Preciso conectar várias máquinas à internet para fins de trabalho. No entanto, cada estação de trabalho possui apenas 1 porta LAN. Para contornar isso, tentei conectar um switch à porta LAN para "capturar" vários links da porta LAN. A configuração é mais ou menos assim:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
Logo percebi que cada porta LAN só podia suportar um número limitado de links e que essa era uma limitação rígida imposta pelo departamento de TI no nível do switch Cisco. Eles estabeleceram um limite para o número de endereços MAC que cada porta LAN suportaria, além do qual começaria a descartar links.
Tive uma breve conversa com o administrador da rede, que só teve tempo de explicar brevemente que a árvore geradora nos switches poderia enlouquecer e potencialmente derrubar toda a rede se ele não tivesse a limitação em vigor.
Minha compreensão limitada do STP é que ele é usado para evitar loops em uma rede comutada. Mas como minha configuração proposta poderia derrubar toda a rede sem a limitação de endereço MAC?
Responder1
Quando sua empresa é grande o suficiente para empregar 'CISCO SWITCHES', provavelmente é grande o suficiente para que o departamento de TI não possa suportar cada bob, tom e harry conectando qualquer equipamento de rede e dispositivos não autorizados que eles acham que pertencem à rede.
Você terá que trabalhar com o Departamento de TI se isso for para trabalho.
Especificamente, para responder à pergunta em seu assunto: quando equipamentos de rede não autorizados são permitidos na rede, os 'usuários avançados' são rápidos em fazer coisas tolas, como fazer loop em um hub, inserir um servidor DHCP não autorizado, etc. cada 'porta' (estamos falando de switches de nível de acesso em um mundo Cisco aqui), o departamento de TI pode acompanhar o que está onde e quem está fazendo o quê sem o incômodo de um monte de usuários fazendo coisas que afirmam que nunca fariam.
Pode não ser a melhor solução para o problema (especialmente em um mundo de byod), mas foi isso que o departamento de TI escolheu fazer. Suas próximas etapas devem ser demonstrar a necessidade comercial de que as estações de trabalho estejam conectadas à rede e solicitar uma solução ao departamento de TI.
Responder2
Usar o aprendizado 802.1X/mac nas portas do switch é comum.
É mais um recurso de segurança do que um recurso de “mitigação de inundações”. Na maioria das vezes, quando é implantado, não tem nada a ver com a preocupação de alguém "sobrecarregando a rede. A TI simplesmente deseja limitar a porta para evitar coisas como um usuário trazer seus 10 dispositivos domésticos e se conectar à rede. Aprendizagem MAC é uma das coisas mais fáceis de implantar a autenticação 802.1X e os certificados também podem ser feitos.
Se a necessidade for válida, a TI poderá remover ou aumentar o limite de aprendizado do Mac naquela porta LAN específica.
Responder3
Esta pode não ser a melhor maneira de tornar a rede mais confiável - mas bastante eficaz - e que não dá muito trabalho.
Na minha experiência, cerca de metade dos problemas de rede que sou chamado têm um motivo bastante fácil: algum switch de 5-8 portas de despejo (não compatível com STP e com reconhecimento de loop) onde alguém "acabou de conectar alguns testes"...
Identifique esta porta, desligue-a e espere os cuplprits reclamarem :-)
Mas eu sou chamado apenas depois de longas horas de comportamento estranho na rede, então o administrador recebe algumas palestras sobre bloqueios básicos - certifique-se de que haja STP por toda parte, loop-guard, bpdu-guard, ... - e limite endereços MAC onde há necessidade disso.
tsg