Dans un environnement multi-locataire, que faut-il faire pour rendre vos ports de commutation silencieux sur les commutateurs Cisco et Juniper?


14

Par exemple, l'empêcher d'envoyer des arp, stp, etc. et de révéler le moins possible sur le reste du réseau.

Un exemple d'utilisation serait la connexion à un échange d'appairage.

Réponses:


16

Vous pouvez consulter le Guide de configuration d' Amsterdam Internet Exchange pour obtenir des conseils sur la façon de désactiver les commutateurs d'une variété de fournisseurs.

D'après mon expérience, il y a des fournisseurs dont le logiciel est si mauvais que leur équipement n'est jamais silencieux, par exemple, ils ARP toutes les interfaces au démarrage, ou en envoient certains lors d'un événement de liaison sur un port. Juniper, Cisco, Brocade peuvent être étouffés avec différents degrés de persuasion, Extreme boucle tout pendant les transitions EAPS.

Quelques choses à désactiver / considérer:

  • Protocoles de découverte (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
  • VTP, DTP
  • STP (désactiver pour le VLAN dans lequel se trouve un port)
  • Keepalives Ethernet ou trames de boucle (inutiles sur les supports full-duplex)
  • Des trucs bizarres comme DECnet MOP (sujet d'une autre question il y a quelques jours)
  • Avoir un VLAN de gestion distinct pour la propre adresse IP du commutateur
  • Vous voudrez désactiver l'espionnage PIM sur un Cisco car cela rompt IPv6.

8

C'est là qu'interviennent les commutateurs tels que la série Metro-E de Cisco, par défaut, tous les ports en aval s'exécutent en mode UNI, ce qui signifie qu'ils n'envoient pas de CDP, STP ou de trames à partir d'autres ports UNI.

Une autre chose que vous pourriez regarder est les VLAN privés, puis désactiver des choses comme CDP.


5

Vous pouvez rechercher sur cisco-nsp @ différentes propositions sur ce qu'il faut activer / désactiver sur les ports. Par exemple, commencez ici:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Selon votre commutateur Cisco particulier - Catalyst ou Nexus, vous pouvez également rechercher sur cisco.com des pratiques de conception spécifiques. Par exemple, pour Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml



0

Cisco a l'option 'switchport protected' qui peut fournir une protection de base L2 entre les ports. Aucun trafic ne peut être échangé entre des ports protégés. Pourtant, ils peuvent envoyer et recevoir du trafic vers / depuis des ports non protégés.


Cela ne fait pas grand-chose pour rendre le port silencieux. Cela limite seulement qui l'entendra.
Ricky Beam
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.