Чи має бути "захищений комутатор", щоб заблокувати одноманітне затоплення?


9

Чи не switchport protectedналаштована на інтерфейс, запобігає одноразовому затопленню MAC-адреси, комутатор не дізнався?

Інформація про те, що я бачу конфлікти - сторінка вікіпедії про одноактивне затоплення наводить захищений режим як механізм блокування затоплення, в той час як документація Cisco говорить, що switchport protectedце не має значення, і це switchport block unicastвсе ще потрібно для запобігання затоплення.

Однак я нещодавно зіткнувся з проблемою, коли на 2950G, який працює з відносно давнім кодом 12.1 (22), одноразове затоплення, здавалося, було повністю порушено для захищеного порту - час витримки на комутаторі становило 5 хвилин, тоді як час очікування ARP маршрутизатора було 30 хвилин, і одне TCP-з'єднання, що використовувало цей інтерфейс, мало тенденцію сидіти в спокої протягом 10 хвилин - і бути нефункціональним при пробудженні через 10 хвилин у цьому випадку.

Захоплення, проведені на хості, не показали єдиного затоплення, коли очікувалося, і збільшення таймера старіння MAC на перемикачі, щоб відповідати ARP, повністю вирішило проблему.

Це поведінка невизначена чи непослідовна у старих версіях IOS чи це лише помилка у цьому старому коді?


1
Привіт Шейн, правильне рішення для цієї ситуації, як правило, зробить ваш таймер ARP трохи нижче, ніж таймер CAM . Це розумне питання про захищений комутатором, але, мабуть, не найкращий спосіб перемогти проблему ...
Майк Пеннінгтон

@MikePennington Gotcha, має сенс. На сьогоднішній день все чудово працює, якщо таймери співпадають, мені просто цікаво, чому невідповідність між документацією та спостережуваною поведінкою.
Шейн Мадден

Був switchport protectedналаштований на всі комутатори в vlan? Якийсь шанс ми могли побачити конфігури та схему шляху між двома хостами?
Майк Пеннінгтон

@MikePennington Так, він налаштований на всіх портах цього vlan, крім висхідної лінії зв'язку. Наступний хоп-роутер (через який протікає проблемний трафік) - це комутатор, до якого цей перемикач посилається. Конфігурації були б складними, але я можу захопити конкретні частини інтересу, якщо потрібно.
Шейн Мадден

Відповіді:


4

Інформація про те, що я бачу конфлікти - сторінка Вікіпедії про одноактивне затоплення зазначає захищений режим як механізм блокування затоплення, тоді як у документації компанії Cisco сказано, що захищений комутатор не має значення, і що блок комутаційного перемикання все одно потрібен для запобігання затоплення. .

switchport protectedвикористовується для забезпечення конфіденційності в vlan ... команда не дозволяє портам спілкуватися з іншими портами, налаштованими з switchport protected. Ця команда зменшує затоплення як побічний ефект від використання його на всіх портах Vlan, але це набагато більше, ніж "просто" видалення затоплення з комутаційного порта. Чесно кажучи, я думаю, що є кращі способи досягнення ваших цілей.

switchport protectedє корисним, якщо ви збираєте клієнтів з колонізацією в одній вланці; ця команда є одним із способів запропонувати конфіденційність між клієнтами без ускладнень приватних вланів. Згадана вами стаття у Вікіпедії говорить про те, що ви можете "відскочити" від трафіку за замовчуванням (який не повинен бути на захищеному комутаційному порталі), щоб дістатися до інших регіонів призначення ...

switchport block unicastприпиняє невідоме одноразове затоплення; однак, дивіться нижче, чому я думаю, вам не знадобиться ця команда.

Однак я нещодавно зіткнувся з проблемою, коли на 2950G, який працює з відносно давнім кодом 12.1 (22), одноразове затоплення, здавалося, було повністю порушено для захищеного порту - час витримки на комутаторі становило 5 хвилин, тоді як час очікування ARP маршрутизатора було 30 хвилин, і одне TCP-з'єднання, що використовувало цей інтерфейс, мало тенденцію сидіти в спокої протягом 10 хвилин - і бути нефункціональним при пробудженні через 10 хвилин у цьому випадку.

Як я вже згадував у своєму коментарі, якщо в цій мережі є потенціал для асиметричного маршрутизованого шляху, вам потрібно або невідоме однотонне затоплення, або вам потрібно відповідати таймерам CAM і ARP, щоб гарантувати, що записи CAM не старіють до початку ARP записи.

У більшості випадків відповідність таймерів ARP та CAM - це правильний спосіб виправити ситуацію , але вибір за вами ...

EDIT, щоб відповісти на коментарі:

Налаштування таймерів відповідає чудовому вирішенню - я просто не розумію, чому затоплення відбувається не так, як очікувалося.

Цитуючи "Практичні дослідження CCIE, том 2", стор. 115 Карл Солі, Лія Лінч, Чарльз Раган:

Якщо невідомий одноадресний і багатоадресний трафік буде перенаправлений до захищеного порту, можуть виникнути проблеми з безпекою. Щоб запобігти передачі невідомого одноадресного або багатоадресної передачі з одного порту на інший, ви можете налаштувати порт (захищений або незахищений) для блокування невідомого одноадресного і багатоадресної передачі.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast

Дозвольте уточнити: switchport protectedреалізується в цьому випадку як механізм ізоляції між системами, які не повинні мати можливість спілкуватися. Трафік, про який йде мова, спрямований на перемикач на незахищений порт і не в змозі одночасно затопити захищені порти на vlan - і через це трапляються збої в зв’язку. Налаштування таймерів відповідає чудовому вирішенню - я просто не розумію, чому затоплення відбувається не так, як очікувалося.
Шейн Мадден

@ShaneMadden, ви неправдиво очікували, що на захищеному комутаційному комунальному каналі буде затоплено одноразово. Дивіться мою редакцію.
Майк Пеннінгтон

Правильно - будь-які думки щодо того, що спричиняє невдачу затоплення? Я не можу придумати багато ідей, крім помилок IOS.
Шейн Мадден
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.