Чи має бути "захищений комутатор", щоб заблокувати одноманітне затоплення?

Чи не switchport protectedналаштована на інтерфейс, запобігає одноразовому затопленню MAC-адреси, комутатор не дізнався?

Інформація про те, що я бачу конфлікти - сторінка вікіпедії про одноактивне затоплення наводить захищений режим як механізм блокування затоплення, в той час як документація Cisco говорить, що switchport protectedце не має значення, і це switchport block unicastвсе ще потрібно для запобігання затоплення.

Однак я нещодавно зіткнувся з проблемою, коли на 2950G, який працює з відносно давнім кодом 12.1 (22), одноразове затоплення, здавалося, було повністю порушено для захищеного порту - час витримки на комутаторі становило 5 хвилин, тоді як час очікування ARP маршрутизатора було 30 хвилин, і одне TCP-з'єднання, що використовувало цей інтерфейс, мало тенденцію сидіти в спокої протягом 10 хвилин - і бути нефункціональним при пробудженні через 10 хвилин у цьому випадку.

Захоплення, проведені на хості, не показали єдиного затоплення, коли очікувалося, і збільшення таймера старіння MAC на перемикачі, щоб відповідати ARP, повністю вирішило проблему.

Це поведінка невизначена чи непослідовна у старих версіях IOS чи це лише помилка у цьому старому коді?

Інформація про те, що я бачу конфлікти - сторінка Вікіпедії про одноактивне затоплення зазначає захищений режим як механізм блокування затоплення, тоді як у документації компанії Cisco сказано, що захищений комутатор не має значення, і що блок комутаційного перемикання все одно потрібен для запобігання затоплення. .

switchport protectedвикористовується для забезпечення конфіденційності в vlan ... команда не дозволяє портам спілкуватися з іншими портами, налаштованими з switchport protected. Ця команда зменшує затоплення як побічний ефект від використання його на всіх портах Vlan, але це набагато більше, ніж "просто" видалення затоплення з комутаційного порта. Чесно кажучи, я думаю, що є кращі способи досягнення ваших цілей.

switchport protectedє корисним, якщо ви збираєте клієнтів з колонізацією в одній вланці; ця команда є одним із способів запропонувати конфіденційність між клієнтами без ускладнень приватних вланів. Згадана вами стаття у Вікіпедії говорить про те, що ви можете "відскочити" від трафіку за замовчуванням (який не повинен бути на захищеному комутаційному порталі), щоб дістатися до інших регіонів призначення ...

switchport block unicastприпиняє невідоме одноразове затоплення; однак, дивіться нижче, чому я думаю, вам не знадобиться ця команда.

Однак я нещодавно зіткнувся з проблемою, коли на 2950G, який працює з відносно давнім кодом 12.1 (22), одноразове затоплення, здавалося, було повністю порушено для захищеного порту - час витримки на комутаторі становило 5 хвилин, тоді як час очікування ARP маршрутизатора було 30 хвилин, і одне TCP-з'єднання, що використовувало цей інтерфейс, мало тенденцію сидіти в спокої протягом 10 хвилин - і бути нефункціональним при пробудженні через 10 хвилин у цьому випадку.

Як я вже згадував у своєму коментарі, якщо в цій мережі є потенціал для асиметричного маршрутизованого шляху, вам потрібно або невідоме однотонне затоплення, або вам потрібно відповідати таймерам CAM і ARP, щоб гарантувати, що записи CAM не старіють до початку ARP записи.

У більшості випадків відповідність таймерів ARP та CAM - це правильний спосіб виправити ситуацію , але вибір за вами ...

EDIT, щоб відповісти на коментарі:

Налаштування таймерів відповідає чудовому вирішенню - я просто не розумію, чому затоплення відбувається не так, як очікувалося.

Цитуючи "Практичні дослідження CCIE, том 2", стор. 115 Карл Солі, Лія Лінч, Чарльз Раган:

Якщо невідомий одноадресний і багатоадресний трафік буде перенаправлений до захищеного порту, можуть виникнути проблеми з безпекою. Щоб запобігти передачі невідомого одноадресного або багатоадресної передачі з одного порту на інший, ви можете налаштувати порт (захищений або незахищений) для блокування невідомого одноадресного і багатоадресної передачі.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast