В мультитенантной среде, что нужно сделать, чтобы ваши коммутаторы замолчали на коммутаторах Cisco и Juniper?

14

Например, запретить ему отправлять arp, stp и т. Д. И раскрыть как можно меньше информации об остальной сети.

Пример использования: подключение к пиринговому обмену.

SimonJGreen
источник

Ответы:

16

Вы можете проверить Руководство по настройке Amsterdam Internet Exchange для получения подсказок о том, как отключить коммутаторы от различных поставщиков.

По моему опыту, есть производители, чье программное обеспечение настолько плохое, что их оборудование никогда не отключается, например, они ARP выводят каждый интерфейс при загрузке или отправляют некоторые при подключении к порту. Juniper, Cisco, Brocade могут быть заглушены с различной степенью убеждения, Extreme зацикливает все во время переходов EAPS.

Некоторые вещи для отключения / рассмотрения:

  • Протоколы обнаружения (LLDP, CDP, FDP, «динамическое обнаружение VLAN»)
  • VTP, DTP
  • STP (отключить для VLAN, в которой находится порт)
  • Поддержка активности Ethernet или циклические кадры (бесполезно на полнодуплексном носителе)
  • Странные вещи, такие как DECnet MOP (тема другого вопроса несколько дней назад)
  • Иметь отдельную управляющую VLAN для собственного IP-адреса коммутатора
  • Вы захотите отключить отслеживание PIM на Cisco, поскольку это нарушает IPv6.
Нильс
источник
8

Это где коммутаторы, такие как серия Metro-E от Cisco, по умолчанию все нисходящие порты работают в режиме UNI, что означает, что они вообще не отправляют CDP, STP или любые кадры из других портов UNI.

Еще одна вещь, на которую вы можете обратить внимание - это частные VLAN, а затем отключить такие вещи, как CDP.

Дэвид Ротера
источник
5

Вы можете найти cisco-nsp @ для различных предложений относительно того, что включить / отключить на портах. Например, начните здесь:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

В зависимости от вашего конкретного коммутатора Cisco - Catalyst или Nexus, вы также можете найти cisco.com для конкретных методов проектирования. Например, для Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

Лукаш Бромирски
источник
0

У cisco есть опция 'switchport protected', которая может обеспечить базовую защиту L2 между портами. Нельзя обмениваться трафиком между защищенными портами. Тем не менее, они могут отправлять и получать трафик в / из незащищенных портов.

гость
источник
Это мало что делает, чтобы порт молчал. Это только ограничивает, кто услышит это.
Рикки Бим