Wdrożenie port security

Problemy związane ze switchingiem
Wiadomość
Autor
Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: Wdrożenie port security

#16

#16 Post autor: judge dredd »

Wróć... Przypomniała mi się jedna ważna kwestia, która może mieć tu znaczenie. U mnie telefony nie komunikowały się ze switchami po CDP, tylko miały na sztywno wpisany vlan voice w konfiguracji telefonu. Tak wymyślił architekt na etapie projektowania tej sieci, więc tak było. I teraz teoretyzując dalej na temat port security u mnie mogło być tak, że telefon zgłaszał swój mac-address od razu w vlanie voice, a komputer w vlanie data. W przypadku, gdy telefon nie wie jaki jest vlan voice na porcie, to może być tak, że wymienia ze switchem wstępne informacje w vlanie nietagowanym, więc tam się pojawia jego mac-address, a potem zaczyna gadać w vlanie tagowanym. Do tego komputer ze swoim mac-addresem w vlanie data i 3 adresy na porcie gotowe. Myślę, że tak mogłoby być.

Tak czy inaczej masz jakiś kierunek - jeśli nie chcesz 3 mac'ów na porcie, albo jeśli nie będzie to działać, to będzie wiadomo, że możesz się ograniczyć do "max 2" jeśli skonfigurujesz voice vlan na sztywno na telefonie. Zawsze to jakaś opcja.

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#17

#17 Post autor: RiFF »

Być może faktycznie przy CDP ten problem się nie pojawia , u mnie jest mieszane środowisko i przy innym vendorze jest używane LLDP-MED plus DHCP option
@mhuba W przypadku gdy nie ma niczego to port-security faktycznie jest dobry (i jakiekolwiek inne dostępne 'ficzery' ;) )

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: Wdrożenie port security

#18

#18 Post autor: judge dredd »

RiFF pisze: 11 cze 2019, 14:12 Być może faktycznie przy CDP ten problem się nie pojawia...
Żeby być precyzyjnym skłaniałbym się w kierunku odwrotnym, że przy użyciu CDP problem może się pojawić, bo telefon najpierw pojawia się w vlanie nietagowanym, dowiaduje się o numer tagowanego vlanu voice i potem zaczyna komunikować się w nim - stąd mac-address na porcie rejestruje się w obu vlanach. Natomiast w momencie gdy telefon ma wpisany voice vlan, to komunikuje się od razu ruchem tagowanym w tym vlanie i nie pojawia się w nietagowanym data vlanie. Takie są moje przemyślenia teoretyczne... a jak to w życiu będzie się okaże :-D

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#19

#19 Post autor: RiFF »

Tak tak, czasem szybciej coś napiszę niż przetrawię to w głowie :/ . Przy wpisanym na sztywno voice vlanie może faktycznie nie pojawia się mac w DATA vlanie (należałoby to kiedyś Wiresharkiem podejrzeć) . Dzięki za skorygowanie ;)

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#20

#20 Post autor: mhuba »

U nas tez na sztywno, przełączniki Cisco, telefony Cisco a nie możemy wykorzystać CDP bo klient tego nie testował a oni są właścicielami telefonów ;)
Wiec mamy wszedzie na sztywno wpisany Voice VLAN.

Ok potestuje to jakoś pewnie w tym tygodniu.

Pzdr
hm

mhuba
wannabe
wannabe
Posty: 846
Rejestracja: 07 lis 2007, 14:57
Lokalizacja: Poznań, Szczecin

Re: Wdrożenie port security

#21

#21 Post autor: mhuba »

Ha znajomy natknął się na to w dokumencie

https://www.cisco.com/c/en/us/td/docs/s ... t_sec.html
Note When a Catalyst 4500 series switch port is configured to support voice as well as port security, the maximum number of allowable MAC addresses on this port should be changed to three.
Ciekawe czy dla tego konkretnego IOS czy dla całej platformy.

Ad1. Ok na 4500 musimy mieć na 100% "3" przetestowane. Pozostale wyglada ze jest ok z "2".

Pzdr
hm

RiFF
member
member
Posty: 30
Rejestracja: 29 paź 2015, 11:58

Re: Wdrożenie port security

#22

#22 Post autor: RiFF »

A to ciekawe, nie wiedziałem nawet że jest taki wymóg przy 4500 a klika ich mamy ;) . Niedługo będziemy je wymieniać na 9300 w stacku więc pewnie pojawią się jakieś inne niespodzianki ;) . Thx za info

ODPOWIEDZ