'스위치 포트 보호'는 유니 캐스트 플러딩을 차단해야합니까?

9

한 않는 switchport protectedMAC 주소에 대한 유니 캐스트 홍수 스위치 배운하지 않은 인터페이스에 방지 구성?

필자가보고있는 정보 ( 유니 캐스트 플러딩 의 Wikipedia 페이지) 는 보호 모드를 플러딩을 차단하는 메커니즘으로 인용하는 반면 Cisco의 문서는 switchport protected중요하지 않으며 switchport block unicast여전히 플러딩을 방지하는 데 필요하다고합니다.

그러나 최근에는 비교적 오래된 12.1 (22) 코드를 실행하는 2950G에서 유니 캐스트 플러딩이 보호 포트로 완전히 중단 된 것처럼 보였습니다. 스위치의 에이징 시간은 5 분이었고 라우터의 ARP 시간 초과 이 인터페이스를 사용하는 하나의 TCP 연결은 한 번에 10 분 동안 휴면 상태에있는 경향이있었습니다.이 경우 10 분 후에 깨어날 때 작동하지 않습니다.

호스트에서 실행 된 캡처는 예상했을 때 유니 캐스트 플러딩이 발생하지 않았으며 ARP와 일치하도록 스위치의 MAC 에이징 타이머를 늘리면 문제가 완전히 해결되었습니다.

이전 IOS 버전에서이 동작이 정의되지 않았거나 일치하지 않습니까? 아니면이 이전 코드의 버그입니까?

cisco  cisco-catalyst  ethernet  cisco-ios-12 
셰인 매든
소스
1
안녕하세요 셰인, 이 상황에 대한 올바른 솔루션은 ARP 타이머가 약간 CAM 타이머보다 낮출 수 있도록 일반적입니다 . 스위치 포트 보호 에 대한 합리적인 질문 이지만 아마도 문제를 극복하는 가장 좋은 방법은 아닙니다 ...
Mike Pennington
@MikePennington Gotcha는 말이됩니다. 현재 타이머와 일치하는 모든 것이 잘 작동합니다. 문서와 관찰 된 행동 사이의 불일치가 왜 궁금합니다.
Shane Madden
switchport protectedVLAN의 모든 스위치 포트에 구성 되었습니까 ? 우리는 두 호스트 사이의 구성과 경로 다이어그램을 볼 수 있습니까?
Mike Pennington
@MikePennington 네, 업 링크를 제외한 해당 VLAN의 모든 포트에 구성되어 있습니다. 다음 홉 라우터 (트래픽 트래픽이 통과하는)는이 스위치가 업 링크되는 스위치입니다. 구성은 까다로울 수 있지만 필요한 경우 관심있는 특정 부분을 잡을 수 있습니다.
Shane Madden

답변:

4

내가 겪고있는 정보-유니 캐스트 플러딩의 Wikipedia 페이지는 플러딩을 차단하는 메커니즘으로 보호 모드를 인용하는 반면 Cisco의 문서에 따르면 스위치 포트 보호는 중요하지 않으며 스위치 포트 블록 유니 캐스트는 여전히 플러딩 방지에 필요합니다 .

switchport protectedvlan 내에서 개인 정보를 보호하는 데 사용됩니다 ...이 명령은 포트가로 구성된 다른 포트와 통신하지 못하게합니다 switchport protected. 이 명령은 Vlan의 모든 포트에서 플러딩을 사용하는 부작용으로 플러딩을 줄이지 만 스위치 포트에서 플러딩을 제거하는 것 이상의 기능을 수행합니다. 솔직히, 나는 당신의 목표를 달성하는 더 좋은 방법이 있다고 생각합니다.

switchport protected동일한 vlan에서 코 로케이션 고객을 집계하는 경우 유용합니다. 이 명령은 개인 VLAN의 복잡성없이 고객간에 개인 정보를 제공하는 한 가지 방법입니다. 언급 한 Wikipedia 기사에 따르면 기본 게이트웨이 (보호 스위치 포트에 있지 않아야 함)에서 다른 트래픽을 "바운스"하여 다른 대상에 도달 할 수 있다고합니다.

switchport block unicast알려지지 않은 유니 캐스트 플러딩을 중지합니다. 그러나이 명령이 필요하지 않은 이유는 아래를 참조하십시오.

그러나 최근에는 비교적 오래된 12.1 (22) 코드를 실행하는 2950G에서 유니 캐스트 플러딩이 보호 포트로 완전히 중단 된 것처럼 보였습니다. 스위치의 에이징 시간은 5 분이었고 라우터의 ARP 시간 초과 이 인터페이스를 사용하는 하나의 TCP 연결은 한 번에 10 분 동안 휴면 상태에있는 경향이있었습니다.이 경우 10 분 후에 깨어날 때 작동하지 않습니다.

내 의견에서 언급 했듯이이 네트워크에 비대칭 라우팅 경로가있는 경우 알려지지 않은 유니 캐스트 플러딩이 필요하거나 CAM 및 ARP 타이머를 일치시켜 CAM 항목이 이전에 만료되지 않도록해야합니다 ARP 항목.

대부분의 경우 ARP 및 CAM 타이머를 일치시키는 것이 상황을 해결하는 올바른 방법 이지만 선택은 귀하의 것입니다.

주석에 응답하도록 편집하십시오.

타이머를 설정하면 해결 방법으로 훌륭하게 작동합니다. 홍수가 예상대로 발생하지 않는 이유를 이해하지 못했습니다.

"CCIE 실용 연구, 제 2 권", 115 쪽에서 인용 : Karl Solie, Leah Lynch, Charles Ragan

알 수없는 유니 캐스트 및 멀티 캐스트 트래픽이 보호 된 포트로 전달되면 보안 문제가있을 수 있습니다. 알 수없는 유니 캐스트 또는 멀티 캐스트 트래픽이 한 포트에서 다른 포트로 전달되는 것을 방지하기 위해 알 수없는 유니 캐스트 및 멀티 캐스트 트래픽을 차단하도록 포트 (보호 또는 비보호)를 구성 할 수 있습니다.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
마이크 페닝 턴
소스
제가 정리해 드리죠 : switchport protected통신 할 수 없습니다 있어야 시스템 사이의 분리 메커니즘으로이 경우에 구현된다. 문제의 트래픽은 보호되지 않은 포트의 스위치로 유입되어 VLAN의 보호 된 포트를 유니 캐스트로 넘치지 못하므로 연결 오류가 발생합니다. 타이머를 설정하면 해결 방법으로 훌륭하게 작동합니다. 홍수가 예상대로 발생하지 않는 이유를 이해하지 못합니다.
Shane Madden
@ShaneMadden, 보호 된 스위치 포트에서 유니 캐스트 플러드가 발생할 것으로 예상했습니다. 내 편집을 참조하십시오.
Mike Pennington
맞습니다-홍수 실패의 원인에 대한 생각이 있습니까? IOS 버그 이외의 많은 아이디어를 생각해 낼 수 없습니다.
Shane Madden
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.