switchport protectedПредотвращает ли настройка на интерфейсе одноадресное наводнение для MAC-адреса, который коммутатор не изучил?
Информация, с которой я сталкиваюсь, - страница в Википедии о одноадресном наводнении ссылается на защищенный режим как на механизм блокирования наводнения, в то время как в документации Cisco говорится, что switchport protectedэто не имеет значения, и это switchport block unicastвсе еще необходимо для предотвращения наводнения.
Однако недавно я столкнулся с проблемой, когда на 2950G, работающем с некоторым относительно древним кодом 12.1 (22), одноадресное наводнение казалось полностью прерванным для защищенного порта - время старения на коммутаторе составляло 5 минут, а время ожидания ARP маршрутизатора было 30 минут, и одно TCP-соединение, использующее этот интерфейс, имело тенденцию бездействовать по 10 минут за раз - и в этом случае не работать после 10 минут пробуждения.
Захваты, запущенные на хосте, показали отсутствие одноадресного переполнения, когда это ожидалось, и увеличение таймера устаревания MAC на коммутаторе в соответствии с ARP полностью решило проблему.
Это поведение не определено или несовместимо в более старых версиях IOS, или это просто ошибка в этом старом коде?
источник
switchport protectedнастроен на всех switchports в vlan? Есть ли шанс увидеть конфиги и схему пути между двумя хостами?Ответы:
switchport protectedиспользуется для обеспечения конфиденциальности в vlan ... команда запрещает портам общаться с другими портами, настроенными сswitchport protected. Эта команда уменьшает переполнение как побочный эффект использования его на всех портах в Vlan, но она делает гораздо больше, чем просто удаляет переполнение из порта коммутатора. Честно говоря, я думаю, что есть лучшие способы для достижения ваших целей.switchport protectedполезно, если вы собираете клиентов в одном VLAN; эта команда является одним из способов обеспечить конфиденциальность между клиентами без каких-либо сложностей в частных сетях. В статье в Википедии, о которой вы упоминали, говорится, что вы можете «отбрасывать» трафик от шлюза по умолчанию (который не должен находиться на защищенном порту коммутации) для достижения этих других пунктов назначения ...switchport block unicastостанавливает неизвестное одноадресное наводнение; однако, смотрите ниже, почему я думаю, что вам не нужна эта команда.Как я уже упоминал в своем комментарии, если в этой сети есть какой-либо потенциал для асимметричного маршрутизируемого пути, вам необходимо либо неизвестное одноадресное наводнение, либо вы должны сопоставить таймеры CAM и ARP, чтобы обеспечить отсутствие устаревания записей CAM до ARP записи.
В большинстве случаев соответствие таймеров ARP и CAM является правильным способом исправить ситуацию , но выбор остается за вами ...
РЕДАКТИРОВАТЬ, чтобы ответить на комментарии:
Цитата из «Практических исследований CCIE, том 2», стр. 115 Карла Соли, Лии Линч, Чарльза Рагана:
Если неизвестный одноадресный и многоадресный трафик направляется на защищенный порт, могут возникнуть проблемы с безопасностью. Чтобы предотвратить переадресацию неизвестного одноадресного или многоадресного трафика с одного порта на другой, можно настроить порт (защищенный или незащищенный) для блокировки неизвестного одноадресного и многоадресного трафика.
источник
switchport protectedв данном случае это реализовано как механизм изоляции между системами, которые не должны иметь возможность общаться. Обсуждаемый трафик поступает на коммутатор незащищенного порта и не может одноадресно заполнить защищенные порты vlan - и из-за этого происходят сбои соединения. Настройка таймеров для работы отлично работает в качестве обходного пути - я просто не понимаю, почему наводнение не происходит, как ожидалось.