Dans un environnement multi-locataire, que faut-il faire pour rendre vos ports de commutation silencieux sur les commutateurs Cisco et Juniper?

14

Par exemple, l'empêcher d'envoyer des arp, stp, etc. et de révéler le moins possible sur le reste du réseau.

Un exemple d'utilisation serait la connexion à un échange d'appairage.

SimonJGreen
la source

Réponses:

16

Vous pouvez consulter le Guide de configuration d' Amsterdam Internet Exchange pour obtenir des conseils sur la façon de désactiver les commutateurs d'une variété de fournisseurs.

D'après mon expérience, il y a des fournisseurs dont le logiciel est si mauvais que leur équipement n'est jamais silencieux, par exemple, ils ARP toutes les interfaces au démarrage, ou en envoient certains lors d'un événement de liaison sur un port. Juniper, Cisco, Brocade peuvent être étouffés avec différents degrés de persuasion, Extreme boucle tout pendant les transitions EAPS.

Quelques choses à désactiver / considérer:

  • Protocoles de découverte (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
  • VTP, DTP
  • STP (désactiver pour le VLAN dans lequel se trouve un port)
  • Keepalives Ethernet ou trames de boucle (inutiles sur les supports full-duplex)
  • Des trucs bizarres comme DECnet MOP (sujet d'une autre question il y a quelques jours)
  • Avoir un VLAN de gestion distinct pour la propre adresse IP du commutateur
  • Vous voudrez désactiver l'espionnage PIM sur un Cisco car cela rompt IPv6.
Niels
la source
8

C'est là qu'interviennent les commutateurs tels que la série Metro-E de Cisco, par défaut, tous les ports en aval s'exécutent en mode UNI, ce qui signifie qu'ils n'envoient pas de CDP, STP ou de trames à partir d'autres ports UNI.

Une autre chose que vous pourriez regarder est les VLAN privés, puis désactiver des choses comme CDP.

David Rothera
la source
5

Vous pouvez rechercher sur cisco-nsp @ différentes propositions sur ce qu'il faut activer / désactiver sur les ports. Par exemple, commencez ici:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Selon votre commutateur Cisco particulier - Catalyst ou Nexus, vous pouvez également rechercher sur cisco.com des pratiques de conception spécifiques. Par exemple, pour Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

Łukasz Bromirski
la source
0

Cisco a l'option 'switchport protected' qui peut fournir une protection de base L2 entre les ports. Aucun trafic ne peut être échangé entre des ports protégés. Pourtant, ils peuvent envoyer et recevoir du trafic vers / depuis des ports non protégés.

client
la source
Cela ne fait pas grand-chose pour rendre le port silencieux. Cela limite seulement qui l'entendra.
Ricky Beam