisのギアについて、デフォルトではvlanイングレスフィルタリングが有効になっておらず、VLANメンバーシップは出力トラフィックにのみ適用されると言われています。したがって、入力はVLAN 100のタグ付きパケットがVLAN 100のメンバーではないポートで入力を受け入れますが、送信者は応答を受信しません(icmp echo replyなど)) VLANメンバーシップの出力フィルタリング動作による)。
私はいくつかのラボ作業を行っており、この機能が実際にどのように機能するかを確認したいと思っていました。多分誰かが私を啓発することができますか?
私はあなたの仮定に根本的な問題はないと思います。有効になっているポートや、トラフィックにタグを付けるかタグを付けないかなど、VLANごとに1つのリストがあります。出力フィルタリングは、VLAN分離機能の基礎であり、ポートが責任のないトラフィックを送信できないようにします。
Netgearは、イングレスフィルタリングを次のように定義しています。
Ingress Filtering - When enabled, the frame is discarded if this port is not a member of the VLAN with which this frame is associated. In a tagged frame, the VLAN is identified by the VLAN ID in the tag. In an untagged frame, the VLAN is the Port VLAN ID specified for the port that received this frame. When disabled, all frames are forwarded in accordance with the 802.1Q VLAN bridge specification.
したがって、あなたの仮定は正しいようです。トラフィックを受け入れてそのグループの他のメンバーに転送しますが、リターントラフィックは出力フィルターによってフィルターで除外されます。