Формат RFC существует с 1969 года — его представили во время обсуждения ARPANET. Тогда инженер Стив Крокер написал RFC 1 о работе программного обеспечения хоста.
С тех пор прошло более 50 лет, но Request for Comments все еще в ходу — опубликовано
9 тыс. документов по сетевым протоколам, моделям хранения данных и алгоритмам шифрования.
В этом многообразии встречаются RFC, у которых нет практического применения. Их написали по большей части ради шутки. Сегодня расскажем о некоторых находках из этой области.
RFC 8771
Здесь описана интернационализированная сознательно нечитаемая сетевая нотация (I-DUNNO). По словам авторов, документ призван внести баланс в следующую ситуацию:
В начале 80-х была представлена DNS. Она сделала доступ к сетевым ресурсам удобнее, но инженеры «по-прежнему вторгаются» в сферу коммуникаций machine-to-machine: читают и вручную прописывают IP-адреса. Задача I-DUNNO — воспрепятствовать этой деятельности и, наконец, закрепить работу с адресами за вычислительными системами.
I-DUNNO использует кодировку UTF-8, чтобы обфусцировать IP-адреса и усложнить их чтение для человека. Кодовые точки представлены октетами в количестве от одного до четырех, а сама последовательность включает как минимум один символ, запрещенный IDNA2008.
В качестве примера авторы RFC 8771 приводят трансформацию IPv4-адреса 198.51.100.164. Сперва его записывают в виде 32-битной строки:
Затем переводят в символьную форму:
Алгоритм обратного преобразования не указан, так как «компьютеры знают, что делать, а люди не должны даже пробовать».
RFC 8774
В этом документе описаны особые ошибки, которые возникнут в квантовых сетях будущего. Информация в них передается по оптоволоконным кабелям с помощью кубитов — поляризованных фотонов. Автор RFC 8774 пишет, что после массового внедрения таких сетей, значение времени передачи пакета сможет равняться нулю. Этот факт приведет к сбоям в интернете, так как классическая сетевая инфраструктура и протоколы не рассчитаны на работу с таким таймингом.
К ситуации 0-RTT подготовлены лишь несколько протоколов: TFO, TLS 1.3 и QUIC. Многие другие будут работать с ошибками — квантовыми багами.
Фото — Umberto — Unsplash
В протоколе Multipath TCP для оценки пропускной способности вычисляется значение alpha. На одном из этапов необходимо поделить на RTT, что невозможно при круговой задержке равной нулю. В свою очередь, протокол LEDBAT, используемый Apple и BitTorrent, начнет передавать пакеты максимально быстро и засорять канал, хотя должен ограничивать нагрузку на сеть.
Чтобы решить проблему, автор RFC 8774 предлагает начать с составления полного списка протоколов, подверженных квантовым багам. В качестве референса можно использовать RFC 2626 — о проблеме 2000 года. Затем останется обновить весь ненадежный код. Этот процесс может затянуться, учитывая, что проблему 2038 года для Linux решали несколько лет и закончили переписывать код ядра лишь в этом году.
Больше интересных материалов в нашем корпоративном блоге:
«Нашел, увидел, получил»: необычные приглашения на собеседование Группа разработчиков предлагает перейти на UTF-8 Как развивалась система доменных имен: эра ARPANET Подборка книг по кибербезопасности
Взаимодействие компьютеров между собой, а также с другим активным сетевым оборудованием, в TCP/IP-сетях организовано на основе использования сетевых служб, которые обеспечиваются специальными процессами сетевой операционной системы (ОС) — демонами в UNIX-подобных ОС, службами в ОС семейства Windows и т. п.
Содержание
Сокеты, соединения
Специальные процессы операционной системы (демоны, службы) создают «слушающий» сокет и «привязывают» его к определённому порту (пассивное открытие соединения), обеспечивая тем самым возможность другим компьютерам обратиться к данной службе. Клиентская программа или процесс создаёт запрос на открытие сокета с указанием IP-адреса и порта сервера, в результате чего устанавливается соединение, позволяющее взаимодействовать двум компьютерам с использованием соответствующего сетевого протокола прикладного уровня.
Номера портов
Номер порта для «привязки» службы выбирается в зависимости от его функционального назначения. За присвоение номеров портов определённым сетевым службам отвечает IANA. Номера портов находятся в диапазоне 0 — 65535 и разделены на 3 категории [1] :
Номера портов
Категория
Описание
0 — 1023
Общеизвестные порты
Номера портов назначены IANA и на большинстве систем могут быть использованы исключительно процессами системы (или пользователя root) или прикладными программами, запущенными привилегированными пользователями.
1024 — 49151
Зарегистрированные порты
Номера портов включены в каталог IANA и на большинстве систем могут быть использованы процессами обычных пользователей или программами, запущенными обычными пользователями.
Не должны использоваться [2] без регистрации IANA. Процедура регистрации определена в разделе 19.9 RFC 4340.
Список соответствия между сетевыми службами и номерами портов
Официальный список соответствия между сетевыми службами и номерами портов ведёт IANA.
История регулирования соответствия
Вопросы унификации соответствия сетевых служб номерам сокетов (портов) поднимались в RFC 322 и 349, первые попытки регулирования были предприняты Джоном Постелом в RFC 433 и 503.
До января 2002 года соответствие регулировалось серией документов IETF «Assigned Numbers» (RFCs 739, 750, 755, 758, 762, 770, 776, 790, 820, 870, 900, 923, 943, 960, 990, 1010, 1060, 1340, 1700), значительную часть которых готовил Джон Постел.
Начиная с RFC 1060 (англ.) функция регулирования соответствия сетевых служб номерам портов была передана специальной организации IANA. С момента принятия в январе 2002 года RFC 3232 (англ.) предусматривается ведение онлайновой базы данных такого соответствия, без закрепления его в RFC (см.: DCCP).
Актуальный список
Локальная копия списка
Локальная копия списка входит в установочный пакет сетевых операционных систем. Файл локальной копии списка обычно называется services и в различных операционных системах «лежит» в разных местах:
Windows 98/ME C:\Windows\services Windows NT/XP C:\Windows\system32\drivers\etc\services UNIX-подобные ОС /etc/services
Состояние сетевых служб операционной системы
В большинстве операционных систем можно посмотреть состояние сетевых служб при помощи команды (утилиты)
В ОС семейства Windows результат работы этой команды выглядит примерно так:
Состояние (State) LISTEN (LISTENING) показывает пассивно открытые соединения («слушающие» сокеты). Именно они и предоставляют сетевые службы. ESTABLISHED — это установленные соединения, то есть сетевые службы в процессе их использования.
Проверка доступности сетевых служб
В случае обнаружения проблем с той или иной сетевой службой, для проверки ее доступности используют различные средства диагностики, в зависимости от их наличия в данной ОС.
Одно из самых удобных средств — команда (утилита) tcptraceroute (разновидность traceroute), которая использует TCP-пакеты открытия соединения (SYN|ACK) с указанным сервисом (по умолчанию — web-сервер, порт 80) интересующего хоста и показывает информацию о времени прохождения данного вида TCP-пакетов через маршрутизаторы, а также информацию о доступности службы на интересующем хосте, либо, в случае проблем с доставкой пакетов — в каком месте пути они возникли.
В качестве альтернативы можно использовать отдельно
Примечания
«НЕ ДОЛЖЕН» или «НЕ РЕКОМЕНДУЕТСЯ» означает, что при определённых обстоятельствах возможны отдельные случаи, обусловленные вескими причинами, когда нарушение указанных рекомердаций приемлемо или даже предпочтительно, но такие причины и обстоятельства должны быть понятны и тщательно взвешены, прежде чем нарушить рекомендации, помеченные данной фразой.
SHOULD NOT This phrase, or the phrase «NOT RECOMMENDED» mean that there may exist valid reasons in particular circumstances when the particular behavior is acceptable or even useful, but the full implications should be understood and the case carefully weighed before implementing any behavior described with this label.
«НЕ МОЖЕТ» обозначает, что установлен абсолютный запрет.
MUST NOT This phrase, or the phrase «SHALL NOT», mean that the definition is an absolute prohibition of the specification.
См. также
Ссылки
Полезное
Смотреть что такое «Сетевые сервисы» в других словарях:
Социальные сетевые сервисы — Социальный сетевой сервис виртуальная площадка, связывающая людей в сетевые сообщества с помощью программного обеспечения, компьютеров, объединенных в сеть (Интернет) и сети документов (Всемирной паутины). Сетевые социальные сервисы в… … Википедия
Сервисы Интернет — сервисы, предоставляемые в сети Интернет пользователям, программам, системам, уровням, функциональным блокам. В сети Интернет сервисы предоставляют сетевые службы. Наиболее распространенными Интернет сервисами являются: хранение данных; передача… … Финансовый словарь
Порт (сетевые протоколы) — Сетевой порт параметр протоколов UDP, определяющий назначение пакетов данных в формате Это условное число от 0 до 65535, позволяющие различным программам, выполняемым на одном хосте, получать данные независимо друг от друга (предоставляют так… … Википедия
Ядро (операционной системы) — У этого термина существуют и другие значения, см. Ядро. Ядро центральная часть операционной системы (ОС), обеспечивающая приложениям координированный доступ к ресурсам компьютера, таким как процессорное время, память и внешнее аппаратное… … Википедия
Микроядро — У этого термина существуют и другие значения, см. Микроядро (цитология). Архитектура микроядра основывается на программах серверах пользовательского режима … Википедия
Микроядерная операционная система — Архитектура микроядра основывается на программах серверах пользовательского режима Микроядро это минимальная реализация функций ядра операционной системы. Классические микроядра предоставляют лишь очень небольшой набор низкоуровневых примитивов … Википедия
Simple Service Discovery Protocol — SSDP Название: Simple Service Discovery Protocol Уровень (по модели OSI): Сеансовый Семейство: TCP/IP Порт/ID: 1900/UDP Простой протокол обнаружения сервисов (англ. Simple Service Discovery Protocol, SSDP … Википедия
Летописи.ру — Эта страница требует существенной переработки. Возможно, её необходимо викифицировать, дополнить или переписать. Пояснение причин и обсуждение на странице Википедия:К улучшению/16 мая 2012. Дата постановки к улучшению 16 мая 2012 … Википедия
Сканирование сети — сетевая атака. Описание Цель этой атаки состоит в том, чтобы выяснить, какие компьютеры подключены к сети и какие сетевые сервисы на них запущены. Первая задача решается путем посылки Echo сообщений протокола ICMP с помощью утилиты ping c… … Википедия
7я.ру — Издатель АЛП Медиа Главный редактор Поляева Елена Константиновна Дата основания 2000 год Свидетельство о регистрации СМИ Эл № ФС77 35954 Язык … Википедия
Было время, когда все функции WhoIs, DNS, Google, GoDaddy выполнялись вручную. И делала это девушка по прозвищу Джейк.
— Алло, Джейк, хочу зарегистрировать себе доменное имя symbolic.com, с меня шоколадка.
В 1969 году Дугласу Энгельбарту приглянулась библиотекарша со скромным прозвищем «Baby» и он пригласил ее к себе в научный центр ARC (Augmentation Research Center, спонсируемый DARPA).
Подходы к двух- и трехступечатому проектированию, которые мы используем на проектах в EDISON Software Development Centre.
Элизабет Джослин «Джейк» Фейнлер (англ. Elizabeth Jocelyn Feinler) родилась в Уилинге, штат Западная Виргиния и закончила Западный свободный колледж штата (она первая в семье посещала колледж).
Фейнлер поступила в аспирантуру по биохимии в университет Пердью, однако из-за финансового положения она решила отложить защиту диссертации на год или два и пошла работать в службу химических данных при Американском химическом обществе в Колумбусе, Огайо.
Она работала большим количеством химических данных и заинтересовалась систематизацией.
В 1960 году Фейнлер узнала о вакансии в Калифорнии в Исследовательском институте при Стэнфордском Университете, её заявление было принято. Первоначально в институте она занималась сбором данных и поиском литературы.
Первой задачей для Элизабет в команде Энгельбарта было написать Resource Handbook для первой демонстрации ARPANET на конференции International Computer Communication Conference.
“NIC был похож на доисторический Google,” говорит Элизабет. “Люди обращались к нам по любому вопросу.”
Центр давал пользователям информацию о людях, организациях (аналог «желтых страниц»), связь осуществлялась по обычной почте и телефону. Позже связь осуществлялась через электронную почту по узлам ARPANET.
Фейнлер вместе с Steve Crocker, Jon Postel, Joyce Reynolds и другими членами Network Working Group (NWG), разработали RFC (Request for Comments, Рабочее предложение) — серия пронумерованных информационных документов, содержащих технические спецификации и стандарты для ARPANET и потом для Internet.
Формат RFC появился в 1969 году при обсуждении проекта ARPANET.
RFC 1 был опубликован 7 апреля 1969 г. и назывался «Host Software».
Первые RFC распространялись в печатном виде на бумаге в виде обычных писем, но уже с декабря 1969 г., когда заработали первые сегменты ARPANET, документы начали распространяться в электронном виде.
Большинство ранних RFC были созданы в Калифорнийском университете Лос-Анджелеса и Стэнфордском исследовательском институте.
С 1969 по 1998 гг. бессменным и единственным редактором RFC был Джон Постел. После его смерти Общество Интернета (ISOC) поручило редактирование и публикацию RFC Институту информационных наук. Университета Южной Калифорнии.
Очерк истории RFC за 30 лет с 1969 по 1999 гг. представлен в RFC 2555.
WhoIs и доменные имена
В 1974 Элизабет с рабочей группой разработали короткое текстовое именование хостов (Host names on-line).
В ARPANET владелец хоста должен был отправить email на HOSTSMASTER@SRI-NIC.ARPA чтобы запросить адрес. Файл HOSTS.TXT распространялся усилиями сотрудников центра NIC и вручную устанавливался на каждом хосте в сети, чтобы обеспечить связь (mapping) между всеми адресами сети. Позже, исследовательская группа работала над масштабированием и функции центра NIC взяли на себя сервисы WhoIs и DNS.
В 1989 году Фейнлер перешла на работу в НАСА в Исследовательский центр Эймса. Она вышла на пенсию в 1996 году и в 2010 году опубликовала историю NIC. В 2012 году она вошла в Зал славы Интернета.
Сегодня у Элизабет день рождения.
Я постараюсь докопаться до первоисточников IT-технологий, разобраться, как мыслили и какие концепции были в головах у первопроходцев, о чем они мечтали, каким видели мир будущего. Для чего задумывались «компьютер», «сеть», «гипертекст», «усилители интеллекта», «система коллективного решения задач», какой смысл они вкладывали в эти понятия, какими инструментами хотели добиться результата.
Надеюсь, что эти материалы послужат вдохновением для тех, кто задается вопросом, как перейти «от Нуля к Единице» (создать что-то, чего раньше и в помине не было). Хочется, чтобы IT и «программирование» перестали быть просто «кодингом ради бабла», и напомнить, что они задумывались как рычаг, чтобы изменить методы ведения войны образование, способ совместной деятельности, мышления и коммуникации, как попытка решить мировые проблемы и ответить на вызовы, вставшие перед человечеством. Как-то так.
1/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg» /> 7. Who founded the World Wide Web Consortium (W3C)?
1/AppData/Local/Temp/msohtmlclip1/01/clip_image003.png» /> Corporate office in New York City and its operations center in Piscataway, New Jersey, United States
Wi-Fi Protected Access (WPA) and WPA2 are concurrent security standards. WPA addressed the majority of the IEEE 802.11i standard; and the WPA2 certification achieved full compliance. However, WPA2 will not work with some older network cards, thus the need for concurrent security standards.
Applicable to both WPA and WPA2, there are two versions targeting different users:
means you can just go online and order something, instead of having to send an order via telegraph, heliograph, carrier pigeon and pony express and probably have the address translated 3 times.
Or back in 1985 or so I could send email, but it probably had to go through a couple of gateways between DECnet and Bitnet and Arpanet, and there weren’t any attachments, or ways to represent any language other than English, and hardly any vendors had email anyway so you’d have to use telex, or fax, or paper documents.
IEEE makes standards for manufacturers to follow. Without those standards, there would more «proprietary» hardware, and said hardware would be more expensive.
For example, If you pick up an internet-capable electronic device, it is going to have some form of 802.xxx, which is a standard set by the IEEE, whether it be 802.11n, 802.11ac, 802.3, etc. Without those standards, any given electronic device could have a different method of data transfer to connect to a network, and that particular method of connecting would have to be matched with the corresponding router.
About Basith Soratemplates is a blogger resources site is a provider of high quality blogger template with premium looking layout and robust design
Вопросы построения сети. ЛВС: стандарты и протоколы (часть 2)
Протоко́л (др.-греч. πρωτόκολλον; от πρώτος «первый» + κόλλα «клей») изначально — документ, фиксирующий какое-либо событие, факт или договорённость.
Разберемся в базовых протоколах с стандартах
Группа стандартов Ethernet IEEE 802.3
Для подключения клиентских устройств рекомендуется поддержка следующих стандартов:
IEEE 802.3z (1 Гбит/с);
IEEE 802.3u (100 Мбит/с);
IEEE 802.3 (10 Мбит/с).
Для подключения активного сетевого оборудования между собой рекомендуется поддержка следующих стандартов:
IEEE 802.3z (1 Гбит/с);
IEEE 802.3ae-2002 (10 Гбит/с);
IEEE 802.3ba (40 Гбит/с) — да, время пришло.
Питание по PoE (Power over Ethernet)
Если для подключения оконечных сетевых устройств нужно active PoE, то необходимо предусмотреть коммутаторы доступа с поддержкой нужных стандартов active PoE. Для наглядности ниже таблица по основным характеристиками active PoE:
Стандарт
Мощность на PSE (Power Supply Equipment), Вт
Мощность на PD (Powered Device), Вт
IEEE 802.3bt Type 3 (PoE++)
Следует различать две характеристики мощности:
PSE (Power Supply Equipment) — мощность, которую коммутатор готов выдать на порт;
PD (Powered Device) — мощность, которая дойдет до оборудования (с учетом потерь).
VLAN (Virtual Local Area Network)
Не рекомендуется использовать VLAN 1 для передачи пользовательских данных. Рекомендуется использовать диапазон VLAN’ов с 2 по 1000 включительно.
Деление устройств на VLAN’ы рекомендуется выполнять из соображений получения общего сетевого доступа для последующего применения ACL. В большинстве случаев это существенно упростит задачу конфигурирования межсетевого экрана.
Протоколы обмена базой данных VLAN’ов
Протоколы обмена базой данных VLAN’ов рекомендуется отключить. Примеры протоколов обмена базой данных VLAN’ов:
VTP (VLAN Trunk Protocol);
GVRP (Generic VLAN Registra on Protocol).
Саму возможность передачи сообщений протоколов для обмена базой данных VLAN’ов также лучше отключить (использование transparent mode также не рекомендуется, т.к. это создает среду для передачи сообщений данного протокола).
DTP (Dynamic Trunking Protocol)
DTP рекомендуется отключить, тип порта рекомендуется указать явно как access или trunk.
LACP (Link Aggregation Control Protocol)
Для объединения нескольких физических каналов в один логический рекомендуется применять протокол LACP (IEEE 802.3ad) с целью предотвращения возможных L2 петель в сети, которые могут быть вызваны ошибкой конфигурации или коммутации, в случае использования статически заданной агрегации портов.
STP (Spanning Tree Protocol)
Для минимизации использования проприетарных протоколов в сети, рекомендуется применение открытого протокола MSTP (Multiple Spanning Tree Protocol, IEEE 802.1s) с грамотным построением дерева STP. Перечислим основные рекомендации, которые помогут ничего не забыть:
На всех портах типа access рекомендуется включить port edge с двумя целями:
a) Отсутствие лишних сообщений STP TCN в L2 домене при выключении / включении устройства в порт коммутатора;
b) Быстрое включение передачи пользовательских данных при включении устройства в порт коммутатора;
На всех портах типа access рекомендуется включить stp guard root, а также bpdu guard, чтобы при появлении BPDU-пакета порт переходил в состояние error disabled;
На downlink портах коммутаторов ядра распределения рекомендуется включить технологии root guard;
Для настройки портов сторонних подключений, таких как провайдер Интернета, рекомендуется включить фильтрацию BPDU (bpdu lter);
Uplink порты коммутаторов распределения к резервному коммутатору ядра должны быть в роли Alternate;
Нежелательно использование half duplex портов;
На всех trunk портах рекомендуется явно указать тип порта point-to-point, чтобы гарантировать быструю сходимость протокола STP;
Storm-control
Рекомендуется предусмотреть механизм контроля широковещательных (broadcast), многоадресных (multicast) штормов. Максимальный уровень broadcast или multicast трафика рекомендуется выставить на 10 процентов от полосы пропускания интерфейса. При достижении порогового значения будет хорошо, если система как минимум будет отправлять SNMP trap и syslog сообщение.
DHCP snooping
На всех коммутаторах (и на всех VLAN-ах) рекомендуется включить DHCP snooping. Все порты коммутаторов должны быть недоверенными, кроме uplink портов и портов подключения к DHCP серверу.
Dynamic ARP inspection
На всех VLAN’ах, где включен DHCP snooping и нет оконечных сетевых устройств со статическими настройками IP-адресации, рекомендуется включить Dynamic ARP inspection.
Для стабильной работы протокола некоторые производители предусматривают использование FTP или TFTP серверов для резервного хранения базы данных механизма Dynamic ARP inspection. Таким образом, в случае перезагрузки коммутатора оборудование сможет восстановить базу данных из резервной копии на FTP/TFTP сервере.
Активное сетевое оборудование чаще всего будет поддерживать протокол LLDP, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах. Протокол LLDP рекомендуется выключить на портах подключения к сторонним сетевым устройствам, например, к оборудованию оборудованию провайдеров.
Proxy ARP
Proxy ARP (RFC 1027) лучше отключить или использовать осознанно, так как это позволяет не использовать адрес шлюза в сетевых настройках оконечных сетевых устройств, что может дать ложные представление о корректности сетевых настроек. Например, если в сетевых настройках принтера нет адреса шлюза по умолчанию или он некорректный, но Proxy ARP позволит принтеру корректно работать. При замене оборудования или выключении Proxy ARP неправильно настроенные устройства не будут работать корректно.
VRRP (Virtual Router Redundancy Protocol)
Для объединения двух маршрутизаторов в один виртуальный маршрутизатор и назначения общего виртуального IP-адреса, рекомендуется использовать открытый протокол VRRP (RFC 5798).
OSPF (Open Shortest Path First)
Для осуществления обмена IP маршрутами между L3 устройствами сети рекомендуется использовать протокол OSPF (RFC 2328, RFC 5709). Для достижения максимально быстрой сходимости протокола OSPF рекомендуется использование протокола BFD (Bidirectional Forwarding Detection, RFC 5880, RFC 5881) совместно с OSPF. BFD позволяет сократить время обнаружения проблемы на канале до 50 мс.
Для обеспечения безопасности протокола OSPF рекомендуется обеспечить шифрование передаваемых служебных сообщений протокола OSPF методом MD5 или hmac-sha-256 (наиболее приоритетный метод).
Наиболее общие настройки сетевого оборудования
Доступ на активное сетевое оборудование
Для аутентификация на оборудование рекомендуется применение RADIUS сервера. В случае недоступности RADIUS сервера должна применяться локальная аутентификация;
Пароль от локальной учетной записи рекомендуется хранить на оборудовании в зашифрованном виде;
Для подключения к сетевому оборудованию рекомендуется использовать SSHv2, HTTPS, API;
В целях безопасности доступы по HTTP и telnet рекомендуется закрыть;
Порт для подключения по протоколу SSH рекомендуется заменить со стандартного TCP/22 на кастомный TCP/XXXX. Эта мера не так значительна, но мы стараемся использовать все возможности для увеличения времени потенциального взлома;
Для доступа на активное сетевое оборудование рекомендуется предусмотреть ACL (Access- Control List), определяющие адреса устройств, с которых разрешено подключаться к оборудованию;
Типы портов (L2)
Access порт – это порт, который передает и принимает только нетегированные фреймы.
Trunk порт – это порт, который передает и принимает тегированные фреймы, без тега передается и принимается только native VLAN.
Гибридный порт – передает и принимает тегированные и нетегированные фреймы, при этом в качестве нетегированного фрейма можно передавать не native VLAN. Может потребоваться при подключении некоторых типов оконечных устройств, таких как IP-телефоны, точки доступа Wi-Fi (в режиме local switched).
Рекомендации по настройке access и гибридных портов:
ARP-inspection (только если устройство получает IP-адрес динамически);
rate-limit (multicast, broadcast);
switch off SNMP trap, SYSLOG;
выключить DTP negotiation;
IEEE 802.1x (при необходимости авторизации);
Port-Security (при необходимости).
Рекомендации по конфигурации trunk портов между коммутаторами
В качестве native VLAN рекомендуется использовать дефолтный VLAN 1;
Рекомендуется включить SNMP trap и логирование SYSLOG (изменение статусов Up, Down);
На всех trunk портах рекомендуется явно указать тип порта point-to-point;
На всех trunk портах рекомендуется разрешить все VLAN’ы, которые используются на коммутаторе.
Рекомендации к конфигурации ACL
Для уменьшения “площади атаки” рекомендуется разработать и внедрить правила ACL между различными сегментами сети. Трафик, не разрешенный в явном виде, рекомендуется блокировать. Для простоты управления и визуализации правил удобно использовать матрицу правил, например:
«Нашел, увидел, получил»: необычные приглашения на собеседование 
Формат RFC появился в 1969 году при обсуждении проекта ARPANET.
