switchport protectedVerhindert die Konfiguration auf einer Schnittstelle das Unicast-Flooding für eine MAC-Adresse, die der Switch nicht gelernt hat?
Die Informationen, bei denen Konflikte auftreten - auf der Wikipedia-Seite zu Unicast-Floodings wird der geschützte Modus als Mechanismus zum Blockieren von Floodings angegeben, während in der Dokumentation von Cisco angegeben ist, dass switchport protecteddies keine Rolle spielt und switchport block unicastweiterhin erforderlich ist, um Flooding zu verhindern.
Vor kurzem stieß ich jedoch auf ein Problem, bei dem auf einem 2950G mit relativ altem 12.1 (22) -Code die Unicast-Überflutung für einen geschützten Port vollständig unterbrochen zu sein schien - die Alterungszeit des Switch betrug 5 Minuten, während das ARP-Timeout des Routers betrug betrug 30 Minuten, und die eine TCP-Verbindung, die diese Schnittstelle verwendet, neigte dazu, jeweils 10 Minuten lang inaktiv zu bleiben - und in diesem Fall beim Aufwachen nach 10 Minuten nicht funktionsfähig zu sein.
Auf dem Host ausgeführte Captures zeigten erwartungsgemäß keine Unicast-Überflutung, und das Erhöhen des MAC-Alterungszeitgebers auf dem Switch, um ARP zu entsprechen, löste das Problem vollständig.
Ist dieses Verhalten in älteren IOS-Versionen undefiniert oder inkonsistent oder ist dies nur ein Fehler in diesem alten Code?
quelle
switchport protectedauf allen Switchports im VLAN konfiguriert? Gibt es eine Chance, dass wir die Konfigurationen und ein Diagramm des Pfades zwischen den beiden Hosts sehen können?Antworten:
switchport protectedwird verwendet, um die Privatsphäre innerhalb eines VLANs zu erzwingen. Der Befehl verhindert, dass Ports mit anderen mit konfigurierten Ports kommunizierenswitchport protected. Dieser Befehl reduziert das Fluten als Nebeneffekt der Verwendung an allen Ports in einem Vlan, entfernt jedoch viel mehr als "nur" das Fluten aus einem Switchport. Ehrlich gesagt denke ich, dass es bessere Möglichkeiten gibt, Ihre Ziele zu erreichen.switchport protectedDies ist nützlich, wenn Sie Colocation-Kunden im selben VLAN zusammenfassen. Dieser Befehl ist eine Möglichkeit, den Datenschutz zwischen den Kunden ohne die Komplikationen privater VLANs zu gewährleisten. In dem von Ihnen erwähnten Wikipedia-Artikel heißt es, dass Sie den Datenverkehr vom Standard-Gateway (das sich nicht auf einem geschützten Switchport befinden sollte) "abprallen" können, um diese anderen Ziele zu erreichen ...switchport block unicaststoppt unbekannte Unicast-Überschwemmungen; Im Folgenden erfahren Sie jedoch, warum Sie diesen Befehl meiner Meinung nach nicht benötigen sollten.Wie ich in meinem Kommentar erwähnt habe, benötigen Sie entweder eine unbekannte Unicast-Überflutung, oder Sie müssen die CAM- und ARP-Timer abgleichen, um sicherzustellen, dass die CAM-Einträge nicht vor dem altern ARP-Einträge.
In den meisten Fällen ist das Abgleichen der ARP- und CAM-Timer der richtige Weg, um die Situation zu beheben , aber Sie haben die Wahl ...
BEARBEITEN, um auf die Kommentare zu antworten:
Zitat aus "CCIE Practical Studies, Volume 2", Seite 115 von Karl Solie, Leah Lynch, Charles Ragan:
Wenn unbekannter Unicast- und Multicast-Verkehr an einen geschützten Port weitergeleitet wird, können Sicherheitsprobleme auftreten. Um zu verhindern, dass unbekannter Unicast- oder Multicast-Verkehr von einem Port an einen anderen weitergeleitet wird, können Sie einen Port (geschützt oder ungeschützt) so konfigurieren, dass unbekannter Unicast- und Multicast-Verkehr blockiert wird.
quelle
switchport protectedWird in diesem Fall als Isolationsmechanismus zwischen Systemen implementiert, die nicht kommunizieren können sollten. Der betreffende Datenverkehr gelangt an einem nicht geschützten Port zum Switch und kann die geschützten Ports auf dem VLAN nicht per Unicast überfluten. Aus diesem Grund treten Verbindungsfehler auf. Das Einstellen der Timer funktioniert als Problemumgehung hervorragend - ich verstehe nur nicht, warum die Überschwemmung nicht wie erwartet erfolgt.