Em um ambiente com vários locatários, o que deve ser feito para tornar suas portas de comutação silenciosas nos comutadores Cisco e Juniper?

14

Por exemplo, impedindo-o de enviar arp, stp, etc. e revelar o mínimo possível sobre o resto da rede.

Exemplo de caso de uso seria conectar a uma troca de pares.

SimonJGreen
fonte

Respostas:

16

Você pode verificar o Guia de configuração do Amsterdam Internet Exchange para obter dicas sobre como silenciar as opções de vários fornecedores.

Na minha experiência, existem fornecedores cujo software é tão ruim que seus equipamentos nunca são silenciosos; por exemplo, eles distribuem todas as interfaces quando inicializam ou enviam alguns em um evento de link em uma porta. O Juniper, Cisco, Brocade pode ser abafado com vários graus de persuasão, o Extreme dá laços em tudo durante as transições do EAPS.

Algumas coisas para desativar / considerar:

  • Protocolos de descoberta (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
  • VTP, DTP
  • STP (desabilite para a VLAN em que uma porta está)
  • Keepalives Ethernet ou quadros de loop (inúteis em mídia full-duplex)
  • Coisas estranhas como DECnet MOP (tópico de outra pergunta há alguns dias)
  • Tenha uma VLAN de gerenciamento separada para o próprio endereço IP do switch
  • Você deseja desativar a espionagem do PIM em uma Cisco, pois isso quebra o IPv6.
Niels
fonte
8

É aqui que entram os switches, como a série Metro-E da Cisco, por padrão, todas as portas downstream são executadas no modo UNI, o que significa que eles não enviam CDP, STP ou quadros a outras portas UNI.

Outra coisa que você pode ver são as VLANs privadas e a desativação de coisas como o CDP.

David Rothera
fonte
5

Você pode procurar no cisco-nsp @ propostas diferentes sobre o que ativar / desativar nas portas. Por exemplo, comece aqui:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Dependendo do seu switch Cisco específico - Catalyst ou Nexus, você também pode procurar no cisco.com práticas de design específicas. Por exemplo, para o Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

Łukasz Bromirski
fonte
0

O Cisco tem a opção 'switchport protected' que pode fornecer proteção L2 básica entre portas. Nenhum tráfego pode ser trocado entre portas protegidas. No entanto, eles podem enviar e receber tráfego de / para portas desprotegidas.

hóspede
fonte
Isso faz pouco para tornar a porta silenciosa. Apenas limita quem vai ouvir.
Ricky feixe