HP ProCurve Evitando loops e usuários conectando switches não autorizados / access-points

5

Temos uma opção HP ProCurve 2530-24-PoE (J9773A) , recentemente tive um usuário que conectou um dispositivo de hardware sem fio da Apple à rede - sempre que estava conectado, recebia uma tonelada de avisos de transmissão do switch, surtos intermitentes de perda de pacotes e troca O uso da CPU passou pelo telhado.

Eu removi o dispositivo dele e está tudo bem ... dado que todo o escritório foi desativado e nenhum corpo pôde funcionar toda vez que foi conectado, não consegui encontrar a causa raiz além de algo relacionado ao hardware da Apple config. Eu só posso supor que ele tenha configurado como uma ponte cliente para se conectar ao WiFi e causou um loop de volta através da porta Ethernet da Apple!

Eu possuo a spanning-tree ativada no HP ProCurve, mas isso não impediu a queda da rede.

Estou tentando impedir que isso aconteça novamente (e bloquear mais usuários de conectarem seus próprios pontos de acesso / switches não autorizados à rede) e vi os seguintes comandos recomendados para proteger contra loops aqui link :

loop-protect 1-24
spanning-tree 1-24 root-guard
spanning-tree 1-24 bpdu-protection
spanning-tree 1-24 admin-edge-port
loop-protect 1-24

Pergunta 1 - Pode-se dormir facilmente à noite com esses comandos ou qualquer coisa que eu deva saber com o que foi dito acima?

Pergunta 2 - Os comandos acima impedirão que as pessoas mexam na rede e conectem seu próprio hardware, ou serão necessários outros comandos?

Pergunta 3 - Se tivermos nossos próprios dispositivos sem fio autorizados, bpdu-protection interromperia a ponte de clientes no ponto de acesso sem fio e deveríamos deixar isso nas portas conectadas a nossos pontos de acesso sem fio?

Pergunta 4 - Temos uma configuração de voz VLAN e especificada como voz:

vlan 69
   name "DATA_VLAN"
   untagged 1-24
   no ip address
   exit
vlan 70
   name "VOICE_VLAN"
   tagged 1-24
   no ip address
   qos dscp 101110
   voice
   exit

Os telefones são conectados ao switch e os computadores à parte de trás do telefone. Similair para questionar 3, como vai bpdu-protection afetar o fato de eu ter um PC por trás de cada telefone (então, essencialmente, 2 endereços MAC por porta). O fato de o voice estar especificado na voz vlan 70 permite e cuida disso?

    
por g18c 03.07.2015 / 16:56

1 resposta

1

No final, usei uma combinação de comandos spanning-tree e HP loop-protect :

loop-protect 1-44
spanning-tree
spanning-tree bpdu-protection-timeout 600 priority 1
spanning-tree 1-44 admin-edge-port
spanning-tree 1-44 bpdu-protection

Eu só fiz isso para as portas de borda, qualquer coisa conectada a outros switches (no meu caso, nas portas 45-48) foram deixados como padrão (sem spanning tree ou loop protect commands).

    
por 04.08.2015 / 16:42