Necesito conectar varias máquinas a Internet por motivos laborales. Sin embargo, cada estación de trabajo sólo tiene 1 puerto LAN. Para solucionar esto, intenté conectar un conmutador al puerto LAN para "captar" múltiples enlaces del puerto LAN. La configuración es algo como esto:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
Pronto me di cuenta de que cada puerto LAN solo podía admitir una cantidad limitada de enlaces, y que esta era una limitación estricta impuesta por el departamento de TI a nivel de conmutador de Cisco. Habían establecido un límite en la cantidad de direcciones MAC que admitiría cada puerto LAN, más allá del cual comenzaría a perder enlaces.
Tuve una breve charla con el administrador de la red, quien solo tuvo tiempo de explicar brevemente que el árbol de expansión de los conmutadores podría volverse loco y potencialmente colapsar toda la red si no tenía la limitación establecida.
Mi comprensión limitada de STP es que se utiliza para evitar bucles en una red conmutada. Pero, ¿cómo podría mi configuración propuesta hacer caer potencialmente toda la red sin la limitación de la dirección MAC?
Respuesta1
Cuando su empresa es lo suficientemente grande como para emplear 'CONMUTADORES CISCO', probablemente sea lo suficientemente grande como para que el departamento de TI no pueda soportar que todos los bob, tom y harry conecten cualquier equipo de red y dispositivos no autorizados que crean que pertenecen a la red.
Tendrás que trabajar con el Departamento de TI si esto es por trabajo.
Específicamente, para responder a la pregunta de su tema: cuando se permiten equipos de red no autorizados en la red, los 'usuarios avanzados' se apresuran a hacer cosas tontas como conectar un concentrador, insertar un servidor dhcp no autorizado, etc. Al controlar la cantidad de dispositivos en En cada 'puerto' (aquí estamos hablando de conmutadores de nivel de acceso en un mundo de Cisco), el departamento de TI puede realizar un seguimiento de qué está, dónde y quién está haciendo qué sin la molestia de que un grupo de usuarios hagan cosas que afirman que nunca harían.
Puede que no sea la mejor solución al problema (especialmente en un mundo de byod), pero eso es lo que el departamento de TI ha decidido hacer. Sus próximos pasos deben ser demostrar la necesidad empresarial de que las estaciones de trabajo estén conectadas a la red y solicitar una solución a TI.
Respuesta2
Es común utilizar el aprendizaje 802.1X/mac en los puertos del switch.
Es más una característica de seguridad que una característica de "mitigación de inundaciones". La mayoría de las veces, cuando se implementa, no tiene nada que ver con preocuparse de que alguien "abrume la red". TI simplemente quiere limitar el puerto para evitar cosas como que un usuario traiga sus 10 dispositivos domésticos y se conecte a la red. Aprendizaje MAC es una de las cosas más fáciles de implementar. La autenticación y los certificados 802.1X también se pueden realizar.
Si la necesidad es válida, TI puede eliminar o aumentar el límite de aprendizaje de Mac en ese puerto LAN en particular.
Respuesta3
Esta podría no ser la mejor manera de hacer que la red sea más confiable, pero sí bastante efectiva, y que no requiere demasiado trabajo.
En mi experiencia, aproximadamente la mitad de los problemas de red a los que me llamo tienen una razón bastante fácil: algún conmutador volcado de 5 a 8 puertos (no compatible con STP y compatible con bucles) donde alguien "simplemente conectó algunas pruebas"...
Identifique este puerto, ciérrelo y espere a que los culpables se quejen :-)
Pero solo me llaman después de largas horas de comportamiento extraño en la red, por lo que el administrador recibe algunos sermones sobre bloqueos básicos (asegúrese de que haya STP en todas partes, loop-guard, bpdu-guard, ...) y limite las direcciones mac. donde sea necesario.
tsg