Задать вопрос
@Benedictus

Как защитить коммутатор от L2 петли без отключения избыточного линка?

Есть такая схема включения

5c52eaf9a7fa7740304463.jpeg

Внешняя платформа - подменяет MAC адреса назначения на MAC адрес сервера аналитики

Сервер аналитики трафика прозрачно пропускает трафик через себя и отправляет его на Port 1, но в этом случае между портом 1 и портом 2 возникает петля, а необходимо что бы L2 Switch отправлял пакеты обратно на внешнюю платформу.

Подскажите, можно ли как то отключить пересылку пакетов между двумя портами в рамках L2 домена одного свича, есть ли какие то механизмы защиты
  • Вопрос задан
  • 916 просмотров
Подписаться 3 Простой 3 комментария
Решения вопроса 3
athacker
@athacker
Придётся всю систему менять. Либо переделывать отдачу трафика на "анализатор" (вы, я так понимаю, строите IPS?) через маршрутизацию, т. е. выносить на уровень L3. Либо подавать на анализатор копию трафика через SPAN, а анализатор должен отстреливать spoofed-пакетами TCP RST в сторону клиента, прикидываясь сервером если соединение признано подозрительным. Тогда клиент будет сразу закрывать соединение.

Но отвечая на прямым образом поставленный вопрос -- защитить коммутатор от отключения избыточного линка можно настроив, например, port-channel на этих линках (между коммутаторами). Однако очевидно, что это не ваша история, и вам этот вариант не поможет. Так что остаётся только менять систему.
Ответ написан
@KhoreffMikhail
CCNP
Обычно такие шарманки когда делают, входящий и исходящий трафик разводят по разным VLAN-ам.
Насколько критично, что б он был в одном влане?

На Cisco Catalyst можно, то есть нужно написать на обоих портах switchport protected, а на аплинке такую строку не писать.
На порту 1 (для обработанного трафика) надо еще написать mac access-list, что б необработанный трафик не пер на него с аплинка. (unknown unicast будет так или иначе занимать полосу)
И вообще, если protected чем-то не подойдет - можно покурить тему private vlans.
Ответ написан
Комментировать
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
1) два логических или физических интерфейса на внешней платформе, на коммутаторе они в разных вланах. На коммутаторе можно отключить mac-address-learning для обоих вланов
2) первый и второй порт на свиче в режим port-isolate
3) если трафик только в одну сторону, тупо отзеркалировать типа SPAN (без всяких вланов) из порта 1 в порт в сторону внешней платформы
4) на сервере для аналитики трафика помечать исходящий трафик какой-нибудь меткой (например qos), а на коммутаторе запретить исходящие пакеты с этим qos на порту 2. Для всего слана отключить mac-learning.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы