Temos uma opção HP ProCurve 2530-24-PoE (J9773A) , recentemente tive um usuário que conectou um dispositivo de hardware sem fio da Apple à rede - sempre que estava conectado, recebia uma tonelada de avisos de transmissão do switch, surtos intermitentes de perda de pacotes e troca O uso da CPU passou pelo telhado.
Eu removi o dispositivo dele e está tudo bem ... dado que todo o escritório foi desativado e nenhum corpo pôde funcionar toda vez que foi conectado, não consegui encontrar a causa raiz além de algo relacionado ao hardware da Apple config. Eu só posso supor que ele tenha configurado como uma ponte cliente para se conectar ao WiFi e causou um loop de volta através da porta Ethernet da Apple!
Eu possuo a spanning-tree ativada no HP ProCurve, mas isso não impediu a queda da rede.
Estou tentando impedir que isso aconteça novamente (e bloquear mais usuários de conectarem seus próprios pontos de acesso / switches não autorizados à rede) e vi os seguintes comandos recomendados para proteger contra loops aqui link :
loop-protect 1-24
spanning-tree 1-24 root-guard
spanning-tree 1-24 bpdu-protection
spanning-tree 1-24 admin-edge-port
loop-protect 1-24
Pergunta 1 - Pode-se dormir facilmente à noite com esses comandos ou qualquer coisa que eu deva saber com o que foi dito acima?
Pergunta 2 - Os comandos acima impedirão que as pessoas mexam na rede e conectem seu próprio hardware, ou serão necessários outros comandos?
Pergunta 3 - Se tivermos nossos próprios dispositivos sem fio autorizados, bpdu-protection interromperia a ponte de clientes no ponto de acesso sem fio e deveríamos deixar isso nas portas conectadas a nossos pontos de acesso sem fio?
Pergunta 4 - Temos uma configuração de voz VLAN e especificada como voz:
vlan 69
name "DATA_VLAN"
untagged 1-24
no ip address
exit
vlan 70
name "VOICE_VLAN"
tagged 1-24
no ip address
qos dscp 101110
voice
exit
Os telefones são conectados ao switch e os computadores à parte de trás do telefone. Similair para questionar 3, como vai bpdu-protection afetar o fato de eu ter um PC por trás de cada telefone (então, essencialmente, 2 endereços MAC por porta). O fato de o voice estar especificado na voz vlan 70 permite e cuida disso?
No final, usei uma combinação de comandos spanning-tree e HP loop-protect :
loop-protect 1-44
spanning-tree
spanning-tree bpdu-protection-timeout 600 priority 1
spanning-tree 1-44 admin-edge-port
spanning-tree 1-44 bpdu-protection
Eu só fiz isso para as portas de borda, qualquer coisa conectada a outros switches (no meu caso, nas portas 45-48) foram deixados como padrão (sem spanning tree ou loop protect commands).