switchport protected是否可以防止交换机未获知的MAC地址发生单播泛洪?阻止洪水泛滥的机制,而Cisco的文档说switchport protected没关系,仍然需要switchport block unicast来防止洪水泛滥。古老的12.1(22)代码,对于受保护的端口,单播泛洪似乎已完全中断-交换机的老化时间为5分钟,而路由器的ARP超时为30分钟,并且使用此接口的一个TCP连接趋向于一次休眠10分钟-在这种情况下10分钟后醒来将无法工作。在主机上运行的捕获按预期没有单播洪泛,并且增加了交换机上的MAC老化定时器以匹配ARP完全解决了问题。
此行为在旧版IOS中是未定义的还是不一致的,或者这仅仅是旧代码中的错误?
#1 楼
我看到的信息存在冲突-单播泛洪上的Wikipedia页面将保护模式作为阻止泛滥的一种机制,而Cisco的文档说受保护的switchport无关紧要,而switchport阻止单播仍然会防止泛洪所需。此命令减少了泛洪,因为在Vlan中的所有端口上都使用泛洪,但它的作用远不止“仅”从交换机端口中消除泛洪。老实说,我认为有更好的方法可以实现您的目标。
switchport protected在聚集同一VLAN中的代管客户时非常有用。此命令是一种在客户之间提供隐私的方式,而不会导致私有VLAN的复杂化。您提到的Wikipedia文章说,您可以从默认网关(不应该在受保护的交换端口上)“反弹”流量,以到达其他目的地。但是,请参见下文了解为什么我认为您不需要此命令。对于一个受保护的端口,单播泛洪似乎已完全中断-交换机的老化时间为5分钟,而路由器的ARP超时为30分钟,并且使用此接口的一个TCP连接倾向于在以下位置休眠10分钟时间-在这种情况下,如果在10分钟后醒来,将无法正常工作。我在我的评论中提到,该网络中是否存在非对称路由的可能性,您要么需要未知的单播泛洪,要么需要匹配CAM和ARP计时器,以确保CAM条目不会在ARP条目之前老化。
在大多数情况下,匹配ARP和CAM计时器是解决这种情况的正确方法,但是您可以选择...
编辑以回复评论:
设置计时器以匹配是一种很好的解决方法-我只是不明白为什么洪水没有按预期发生。
引用“ CCIE实践研究” ,第2卷,第115页,Karl Solie,Leah Lynch和Charles Ragan:
如果未知的单播和多播流量转发到受保护的端口,则可能存在安全问题。为防止未知单播或多播流量从一个端口转发到另一个端口,可以配置端口(受保护或不受保护)以阻止未知单播和多播流量。
3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
评论
让我澄清一下:在这种情况下,保护交换端口是作为系统之间不应该进行通信的隔离机制来实现的。有问题的流量进入非受保护端口上的交换机,并且无法单播泛洪VLAN上受保护的端口-并因此而发生连接故障。设置计时器与之匹配可以很好地解决问题-我只是不明白为什么洪水没有按预期发生。
– Shane Madden
13年8月22日在2:54
@ShaneMadden,您正确地期望在受保护的交换端口上发生单播洪泛。看到我的编辑。
–迈克·彭宁顿
13年8月22日在9:29
是的-对导致洪水泛滥的原因有何想法?除了IOS错误,我无法提出其他想法。
– Shane Madden
13年8月23日在6:18
评论
嗨,Shane,针对这种情况的正确解决方案通常是使您的ARP计时器略低于CAM计时器。关于保护交换机端口是一个合理的问题,但可能不是解决该问题的最佳方法...@MikePennington Gotcha,很有道理。现在,计时器匹配起来,一切工作都很好,我想知道为什么文档和观察到的行为之间不一致。
是否在VLAN中的所有交换端口上配置了受保护的交换端口?我们有机会看到两个主机之间的配置和路径图吗?
@MikePennington是的,它是在该VLAN上除上行链路之外的所有端口上配置的。下一跳路由器(问题流量流经的下一跳路由器)是此交换机上行链路到的交换机。配置会很棘手,但是如果需要,我可以抓住感兴趣的特定部分。