Apakah switchport protectedmengonfigurasi pada antarmuka mencegah unicast flooding untuk alamat MAC yang belum dipelajari switch?
Informasi yang saya lihat konflik - halaman wikipedia tentang unicast flooding mengutip mode yang dilindungi sebagai mekanisme untuk memblokir banjir, sementara dokumentasi Cisco mengatakan itu switchport protectedtidak masalah, dan itu switchport block unicastmasih diperlukan untuk mencegah banjir.
Namun, saya baru-baru ini mengalami masalah di mana pada 2950G menjalankan beberapa kode 12.1 (22) yang relatif kuno, banjir unicast tampaknya benar-benar rusak untuk port yang dilindungi - waktu penuaan pada sakelar adalah 5 menit, sedangkan batas waktu ARP router adalah 30 menit, dan satu koneksi TCP yang menggunakan antarmuka ini memiliki kecenderungan untuk tidak aktif selama 10 menit pada suatu waktu - dan menjadi non-fungsional ketika bangun setelah 10 menit dalam kasus ini.
Tangkapan yang dijalankan pada host tidak menunjukkan banjir unicast saat diharapkan, dan meningkatkan timer penuaan MAC pada sakelar untuk mencocokkan ARP sepenuhnya menyelesaikan masalah.
Apakah perilaku ini tidak terdefinisi atau tidak konsisten dalam versi iOS yang lebih lama, atau ini hanya bug dalam kode lama ini?
sumber
switchport protecteddikonfigurasi pada semua switchports di vlan? Apakah kita dapat melihat konfigurasi dan diagram jalur antara dua host?Jawaban:
switchport protecteddigunakan untuk menegakkan privasi dalam vlan ... perintah mencegah port berbicara dengan port lain yang dikonfigurasiswitchport protected. Perintah ini mengurangi flooding sebagai efek samping dari menggunakannya pada semua port di Vlan, tetapi ia melakukan lebih dari sekadar "hanya" menghilangkan flooding dari switchport. Jujur, saya pikir ada cara yang lebih baik untuk mencapai tujuan Anda.switchport protectedberguna jika Anda mengumpulkan pelanggan colocation di vlan yang sama; perintah ini adalah salah satu cara untuk menawarkan privasi antara pelanggan tanpa komplikasi dari vlan pribadi. Artikel wikipedia yang Anda sebutkan, mengatakan Anda dapat "memantulkan" lalu lintas dari gateway default (yang seharusnya tidak berada di switchport yang dilindungi) untuk mencapai tujuan lain ...switchport block unicasttidak menghentikan banjir unicast yang tidak diketahui; Namun, lihat di bawah ini mengapa saya pikir Anda tidak perlu perintah ini.Seperti yang saya sebutkan di komentar saya, jika ada potensi untuk jalur diarahkan asimetris di jaringan ini, Anda juga perlu banjir unicast yang tidak diketahui, atau Anda harus mencocokkan timer CAM dan ARP untuk memastikan bahwa entri CAM tidak menua sebelum Entri ARP.
Dalam kebanyakan kasus, mencocokkan timer ARP dan CAM adalah cara yang tepat untuk memperbaiki situasi , tetapi pilihan ada di tangan Anda ...
EDIT untuk menanggapi komentar:
Mengutip dari "Studi Praktis CCIE, Volume 2", halaman 115 oleh Karl Solie, Leah Lynch, Charles Ragan:
Jika unicast yang tidak diketahui dan lalu lintas multicast diteruskan ke port yang dilindungi, mungkin ada masalah keamanan. Untuk mencegah lalu lintas unicast atau multicast yang tidak dikenal diteruskan dari satu port ke port lainnya, Anda dapat mengonfigurasi port (dilindungi atau tidak dilindungi) untuk memblokir lalu lintas unicast dan multicast yang tidak dikenal.
sumber
switchport protecteddiimplementasikan dalam kasus ini sebagai mekanisme isolasi antara sistem yang seharusnya tidak dapat berkomunikasi. Lalu lintas yang dimaksud masuk ke switch pada port yang tidak dilindungi, dan gagal unicast membanjiri port yang dilindungi pada vlan - dan kegagalan koneksi terjadi karena itu. Menyetel timer agar sesuai berfungsi sebagai solusi - Saya hanya tidak mengerti mengapa banjir tidak terjadi seperti yang diharapkan.