En un entorno de múltiples inquilinos, ¿qué se debe hacer para silenciar sus puertos de switch en los switches Cisco y Juniper?

14

Por ejemplo, evitar que envíe arp, stp, etc. y revelar lo menos posible sobre el resto de la red.

Un caso de uso de ejemplo sería conectarse a un intercambio de pares.

cisco juniper switch

— SimonJGreen
fuente

16

Puede consultar la Guía de configuración de Amsterdam Internet Exchange para obtener sugerencias sobre cómo silenciar los conmutadores de una variedad de proveedores.

En mi experiencia, hay proveedores cuyo software es tan malo que su equipo nunca está en silencio, por ejemplo, ARP desactivan todas las interfaces cuando arrancan o envían algunas en un evento de enlace en un puerto. Juniper, Cisco, Brocade se pueden amortiguar con diversos grados de persuasión, Extreme loops todo durante las transiciones EAPS.

Algunas cosas para deshabilitar / considerar:

Protocolos de descubrimiento (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
VTP, DTP
STP (deshabilitar para la VLAN en la que se encuentra un puerto)
Ethernet keepalives o bucles de trama (inútil en medios full-duplex)
Cosas raras como DECnet MOP (tema de otra pregunta hace unos días)
Tener una VLAN de administración separada para la propia dirección IP del conmutador
Deberá deshabilitar la inspección de PIM en un Cisco ya que esto rompe IPv6.

— Niels
fuente

8

Aquí es donde entran los conmutadores como la serie Metro-E de Cisco, de forma predeterminada todos los puertos descendentes se ejecutan en modo UNI, lo que significa que no envían CDP, STP ni ninguna trama desde otros puertos UNI.

Otra cosa que podría ver es VLAN privadas y luego deshabilitar cosas como CDP.

— David Rothera
fuente

5

Puede buscar en cisco-nsp @ diferentes propuestas sobre qué habilitar / deshabilitar en los puertos. Por ejemplo, comience aquí:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Dependiendo de su conmutador Cisco en particular: Catalyst o Nexus, también puede buscar en cisco.com prácticas de diseño específicas. Por ejemplo, para Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

— Łukasz Bromirski
fuente

2

también vale la pena asegurarse de concretar .1q / negociación de etiquetado http://www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/

— Paul M
fuente

0

Cisco tiene la opción 'switchport protected' que puede proporcionar protección básica L2 entre puertos. No se puede intercambiar tráfico entre puertos protegidos. Sin embargo, pueden enviar y recibir tráfico hacia / desde puertos desprotegidos.

— invitado
fuente

Eso hace poco para silenciar el puerto. Solo limita quién lo escuchará.

— Ricky Beam