¿Haber switchport protectedconfigurado en una interfaz evita la inundación de unidifusión para una dirección MAC que el switch no ha aprendido?
La información que veo está en conflicto: la página de wikipedia sobre inundaciones de unidifusión cita el modo protegido como un mecanismo para bloquear las inundaciones, mientras que la documentación de Cisco dice que eso switchport protectedno importa y que switchport block unicastaún sería necesario para evitar inundaciones.
Sin embargo, recientemente me encontré con un problema en el que en un 2950G que ejecutaba un código 12.1 (22) relativamente antiguo, la inundación de unidifusión parecía estar completamente rota para un puerto protegido: el tiempo de envejecimiento en el conmutador era de 5 minutos, mientras que el tiempo de espera ARP del enrutador fueron 30 minutos, y la única conexión TCP que utiliza esta interfaz tenía una tendencia a permanecer inactiva durante 10 minutos a la vez, y no funcionar al despertarse después de 10 minutos en este caso.
Las capturas realizadas en el host no mostraron una inundación de unidifusión cuando se esperaba, y el aumento del temporizador de envejecimiento MAC en el conmutador para que coincida con ARP resolvió por completo el problema.
¿Es este comportamiento indefinido o inconsistente en versiones anteriores de IOS, o es solo un error en este código antiguo?
fuente
switchport protectedconfiguró en todos los puertos de conmutación en el vlan? ¿Hay alguna posibilidad de que podamos ver las configuraciones y un diagrama de la ruta entre los dos hosts?Respuestas:
switchport protectedse usa para imponer la privacidad dentro de un vlan ... el comando evita que los puertos hablen con otros puertos configurados conswitchport protected. Este comando reduce las inundaciones como efecto secundario de usarlo en todos los puertos en un Vlan, pero hace mucho más que "simplemente" eliminar las inundaciones de un puerto de conmutación. Honestamente, creo que hay mejores maneras de lograr tus objetivos.switchport protectedes útil si está agregando clientes de colocación en la misma vlan; Este comando es una forma de ofrecer privacidad entre los clientes sin las complicaciones de vlans privados. El artículo de Wikipedia que mencionó dice que puede "rebotar" el tráfico de la puerta de enlace predeterminada (que no debe estar en un puerto de conmutación protegido) para llegar a esos otros destinos ...switchport block unicastdetiene las inundaciones de unidifusión desconocidas; sin embargo, vea a continuación por qué creo que no debería necesitar este comando.Como mencioné en mi comentario, si existe la posibilidad de una ruta enrutada asimétrica en esta red, o necesita una inundación de unidifusión desconocida, o necesita hacer coincidir los temporizadores CAM y ARP para asegurarse de que las entradas CAM no caduquen antes del Entradas ARP.
En la mayoría de los casos, hacer coincidir los temporizadores ARP y CAM es la forma correcta de solucionar la situación , pero la elección es suya ...
EDITAR para responder a los comentarios:
Citando de "CCIE Practical Studies, Volumen 2", página 115 por Karl Solie, Leah Lynch, Charles Ragan:
Si el tráfico desconocido de unidifusión y multidifusión se reenvía a un puerto protegido, puede haber problemas de seguridad. Para evitar que se reenvíe el tráfico unicast o multicast desconocido de un puerto a otro, puede configurar un puerto (protegido o no protegido) para bloquear el tráfico unicast y multicast desconocido.
fuente
switchport protectedse implementa en este caso como un mecanismo de aislamiento entre sistemas que no deberían poder comunicarse. El tráfico en cuestión ingresa al conmutador en un puerto no protegido, y no está logrando que la unidifusión inunde los puertos protegidos en el vlan, y debido a eso se producen fallas de conexión. Configurar los temporizadores para que funcionen funciona muy bien como una solución alternativa: simplemente no entiendo por qué la inundación no está ocurriendo como se esperaba.