Wróć... Przypomniała mi się jedna ważna kwestia, która może mieć tu znaczenie. U mnie telefony nie komunikowały się ze switchami po CDP, tylko miały na sztywno wpisany vlan voice w konfiguracji telefonu. Tak wymyślił architekt na etapie projektowania tej sieci, więc tak było. I teraz teoretyzując dalej na temat port security u mnie mogło być tak, że telefon zgłaszał swój mac-address od razu w vlanie voice, a komputer w vlanie data. W przypadku, gdy telefon nie wie jaki jest vlan voice na porcie, to może być tak, że wymienia ze switchem wstępne informacje w vlanie nietagowanym, więc tam się pojawia jego mac-address, a potem zaczyna gadać w vlanie tagowanym. Do tego komputer ze swoim mac-addresem w vlanie data i 3 adresy na porcie gotowe. Myślę, że tak mogłoby być.
Tak czy inaczej masz jakiś kierunek - jeśli nie chcesz 3 mac'ów na porcie, albo jeśli nie będzie to działać, to będzie wiadomo, że możesz się ograniczyć do "max 2" jeśli skonfigurujesz voice vlan na sztywno na telefonie. Zawsze to jakaś opcja.
Pozdrawiam!
JD
Wdrożenie port security
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Wdrożenie port security
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: Wdrożenie port security
Być może faktycznie przy CDP ten problem się nie pojawia , u mnie jest mieszane środowisko i przy innym vendorze jest używane LLDP-MED plus DHCP option
@mhuba W przypadku gdy nie ma niczego to port-security faktycznie jest dobry (i jakiekolwiek inne dostępne 'ficzery' )
@mhuba W przypadku gdy nie ma niczego to port-security faktycznie jest dobry (i jakiekolwiek inne dostępne 'ficzery' )
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Wdrożenie port security
Żeby być precyzyjnym skłaniałbym się w kierunku odwrotnym, że przy użyciu CDP problem może się pojawić, bo telefon najpierw pojawia się w vlanie nietagowanym, dowiaduje się o numer tagowanego vlanu voice i potem zaczyna komunikować się w nim - stąd mac-address na porcie rejestruje się w obu vlanach. Natomiast w momencie gdy telefon ma wpisany voice vlan, to komunikuje się od razu ruchem tagowanym w tym vlanie i nie pojawia się w nietagowanym data vlanie. Takie są moje przemyślenia teoretyczne... a jak to w życiu będzie się okaże
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: Wdrożenie port security
Tak tak, czasem szybciej coś napiszę niż przetrawię to w głowie :/ . Przy wpisanym na sztywno voice vlanie może faktycznie nie pojawia się mac w DATA vlanie (należałoby to kiedyś Wiresharkiem podejrzeć) . Dzięki za skorygowanie
Re: Wdrożenie port security
U nas tez na sztywno, przełączniki Cisco, telefony Cisco a nie możemy wykorzystać CDP bo klient tego nie testował a oni są właścicielami telefonów
Wiec mamy wszedzie na sztywno wpisany Voice VLAN.
Ok potestuje to jakoś pewnie w tym tygodniu.
Pzdr
hm
Wiec mamy wszedzie na sztywno wpisany Voice VLAN.
Ok potestuje to jakoś pewnie w tym tygodniu.
Pzdr
hm
Re: Wdrożenie port security
Ha znajomy natknął się na to w dokumencie
https://www.cisco.com/c/en/us/td/docs/s ... t_sec.html
Ad1. Ok na 4500 musimy mieć na 100% "3" przetestowane. Pozostale wyglada ze jest ok z "2".
Pzdr
hm
https://www.cisco.com/c/en/us/td/docs/s ... t_sec.html
Ciekawe czy dla tego konkretnego IOS czy dla całej platformy.Note When a Catalyst 4500 series switch port is configured to support voice as well as port security, the maximum number of allowable MAC addresses on this port should be changed to three.
Ad1. Ok na 4500 musimy mieć na 100% "3" przetestowane. Pozostale wyglada ze jest ok z "2".
Pzdr
hm
Re: Wdrożenie port security
A to ciekawe, nie wiedziałem nawet że jest taki wymóg przy 4500 a klika ich mamy . Niedługo będziemy je wymieniać na 9300 w stacku więc pewnie pojawią się jakieś inne niespodzianki . Thx za info