Dans un environnement multi-locataire, que faut-il faire pour rendre vos ports de commutation silencieux sur les commutateurs Cisco et Juniper?

14

Par exemple, l'empêcher d'envoyer des arp, stp, etc. et de révéler le moins possible sur le reste du réseau.

Un exemple d'utilisation serait la connexion à un échange d'appairage.

cisco juniper switch

— SimonJGreen
source

16

Vous pouvez consulter le Guide de configuration d' Amsterdam Internet Exchange pour obtenir des conseils sur la façon de désactiver les commutateurs d'une variété de fournisseurs.

D'après mon expérience, il y a des fournisseurs dont le logiciel est si mauvais que leur équipement n'est jamais silencieux, par exemple, ils ARP toutes les interfaces au démarrage, ou en envoient certains lors d'un événement de liaison sur un port. Juniper, Cisco, Brocade peuvent être étouffés avec différents degrés de persuasion, Extreme boucle tout pendant les transitions EAPS.

Quelques choses à désactiver / considérer:

Protocoles de découverte (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
VTP, DTP
STP (désactiver pour le VLAN dans lequel se trouve un port)
Keepalives Ethernet ou trames de boucle (inutiles sur les supports full-duplex)
Des trucs bizarres comme DECnet MOP (sujet d'une autre question il y a quelques jours)
Avoir un VLAN de gestion distinct pour la propre adresse IP du commutateur
Vous voudrez désactiver l'espionnage PIM sur un Cisco car cela rompt IPv6.

— Niels
source

8

C'est là qu'interviennent les commutateurs tels que la série Metro-E de Cisco, par défaut, tous les ports en aval s'exécutent en mode UNI, ce qui signifie qu'ils n'envoient pas de CDP, STP ou de trames à partir d'autres ports UNI.

Une autre chose que vous pourriez regarder est les VLAN privés, puis désactiver des choses comme CDP.

— David Rothera
source

5

Vous pouvez rechercher sur cisco-nsp @ différentes propositions sur ce qu'il faut activer / désactiver sur les ports. Par exemple, commencez ici:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

Selon votre commutateur Cisco particulier - Catalyst ou Nexus, vous pouvez également rechercher sur cisco.com des pratiques de conception spécifiques. Par exemple, pour Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

— Łukasz Bromirski
source

2

vaut également la peine de vous assurer de négocier .1q / négociation de marquage http://www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/

— Paul M
source

0

Cisco a l'option 'switchport protected' qui peut fournir une protection de base L2 entre les ports. Aucun trafic ne peut être échangé entre des ports protégés. Pourtant, ils peuvent envoyer et recevoir du trafic vers / depuis des ports non protégés.

— client
source

Cela ne fait pas grand-chose pour rendre le port silencieux. Cela limite seulement qui l'entendra.

— Ricky Beam