Çok kiracılı bir ortamda anahtar portlarınızı Cisco ve Juniper anahtarlarında sessiz hale getirmek için ne yapılmalı?

Örneğin, arp, stp, vb. Göndermesini engellemek ve ağın geri kalanı hakkında mümkün olduğunca az bilgi vermek.

Örnek kullanım örneği bir eş alışverişine bağlanabilir.

Amsterdam Internet Exchange'in Yapılandırma Kılavuzu'nu çeşitli satıcılardan gelen anahtarların nasıl susturulacağına dair ipuçları için kontrol edebilirsiniz .

Benim tecrübelerime göre, yazılımları ekipmanlarının asla sessiz kalmayacağı kadar kötü olan satıcılar var, örneğin önyükleme yaparken her arabirimi ARP yapıyorlar veya bir bağlantı noktasındaki bir bağlantı olayı üzerine bazılarını gönderiyorlar. Ardıç, Cisco, Brocade, çeşitli derecelerde ikna ile boğuk olabilir, Extreme, EAPS geçişleri sırasında her şeyi döngüler.

Devre dışı bırakılması / dikkate alınması gereken bazı şeyler:

• Keşif protokolleri (LLDP, CDP, FDP, 'dinamik-vlan-keşif')
• VTP, DTP
• STP (bir portun bulunduğu VLAN için devre dışı bırak)
• Ethernet saklayıcıları veya döngü çerçeveleri (tam çift yönlü ortamlarda işe yaramaz)
• DECnet MOP gibi garip şeyler (birkaç gün önce başka bir sorunun konusu)
• Anahtarın kendi IP adresi için ayrı bir yönetim VLAN'ınız olsun
• IPv6'yı bozduğundan bir Cisco'da PIM gözetlemeyi devre dışı bırakmak isteyeceksiniz.

Cisco Metro-E serisi gibi anahtarların devreye girdiği yer, varsayılan olarak tüm aşağı akış bağlantı noktaları UNI modunda çalışır, bu da diğer UNI bağlantı noktalarından CDP, STP veya herhangi bir çerçeve göndermedikleri anlamına gelir.

Bakabileceğiniz bir başka şey de özel VLAN'lar ve daha sonra CDP gibi şeyleri devre dışı bırakmak.

Bağlantı noktalarında nelerin etkinleştirileceği / devre dışı bırakılacağı konusunda farklı önermeler için cisco-nsp @ 'de arama yapabilirsiniz. Örneğin, buradan başlayın:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Belirli Cisco anahtarınıza (Catalyst veya Nexus) bağlı olarak, cisco.com'da belirli tasarım uygulamaları için arama yapabilirsiniz. Örneğin, Catalyst 6500 için:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

Ayrıca çivi sağlamak için değer .1q / etiketleme müzakere http://www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/

cisco, portlar arasında temel L2 koruması sağlayabilen 'switchport korumalı' seçeneğine sahiptir. Korumalı bağlantı noktaları arasında trafik alışverişi yapılamaz. Ancak, korunmasız bağlantı noktalarına / bağlantılarından trafik gönderebilir ve alabilirler.