'สวิตช์พอร์ตที่ได้รับการป้องกัน' ควรปิดกั้นน้ำท่วมแบบ unicast หรือไม่


9

มีswitchport protectedการกำหนดค่าบนอินเทอร์เฟซป้องกัน unicast น้ำท่วมสำหรับที่อยู่ MAC สวิตช์ไม่ได้เรียนรู้หรือไม่

ข้อมูลที่ฉันเห็นความขัดแย้ง - หน้าวิกิพีเดียเกี่ยวกับ unicast flooding อ้างถึงโหมดที่ได้รับการป้องกันเป็นกลไกในการป้องกันน้ำท่วมในขณะที่เอกสารของ Cisco บอกว่าswitchport protectedไม่สำคัญและswitchport block unicastยังจำเป็นต้องมีเพื่อป้องกันน้ำท่วม

อย่างไรก็ตามเมื่อเร็ว ๆ นี้ฉันพบปัญหาที่ 2950G ที่ใช้รหัส 12.1 (22) ที่เก่าแก่บางส่วนดูเหมือนว่าน้ำท่วม unicast จะเสียหายอย่างสมบูรณ์สำหรับพอร์ตที่ได้รับการป้องกัน - เวลาในการเปิดสวิตช์นานถึง 5 นาทีในขณะที่หมดเวลา ARP ของเราเตอร์ คือ 30 นาทีและการเชื่อมต่อ TCP หนึ่งครั้งที่ใช้อินเทอร์เฟซนี้มีแนวโน้มที่จะนั่งเฉยๆเป็นเวลา 10 นาทีในแต่ละครั้งและจะไม่ทำงานเมื่อตื่นขึ้นหลังจาก 10 นาทีในกรณีนี้

การจับภาพบนโฮสต์แสดงว่าไม่มีน้ำท่วมแบบ unicast เมื่อมันถูกคาดหวังและการเพิ่มตัวจับเวลาอายุของ MAC บนสวิตช์เพื่อให้ตรงกับ ARP สามารถแก้ไขปัญหาได้อย่างสมบูรณ์

พฤติกรรมนี้ไม่ได้กำหนดหรือไม่สอดคล้องกันในเวอร์ชั่น IOS ที่เก่ากว่าหรือเป็นเพียงข้อบกพร่องในรหัสเก่านี้หรือไม่


1
สวัสดี Shane วิธีแก้ปัญหาที่ถูกต้องสำหรับสถานการณ์นี้เป็นปกติที่จะทำให้ตัวจับเวลา ARP ของคุณต่ำกว่าตัวตั้งเวลา CAMเล็กน้อย มันเป็นคำถามที่เหมาะสมเกี่ยวกับswitchport การป้องกันแต่อาจไม่ได้เป็นวิธีที่ดีที่สุดที่จะเอาชนะปัญหา ...
ไมค์เพนนิงตัน

@ MikePennington Gotcha ทำให้รู้สึก ทุกอย่างทำงานได้ดีกับตัวจับเวลาที่ตรงกันในขณะนี้ฉันแค่สงสัยว่าทำไมความไม่สอดคล้องระหว่างเอกสารและพฤติกรรมที่สังเกตได้
เชนหัวเสีย

มีswitchport protectedการกำหนดค่าใน switchports ทั้งหมดใน vlan หรือไม่ มีโอกาสใดที่เราจะเห็นการกำหนดค่าและไดอะแกรมของเส้นทางระหว่างสองโฮสต์
Mike Pennington

@MikePennington ใช่มันถูกกำหนดค่าบนพอร์ตทั้งหมดบน vlan นั้นยกเว้นอัปลิงค์ ฮ็อพเราเตอร์ต่อไป (ซึ่งปัญหาทราฟฟิกไหลผ่าน) คือสวิตช์ที่สวิตช์นี้อัปลิงค์ไป Configs จะยุ่งยาก แต่ฉันสามารถคว้าเฉพาะส่วนที่น่าสนใจหากจำเป็น
เชนหัวเสีย

คำตอบ:


4

ข้อมูลที่ฉันเห็นความขัดแย้ง - หน้าวิกิพีเดียเกี่ยวกับ unicast flood cites โหมดการป้องกันเป็นกลไกในการป้องกันน้ำท่วมในขณะที่เอกสารของ Cisco บอกว่าการป้องกัน switchport นั้นไม่สำคัญ .

switchport protectedถูกนำมาใช้ในการบังคับใช้ความเป็นส่วนตัวภายใน VLAN แล้ว ... พอร์ตคำสั่งป้องกันจากการพูดคุยกับพอร์ตอื่น ๆ switchport protectedการกำหนดค่าด้วย คำสั่งนี้ช่วยลดน้ำท่วมเป็นผลข้างเคียงของการใช้งานกับพอร์ตทั้งหมดใน Vlan แต่จะทำมากกว่า "เพียงแค่" ลบน้ำท่วมออกจากสวิตช์พอร์ต สุจริตฉันคิดว่ามีวิธีที่ดีกว่าเพื่อให้บรรลุเป้าหมายของคุณ

switchport protectedมีประโยชน์ถ้าคุณรวมลูกค้า colocation ใน vlan เดียวกัน คำสั่งนี้เป็นวิธีหนึ่งในการนำเสนอความเป็นส่วนตัวระหว่างลูกค้าโดยไม่มีความยุ่งยากของ vlans ส่วนตัว บทความวิกิพีเดียที่คุณพูดถึงบอกว่าคุณสามารถ "กระเด้ง" ทราฟฟิกจากเกตเวย์เริ่มต้น (ซึ่งไม่ควรอยู่บน switchport ที่มีการป้องกัน) เพื่อไปยังจุดหมายปลายทางอื่น ๆ ...

switchport block unicastไม่หยุด unicast ที่ไม่รู้จัก อย่างไรก็ตามดูด้านล่างว่าทำไมฉันคิดว่าคุณไม่จำเป็นต้องใช้คำสั่งนี้

อย่างไรก็ตามเมื่อเร็ว ๆ นี้ฉันพบปัญหาที่ 2950G ที่ใช้รหัส 12.1 (22) ที่เก่าแก่บางส่วนดูเหมือนว่าน้ำท่วม unicast จะเสียหายอย่างสมบูรณ์สำหรับพอร์ตที่ได้รับการป้องกัน - เวลาในการเปิดสวิตช์นานถึง 5 นาทีในขณะที่หมดเวลา ARP ของเราเตอร์ คือ 30 นาทีและการเชื่อมต่อ TCP หนึ่งครั้งที่ใช้อินเทอร์เฟซนี้มีแนวโน้มที่จะนั่งเฉยๆเป็นเวลา 10 นาทีในแต่ละครั้งและจะไม่ทำงานเมื่อตื่นขึ้นหลังจาก 10 นาทีในกรณีนี้

ดังที่ฉันได้กล่าวถึงในความคิดเห็นของฉันหากมีเส้นทางใดที่อาจเป็นไปได้สำหรับเส้นทางที่ไม่สมมาตรในเครือข่ายนี้คุณอาจต้องการอุทกภัยยูนิคาสต์ที่ไม่รู้จักหรือคุณต้องจับคู่ CAM และ ARP เพื่อให้แน่ใจว่า รายการ ARP

ในกรณีส่วนใหญ่การจับคู่ตัวจับเวลา ARP และ CAM เป็นวิธีที่เหมาะสมในการแก้ไขสถานการณ์แต่ตัวเลือกเป็นของคุณ ...

แก้ไขเพื่อตอบสนองต่อความคิดเห็น:

การตั้งค่าตัวจับเวลาให้ตรงกันนั้นใช้งานได้ดีเป็นวิธีแก้ปัญหา - ฉันแค่ไม่เข้าใจว่าทำไมน้ำท่วมถึงไม่เกิดขึ้นอย่างที่คาดไว้

ข้อความจาก "การศึกษาเชิงปฏิบัติ CCIE, เล่มที่ 2", หน้า 115 โดย Karl Solie, Leah Lynch, Charles Ragan:

หากการรับส่งข้อมูลแบบ unicast และ multicast ที่ไม่รู้จักถูกส่งต่อไปยังพอร์ตที่ป้องกันอาจมีปัญหาด้านความปลอดภัย เมื่อต้องการป้องกัน unicast หรือการรับส่งข้อมูลแบบหลายผู้รับที่ไม่รู้จักถูกส่งต่อจากพอร์ตหนึ่งไปยังอีกพอร์ตหนึ่งคุณสามารถกำหนดค่าพอร์ต (ป้องกันหรือไม่ป้องกัน) เพื่อบล็อกทราฟฟิก unicast และ multicast ที่ไม่รู้จัก

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast

ให้ฉันอธิบาย: switchport protectedมีการใช้งานในกรณีนี้เป็นกลไกการแยกระหว่างระบบที่ไม่สามารถสื่อสารได้ ทราฟฟิกที่เป็นปัญหาจะเข้าสู่สวิตช์บนพอร์ตที่ไม่มีการป้องกันและล้มเหลวในการ unicast พอร์ตที่ได้รับการป้องกันบน vlan - และการเชื่อมต่อล้มเหลวเกิดขึ้นเนื่องจากสิ่งนั้น การตั้งค่าตัวจับเวลาให้ตรงกันนั้นใช้งานได้ดีเป็นวิธีแก้ปัญหา - ฉันแค่ไม่เข้าใจว่าทำไมน้ำท่วมถึงไม่เกิดขึ้นอย่างที่คาดไว้
เชนหัวเสีย

@ShaneMadden คุณถูกต้องเพื่อคาดหวังว่า unicast จะท่วมบน switchport ที่ได้รับการป้องกัน ดูการแก้ไขของฉัน
Mike Pennington

ถูกต้อง - ความคิดใด ๆ เกี่ยวกับสิ่งที่ทำให้เกิดความล้มเหลวในการเกิดน้ำท่วม? ฉันไม่สามารถคิดอะไรมากมายนอกเหนือจากข้อบกพร่องของ IOS
เชนหัวเสีย
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.