Wdrożenie port security

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 174
Rejestracja: 02 sie 2009, 15:23

Re: Wdrożenie port security

#16

#16 Post autor: judge dredd » 11 cze 2019, 13:11

Wróć... Przypomniała mi się jedna ważna kwestia, która może mieć tu znaczenie. U mnie telefony nie komunikowały się ze switchami po CDP, tylko miały na sztywno wpisany vlan voice w konfiguracji telefonu. Tak wymyślił architekt na etapie projektowania tej sieci, więc tak było. I teraz teoretyzując dalej na temat port security u mnie mogło być tak, że telefon zgłaszał swój mac-address od razu w vlanie voice, a komputer w vlanie data. W przypadku, gdy telefon nie wie jaki jest vlan voice na porcie, to może być tak, że wymienia ze switchem wstępne informacje w vlanie nietagowanym, więc tam się pojawia jego mac-address, a potem zaczyna gadać w vlanie tagowanym. Do tego komputer ze swoim mac-addresem w vlanie data i 3 adresy na porcie gotowe. Myślę, że tak mogłoby być.

Tak czy inaczej masz jakiś kierunek - jeśli nie chcesz 3 mac'ów na porcie, albo jeśli nie będzie to działać, to będzie wiadomo, że możesz się ograniczyć do "max 2" jeśli skonfigurujesz voice vlan na sztywno na telefonie. Zawsze to jakaś opcja.

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

RiFF
member
member
Posty: 20
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#17

#17 Post autor: RiFF » 11 cze 2019, 14:12

Być może faktycznie przy CDP ten problem się nie pojawia , u mnie jest mieszane środowisko i przy innym vendorze jest używane LLDP-MED plus DHCP option
@mhuba W przypadku gdy nie ma niczego to port-security faktycznie jest dobry (i jakiekolwiek inne dostępne 'ficzery' ;) )

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 174
Rejestracja: 02 sie 2009, 15:23

Re: Wdrożenie port security

#18

#18 Post autor: judge dredd » 11 cze 2019, 15:53

RiFF pisze:
11 cze 2019, 14:12
Być może faktycznie przy CDP ten problem się nie pojawia...
Żeby być precyzyjnym skłaniałbym się w kierunku odwrotnym, że przy użyciu CDP problem może się pojawić, bo telefon najpierw pojawia się w vlanie nietagowanym, dowiaduje się o numer tagowanego vlanu voice i potem zaczyna komunikować się w nim - stąd mac-address na porcie rejestruje się w obu vlanach. Natomiast w momencie gdy telefon ma wpisany voice vlan, to komunikuje się od razu ruchem tagowanym w tym vlanie i nie pojawia się w nietagowanym data vlanie. Takie są moje przemyślenia teoretyczne... a jak to w życiu będzie się okaże :-D

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

RiFF
member
member
Posty: 20
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#19

#19 Post autor: RiFF » 11 cze 2019, 17:14

Tak tak, czasem szybciej coś napiszę niż przetrawię to w głowie :/ . Przy wpisanym na sztywno voice vlanie może faktycznie nie pojawia się mac w DATA vlanie (należałoby to kiedyś Wiresharkiem podejrzeć) . Dzięki za skorygowanie ;)

mhuba
wannabe
wannabe
Posty: 826
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#20

#20 Post autor: mhuba » 11 cze 2019, 22:17

U nas tez na sztywno, przełączniki Cisco, telefony Cisco a nie możemy wykorzystać CDP bo klient tego nie testował a oni są właścicielami telefonów ;)
Wiec mamy wszedzie na sztywno wpisany Voice VLAN.

Ok potestuje to jakoś pewnie w tym tygodniu.

Pzdr
hm

ODPOWIEDZ