MEF服务中，E-线路定义了点到点连接，而E-LAN支持多点连接（E-树是E-LAN的变体，作为具有在轮辐之间的受限连接的根多点，其仅能到达中枢节点）。

所有这些服务通过广域网在逻辑上扩展以太网LAN服务，例如使用MPLS/IP。虽然MPLS/IP核本身不易受以太网LAN相关威胁的影响，但是客户服务（例如E-LAN）基本上具有LAN的脆弱性。使用E-LAN，提供商网络看起来像一个虚拟网桥：支持MAC地址学习，具有桥接功能，如未知单播和广播泛洪。

E-LAN服务（如果用于移动回传）在连接到相同服务实例（VLAN）的所有站点之间提供以太网级连接。逻辑上这是一个VLAN，每个站可以到达每个其他站。将站分配到不同的VLAN支持进一步的流量分离。

点对点服务（E-线路）或根多点（E-树）提供更好的隔离，因为辐射站不能彼此通信。对于2G和3G，也不需要BTS到BTS的连接，因为逻辑拓扑是中心辐射（类似E-树）。

LAN相关的安全风险以及提出的对策由Vyncke和Paggen^[12]给出。许多主题是特定的，因为可用于硬化桥的配置选项和参数不同。不是所有的以太网LAN相关的威胁和风险都可以在这里覆盖。基于文献[12]的几个例子是为了说明这个话题。

基本上，新站点到局域网的拥塞允许在以太网层经由泛洪、网桥或MAC地址学习过程进行直接相连。首要的主题是去使能不适用的网桥节点。它们也可以配置为未使用的VLAN。这将隔离端口。

如果LAN可以通过某个活动端口访问，DoS攻击很容易。作为广播帧或作为控制流量，控制流量可以被洪泛。控制帧，例如生成树BPDU或其他以太网控制协议需要处理，并且除非受保护，控制处理器可能崩溃。入口策略限制在任何端口入口处允许的最大流量，并且控制平面监管限制允许进入控制处理器控制流量的量。

在客户站点中可能需要生成树协议用于冗余。最初开发生成树时，没有考虑到安全漏洞。(www.daowen.com)

生成树中的一个主题是根桥选择。如果使用更好（较低）的网桥ID将网桥添加到LAN，则会声明根角色。所有的业务都通过这个新的桥梁传递。桥接可能具有配置选项，限制从某些端口接受更好的桥ID或甚至接受任何类型的BPDU的可能性。通常还有其他（供应商特定的）参数来加固网桥以防误配置和恶意攻击。

简单的攻击包括需要由控制处理器处理的泛洪BPDU。这可以通过不接受来自某个端口的BPDU来类似地减轻。此外，可以监视输入帧，使得不超过某一最大速率。

与生成树类似，在最初设计时没考虑ARP协议漏洞。ARP不进行身份验证。此外，连接到VLAN的所有站都将学习IP/MAC地址映射。由于所有站也由于广播性质而接收ARP，它们还需要处理ARP。

使用ARP欺骗攻击，伪ARP回复（免费ARP）由攻击者生成。因此，攻击者接收指向相应IP地址的所有帧。如果是默认网关的地址，攻击者将接收到转发到默认网关的所有流量。对于移动网络，这实际上可以意味着来自某个无线电接入区域的所有业务，这取决于回传结构。

一种简单的方法是不允许主机和设备接受免费ARP，但是这会降低故障情况下的恢复速度。另一种方法是维护一个“有效”IP-MAC地址表的表，并检测是否尝试修改绑定。

IPsec可以提供什么级别的保护？显然，IPsec不会减轻以太网级别的漏洞，然而IP层持续受保护。DoS攻击可能来自下面的层，然而应用（在移动回传的情况下的无线网络层）保持受保护。