'Switchport korumalı' tek noktaya yayın seli engelliyor mu?


9

switchport protectedBir arabirim üzerinde yapılandırılmış olması , anahtarın öğrenmediği bir MAC adresi için tek noktaya yayın taşmasını önler mi?

Çatışmalar gördüğüm bilgiler - tek noktaya yayılan sel üzerindeki wikipedia sayfası , sel baskını engelleme mekanizması olarak korumalı modu belirtirken, Cisco'nun belgeleri bunun switchport protectedönemli olmadığını ve switchport block unicastsel baskınını önlemek için hala gerekli olacağını söylüyor .

Ancak, son zamanlarda nispeten eski bir 12.1 (22) kodu çalıştıran 2950G'de, tek noktaya yayılma selinin korumalı bir bağlantı noktası için tamamen kırıldığı görüldü - anahtardaki yaşlanma süresi 5 dakika iken, yönlendiricinin ARP zaman aşımı 30 dakika idi ve bu arabirimi kullanan bir TCP bağlantısı, bir seferde 10 dakika uykuda kalmaya eğilimliydi ve bu durumda 10 dakika sonra uyanırken işlevsel olmuyordu.

Ana bilgisayarda çalıştırılan yakalamalar beklendiğinde tek noktaya yayın baskını göstermedi ve anahtardaki MAC yaşlanma zamanlayıcısının ARP ile eşleşmesini artırmak sorunu tamamen çözdü.

Bu davranış, eski IOS sürümlerinde tanımlanmamış veya tutarsız mı yoksa bu eski koddaki bir hata mı?


1
Merhaba Shane, bu durum için doğru çözüm normalde ARP zamanlayıcıyı CAM zamanlayıcıdan biraz daha düşük yapmaktır . Switchport korumalı hakkında makul bir soru ama muhtemelen sorunu fethetmenin en iyi yolu değil ...
Mike Pennington

@MikePennington Gotcha, mantıklı. Şu anda eşleşen zamanlayıcılarla her şey harika çalışıyor, sadece dokümantasyon ve gözlemlenen davranış arasındaki tutarsızlığın nedenini merak ediyorum.
Shane Madden

Oldu switchport protectedvlan tüm switchports üzerinde yapılandırılmış? Yapılandırmaları ve iki ana bilgisayar arasındaki yolun bir diyagramını görme şansımız oldu mu?
Mike Pennington

@MikePennington Evet, yukarı bağlantı hariç o vlandaki tüm bağlantı noktalarında yapılandırıldı. Bir sonraki sekme yönlendiricisi (trafiğin içinden geçtiği sorun) bu anahtarın bağlandığı anahtardır. Yapılandırmalar zor olabilir, ancak gerekirse belirli bölümleri alabilirim.
Shane Madden

Yanıtlar:


4

Çatışmalar gördüğüm bilgiler - tek noktaya yayılan sel üzerindeki wikipedia sayfası, selden korunmayı engelleyen bir mekanizma olarak korumalı modu gösteriyor, Cisco'nun belgeleri ise switchport korumasının önemli olmadığını ve selden korunmayı önlemek için bu switchport bloğu tek noktaya yayınına ihtiyaç duyulacağını söylüyor .

switchport protectedbir vlan içinde gizliliği zorlamak için kullanılır ... komut, bağlantı noktalarının yapılandırılmış diğer bağlantı noktalarıyla konuşmasını engeller switchport protected. Bu komut, taşmayı Vlan'daki tüm bağlantı noktalarında kullanmanın bir yan etkisi olarak azaltır, ancak taşkınları bir anahtar portundan "sadece" kaldırmanın çok daha fazlasını yapar. Dürüst olmak gerekirse, hedeflerinize ulaşmak için daha iyi yollar olduğunu düşünüyorum.

switchport protectedaynı vlanda kolokasyon müşterilerini topluyorsanız faydalıdır; bu komut, özel vlansların komplikasyonları olmadan müşteriler arasında gizlilik sunmanın bir yoludur. Bahsettiğiniz wikipedia makalesi, bu diğer hedeflere ulaşmak için varsayılan ağ geçidinden (korumalı bir switchport'ta olmaması gereken) trafiği "zıplayabileceğinizi" söylüyor ...

switchport block unicastbilinmeyen tek noktaya yayılmayı durdurur; ancak, neden bu komuta ihtiyaç duymamanız gerektiğini düşündüğüm için aşağıya bakın.

Ancak, son zamanlarda nispeten eski bir 12.1 (22) kodu çalıştıran 2950G'de, tek noktaya yayılma selinin korumalı bir bağlantı noktası için tamamen kırıldığı görüldü - anahtardaki yaşlanma süresi 5 dakika iken, yönlendiricinin ARP zaman aşımı 30 dakika idi ve bu arabirimi kullanan bir TCP bağlantısı, bir seferde 10 dakika uykuda kalmaya eğilimliydi ve bu durumda 10 dakika sonra uyanırken işlevsel olmuyordu.

Yorumumda belirttiğim gibi, bu ağda asimetrik bir yol için herhangi bir potansiyel varsa, ya bilinmeyen tek noktaya yayın seline ihtiyacınız var ya da CAM girişlerinin, ARP girdileri.

Çoğu durumda, ARP ve CAM zamanlayıcılarını eşleştirmek durumu düzeltmenin doğru yoludur , ancak seçim sizin ...

Yorumlara yanıt vermek için DÜZENLE:

Zamanlayıcıları eşleştirmek için bir çözüm harika çalışıyor - selin neden beklendiği gibi gerçekleşmediğini anlamıyorum.

"CCIE Pratik Çalışmalar, Cilt 2", sayfa 115, Karl Solie, Leah Lynch, Charles Ragan'dan alıntı:

Bilinmeyen tek noktaya yayın ve çok noktaya yayın trafiği korunan bir bağlantı noktasına yönlendirilirse, güvenlik sorunları olabilir. Bilinmeyen tek noktaya yayın veya çok noktaya yayın trafiğinin bir bağlantı noktasından diğerine iletilmesini önlemek için, bir bağlantı noktasını (korumalı veya korumasız) bilinmeyen tek noktaya yayın ve çok noktaya yayın trafiğini engelleyecek şekilde yapılandırabilirsiniz.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast

Açıklamama izin verin: switchport protectedbu durumda iletişim kuramaması gereken sistemler arasında bir yalıtım mekanizması olarak uygulanır. Söz konusu trafik, korunmayan bir bağlantı noktasındaki anahtara giriyor ve vlandaki korumalı bağlantı noktalarında sel tek noktaya yayın yapamıyor ve bu nedenle bağlantı hataları oluşuyor. Zamanlayıcıları eşleştirmek için bir çözüm harika çalışıyor - selin neden beklendiği gibi gerçekleşmediğini anlamıyorum.
Shane Madden

@ShaneMadden, korumalı switchport'ta tek noktaya yayılma olmasını bekliyorsunuz. Düzenlememe bakın.
Mike Pennington

Doğru - sel baskınına neyin sebep olduğuna dair düşünceleriniz var mı? IOS hatası dışında pek çok fikir bulamıyorum.
Shane Madden
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.