Por ejemplo, evitar que envíe arp, stp, etc. y revelar lo menos posible sobre el resto de la red.
Un caso de uso de ejemplo sería conectarse a un intercambio de pares.
14
Puede consultar la Guía de configuración de Amsterdam Internet Exchange para obtener sugerencias sobre cómo silenciar los conmutadores de una variedad de proveedores.
En mi experiencia, hay proveedores cuyo software es tan malo que su equipo nunca está en silencio, por ejemplo, ARP desactivan todas las interfaces cuando arrancan o envían algunas en un evento de enlace en un puerto. Juniper, Cisco, Brocade se pueden amortiguar con diversos grados de persuasión, Extreme loops todo durante las transiciones EAPS.
Algunas cosas para deshabilitar / considerar:
Aquí es donde entran los conmutadores como la serie Metro-E de Cisco, de forma predeterminada todos los puertos descendentes se ejecutan en modo UNI, lo que significa que no envían CDP, STP ni ninguna trama desde otros puertos UNI.
Otra cosa que podría ver es VLAN privadas y luego deshabilitar cosas como CDP.
Puede buscar en cisco-nsp @ diferentes propuestas sobre qué habilitar / deshabilitar en los puertos. Por ejemplo, comience aquí:
http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded
Dependiendo de su conmutador Cisco en particular: Catalyst o Nexus, también puede buscar en cisco.com prácticas de diseño específicas. Por ejemplo, para Catalyst 6500:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml
también vale la pena asegurarse de concretar .1q / negociación de etiquetado http://www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/
Cisco tiene la opción 'switchport protected' que puede proporcionar protección básica L2 entre puertos. No se puede intercambiar tráfico entre puertos protegidos. Sin embargo, pueden enviar y recibir tráfico hacia / desde puertos desprotegidos.