'สวิตช์พอร์ตที่ได้รับการป้องกัน' ควรปิดกั้นน้ำท่วมแบบ unicast หรือไม่

มีswitchport protectedการกำหนดค่าบนอินเทอร์เฟซป้องกัน unicast น้ำท่วมสำหรับที่อยู่ MAC สวิตช์ไม่ได้เรียนรู้หรือไม่

ข้อมูลที่ฉันเห็นความขัดแย้ง - หน้าวิกิพีเดียเกี่ยวกับ unicast flooding อ้างถึงโหมดที่ได้รับการป้องกันเป็นกลไกในการป้องกันน้ำท่วมในขณะที่เอกสารของ Cisco บอกว่าswitchport protectedไม่สำคัญและswitchport block unicastยังจำเป็นต้องมีเพื่อป้องกันน้ำท่วม

อย่างไรก็ตามเมื่อเร็ว ๆ นี้ฉันพบปัญหาที่ 2950G ที่ใช้รหัส 12.1 (22) ที่เก่าแก่บางส่วนดูเหมือนว่าน้ำท่วม unicast จะเสียหายอย่างสมบูรณ์สำหรับพอร์ตที่ได้รับการป้องกัน - เวลาในการเปิดสวิตช์นานถึง 5 นาทีในขณะที่หมดเวลา ARP ของเราเตอร์ คือ 30 นาทีและการเชื่อมต่อ TCP หนึ่งครั้งที่ใช้อินเทอร์เฟซนี้มีแนวโน้มที่จะนั่งเฉยๆเป็นเวลา 10 นาทีในแต่ละครั้งและจะไม่ทำงานเมื่อตื่นขึ้นหลังจาก 10 นาทีในกรณีนี้

การจับภาพบนโฮสต์แสดงว่าไม่มีน้ำท่วมแบบ unicast เมื่อมันถูกคาดหวังและการเพิ่มตัวจับเวลาอายุของ MAC บนสวิตช์เพื่อให้ตรงกับ ARP สามารถแก้ไขปัญหาได้อย่างสมบูรณ์

พฤติกรรมนี้ไม่ได้กำหนดหรือไม่สอดคล้องกันในเวอร์ชั่น IOS ที่เก่ากว่าหรือเป็นเพียงข้อบกพร่องในรหัสเก่านี้หรือไม่

ข้อมูลที่ฉันเห็นความขัดแย้ง - หน้าวิกิพีเดียเกี่ยวกับ unicast flood cites โหมดการป้องกันเป็นกลไกในการป้องกันน้ำท่วมในขณะที่เอกสารของ Cisco บอกว่าการป้องกัน switchport นั้นไม่สำคัญ .

switchport protectedถูกนำมาใช้ในการบังคับใช้ความเป็นส่วนตัวภายใน VLAN แล้ว ... พอร์ตคำสั่งป้องกันจากการพูดคุยกับพอร์ตอื่น ๆ switchport protectedการกำหนดค่าด้วย คำสั่งนี้ช่วยลดน้ำท่วมเป็นผลข้างเคียงของการใช้งานกับพอร์ตทั้งหมดใน Vlan แต่จะทำมากกว่า "เพียงแค่" ลบน้ำท่วมออกจากสวิตช์พอร์ต สุจริตฉันคิดว่ามีวิธีที่ดีกว่าเพื่อให้บรรลุเป้าหมายของคุณ

switchport protectedมีประโยชน์ถ้าคุณรวมลูกค้า colocation ใน vlan เดียวกัน คำสั่งนี้เป็นวิธีหนึ่งในการนำเสนอความเป็นส่วนตัวระหว่างลูกค้าโดยไม่มีความยุ่งยากของ vlans ส่วนตัว บทความวิกิพีเดียที่คุณพูดถึงบอกว่าคุณสามารถ "กระเด้ง" ทราฟฟิกจากเกตเวย์เริ่มต้น (ซึ่งไม่ควรอยู่บน switchport ที่มีการป้องกัน) เพื่อไปยังจุดหมายปลายทางอื่น ๆ ...

switchport block unicastไม่หยุด unicast ที่ไม่รู้จัก อย่างไรก็ตามดูด้านล่างว่าทำไมฉันคิดว่าคุณไม่จำเป็นต้องใช้คำสั่งนี้

อย่างไรก็ตามเมื่อเร็ว ๆ นี้ฉันพบปัญหาที่ 2950G ที่ใช้รหัส 12.1 (22) ที่เก่าแก่บางส่วนดูเหมือนว่าน้ำท่วม unicast จะเสียหายอย่างสมบูรณ์สำหรับพอร์ตที่ได้รับการป้องกัน - เวลาในการเปิดสวิตช์นานถึง 5 นาทีในขณะที่หมดเวลา ARP ของเราเตอร์ คือ 30 นาทีและการเชื่อมต่อ TCP หนึ่งครั้งที่ใช้อินเทอร์เฟซนี้มีแนวโน้มที่จะนั่งเฉยๆเป็นเวลา 10 นาทีในแต่ละครั้งและจะไม่ทำงานเมื่อตื่นขึ้นหลังจาก 10 นาทีในกรณีนี้

ดังที่ฉันได้กล่าวถึงในความคิดเห็นของฉันหากมีเส้นทางใดที่อาจเป็นไปได้สำหรับเส้นทางที่ไม่สมมาตรในเครือข่ายนี้คุณอาจต้องการอุทกภัยยูนิคาสต์ที่ไม่รู้จักหรือคุณต้องจับคู่ CAM และ ARP เพื่อให้แน่ใจว่า รายการ ARP

ในกรณีส่วนใหญ่การจับคู่ตัวจับเวลา ARP และ CAM เป็นวิธีที่เหมาะสมในการแก้ไขสถานการณ์แต่ตัวเลือกเป็นของคุณ ...

แก้ไขเพื่อตอบสนองต่อความคิดเห็น:

การตั้งค่าตัวจับเวลาให้ตรงกันนั้นใช้งานได้ดีเป็นวิธีแก้ปัญหา - ฉันแค่ไม่เข้าใจว่าทำไมน้ำท่วมถึงไม่เกิดขึ้นอย่างที่คาดไว้

ข้อความจาก "การศึกษาเชิงปฏิบัติ CCIE, เล่มที่ 2", หน้า 115 โดย Karl Solie, Leah Lynch, Charles Ragan:

หากการรับส่งข้อมูลแบบ unicast และ multicast ที่ไม่รู้จักถูกส่งต่อไปยังพอร์ตที่ป้องกันอาจมีปัญหาด้านความปลอดภัย เมื่อต้องการป้องกัน unicast หรือการรับส่งข้อมูลแบบหลายผู้รับที่ไม่รู้จักถูกส่งต่อจากพอร์ตหนึ่งไปยังอีกพอร์ตหนึ่งคุณสามารถกำหนดค่าพอร์ต (ป้องกันหรือไม่ป้องกัน) เพื่อบล็อกทราฟฟิก unicast และ multicast ที่ไม่รู้จัก

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast