En un entorno de múltiples inquilinos, ¿qué se debe hacer para silenciar sus puertos de switch en los switches Cisco y Juniper?


14

Por ejemplo, evitar que envíe arp, stp, etc. y revelar lo menos posible sobre el resto de la red.

Un caso de uso de ejemplo sería conectarse a un intercambio de pares.

Respuestas:


16

Puede consultar la Guía de configuración de Amsterdam Internet Exchange para obtener sugerencias sobre cómo silenciar los conmutadores de una variedad de proveedores.

En mi experiencia, hay proveedores cuyo software es tan malo que su equipo nunca está en silencio, por ejemplo, ARP desactivan todas las interfaces cuando arrancan o envían algunas en un evento de enlace en un puerto. Juniper, Cisco, Brocade se pueden amortiguar con diversos grados de persuasión, Extreme loops todo durante las transiciones EAPS.

Algunas cosas para deshabilitar / considerar:

  • Protocolos de descubrimiento (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
  • VTP, DTP
  • STP (deshabilitar para la VLAN en la que se encuentra un puerto)
  • Ethernet keepalives o bucles de trama (inútil en medios full-duplex)
  • Cosas raras como DECnet MOP (tema de otra pregunta hace unos días)
  • Tener una VLAN de administración separada para la propia dirección IP del conmutador
  • Deberá deshabilitar la inspección de PIM en un Cisco ya que esto rompe IPv6.

8

Aquí es donde entran los conmutadores como la serie Metro-E de Cisco, de forma predeterminada todos los puertos descendentes se ejecutan en modo UNI, lo que significa que no envían CDP, STP ni ninguna trama desde otros puertos UNI.

Otra cosa que podría ver es VLAN privadas y luego deshabilitar cosas como CDP.


5

Puede buscar en cisco-nsp @ diferentes propuestas sobre qué habilitar / deshabilitar en los puertos. Por ejemplo, comience aquí:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Dependiendo de su conmutador Cisco en particular: Catalyst o Nexus, también puede buscar en cisco.com prácticas de diseño específicas. Por ejemplo, para Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml



0

Cisco tiene la opción 'switchport protected' que puede proporcionar protección básica L2 entre puertos. No se puede intercambiar tráfico entre puertos protegidos. Sin embargo, pueden enviar y recibir tráfico hacia / desde puertos desprotegidos.


Eso hace poco para silenciar el puerto. Solo limita quién lo escuchará.
Ricky Beam
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.