В среде с несколькими арендаторами необходимо сделать так, чтобы ваши коммутаторы молчали на коммутаторах Cisco и Juniper?

Например, чтобы предотвратить отправку arp, stp и т. д. и показать как можно меньше о остальной сети.

Пример использования - это соединение с пиринговым обменом.

14 голосов | спросил SimonJGreen 9 Mayam13 2013, 10:57:52

5 ответов


16

Вы можете проверить Руководство по настройке в Амстердамском интернет-сообществе, чтобы узнать, как отключать переключатели от различных поставщиков.

По моему опыту есть поставщики, чье программное обеспечение настолько плохое, что их оборудование никогда не затихает, например, они ARP выходят из каждого интерфейса при загрузке или отправляют некоторые из них на событие соединения на порт. Juniper, Cisco, Brocade могут быть заглушены с разной степенью убеждения, Extreme все петляет во время переходов EAPS.

Некоторые вещи для отключения /рассмотрения:

  • Протоколы обнаружения (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
  • VTP, DTP
  • STP (отключить для VLAN порт)
  • Ethernet keepalives или фреймы кадров (бесполезно на полнодуплексных носителях).
  • Странные вещи, такие как DECnet MOP (тема другого вопроса несколько дней назад)
  • Имейте отдельную VLAN управления для собственного IP-адреса коммутатора.
  • Вы хотите отключить отслеживание PIM на Cisco, так как это прерывает IPv6.
ответил Niels 10 Mayam13 2013, 04:39:59
8

Здесь переключатели, такие как серия Metro-E от Cisco, по умолчанию все нисходящие порты работают в режиме UNI, что означает, что они не отправляют CDP, STP или любые кадры вообще из других портов UNI.

Еще одна вещь, на которую вы могли бы обратить внимание, - это частные VLAN, а затем отключить такие вещи, как CDP.

ответил David Rothera 9 Mayam13 2013, 11:56:10
4

Вы можете искать cisco-nsp @ для разных предложений относительно того, что включать /отключать в портах. Например, начинайте здесь:

http://www.gossamer-threads.com/списки /Nanog /пользователей /124659? делать = post_view_threaded

В зависимости от вашего конкретного коммутатора Cisco - Catalyst или Nexus вы также можете искать cisco.com для конкретных методов проектирования. Например, для Catalyst 6500:

http://www.cisco.com/ан /США /продукция /HW /переключатели /ps708 /products_white_paper09186a00801b49a4.shtml

ответил Łukasz Bromirski 9 Mayam13 2013, 11:15:48
2

также стоит убедиться, что вы прибиваете .1q /tagging negotiation http://www.curtis-lamasters.com/cisco-switching-switchport- nonegotiate /

ответил Paul M 16 Maypm13 2013, 13:29:32
0

cisco имеет опцию 'switchport protected', которая может обеспечивать базовую защиту L2 между портами. Обмен защищенными портами невозможен. Тем не менее, они могут отправлять и получать трафик в /из незащищенных портов.

ответил guest 21 Maypm13 2013, 22:01:25

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132