Dalam lingkungan multi-penyewa apa yang harus dilakukan untuk membuat switchports Anda diam di switch Cisco dan Juniper?


14

Misalnya mencegahnya mengirimkan arp, stp, dll dan untuk mengungkapkan sesedikit mungkin tentang sisa jaringan.

Contoh use case akan terhubung ke pertukaran peering.

Jawaban:


16

Anda dapat memeriksa Panduan Konfigurasi Amsterdam Internet Exchange untuk mendapatkan petunjuk tentang cara membungkam switch dari berbagai vendor.

Dalam pengalaman saya ada vendor yang peranti lunaknya sangat buruk sehingga peralatan mereka tidak pernah diam, misalnya mereka ARP keluar setiap antarmuka saat mereka boot, atau mengirimkan beberapa pada acara tautan di port. Juniper, Cisco, Brocade dapat diredam dengan berbagai tingkat persuasi, Extreme loop semuanya selama transisi EAPS.

Beberapa hal yang harus dinonaktifkan / dipertimbangkan:

  • Protokol penemuan (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
  • VTP, DTP
  • STP (nonaktifkan untuk VLAN a port in)
  • Ethernet keepalives atau frame loop (tidak berguna pada media dupleks penuh)
  • Hal-hal aneh seperti DECnet MOP (topik pertanyaan lain beberapa hari yang lalu)
  • Memiliki VLAN manajemen terpisah untuk alamat IP sakelar itu sendiri
  • Anda ingin menonaktifkan pengintaian PIM pada Cisco karena ini merusak IPv6.

8

Di sinilah sakelar seperti seri Metro-E dari Cisco masuk, secara default semua port hilir berjalan dalam mode UNI yang berarti mereka tidak mengirimkan CDP, STP, atau frame apa pun dari port UNI lainnya.

Hal lain yang bisa Anda lihat adalah VLAN pribadi dan kemudian menonaktifkan hal-hal seperti CDP.


5

Anda dapat mencari cisco-nsp @ untuk berbagai proposisi tentang apa yang harus diaktifkan / dinonaktifkan pada porta. Misalnya mulai di sini:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Tergantung pada sakelar Cisco khusus Anda - Catalyst atau Nexus, Anda juga dapat mencari cisco.com untuk praktik desain tertentu. Misalnya, untuk Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml



0

cisco memiliki opsi 'switchport protected' yang dapat memberikan perlindungan L2 dasar antar port. Tidak ada lalu lintas yang dapat ditukar antara port yang dilindungi. Namun, mereka dapat mengirim dan menerima lalu lintas ke / dari pelabuhan yang tidak terlindungi.


Itu tidak banyak membuat porta diam. Itu hanya membatasi siapa yang akan mendengarnya.
Ricky Beam
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.