マルチテナント環境では、CiscoおよびJuniperスイッチでスイッチポートをサイレントにするために何を行う必要がありますか？

たとえば、arpやstpなどを送信しないようにし、ネットワークの残りの部分についてはできるだけ公開しないようにします。

ユースケースの例は、ピアリングエクスチェンジへの接続です。

さまざまなベンダーのスイッチを黙らせる方法に関するヒントについては、Amsterdam Internet Exchangeの構成ガイドを確認できます。

私の経験では、ソフトウェアが非常に悪いために機器が沈黙しないベンダーがあります。たとえば、起動時にすべてのインターフェイスをARPで送信したり、ポートのリンクアップイベントで一部を送信したりします。ジュニパーネットワークス、シスコ、ブロケードは、さまざまな程度の説得でこもることができます。エクストリームは、EAPS移行中にすべてをループします。

無効化/検討するいくつかの事項：

• ディスカバリプロトコル（LLDP、CDP、FDP、「dynamic-vlan-discovery」）
• VTP、DTP
• STP（ポートが属するVLANに対して無効化）
• イーサネットキープアライブまたはループフレーム（全二重メディアでは無効）
• DECnet MOPのような奇妙なもの（数日前の別の質問のトピック）
• スイッチ自身のIPアドレス用に個別の管理VLANを用意する
• これによりIPv6が破損するため、CiscoでPIMスヌーピングを無効にする必要があります。

これは、CiscoのMetro-Eシリーズなどのスイッチが入る場所です。デフォルトでは、すべてのダウンストリームポートはUNIモードで実行されます。つまり、他のUNIポートからCDP、STPまたはフレームを送信しません。

確認できるもう1つのことは、プライベートVLANであり、CDPなどの無効化です。

cisco-nsp @で、ポートで何を有効/無効にするかについてのさまざまな提案を検索できます。たとえば、ここから始めます。

http://www.gossamer-threads.com/lists/nanog/users/124659?do=post_view_threaded

特定のCiscoスイッチ（CatalystまたはNexus）に応じて、特定の設計手法についてcisco.comを検索することもできます。たとえば、Catalyst 6500の場合：

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a00801b49a4.shtml

また、.1q / taggingネゴシエーションを確実に特定する価値があります。http： //www.curtis-lamasters.com/cisco-switching-switchport-nonegotiate/

ciscoには、ポート間で基本的なL2保護を提供できる「switchport protected」オプションがあります。保護されたポート間でトラフィックを交換することはできません。ただし、保護されていないポートとの間でトラフィックを送受信できます。