várias sub-redes no (s) mesmo (s) switch (es), como posso isolá-lo?

Navegue suas respostas
1

Eu não sou de forma alguma um especialista quando se trata de networking, eu herdei um que eu tenho certeza que está errado e devido à minha falta de experiência eu não tenho idéia de como limpá-lo.

A rede parece com isso simplificada:

Os switches L2 têm vários dispositivos conectados a eles.

Alguns dispositivos funcionam como pontes sem fio que se conectam a pontos de acesso que, em seguida, são conectados sem fio por clientes.

A parte importante é que cada switch L2 consiste em várias sub-redes. Neste exemplo

  • 10.10.10.0/24
  • 10.10.20.0/24
  • 10.10.30.0/24

Dispositivos que fazem parte dessas redes são espalhados aleatoriamente, mas eventualmente acabam em um dos switches L2.

Estou vendo um comportamento como inundação de unicast. (Por exemplo, em wireshark, se eu estiver em PC5 )

not eth.addr == <MY_MAC_ADDRESS> and ip.addr != 10.10.10.2 and ip.addr != 10.10.10.255

Eu posso ver o tráfego de ou destinado a outras redes ( 10.10.20.0/24 e 10.10.30.0.24 ) - mesmo se os hosts estiverem localizados no outro switch L2.

Sem mencionar que isso tem um impacto negativo no roteador que pode ser sentido especialmente nos horários de pico (perda de largura de banda eraticamente).

A única medida de segurança implementada nos comutadores é Port Isolation , mas não acho que esteja fazendo seu trabalho.

O que eu poderia fazer para melhorar a situação?

As VLANs estão fora de questão porque as sub-redes estão espalhadas nos switches L2?

Eu posso alterar remotamente os clientes (que se conectam sem fio) para usar o protocolo PPPOE , mas isso ajudaria com essa inundação de unicast?

O que você sugeriria?

    
por krdx 15.03.2015 / 02:06

1 resposta

2

Inundação por difusão seletiva em si não é anormal. Um certo nível de inundação de unicast ocorrerá à medida que os endereços MAC envelhecem das tabelas CAM (endereço MAC) nos switches. Se você tiver uma sobrecarga excessiva de unicast, posso postular que há um problema com a topologia de árvore de expansão da sua infraestrutura de comutação. A primeira coisa que eu gostaria de sugerir é que você analise todos os links entre switches para determinar a topologia de STP atual e para verificar se você não tem nenhum loop de comutador (desenhe-os em um pedaço de papel para visualizá-los ). Se você estiver usando switches não gerenciados, minha sugestão seria substituí-los por switches gerenciados. Você não quer misturar switches gerenciados (que suportam STP) com switches não gerenciados (que não suportam STP).

No que diz respeito à implementação de VLANs, é provavelmente uma boa ideia neste caso. Isso limitará o escopo do tráfego de Broadcast e Broadcast do Unicast para cada VLAN. Você precisará configurar os links entre switches adequadamente como portas Trunk para transportar tráfego para todas as VLANs. Você também precisará configurar o roteador ou o switch da Camada 3 para rotear o tráfego entre cada uma das VLANs.

    
por 15.03.2015 / 17:36

Tags

O módulo Puppet não roda em agentes enquanto isso foi definido em Hiera no Puppetmaster Powershell HTTPS não funciona