「スイッチポート保護」はユニキャストフラッディングをブロックするはずですか?

9

たんswitchport protectedスイッチが学習していないMACアドレスのユニキャストフラッディングを防止するためのインターフェイス上で設定?

競合が発生しているという情報- ユニキャストフラッディングに関するWikipediaのページでは、フラッディングをブロックするメカニズムとしてプロテクトモードが挙げられていますが、Ciscoのドキュメントではそれswitchport protectedは問題ではなく、switchport block unicastフラッディングを防ぐためにも必要です。

しかし、私は最近、比較的古い12.1(22)コードを実行する2950Gで、保護ポートのユニキャストフラッディングが完全に壊れているように見える問題に遭遇しました-スイッチのエージングタイムは5分で、ルーターのARPタイムアウトは30分でした。このインターフェースを使用する1つのTCP接続は、一度に10分間休眠する傾向があり、この場合、10分後に起動すると機能しなくなりました。

ホストで実行されたキャプチャは、予想どおりのユニキャストフラッディングを示さず、スイッチのMACエージングタイマーをARPに一致するように増やすと、問題は完全に解決されました。

この動作は、古いIOSバージョンで定義されていないか、一貫していませんか、それともこの古いコードのバグですか?

cisco  cisco-catalyst  ethernet  cisco-ios-12 
シェーン・マッデン
ソース
1
こんにちはシェーン、この状況の正しい解決策は通常、ARPタイマーをCAMタイマーよりも少し低くすることです。これはスイッチポート保護についての妥当な質問ですが、おそらく問題を克服するための最良の方法ではありません...
マイクペニントン2013
@MikePennington Gotcha、理にかなっています。現時点で一致しているタイマーですべてがうまく機能しているので、ドキュメンテーションと観察された動作との間の不整合がなぜ不思議に思っています。
シェーンマッデン
されたswitchport protectedVLAN内のすべてのスイッチポート上で設定?2つのホスト間のパスの構成と図を見ることができますか?
マイクペニントン2013
@MikePenningtonええ、それはアップリンクを除くそのVLAN上のすべてのポートで構成されています。(問題のトラフィックが通過する)ネクストホップルーターは、このスイッチがアップリンクするスイッチです。設定はトリッキーですが、必要に応じて興味のある特定の部分を取得できます。
シェーンマッデン

回答:

4

競合が発生しているという情報-ユニキャストフラッディングのWikipediaページでは、フラッディングをブロックするメカニズムとして保護モードが挙げられていますが、Ciscoのドキュメントでは、スイッチポート保護は問題ではなく、フラッディングを防ぐためにスイッチポートブロックユニキャストが依然として必要であると述べています。

switchport protectedvlan内のプライバシーを強制するために使用されます...コマンドは、ポートがで設定された他のポートと通信することを防ぎますswitchport protected。このコマンドは、VLAN内のすべてのポートで使用する副作用としてフラッディングを減らしますが、スイッチポートからフラッディングを「単に」削除するだけではありません。正直なところ、あなたの目標を達成するためのより良い方法があると思います。

switchport protected同じVLAN内のコロケーション顧客を集約する場合に便利です。このコマンドは、プライベートVLANの複雑化なしに、顧客間のプライバシーを提供する1つの方法です。あなたが言及したウィキペディアの記事は、他の宛先に到達するためにデフォルトのゲートウェイ(保護されたスイッチポート上にあってはならない)からトラフィックを「バウンス」できると述べています...

switchport block unicast不明なユニキャストフラッディングを停止します。ただし、このコマンドを必要としない理由については、以下を参照してください。

しかし、私は最近、比較的古い12.1(22)コードを実行する2950Gで、保護ポートのユニキャストフラッディングが完全に壊れているように見える問題に遭遇しました-スイッチのエージングタイムは5分で、ルーターのARPタイムアウトは30分でした。このインターフェースを使用する1つのTCP接続は、一度に10分間休眠する傾向があり、この場合、10分後に起動すると機能しなくなりました。

コメントで述べたように、このネットワークに非対称ルーティングパスの可能性がある場合は、不明なユニキャストフラッディングが必要か、CAMとARPタイマーを一致させて、CAMエントリが期限切れにならないようにする必要があります。 ARPエントリ。

ほとんどの場合、ARPタイマーとCAMタイマーを一致させることが状況を修正する正しい方法ですが、選択はあなた次第です...

コメントに応答するように編集します。

タイマーを一致するように設定することは、回避策としてうまく機能します-フラッディングが期待どおりに発生しない理由を理解できません。

Karl Solie、Leah Lynch、Charles Raganによる115ページの「CCIE Practical Studies、Volume 2」からの引用:

不明なユニキャストおよびマルチキャストトラフィックが保護ポートに転送される場合、セキュリティの問題が発生する可能性があります。不明なユニキャストまたはマルチキャストトラフィックが1つのポートから別のポートに転送されるのを防ぐために、不明なユニキャストおよびマルチキャストトラフィックをブロックするようにポート(保護または非保護)を構成できます。

3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast
マイク・ペニントン
ソース
はっきりさせておきますswitchport protectedが、この場合は、通信できないシステム間の分離メカニズムとして実装されています。問題のトラフィックは、保護されていないポートのスイッチに進入し、VLAN上の保護されたポートをユニキャストフラッディングできず、そのため接続障害が発生しています。タイマーを一致するように設定することは、回避策としてうまく機能します-フラッディングが期待どおりに発生しない理由を理解できません。
シェーンマッデン
@ShaneMadden、保護されたスイッチポートでのユニキャストフラッディングを予期するのは正しかったです。私の編集を参照してください。
マイクペニントン
正しい-洪水の失敗の原因は何ですか?IOSのバグ以外のアイデアは思いつきません。
シェーンマッデン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.