Có phải 'tổng đài được bảo vệ' để ngăn chặn lũ lụt không?


9

Việc có switchport protectedcấu hình trên giao diện có ngăn chặn lũ unicast cho địa chỉ MAC mà công tắc chưa học được không?

Thông tin mà tôi đang thấy xung đột - trang wikipedia về lũ lụt unicast trích dẫn chế độ được bảo vệ như một cơ chế để ngăn chặn lũ lụt, trong khi tài liệu của Cisco nói rằng điều đó switchport protectedkhông quan trọng, và điều đó switchport block unicastvẫn cần thiết để ngăn chặn lũ lụt.

Tuy nhiên, gần đây tôi gặp phải một vấn đề trong đó trên 2950G chạy một số mã 12.1 (22) tương đối cổ xưa, lũ lụt đơn phương dường như đã bị phá vỡ hoàn toàn cho một cổng được bảo vệ - thời gian lão hóa trên công tắc là 5 phút, trong khi thời gian chờ ARP của bộ định tuyến là 30 phút và một kết nối TCP sử dụng giao diện này có xu hướng không hoạt động trong 10 phút một lần - và không hoạt động khi thức dậy sau 10 phút trong trường hợp này.

Các cảnh quay chạy trên máy chủ cho thấy không có lũ lụt unicast khi dự kiến ​​và việc tăng bộ đếm thời gian lão hóa MAC trên công tắc để phù hợp với ARP đã giải quyết hoàn toàn vấn đề.

Là hành vi này không được xác định hoặc không nhất quán trong các phiên bản iOS cũ hơn, hay đây chỉ là một lỗi trong mã cũ này?


1
Xin chào Shane, giải pháp chính xác cho tình huống này thường là làm cho bộ hẹn giờ ARP của bạn thấp hơn một chút so với bộ hẹn giờ CAM . Đó là một câu hỏi hợp lý về tổng đài được bảo vệ nhưng có lẽ không phải là cách tốt nhất để chinh phục vấn đề ...
Mike Pennington

@MikePennington Gotcha, có ý nghĩa. Mọi thứ đều hoạt động tuyệt vời với bộ định thời khớp với nhau tại thời điểm này, tôi chỉ tự hỏi tại sao sự không nhất quán giữa tài liệu và hành vi được quan sát.
Shane Madden

Đã được switchport protectedcấu hình trên tất cả các tổng đài trong vlan? Bất kỳ cơ hội nào chúng ta có thể thấy các cấu hình và sơ đồ đường dẫn giữa hai máy chủ?
Mike Pennington

@MikePennington Vâng, nó được cấu hình trên tất cả các cổng trên vlan đó ngoại trừ đường lên. Bộ định tuyến bước nhảy tiếp theo (mà lưu lượng truy cập có vấn đề chảy qua) là công tắc mà công tắc này chuyển sang liên kết. Configs sẽ là khó khăn, nhưng tôi có thể lấy các phần quan tâm cụ thể nếu cần thiết.
Shane Madden

Câu trả lời:


4

Thông tin mà tôi thấy có xung đột - trang wikipedia về lũ lụt unicast trích dẫn chế độ được bảo vệ như một cơ chế để ngăn chặn lũ lụt, trong khi tài liệu của Cisco nói rằng việc chuyển mạch được bảo vệ không thành vấn đề, và việc chuyển đổi khối unicast vẫn sẽ cần thiết để ngăn chặn lũ lụt .

switchport protectedđược sử dụng để thực thi quyền riêng tư trong vlan ... lệnh ngăn các cổng nói chuyện với các cổng khác được cấu hình với switchport protected. Lệnh này làm giảm lũ lụt do tác dụng phụ của việc sử dụng nó trên tất cả các cổng trong Vlan, nhưng nó thực hiện nhiều hơn là "chỉ" loại bỏ lũ lụt từ một tổng đài. Thành thật mà nói, tôi nghĩ có nhiều cách tốt hơn để hoàn thành mục tiêu của bạn.

switchport protectedlà hữu ích nếu bạn tổng hợp các khách hàng colocation trong cùng một vlan; lệnh này là một cách để cung cấp sự riêng tư giữa các khách hàng mà không có sự phức tạp của vlans riêng. Bài viết trên wikipedia mà bạn đã đề cập, nói rằng bạn có thể "bật" lưu lượng truy cập khỏi cổng mặc định (không nên có trên một tổng đài được bảo vệ) để đến các điểm đến khác ...

switchport block unicastkhông dừng lũ lụt không xác định; tuy nhiên, xem bên dưới để biết lý do tại sao tôi nghĩ bạn không cần lệnh này.

Tuy nhiên, gần đây tôi gặp phải một vấn đề trong đó trên 2950G chạy một số mã 12.1 (22) tương đối cổ xưa, lũ lụt đơn phương dường như đã bị phá vỡ hoàn toàn cho một cổng được bảo vệ - thời gian lão hóa trên công tắc là 5 phút, trong khi thời gian chờ ARP của bộ định tuyến là 30 phút và một kết nối TCP sử dụng giao diện này có xu hướng không hoạt động trong 10 phút một lần - và không hoạt động khi thức dậy sau 10 phút trong trường hợp này.

Như tôi đã đề cập trong nhận xét của mình, nếu có bất kỳ tiềm năng nào cho đường dẫn được định tuyến không đối xứng trong mạng này, bạn cần phải có lũ lụt không xác định, hoặc bạn cần khớp với bộ định thời CAM và ARP để đảm bảo rằng các mục CAM không bị cũ trước Mục ARP.

Trong hầu hết các trường hợp, khớp bộ định thời ARP và CAM là cách phù hợp để khắc phục tình huống , nhưng lựa chọn là của bạn ...

EDIT để trả lời các ý kiến:

Đặt bộ hẹn giờ phù hợp sẽ hoạt động tốt như một cách giải quyết - Tôi chỉ không hiểu tại sao lũ lụt không xảy ra như mong đợi.

Trích dẫn từ "Nghiên cứu thực tiễn CCIE, Tập 2", trang 115 của Karl Solie, Leah Lynch, Charles Ragan:

Nếu lưu lượng truy cập unicast và multicast không xác định được chuyển tiếp đến một cổng được bảo vệ, có thể có vấn đề bảo mật. Để ngăn lưu lượng truy cập unicast hoặc multicast không xác định được chuyển tiếp từ cổng này sang cổng khác, bạn có thể định cấu hình một cổng (được bảo vệ hoặc không được bảo vệ) để chặn lưu lượng truy cập unicast và multicast không xác định.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast

Hãy để tôi làm rõ: switchport protectedđược thực hiện trong trường hợp này như là một cơ chế cách ly giữa các hệ thống không thể giao tiếp. Lưu lượng truy cập trong câu hỏi xâm nhập vào công tắc trên một cổng không được bảo vệ và không thể làm ngập lụt các cổng được bảo vệ trên vlan - và lỗi kết nối đang xảy ra do đó. Đặt bộ hẹn giờ phù hợp sẽ hoạt động tốt như một cách giải quyết - Tôi chỉ không hiểu tại sao lũ lụt không xảy ra như mong đợi.
Shane Madden

@ShaneMadden, bạn đã đúng khi dự kiến ​​lũ lụt unicast trên tổng đài được bảo vệ. Xem chỉnh sửa của tôi.
Mike Pennington

Phải - bất kỳ suy nghĩ về những gì gây ra sự thất bại lũ lụt? Tôi không thể đưa ra nhiều ý tưởng khác ngoài lỗi iOS.
Shane Madden
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.