Мне нужно подключить несколько машин к Интернету для работы. Однако каждая рабочая станция имеет только 1 порт LAN. Чтобы обойти это, я попытался подключить коммутатор к порту LAN, чтобы «захватить» несколько ссылок из порта LAN. Настройка выглядит примерно так:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
Вскоре я понял, что каждый порт LAN может поддерживать только ограниченное количество каналов, и что это было жесткое ограничение, наложенное ИТ-отделом на уровне коммутатора Cisco. Они установили ограничение на количество MAC-адресов, которые будет поддерживать каждый порт LAN, после которого он начнет отбрасывать ссылки.
Я коротко побеседовал с сетевым администратором, у которого было время только кратко объяснить, что связующее дерево на коммутаторах может выйти из строя и потенциально вывести из строя всю сеть, если у него не будет ограничений.
Мое ограниченное понимание STP заключается в том, что он используется для предотвращения петель в коммутируемой сети. Но как моя предлагаемая установка может вывести из строя всю сеть без ограничения MAC-адреса?
Когда ваша компания достаточно велика, чтобы использовать «CISCO SWITCHES», она, вероятно, достаточно велика, чтобы ИТ-отдел не мог поддерживать каждое подключение любого сетевого оборудования и несанкционированных устройств, которые, по их мнению, принадлежат сети.
Вам придется работать с ИТ-отделом, если это для работы.
В частности, чтобы ответить на вопрос в вашей теме: когда в сети разрешено использование несанкционированного сетевого оборудования, «опытные пользователи» быстро совершают глупые вещи, такие как зацикливание концентратора, установка мошеннического сервера DHCP и т. Д., Контролируя количество устройств в Каждый «порт» (здесь мы говорим о переключателях уровня доступа в мире cisco), ИТ-отдел может отслеживать, что где, и кто что делает, без хлопот группы пользователей, делающих вещи, которые, как они утверждают, они никогда не будут делать.
Возможно, это не лучшее решение проблемы (особенно в мире byod), но это то, что ИТ-отдел решил сделать. Следующими шагами вы должны продемонстрировать бизнес-потребность в подключении рабочих станций к сети и попросить ИТ-отдел решения.
Использование 802.1X / mac обучение на портах коммутатора является обычным явлением.
Это скорее функция безопасности, чем функция «предотвращения наводнения». В большинстве случаев, когда он развертывается, он не имеет ничего общего с тем, что кто-то «перегружает сеть». ИТ-отдел просто хочет ограничить порт, чтобы предотвратить такие вещи, как ввод 10 домашних устройств пользователем и подключение к сети. это одна из самых простых вещей в развертывании.Также можно выполнить аутентификацию и сертификаты 802.1X.
Если необходимость в этом есть, ИТ-отдел может удалить или увеличить лимит обучения Mac для этого конкретного порта LAN.
Это может быть не самый лучший способ сделать сеть более надежной, но довольно эффективный, и не требующий слишком много работы.
По моему опыту, около половины сетевых проблем меня вызывают по довольно простой причине: какой-то дамп 5-8портового коммутатора (не поддерживает STP и не поддерживает петли), когда кто-то «просто подключил некоторые тесты» ...
Идентифицируйте этот порт, выключите его и просто дождитесь, пока cuplprits пожалуются :-)
Но мне звонят только после долгих часов странного поведения в сети, поэтому администратор прочитает несколько лекций по базовым блокировкам - убедитесь, что везде есть STP, loop-guard, bpdu-guard, ... - и ограничьте MAC-адреса там, где в этом есть необходимость.
tsg