Назад | Перейти на главную страницу

Является ли хорошей идеей получение нескольких IP-адресов по одной ссылке через коммутатор?

Мне нужно подключить несколько машин к Интернету для работы. Однако каждая рабочая станция имеет только 1 порт LAN. Чтобы обойти это, я попытался подключить коммутатор к порту LAN, чтобы «захватить» несколько ссылок из порта LAN. Настройка выглядит примерно так:

Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems

Вскоре я понял, что каждый порт LAN может поддерживать только ограниченное количество каналов, и что это было жесткое ограничение, наложенное ИТ-отделом на уровне коммутатора Cisco. Они установили ограничение на количество MAC-адресов, которые будет поддерживать каждый порт LAN, после которого он начнет отбрасывать ссылки.

Я коротко побеседовал с сетевым администратором, у которого было время только кратко объяснить, что связующее дерево на коммутаторах может выйти из строя и потенциально вывести из строя всю сеть, если у него не будет ограничений.

Мое ограниченное понимание STP заключается в том, что он используется для предотвращения петель в коммутируемой сети. Но как моя предлагаемая установка может вывести из строя всю сеть без ограничения MAC-адреса?

Когда ваша компания достаточно велика, чтобы использовать «CISCO SWITCHES», она, вероятно, достаточно велика, чтобы ИТ-отдел не мог поддерживать каждое подключение любого сетевого оборудования и несанкционированных устройств, которые, по их мнению, принадлежат сети.

Вам придется работать с ИТ-отделом, если это для работы.

В частности, чтобы ответить на вопрос в вашей теме: когда в сети разрешено использование несанкционированного сетевого оборудования, «опытные пользователи» быстро совершают глупые вещи, такие как зацикливание концентратора, установка мошеннического сервера DHCP и т. Д., Контролируя количество устройств в Каждый «порт» (здесь мы говорим о переключателях уровня доступа в мире cisco), ИТ-отдел может отслеживать, что где, и кто что делает, без хлопот группы пользователей, делающих вещи, которые, как они утверждают, они никогда не будут делать.

Возможно, это не лучшее решение проблемы (особенно в мире byod), но это то, что ИТ-отдел решил сделать. Следующими шагами вы должны продемонстрировать бизнес-потребность в подключении рабочих станций к сети и попросить ИТ-отдел решения.

Использование 802.1X / mac обучение на портах коммутатора является обычным явлением.

Это скорее функция безопасности, чем функция «предотвращения наводнения». В большинстве случаев, когда он развертывается, он не имеет ничего общего с тем, что кто-то «перегружает сеть». ИТ-отдел просто хочет ограничить порт, чтобы предотвратить такие вещи, как ввод 10 домашних устройств пользователем и подключение к сети. это одна из самых простых вещей в развертывании.Также можно выполнить аутентификацию и сертификаты 802.1X.

Если необходимость в этом есть, ИТ-отдел может удалить или увеличить лимит обучения Mac для этого конкретного порта LAN.

Это может быть не самый лучший способ сделать сеть более надежной, но довольно эффективный, и не требующий слишком много работы.

По моему опыту, около половины сетевых проблем меня вызывают по довольно простой причине: какой-то дамп 5-8портового коммутатора (не поддерживает STP и не поддерживает петли), когда кто-то «просто подключил некоторые тесты» ...

Идентифицируйте этот порт, выключите его и просто дождитесь, пока cuplprits пожалуются :-)

Но мне звонят только после долгих часов странного поведения в сети, поэтому администратор прочитает несколько лекций по базовым блокировкам - убедитесь, что везде есть STP, loop-guard, bpdu-guard, ... - и ограничьте MAC-адреса там, где в этом есть необходимость.

tsg