仕事のために、複数のマシンをインターネットに接続する必要があります。しかし、各ワークステーションには LAN ポートが 1 つしかありません。この問題を回避するために、スイッチを LAN ポートに接続して、LAN ポートから複数のリンクを「取得」しようとしました。設定は次のようになります。
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
私はすぐに、各 LAN ポートがサポートできるリンクの数が限られていること、そしてこれがシスコ スイッチ レベルの IT 部門によって課せられた厳しい制限であることに気付きました。各 LAN ポートがサポートできる MAC アドレスの数に制限が設定されており、それを超えるとリンクがドロップし始めます。
私はネットワーク管理者と少し話をしましたが、制限を設けないとスイッチのスパニングツリーがおかしくなり、ネットワーク全体がダウンする可能性があることを簡単に説明する時間しかありませんでした。
STP に関する私の限られた理解では、STP はスイッチ ネットワークでのループを防ぐために使用されるということです。しかし、私が提案する設定では、MAC アドレスの制限なしでネットワーク全体がダウンする可能性はあるのでしょうか?
答え1
会社が「CISCO スイッチ」を導入できるほど大規模になると、ネットワーク機器や不正なデバイスをネットワークに接続しようとするすべての人間を IT 部門がサポートできなくなる可能性があります。
これが仕事のためであれば、IT 部門と協力する必要があります。
具体的には、件名の質問に答えます。ネットワーク上で不正なネットワーク機器が許可されている場合、「パワー ユーザー」は、ハブをループしたり、不正な DHCP サーバーを挿入するなどの愚かなことをすぐに実行します。各「ポート」のデバイスの数を制御することにより (ここでは、シスコの世界のアクセス レベル スイッチについて説明しています)、IT 部門は、多数のユーザーが決して行わないと主張することを実行する煩わしさなしに、何がどこにあり、誰が何をしているかを追跡できます。
これは問題に対する最善の解決策ではないかもしれませんが (特に BYOD の世界では)、IT 部門が選択した方法です。次のステップは、ワークステーションをネットワークに接続する必要があるというビジネス上のニーズを示し、IT 部門に解決策を求めることです。
答え2
スイッチ ポートで 802.1X / MAC ラーニングを使用するのは一般的です。
これは、「フラッド緩和」機能というよりも、セキュリティ機能です。ほとんどの場合、この機能が展開されるときは、誰かが「ネットワークを圧倒する」ことを懸念するわけではありません。IT 部門は、ユーザーが 10 台の家庭用デバイスを持ち込んでネットワークに接続するのを防ぐためにポートを制限したいだけです。MAC ラーニングは、展開しやすい機能の 1 つです。802.1X 認証と証明書も実行できます。
必要性が正当な場合は、IT 部門は特定の LAN ポートの MAC 学習制限を削除または増加できます。
答え3
これは、ネットワークの信頼性を高める最善の方法ではないかもしれませんが、非常に効果的であり、手間もそれほどかかりません。
私の経験では、私が呼び出されるネットワークの問題の約半分は、非常に簡単な理由によるものです。つまり、誰かが「単にテストをいくつか差し込んだだけ」で、5~8 ポート スイッチ (STP 対応でループ対応ではない) を廃棄したような場合です...
このポートを識別し、シャットダウンして、犯人が文句を言うのを待つだけです :-)
しかし、私に電話がかかってくるのは、長時間にわたる異常なネットワーク動作の後だけなので、管理者は基本的なロックダウンについてレクチャーを受けます。つまり、STP が常に有効であること、ループ ガード、BPDU ガードなどを確認すること、そして必要な場合は MAC アドレスを制限することです。
ツグ