Par exemple, l'empêcher d'envoyer des arp, stp, etc. et de révéler le moins possible sur le reste du réseau.
Un exemple d'utilisation serait la connexion à un échange d'appairage.
14
Vous pouvez consulter le Guide de configuration d' Amsterdam Internet Exchange pour obtenir des conseils sur la façon de désactiver les commutateurs d'une variété de fournisseurs.
D'après mon expérience, il y a des fournisseurs dont le logiciel est si mauvais que leur équipement n'est jamais silencieux, par exemple, ils ARP toutes les interfaces au démarrage, ou en envoient certains lors d'un événement de liaison sur un port. Juniper, Cisco, Brocade peuvent être étouffés avec différents degrés de persuasion, Extreme boucle tout pendant les transitions EAPS.
Quelques choses à désactiver / considérer:
C'est là qu'interviennent les commutateurs tels que la série Metro-E de Cisco, par défaut, tous les ports en aval s'exécutent en mode UNI, ce qui signifie qu'ils n'envoient pas de CDP, STP ou de trames à partir d'autres ports UNI.
Une autre chose que vous pourriez regarder est les VLAN privés, puis désactiver des choses comme CDP.
Vous pouvez rechercher sur cisco-nsp @ différentes propositions sur ce qu'il faut activer / désactiver sur les ports. Par exemple, commencez ici:
http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded
Selon votre commutateur Cisco particulier - Catalyst ou Nexus, vous pouvez également rechercher sur cisco.com des pratiques de conception spécifiques. Par exemple, pour Catalyst 6500:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml
vaut également la peine de vous assurer de négocier .1q / négociation de marquage http://www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/
Cisco a l'option 'switchport protected' qui peut fournir une protection de base L2 entre les ports. Aucun trafic ne peut être échangé entre des ports protégés. Pourtant, ils peuvent envoyer et recevoir du trafic vers / depuis des ports non protégés.