Was ist in einer Umgebung mit mehreren Mandanten zu tun, um Ihre Switchports für Cisco- und Juniper-Switches stumm zu schalten?

14

Zum Beispiel verhindern, dass es Arp, Stp usw. sendet und so wenig wie möglich über den Rest des Netzwerks verrät.

Ein beispielhafter Anwendungsfall wäre die Verbindung zu einer Peering-Vermittlungsstelle.

SimonJGreen
quelle

Antworten:

16

Im Konfigurationshandbuch von Amsterdam Internet Exchange finden Sie Hinweise zum Stummschalten von Switches verschiedener Hersteller.

Nach meiner Erfahrung gibt es Anbieter, deren Software so schlecht ist, dass ihre Geräte niemals leise sind. Sie ARPEN beispielsweise jede Schnittstelle beim Booten oder senden einige bei einem Verbindungsereignis an einem Port. Juniper, Cisco, Brocade können mit unterschiedlichem Maß an Überzeugungskraft gedämpft werden. Extreme schleift alles während der EAPS-Übergänge.

Einige Dinge zum Deaktivieren / Überlegen:

  • Erkennungsprotokolle (LLDP, CDP, FDP, 'Dynamic-Vlan-Discovery')
  • VTP, DTP
  • STP (für das VLAN deaktivieren, in dem sich ein Port befindet)
  • Ethernet-Keepalives oder Loop-Frames (nutzlos auf Vollduplex-Medien)
  • Seltsame Dinge wie DECnet MOP (Thema einer anderen Frage vor ein paar Tagen)
  • Verfügen Sie über ein separates Verwaltungs-VLAN für die eigene IP-Adresse des Switch
  • Sie möchten PIM-Snooping auf einem Cisco deaktivieren, da dies IPv6 bricht.
Niels
quelle
8

Hier kommen Switches wie die Metro-E-Serie von Cisco ins Spiel. Standardmäßig werden alle Downstream-Ports im UNI-Modus ausgeführt. Dies bedeutet, dass keine CDP-, STP- oder Frames von anderen UNI-Ports gesendet werden.

Sie können sich auch private VLANs ansehen und dann Dinge wie CDP deaktivieren.

David Rothera
quelle
5

Sie können cisco-nsp @ nach verschiedenen Vorschlägen durchsuchen, um festzulegen, was für die Ports aktiviert / deaktiviert werden soll. Zum Beispiel hier anfangen:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Abhängig von Ihrem Cisco-Switch - Catalyst oder Nexus - können Sie auf cisco.com auch nach bestimmten Entwurfspraktiken suchen. Zum Beispiel für Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

Łukasz Bromirski
quelle
0

Cisco hat die Option 'switchport protected', die einen grundlegenden L2-Schutz zwischen den Ports bietet. Zwischen geschützten Ports kann kein Datenverkehr ausgetauscht werden. Sie können jedoch Datenverkehr zu / von ungeschützten Ports senden und empfangen.

Gast
quelle
Das trägt wenig dazu bei, den Hafen leise zu machen. Es begrenzt nur, wer es hört.
Ricky Beam