Le «switchport protected» est-il censé bloquer les inondations unicast?

9

La switchport protectedconfiguration sur une interface empêche-t-elle l'inondation d'unicast pour une adresse MAC que le commutateur n'a pas apprise?

Les informations que je vois sont en conflit - la page wikipedia sur les inondations unicast cite le mode protégé comme mécanisme pour bloquer les inondations, tandis que la documentation de Cisco dit que cela switchport protectedn'a pas d'importance, et que cela switchport block unicastserait toujours nécessaire pour empêcher les inondations.

Cependant, j'ai récemment rencontré un problème où sur un 2950G exécutant un code 12.1 (22) relativement ancien, l'inondation unicast semblait être complètement interrompue pour un port protégé - le temps de vieillissement sur le commutateur était de 5 minutes, tandis que le délai d'expiration ARP du routeur était de 30 minutes, et la seule connexion TCP utilisant cette interface avait tendance à rester inactive pendant 10 minutes à la fois - et à ne pas être fonctionnelle au réveil après 10 minutes dans ce cas.

Les captures exécutées sur l'hôte n'ont montré aucune inondation unicast quand cela était prévu, et l'augmentation de la temporisation de vieillissement MAC sur le commutateur pour correspondre à ARP a complètement résolu le problème.

Ce comportement est-il indéfini ou incohérent dans les anciennes versions d'IOS, ou s'agit-il simplement d'un bogue dans cet ancien code?

Shane Madden
la source
1
Salut Shane, la solution correcte pour cette situation est normalement de rendre votre minuterie ARP légèrement inférieure à la minuterie CAM . C'est une question raisonnable sur le switchport protégé mais probablement pas le meilleur moyen de vaincre le problème ...
Mike Pennington
@MikePennington Gotcha, est logique. Tout fonctionne très bien avec les chronomètres correspondants pour le moment, je me demande simplement pourquoi l'incohérence entre la documentation et le comportement observé.
Shane Madden
A été switchport protectedconfiguré sur tous les ports de commutation dans le vlan? Une chance que nous pourrions voir les configs et un diagramme du chemin entre les deux hôtes?
Mike Pennington
@MikePennington Oui, il est configuré sur tous les ports de ce vlan à l'exception de la liaison montante. Le routeur de saut suivant (par lequel le trafic problématique passe) est le commutateur vers lequel ce commutateur monte. Les configurations seraient difficiles, mais je peux saisir des parties spécifiques d'intérêt si nécessaire.
Shane Madden

Réponses:

4

Les informations que je vois sont en conflit - la page wikipedia sur les inondations unicast cite le mode protégé comme mécanisme pour bloquer les inondations, tandis que la documentation de Cisco dit que la protection des ports de commutation n'a pas d'importance, et que la monodiffusion des blocs de commutation serait toujours nécessaire pour empêcher les inondations .

switchport protectedest utilisé pour appliquer la confidentialité dans un vlan ... la commande empêche les ports de parler aux autres ports configurés avec switchport protected. Cette commande réduit l'inondation comme effet secondaire de son utilisation sur tous les ports d'un Vlan, mais elle fait bien plus que "simplement" supprimer l'inondation d'un port de commutation. Honnêtement, je pense qu'il existe de meilleures façons d'atteindre vos objectifs.

switchport protectedest utile si vous regroupez des clients de colocation dans le même vlan; cette commande est un moyen d'offrir une intimité entre les clients sans les complications des vlans privés. L'article de wikipedia que vous avez mentionné dit que vous pouvez "renvoyer" le trafic de la passerelle par défaut (qui ne devrait pas être sur un port de commutation protégé) pour atteindre ces autres destinations ...

switchport block unicastarrête les inondations unicast inconnues; cependant, voyez ci-dessous pourquoi je pense que vous ne devriez pas avoir besoin de cette commande.

Cependant, j'ai récemment rencontré un problème où sur un 2950G exécutant un code 12.1 (22) relativement ancien, l'inondation unicast semblait être complètement interrompue pour un port protégé - le temps de vieillissement sur le commutateur était de 5 minutes, tandis que le délai d'expiration ARP du routeur était de 30 minutes, et la seule connexion TCP utilisant cette interface avait tendance à rester inactive pendant 10 minutes à la fois - et à ne pas être fonctionnelle au réveil après 10 minutes dans ce cas.

Comme je l'ai mentionné dans mon commentaire, s'il existe un potentiel pour un chemin routé asymétrique dans ce réseau, vous avez besoin d'une inondation unicast inconnue, ou vous devez faire correspondre les temporisateurs CAM et ARP pour vous assurer que les entrées CAM ne vieillissent pas avant la Entrées ARP.

Dans la plupart des cas, faire correspondre les temporisateurs ARP et CAM est la bonne façon de résoudre la situation , mais le choix vous appartient ...

EDIT pour répondre aux commentaires:

La définition des minuteries pour correspondre fonctionne très bien comme solution de contournement - je ne comprends tout simplement pas pourquoi l'inondation ne se produit pas comme prévu.

Extrait de "CCIE Practical Studies, Volume 2", page 115 de Karl Solie, Leah Lynch, Charles Ragan:

Si le trafic unicast et multicast inconnu est transféré vers un port protégé, il peut y avoir des problèmes de sécurité. Pour empêcher le trafic unicast ou multicast inconnu d'être transféré d'un port à un autre, vous pouvez configurer un port (protégé ou non protégé) pour bloquer le trafic unicast et multicast inconnu.

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
Mike Pennington
la source
Permettez-moi de clarifier: switchport protectedest implémenté dans ce cas comme un mécanisme d'isolement entre les systèmes qui ne devraient pas être en mesure de communiquer. Le trafic en question pénètre dans le commutateur sur un port non protégé et ne parvient pas à inonder unicast les ports protégés sur le vlan - et des échecs de connexion se produisent à cause de cela. La définition des minuteries pour correspondre fonctionne très bien comme solution de contournement - je ne comprends tout simplement pas pourquoi l'inondation ne se produit pas comme prévu.
Shane Madden
@ShaneMadden, vous aviez raison de vous attendre à une inondation unicast sur le port de commutation protégé. Voir mon montage.
Mike Pennington
D'accord - des réflexions sur ce qui cause l'échec des inondations? Je ne peux pas proposer beaucoup d'idées autres que le bogue IOS.
Shane Madden