>>>Я не настроен категорически против PVE!
>>>Я хочу разобраться....
>>>PVE запрещает портам общаться между собой.
>>>Но не запрещает общения в пределах самого порта.
>>>Таким образом, когда весь трафик с 2950-го приходит на порт 3750-го, разные
>>>порты этого 2950 могут обращаться друг к другу не в рамках
>>>своего свича (2950), а потому, что приходят на один порт 3750-го.
>>
>>Сначала хотел уверенно ответить, что свитч не будет форвардить пакеты в тот
>>же порт, откуда они пришли. Потом задумался. Потом пошел и озадачил
>>этим вопросом двух CCIE :-)))
>>
>>Вообще надо проверять.
>>И, помимо всего этого, для начала хакеру Васе надо узнать mac тети
>>Груши, чтобы до нее пакетом докинуться.
>>
>>>Я желаю обеспечить секурность клиентов, т.е. чтобы никакой хакер Вася не мог
>>>портить жизнь домохозяйке тете Груше, домогаясь ее компа только на том
>>>основании, что они оба подключены к одному свичу.
>>>Я не прав?
>
>Еще немного подумал.
>Хакер Вася не докинется до тети Груши, так как mac тети Груши
>известен каталисту 2950, в которого подключены хакер Вася и тетя Груша.
>И так как порты тети Груши и Васи не должны сообщатся,
>судя по настройке PVE, то пакет от Васи к тете Груше
>на дойдет до порта 3750, так как 2950 знает, где mac
>тети Груши, знает, что они не должны общаться друг с другом,
>и дропнет пакет.
>
>Единственный теоретически возможный момент - если на 2950 и 3750 не совпадают
>времена устаревания таблицы коммутации и на 2950 mac тети Груши пропадет,
>а на 3750 останется. Но и тогда, при условии, что 3750
>отфорвардит пакет обратно в порт, таким образом пройдет только один пакет.
>
И в догонку, если к порту свитча подключен хаб, то в хабе переданный одной из машин фрейм получают все, в том числе и получатель, и порт коммутатора. Но порт коммутатора не будет перенаправлять пакет, получатель которого на том же порту, что и отправитель, иначе это приведет к дублированию пакетов в сегменте.
|