Поиск по этому блогу

25.08.2010

Молчаливый интерфейс

Коммутатор по-умолчанию рассылает в сеть различные пакеты: CDP, BPDU, если работает STP и т.д. В таких случаях соседний коммутатор, как минимум, располагает информацией о mac-адресе вашего коммутатора. Вот несколько советов, как этого можно избежать.

1. Порт должен быть настроен как trunk или access, но не оставляйте по-умолчанию switchport mode dynamic desirable. Не должно работать автоопределение, а именно Dynamic Trunk Protocol (DTP). В примере показывается, что режим access отключает DTP
switch#show interface Gi1/0/10 switchport 
Name: Gi1/0/10
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
[skip]
2. По-умолчанию на коммутаторах Cisco включен Cisco Discovery Protocol (CDP). Можно его выключить совсем:
switch(config)#no cdp run
либо отключить только в нужном порту:
switch(config-if)#no cdp enable
3. Сейчас еще нет, но в будущем Cisco планирует включить протокол LLDP по-умолчанию. Выключить его совсем:
switch(config)#no lldp run
либо отключить только в нужном порту:
switch(config-if)#no lldp transmit
switch(config-if)#no lldp receive
4. Spanning-tree по-умолчанию включен и рассылает BPDU-фреймы. Если настраивается порт в режиме access, то возникает два варианта решения задачи отключения STP в порту:
а) отключить stp для конкретного vlan, если у вас vlan на порт и риск организации петли отсутствует:
switch(config)#no spanning-tree vlan xx
б)Включить на порту bpdufilter, который блокирует отправку и получение BPDU фреймов.
switch(config-if)#spanning-tree bpdufilter enable
5. Если вы присоединяете собственный маршрутизатор к оборудованию оператора, у которого на порту разрешается только один mac-адрес, т.е. работает примерно такой функционал:
interface FastEthernet0/1
switchport access vlan 100
switchport mode access
switchport port-security
switchport port-security violation protect
то необходимо на вашем порту коммутатора, который является промежуточным звеном до вашего маршрутизатора, выключить keepalive, тогда у соседнего коммутатора не будет повода изучить mac-адрес вашего коммутатора:
switch(config-if)#no keepalive
switch#show interface GigabitEthernet1/0/10            
[skip]
Keepalive not set
[skip]