Apakah 'switchport dilindungi' seharusnya memblokir banjir unicast?

9

Apakah switchport protectedmengonfigurasi pada antarmuka mencegah unicast flooding untuk alamat MAC yang belum dipelajari switch?

Informasi yang saya lihat konflik - halaman wikipedia tentang unicast flooding mengutip mode yang dilindungi sebagai mekanisme untuk memblokir banjir, sementara dokumentasi Cisco mengatakan itu switchport protectedtidak masalah, dan itu switchport block unicastmasih diperlukan untuk mencegah banjir.

Namun, saya baru-baru ini mengalami masalah di mana pada 2950G menjalankan beberapa kode 12.1 (22) yang relatif kuno, banjir unicast tampaknya benar-benar rusak untuk port yang dilindungi - waktu penuaan pada sakelar adalah 5 menit, sedangkan batas waktu ARP router adalah 30 menit, dan satu koneksi TCP yang menggunakan antarmuka ini memiliki kecenderungan untuk tidak aktif selama 10 menit pada suatu waktu - dan menjadi non-fungsional ketika bangun setelah 10 menit dalam kasus ini.

Tangkapan yang dijalankan pada host tidak menunjukkan banjir unicast saat diharapkan, dan meningkatkan timer penuaan MAC pada sakelar untuk mencocokkan ARP sepenuhnya menyelesaikan masalah.

Apakah perilaku ini tidak terdefinisi atau tidak konsisten dalam versi iOS yang lebih lama, atau ini hanya bug dalam kode lama ini?

cisco  cisco-catalyst  ethernet  cisco-ios-12 
Shane Madden
sumber
1
Hai Shane, solusi yang tepat untuk situasi ini biasanya membuat timer ARP Anda sedikit lebih rendah dari timer CAM . Ini adalah pertanyaan yang masuk akal tentang switchport yang dilindungi tetapi mungkin bukan cara terbaik untuk menaklukkan masalah ...
Mike Pennington
@MikePennington Gotcha, masuk akal. Semuanya bekerja dengan baik dengan timer yang cocok saat ini, saya hanya ingin tahu mengapa ketidakkonsistenan antara dokumentasi dan perilaku yang diamati.
Shane Madden
Apakah switchport protecteddikonfigurasi pada semua switchports di vlan? Apakah kita dapat melihat konfigurasi dan diagram jalur antara dua host?
Mike Pennington
@ MikePennington Ya, itu dikonfigurasi pada semua port di vlan itu kecuali uplink. Router loncatan berikutnya (yang melaluinya masalah lalu lintas) adalah sakelar yang beralih ke tautan ini. Konfigurasi akan sulit, tetapi saya dapat mengambil bagian tertentu yang menarik jika diperlukan.
Shane Madden

Jawaban:

4

Informasi yang saya lihat konflik - halaman wikipedia tentang unicast flooding mengutip mode yang dilindungi sebagai mekanisme untuk memblokir banjir, sementara dokumentasi Cisco mengatakan bahwa switchport dilindungi tidak masalah, dan bahwa blockport switch unicast masih diperlukan untuk mencegah banjir .

switchport protecteddigunakan untuk menegakkan privasi dalam vlan ... perintah mencegah port berbicara dengan port lain yang dikonfigurasi switchport protected. Perintah ini mengurangi flooding sebagai efek samping dari menggunakannya pada semua port di Vlan, tetapi ia melakukan lebih dari sekadar "hanya" menghilangkan flooding dari switchport. Jujur, saya pikir ada cara yang lebih baik untuk mencapai tujuan Anda.

switchport protectedberguna jika Anda mengumpulkan pelanggan colocation di vlan yang sama; perintah ini adalah salah satu cara untuk menawarkan privasi antara pelanggan tanpa komplikasi dari vlan pribadi. Artikel wikipedia yang Anda sebutkan, mengatakan Anda dapat "memantulkan" lalu lintas dari gateway default (yang seharusnya tidak berada di switchport yang dilindungi) untuk mencapai tujuan lain ...

switchport block unicasttidak menghentikan banjir unicast yang tidak diketahui; Namun, lihat di bawah ini mengapa saya pikir Anda tidak perlu perintah ini.

Namun, saya baru-baru ini mengalami masalah di mana pada 2950G menjalankan beberapa kode 12.1 (22) yang relatif kuno, banjir unicast tampaknya benar-benar rusak untuk port yang dilindungi - waktu penuaan pada sakelar adalah 5 menit, sedangkan batas waktu ARP router adalah 30 menit, dan satu koneksi TCP yang menggunakan antarmuka ini memiliki kecenderungan untuk tidak aktif selama 10 menit pada suatu waktu - dan menjadi non-fungsional ketika bangun setelah 10 menit dalam kasus ini.

Seperti yang saya sebutkan di komentar saya, jika ada potensi untuk jalur diarahkan asimetris di jaringan ini, Anda juga perlu banjir unicast yang tidak diketahui, atau Anda harus mencocokkan timer CAM dan ARP untuk memastikan bahwa entri CAM tidak menua sebelum Entri ARP.

Dalam kebanyakan kasus, mencocokkan timer ARP dan CAM adalah cara yang tepat untuk memperbaiki situasi , tetapi pilihan ada di tangan Anda ...

EDIT untuk menanggapi komentar:

Menyetel timer agar sesuai berfungsi sebagai solusi - Saya hanya tidak mengerti mengapa banjir tidak terjadi seperti yang diharapkan.

Mengutip dari "Studi Praktis CCIE, Volume 2", halaman 115 oleh Karl Solie, Leah Lynch, Charles Ragan:

Jika unicast yang tidak diketahui dan lalu lintas multicast diteruskan ke port yang dilindungi, mungkin ada masalah keamanan. Untuk mencegah lalu lintas unicast atau multicast yang tidak dikenal diteruskan dari satu port ke port lainnya, Anda dapat mengonfigurasi port (dilindungi atau tidak dilindungi) untuk memblokir lalu lintas unicast dan multicast yang tidak dikenal.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
Mike Pennington
sumber
Izinkan saya mengklarifikasi: switchport protecteddiimplementasikan dalam kasus ini sebagai mekanisme isolasi antara sistem yang seharusnya tidak dapat berkomunikasi. Lalu lintas yang dimaksud masuk ke switch pada port yang tidak dilindungi, dan gagal unicast membanjiri port yang dilindungi pada vlan - dan kegagalan koneksi terjadi karena itu. Menyetel timer agar sesuai berfungsi sebagai solusi - Saya hanya tidak mengerti mengapa banjir tidak terjadi seperti yang diharapkan.
Shane Madden
@ShaneMadden, Anda benar mengharapkan banjir unicast pada switchport yang dilindungi. Lihat hasil edit saya.
Mike Pennington
Benar - ada pemikiran tentang apa yang menyebabkan kegagalan banjir? Saya tidak dapat menemukan banyak ide selain bug iOS.
Shane Madden
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.