У нас есть HP ProCurve 2530-24-PoE (J9773A) коммутатор, недавно у меня был пользователь, который подключал беспроводное аппаратное устройство Apple к сети - всякий раз, когда оно было подключено, я получал массу широковещательных предупреждений от коммутатора, периодические приступы потери пакетов и использование ЦП коммутатора резко возрастали.
Я удалил его устройство, и все в порядке ... учитывая, что весь офис вышел из строя, и никто не мог работать каждый раз, когда он был подключен, я не смог найти основную причину, кроме как что-то связанное с конфигурацией оборудования Apple. Я могу только предположить, что он настроил клиентский мост для подключения к Wi-Fi и вызвал петлю через порт Apple Ethernet!
У меня включено связующее дерево на HP ProCurve, но это не остановило работу сети.
Я собираюсь остановить это снова (и, кроме того, больше блокировать пользователей от подключения их собственных неавторизованных точек доступа / коммутаторов к сети) и видел следующие рекомендуемые команды для защиты от петель здесь https://cs.uwaterloo.ca/cscf/reports/CNAG/2009/ProCurve%20Best%20Practices.pdf:
loop-protect 1-24
spanning-tree 1-24 root-guard
spanning-tree 1-24 bpdu-protection
spanning-tree 1-24 admin-edge-port
loop-protect 1-24
Вопрос 1 - Можно ли спокойно спать по ночам с этими командами или чем-то еще, о чем я должен знать выше?
вопрос 2 - Помешают ли приведенные выше команды людям возиться с сетью и подключать собственное оборудование, или нужны какие-то другие команды?
Вопрос 3 - Если бы у нас были собственные авторизованные беспроводные устройства, bpdu-protection остановить соединение клиентов с точкой беспроводного доступа, и следует ли оставить это отключенным для портов, которые подключены к нашим точкам беспроводного доступа?
Вопрос 4 - У нас есть голосовая VLAN, указанная как voice:
vlan 69
name "DATA_VLAN"
untagged 1-24
no ip address
exit
vlan 70
name "VOICE_VLAN"
tagged 1-24
no ip address
qos dscp 101110
voice
exit
Телефоны подключаются к коммутатору, а компьютеры - к задней панели телефона. По аналогии с вопросом 3, как будет bpdu-protection влияет на то, что у меня есть ПК за каждым телефоном (по сути, 2 MAC-адреса на порт). Действительно ли voice в голосе указан влан 70 разрешить и позаботиться об этом?
В итоге я использовал комбинацию spanning-tree команды и HP loop-protect:
loop-protect 1-44
spanning-tree
spanning-tree bpdu-protection-timeout 600 priority 1
spanning-tree 1-44 admin-edge-port
spanning-tree 1-44 bpdu-protection
Я сделал это только для граничных портов, все, что подключено к другим коммутаторам (в моем случае на портах 45-48), было оставлено по умолчанию (без команд связующего дерева или защиты от петель).