In un ambiente multi-tenant cosa si dovrebbe fare per rendere silenziosi i propri switchport sugli switch Cisco e Juniper?

14

Ad esempio impedendogli di inviare arp, stp, ecc. E di rivelare il meno possibile sul resto della rete.

Esempio di caso d'uso sarebbe la connessione a uno scambio di peering.

cisco juniper switch

— SimonJGreen
fonte

16

Puoi consultare la Guida alla configurazione di Amsterdam Internet Exchange per suggerimenti su come mettere a tacere gli switch da una varietà di fornitori.

Nella mia esperienza ci sono venditori il cui software è così male che le loro apparecchiature non sono mai silenziose, ad esempio ARP eseguono il boot di tutte le interfacce all'avvio o ne inviano alcune su un evento di collegamento su una porta. Juniper, Cisco, Brocade possono essere smorzati con vari gradi di persuasione, Extreme avvolge tutto durante le transizioni EAPS.

Alcune cose da disabilitare / considerare:

Protocolli di rilevazione (LLDP, CDP, FDP, 'dynamic-vlan-discovery')
VTP, DTP
STP (disabilita per la VLAN in cui si trova una porta)
Keepalive Ethernet o frame loop (inutili su supporti full duplex)
Strane cose come DECnet MOP (argomento di un'altra domanda qualche giorno fa)
Avere una VLAN di gestione separata per l'indirizzo IP dello switch
Ti consigliamo di disabilitare lo snooping PIM su un Cisco in quanto ciò interrompe IPv6.

— Niels
fonte

8

È qui che entrano in gioco switch come la serie Metro-E di Cisco, per impostazione predefinita tutte le porte downstream funzionano in modalità UNI, il che significa che non inviano affatto CDP, STP o frame da altre porte UNI.

Un'altra cosa che potresti guardare sono le VLAN private e quindi disabilitare cose come CDP.

— David Rothera
fonte

5

Puoi cercare in cisco-nsp @ diverse proposte su cosa abilitare / disabilitare sulle porte. Ad esempio, inizia qui:

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

A seconda del tuo particolare switch Cisco - Catalyst o Nexus, puoi anche cercare su cisco.com pratiche di progettazione specifiche. Ad esempio, per Catalyst 6500:

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

— Łukasz Bromirski
fonte

2

vale anche la pena assicurarsi di inchiodare .1q / negoziazione di tagging http://www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/

— Paul M
fonte

0

Cisco ha l'opzione "switchport protetta" che può fornire una protezione L2 di base tra le porte. Nessun traffico può essere scambiato tra porte protette. Tuttavia, possono inviare e ricevere traffico da / verso porte non protette.

— ospite
fonte

Questo fa ben poco per rendere silenziosa la porta. Limita solo chi lo ascolterà.

— Ricky Beam,