Мне нужно подключить несколько машин к Интернету для работы. Однако каждая рабочая станция имеет только 1 порт LAN. Чтобы обойти это, я попытался подключить коммутатор к порту LAN, чтобы «захватить» несколько ссылок с порта LAN. Настройка выглядит примерно так:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
Вскоре я понял, что каждый порт LAN может поддерживать только ограниченное количество соединений, и что это было жесткое ограничение, наложенное ИТ-отделом на уровне коммутатора cisco. Они установили ограничение на количество MAC-адресов, поддерживаемых каждым портом LAN, после чего он начинал терять соединения.
Я коротко побеседовал с администратором сети, который успел только кратко объяснить, что связующее дерево на коммутаторах может выйти из строя и потенциально вывести из строя всю сеть, если не установить ограничение.
Мое ограниченное понимание STP заключается в том, что он используется для предотвращения петель в коммутируемой сети. Но как моя предлагаемая настройка может потенциально вывести из строя всю сеть без ограничения MAC-адресов?
решение1
Если ваша компания достаточно велика, чтобы использовать «КОММУТАТОРЫ CISCO», то она, вероятно, настолько велика, что ИТ-отдел не может поддерживать каждое случайное подключение сетевого оборудования и несанкционированных устройств, которые, по их мнению, должны быть в сети.
Если это для работы, вам придется сотрудничать с ИТ-отделом.
В частности, отвечая на вопрос в вашей теме: когда в сети разрешено использование несанкционированного сетевого оборудования, «опытные пользователи» быстро начинают делать глупости, например, закольцовывать концентратор, вставлять несанкционированный DHCP-сервер и т. д. Контролируя количество устройств на каждом «порту» (речь идет о коммутаторах уровня доступа в мире Cisco), ИТ-отдел может отслеживать, что где находится и кто что делает, не беспокоясь о том, что куча пользователей делает то, что, по их словам, они никогда бы не сделали.
Это может быть не лучшим решением проблемы (особенно в мире byod), но это то, что выбрал ИТ-отдел. Ваши следующие шаги должны заключаться в том, чтобы продемонстрировать бизнес-потребность в подключении рабочих станций к сети и попросить ИТ-отдел предоставить решение.
решение2
Использование 802.1X/mac learning на портах коммутатора является обычным явлением.
Это скорее функция безопасности, чем функция "смягчения наводнения". В большинстве случаев, когда она развернута, она не имеет ничего общего с беспокойством о том, что кто-то "перегрузит сеть". ИТ-отдел просто хочет ограничить порт, чтобы предотвратить такие вещи, как принесение пользователем 10 домашних устройств и подключение к сети. Изучение MAC-адресов — одна из самых простых в развертывании вещей. Также можно использовать аутентификацию и сертификаты 802.1X.
Если необходимость обоснована, ИТ-отдел может снять или увеличить лимит на изучение MAC-адресов на данном порту локальной сети.
решение3
Возможно, это не самый лучший способ сделать свою сеть более надежной, но довольно эффективный и не требующий слишком много работы.
По моему опыту, примерно половина сетевых проблем, с которыми мне приходится сталкиваться, имеют довольно простую причину: какой-нибудь сломанный 5-8-портовый коммутатор (не поддерживающий STP и не поддерживающий петлю), к которому кто-то «просто подключил несколько тестов»...
Определите этот порт, закройте его и просто ждите жалоб от купплитов :-)
Но мне звонят только после долгих часов странного поведения сети, поэтому администратору читают лекции по основным блокировкам — убедитесь, что везде есть STP, loop-guard, bpdu-guard, ... — и ограничьте MAC-адреса там, где это необходимо.
тсг