Soll "Switchport geschützt" Unicast-Überschwemmungen blockieren?

9

switchport protectedVerhindert die Konfiguration auf einer Schnittstelle das Unicast-Flooding für eine MAC-Adresse, die der Switch nicht gelernt hat?

Die Informationen, bei denen Konflikte auftreten - auf der Wikipedia-Seite zu Unicast-Floodings wird der geschützte Modus als Mechanismus zum Blockieren von Floodings angegeben, während in der Dokumentation von Cisco angegeben ist, dass switchport protecteddies keine Rolle spielt und switchport block unicastweiterhin erforderlich ist, um Flooding zu verhindern.

Vor kurzem stieß ich jedoch auf ein Problem, bei dem auf einem 2950G mit relativ altem 12.1 (22) -Code die Unicast-Überflutung für einen geschützten Port vollständig unterbrochen zu sein schien - die Alterungszeit des Switch betrug 5 Minuten, während das ARP-Timeout des Routers betrug betrug 30 Minuten, und die eine TCP-Verbindung, die diese Schnittstelle verwendet, neigte dazu, jeweils 10 Minuten lang inaktiv zu bleiben - und in diesem Fall beim Aufwachen nach 10 Minuten nicht funktionsfähig zu sein.

Auf dem Host ausgeführte Captures zeigten erwartungsgemäß keine Unicast-Überflutung, und das Erhöhen des MAC-Alterungszeitgebers auf dem Switch, um ARP zu entsprechen, löste das Problem vollständig.

Ist dieses Verhalten in älteren IOS-Versionen undefiniert oder inkonsistent oder ist dies nur ein Fehler in diesem alten Code?

cisco  cisco-catalyst  ethernet  cisco-ios-12 
Shane Madden
quelle
1
Hallo Shane, die richtige Lösung für diese Situation besteht normalerweise darin, Ihren ARP-Timer etwas niedriger als den CAM-Timer zu machen . Es ist eine vernünftige Frage über Switchport geschützt, aber wahrscheinlich nicht der beste Weg, um das Problem zu überwinden ...
Mike Pennington
@ MikePennington Gotcha, macht Sinn. Im Moment funktioniert alles hervorragend mit den passenden Timern. Ich frage mich nur, warum die Inkonsistenz zwischen der Dokumentation und dem beobachteten Verhalten besteht.
Shane Madden
Wurde switchport protectedauf allen Switchports im VLAN konfiguriert? Gibt es eine Chance, dass wir die Konfigurationen und ein Diagramm des Pfades zwischen den beiden Hosts sehen können?
Mike Pennington
@ MikePennington Ja, es ist an allen Ports dieses VLANs außer dem Uplink konfiguriert. Der nächste Hop-Router (durch den der Problemverkehr fließt) ist der Switch, zu dem dieser Switch eine Uplink-Verbindung herstellt. Konfigurationen wären schwierig, aber ich kann bei Bedarf bestimmte interessante Teile abrufen.
Shane Madden

Antworten:

4

Die Informationen, bei denen Konflikte auftreten - auf der Wikipedia-Seite zu Unicast-Flooding wird der geschützte Modus als Mechanismus zum Blockieren von Floodings angegeben. In der Dokumentation von Cisco heißt es, dass Switchport-geschützt keine Rolle spielt und dass Switchport-Block-Unicast weiterhin benötigt wird, um Flooding zu verhindern .

switchport protectedwird verwendet, um die Privatsphäre innerhalb eines VLANs zu erzwingen. Der Befehl verhindert, dass Ports mit anderen mit konfigurierten Ports kommunizieren switchport protected. Dieser Befehl reduziert das Fluten als Nebeneffekt der Verwendung an allen Ports in einem Vlan, entfernt jedoch viel mehr als "nur" das Fluten aus einem Switchport. Ehrlich gesagt denke ich, dass es bessere Möglichkeiten gibt, Ihre Ziele zu erreichen.

switchport protectedDies ist nützlich, wenn Sie Colocation-Kunden im selben VLAN zusammenfassen. Dieser Befehl ist eine Möglichkeit, den Datenschutz zwischen den Kunden ohne die Komplikationen privater VLANs zu gewährleisten. In dem von Ihnen erwähnten Wikipedia-Artikel heißt es, dass Sie den Datenverkehr vom Standard-Gateway (das sich nicht auf einem geschützten Switchport befinden sollte) "abprallen" können, um diese anderen Ziele zu erreichen ...

switchport block unicaststoppt unbekannte Unicast-Überschwemmungen; Im Folgenden erfahren Sie jedoch, warum Sie diesen Befehl meiner Meinung nach nicht benötigen sollten.

Vor kurzem stieß ich jedoch auf ein Problem, bei dem auf einem 2950G mit relativ altem 12.1 (22) -Code die Unicast-Überflutung für einen geschützten Port vollständig unterbrochen zu sein schien - die Alterungszeit des Switch betrug 5 Minuten, während das ARP-Timeout des Routers betrug betrug 30 Minuten, und die eine TCP-Verbindung, die diese Schnittstelle verwendet, neigte dazu, jeweils 10 Minuten lang inaktiv zu bleiben - und in diesem Fall beim Aufwachen nach 10 Minuten nicht funktionsfähig zu sein.

Wie ich in meinem Kommentar erwähnt habe, benötigen Sie entweder eine unbekannte Unicast-Überflutung, oder Sie müssen die CAM- und ARP-Timer abgleichen, um sicherzustellen, dass die CAM-Einträge nicht vor dem altern ARP-Einträge.

In den meisten Fällen ist das Abgleichen der ARP- und CAM-Timer der richtige Weg, um die Situation zu beheben , aber Sie haben die Wahl ...

BEARBEITEN, um auf die Kommentare zu antworten:

Das Einstellen der Timer funktioniert als Problemumgehung hervorragend - ich verstehe nur nicht, warum die Überschwemmung nicht wie erwartet erfolgt.

Zitat aus "CCIE Practical Studies, Volume 2", Seite 115 von Karl Solie, Leah Lynch, Charles Ragan:

Wenn unbekannter Unicast- und Multicast-Verkehr an einen geschützten Port weitergeleitet wird, können Sicherheitsprobleme auftreten. Um zu verhindern, dass unbekannter Unicast- oder Multicast-Verkehr von einem Port an einen anderen weitergeleitet wird, können Sie einen Port (geschützt oder ungeschützt) so konfigurieren, dass unbekannter Unicast- und Multicast-Verkehr blockiert wird.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
Mike Pennington
quelle
Lassen Sie mich klarstellen: switchport protectedWird in diesem Fall als Isolationsmechanismus zwischen Systemen implementiert, die nicht kommunizieren können sollten. Der betreffende Datenverkehr gelangt an einem nicht geschützten Port zum Switch und kann die geschützten Ports auf dem VLAN nicht per Unicast überfluten. Aus diesem Grund treten Verbindungsfehler auf. Das Einstellen der Timer funktioniert als Problemumgehung hervorragend - ich verstehe nur nicht, warum die Überschwemmung nicht wie erwartet erfolgt.
Shane Madden
@ShaneMadden, Sie haben zu Recht Unicast-Flooding auf dem geschützten Switchport erwartet. Siehe meine Bearbeitung.
Mike Pennington
Richtig - irgendwelche Gedanken darüber, was das Versagen der Überschwemmung verursacht? Ich kann mir nur den IOS-Fehler einfallen lassen.
Shane Madden
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.