出於工作目的,我需要將多台機器連接到網路。然而,每個工作站只有 1 個 LAN 連接埠。為了解決這個問題,我嘗試將交換器連接到 LAN 端口,以從 LAN 連接埠「抓取」多個連結。設定是這樣的:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
我很快意識到每個 LAN 連接埠只能支援有限數量的鏈路,這是 IT 部門在思科交換器層級施加的硬性限制。他們對每個 LAN 連接埠支援的 MAC 位址數量設定了限制,超過該限制就會開始丟棄連結。
我與網路管理員進行了簡短的交談,他只來得及簡單地解釋一下,如果沒有適當的限制,交換器上的生成樹可能會發瘋,並可能導致整個網路癱瘓。
我對STP的有限理解是它用於防止交換網路中的環路。但是,如果沒有 MAC 位址限制,我提出的設定可能會導致整個網路癱瘓嗎?
答案1
當您的公司大到足以採用「思科交換器」時,它可能大到 IT 部門無法支援每個鮑伯、湯姆和哈利插入他們認為屬於網路的網路設備和惡意設備。
如果這是為了工作,您將必須與 IT 部門合作。
具體來說,要回答您主題中的問題:當網路上允許流氓網路設備時,「高級用戶」很快就會做出愚蠢的事情,例如循環集線器、插入流氓 dhcp 伺服器等。 (我們在這裡討論的是思科世界中的存取級別交換器),IT 部門可以追蹤什麼在哪裡以及誰在做什麼,而無需一群用戶做他們聲稱永遠不會做的事情。
它可能不是問題的最佳解決方案(尤其是在 byod 的世界中),但這就是 IT 部門選擇做的事情。您的下一步應該是展示將工作站連接到網路的業務需求,並向 IT 部門尋求解決方案。
答案2
在交換器連接埠上使用 802.1X/mac 學習很常見。
它更像是一種安全功能,而不是「防洪」功能。大多數情況下,部署它與擔心某人「壓倒網路」無關。也是更容易部署的事情之一。
如果需要有效,IT 人員可以刪除或增加該特定 LAN 連接埠上的 mac 學習限制。
答案3
這可能不是使網路更加可靠的最佳方法,但卻是一種非常有效的方法,而且不會做太多工作。
根據我的經驗,大約一半的網路問題我被稱為有一個非常簡單的原因:一些轉儲5-8 連接埠交換器(不支援STP 且不支援環路),其中有人「剛剛插入一些測試」.. .
識別這個端口,關閉它,然後等待 cuplprits 抱怨:-)
但我確實只有在長時間出現奇怪的網路行為後才會接到電話,因此管理員會聽一些有關基本鎖定的講座 - 確保周圍有 STP、環路防護、bpdu 防護…… - 並限制 mac 地址哪裡有需要它。
tsg