A switchport protectedconfiguração em uma interface evita a inundação de unicast para um endereço MAC que o switch não aprendeu?
As informações que estou vendo conflitam - a página da wikipedia sobre inundação unicast cita o modo protegido como um mecanismo para bloquear as inundações, enquanto a documentação da Cisco diz que switchport protectedisso não importa e que switchport block unicastainda seria necessário para evitar inundações.
No entanto, recentemente, deparei-me com um problema em que em um 2950G executando um código 12.1 (22) relativamente antigo, a inundação unicast parecia estar completamente quebrada para uma porta protegida - o tempo de envelhecimento no switch era de 5 minutos, enquanto o tempo limite do ARP do roteador eram 30 minutos e a conexão TCP que utiliza essa interface tendia a permanecer inativa por 10 minutos por vez - e não funcionava ao acordar após 10 minutos nesse caso.
As capturas executadas no host não mostraram inundações unicast quando era esperado, e o aumento do cronômetro de envelhecimento do MAC no comutador para corresponder ao ARP resolveu completamente o problema.
Esse comportamento é indefinido ou inconsistente nas versões mais antigas do IOS ou isso é apenas um bug nesse código antigo?
fonte
switchport protectedconfigurado em todos os switchports na vlan? Alguma chance de vermos as configurações e um diagrama do caminho entre os dois hosts?Respostas:
switchport protectedé usado para reforçar a privacidade dentro de uma vlan ... o comando impede que as portas conversem com outras portas configuradas comswitchport protected. Este comando reduz a inundação como um efeito colateral de usá-lo em todas as portas em uma Vlan, mas faz muito mais do que "apenas" remover a inundação de uma porta de switch. Honestamente, acho que existem maneiras melhores de atingir seus objetivos.switchport protectedé útil se você estiver agregando clientes de colocation na mesma vlan; esse comando é uma maneira de oferecer privacidade entre os clientes sem as complicações de vlans particulares. O artigo da wikipedia que você mencionou diz que você pode "devolver" o tráfego do gateway padrão (que não deve estar em uma porta de switch protegida) para alcançar esses outros destinos ...switchport block unicastimpede a inundação unicast desconhecida; no entanto, veja abaixo o motivo pelo qual acho que você não precisa desse comando.Como mencionei no meu comentário, se houver algum potencial para um caminho roteado assimétrico nesta rede, você precisará de uma inundação unicast desconhecida ou corresponderá aos temporizadores CAM e ARP para garantir que as entradas CAM não expirem antes do Entradas ARP.
Na maioria dos casos, combinar os temporizadores ARP e CAM é o caminho certo para corrigir a situação , mas a escolha é sua ...
EDIT para responder aos comentários:
Citando "CCIE Practical Studies, Volume 2", página 115 de Karl Solie, Leah Lynch, Charles Ragan:
Se o tráfego unicast e multicast desconhecido for encaminhado para uma porta protegida, poderá haver problemas de segurança. Para impedir que o tráfego unicast ou multicast desconhecido seja encaminhado de uma porta para outra, você pode configurar uma porta (protegida ou não protegida) para bloquear o tráfego unicast e multicast desconhecido.
fonte
switchport protectedé implementado neste caso como um mecanismo de isolamento entre sistemas que não devem ser capazes de se comunicar. O tráfego em questão ingressa no comutador em uma porta não protegida e não consegue unicast inundar as portas protegidas na vlan - e falhas de conexão estão ocorrendo por causa disso. Definir os cronômetros para combinar está funcionando muito bem como uma solução alternativa - simplesmente não entendo por que as inundações não estão acontecendo como o esperado.