O 'switchport protected' deve bloquear a inundação unicast?

9

A switchport protectedconfiguração em uma interface evita a inundação de unicast para um endereço MAC que o switch não aprendeu?

As informações que estou vendo conflitam - a página da wikipedia sobre inundação unicast cita o modo protegido como um mecanismo para bloquear as inundações, enquanto a documentação da Cisco diz que switchport protectedisso não importa e que switchport block unicastainda seria necessário para evitar inundações.

No entanto, recentemente, deparei-me com um problema em que em um 2950G executando um código 12.1 (22) relativamente antigo, a inundação unicast parecia estar completamente quebrada para uma porta protegida - o tempo de envelhecimento no switch era de 5 minutos, enquanto o tempo limite do ARP do roteador eram 30 minutos e a conexão TCP que utiliza essa interface tendia a permanecer inativa por 10 minutos por vez - e não funcionava ao acordar após 10 minutos nesse caso.

As capturas executadas no host não mostraram inundações unicast quando era esperado, e o aumento do cronômetro de envelhecimento do MAC no comutador para corresponder ao ARP resolveu completamente o problema.

Esse comportamento é indefinido ou inconsistente nas versões mais antigas do IOS ou isso é apenas um bug nesse código antigo?

Shane Madden
fonte
11
Oi Shane, a solução correta para esta situação é normalmente fazer o seu temporizador ARP um pouco menor que o temporizador CAM . É uma pergunta razoável sobre switchport protegida , mas provavelmente não a melhor maneira de conquistar o problema ...
Mike Pennington
@MikePennington Gotcha, faz sentido. Tudo está funcionando muito bem com os cronômetros correspondentes no momento, só estou me perguntando por que a inconsistência entre a documentação e o comportamento observado.
Shane Madden
Foi switchport protectedconfigurado em todos os switchports na vlan? Alguma chance de vermos as configurações e um diagrama do caminho entre os dois hosts?
Mike Pennington
@ MikePennington Sim, ele está configurado em todas as portas nessa vlan, exceto no uplink. O roteador do próximo salto (pelo qual o tráfego com problema flui) é o comutador ao qual esse comutador é conectado. As configurações seriam complicadas, mas posso pegar partes específicas de interesse, se necessário.
Shane Madden

Respostas:

4

As informações que estou vendo conflitam - a página da wikipedia sobre inundação unicast cita o modo protegido como um mecanismo para bloquear as inundações, enquanto a documentação da Cisco diz que a porta de switch protegida não importa e que o unicast do bloco de porta de comutação ainda seria necessário para evitar inundações .

switchport protectedé usado para reforçar a privacidade dentro de uma vlan ... o comando impede que as portas conversem com outras portas configuradas com switchport protected. Este comando reduz a inundação como um efeito colateral de usá-lo em todas as portas em uma Vlan, mas faz muito mais do que "apenas" remover a inundação de uma porta de switch. Honestamente, acho que existem maneiras melhores de atingir seus objetivos.

switchport protectedé útil se você estiver agregando clientes de colocation na mesma vlan; esse comando é uma maneira de oferecer privacidade entre os clientes sem as complicações de vlans particulares. O artigo da wikipedia que você mencionou diz que você pode "devolver" o tráfego do gateway padrão (que não deve estar em uma porta de switch protegida) para alcançar esses outros destinos ...

switchport block unicastimpede a inundação unicast desconhecida; no entanto, veja abaixo o motivo pelo qual acho que você não precisa desse comando.

No entanto, recentemente, deparei-me com um problema em que em um 2950G executando um código 12.1 (22) relativamente antigo, a inundação unicast parecia estar completamente quebrada para uma porta protegida - o tempo de envelhecimento no switch era de 5 minutos, enquanto o tempo limite do ARP do roteador eram 30 minutos e a conexão TCP que utiliza essa interface tendia a permanecer inativa por 10 minutos por vez - e não funcionava ao acordar após 10 minutos nesse caso.

Como mencionei no meu comentário, se houver algum potencial para um caminho roteado assimétrico nesta rede, você precisará de uma inundação unicast desconhecida ou corresponderá aos temporizadores CAM e ARP para garantir que as entradas CAM não expirem antes do Entradas ARP.

Na maioria dos casos, combinar os temporizadores ARP e CAM é o caminho certo para corrigir a situação , mas a escolha é sua ...

EDIT para responder aos comentários:

Definir os cronômetros para combinar está funcionando muito bem como uma solução alternativa - simplesmente não entendo por que as inundações não estão acontecendo como o esperado.

Citando "CCIE Practical Studies, Volume 2", página 115 de Karl Solie, Leah Lynch, Charles Ragan:

Se o tráfego unicast e multicast desconhecido for encaminhado para uma porta protegida, poderá haver problemas de segurança. Para impedir que o tráfego unicast ou multicast desconhecido seja encaminhado de uma porta para outra, você pode configurar uma porta (protegida ou não protegida) para bloquear o tráfego unicast e multicast desconhecido.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
Mike Pennington
fonte
Deixe-me esclarecer: switchport protectedé implementado neste caso como um mecanismo de isolamento entre sistemas que não devem ser capazes de se comunicar. O tráfego em questão ingressa no comutador em uma porta não protegida e não consegue unicast inundar as portas protegidas na vlan - e falhas de conexão estão ocorrendo por causa disso. Definir os cronômetros para combinar está funcionando muito bem como uma solução alternativa - simplesmente não entendo por que as inundações não estão acontecendo como o esperado.
Shane Madden
@ShaneMadden, você estava certo ao esperar inundações unicast na porta de switch protegida. Veja minha edição.
quer
Certo - alguma opinião sobre o que está causando o fracasso? Eu não posso ter muitas idéias além do bug do IOS.
21713 Shane Madden