Trong môi trường nhiều người thuê, cần làm gì để làm cho các tổng đài của bạn im lặng trên các thiết bị chuyển mạch của Cisco và Juniper?


14

Ví dụ, ngăn không cho nó gửi arp, stp, v.v. và tiết lộ ít nhất có thể về phần còn lại của mạng.

Trường hợp sử dụng ví dụ sẽ được kết nối với một trao đổi tiên phong.

Câu trả lời:


16

Bạn có thể kiểm tra Hướng dẫn cấu hình của Amsterdam Internet Exchange để biết gợi ý về cách tắt công tắc từ nhiều nhà cung cấp khác nhau.

Theo kinh nghiệm của tôi, có những nhà cung cấp có phần mềm tệ đến mức thiết bị của họ không bao giờ im lặng, ví dụ họ ARP ra mọi giao diện khi họ khởi động hoặc gửi một số khi có sự kiện liên kết trên một cổng. Juniper, Cisco, Brocade có thể bị bóp nghẹt với mức độ thuyết phục khác nhau, vòng lặp cực lớn mọi thứ trong quá trình chuyển đổi EAPS.

Một số điều cần vô hiệu hóa / xem xét:

  • Các giao thức khám phá (LLDP, CDP, FDP, 'Dynamic-vlan-Discovery')
  • VTP, DTP
  • STP (vô hiệu hóa cho Vlan một cổng đang ở)
  • Lưu giữ Ethernet hoặc khung vòng lặp (vô dụng trên phương tiện song công hoàn toàn)
  • Những thứ kỳ lạ như DECnet MOP (chủ đề của một câu hỏi khác vài ngày trước)
  • Có Vlan quản lý riêng cho địa chỉ IP của công tắc
  • Bạn sẽ muốn tắt PIM rình mò trên Cisco vì điều này phá vỡ IPv6.

8

Đây là nơi các thiết bị chuyển mạch như dòng Metro-E của Cisco đến, theo mặc định tất cả các cổng hạ lưu chạy ở chế độ UNI, có nghĩa là chúng không gửi CDP, STP hoặc bất kỳ khung nào từ các cổng UNI khác.

Một thứ khác mà bạn có thể xem là các Vlan riêng tư và sau đó vô hiệu hóa những thứ như CDP.


5

Bạn có thể tìm kiếm cisco-nsp @ để biết các đề xuất khác nhau về việc bật / tắt những gì trên các cổng. Ví dụ bắt đầu ở đây:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Tùy thuộc vào thiết bị chuyển mạch Cisco cụ thể của bạn - Catalyst hoặc Nexus, bạn cũng có thể tìm kiếm cisco.com để biết các quy tắc thiết kế cụ thể. Ví dụ: đối với Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_apers09186a00801b49a4.shtml



0

cisco có tùy chọn 'tổng đài được bảo vệ' có thể cung cấp bảo vệ L2 cơ bản giữa các cổng. Không có lưu lượng có thể được trao đổi giữa các cổng được bảo vệ. Tuy nhiên, họ có thể gửi và nhận lưu lượng đến / từ các cổng không được bảo vệ.


Điều đó không làm cho cảng im lặng. Nó chỉ giới hạn những người sẽ nghe nó.
Ricky Beam
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.