HP ProCurve 防止環路和使用者插入未經授權的交換機/接入點
我們有一個
HP ProCurve 2530-24-PoE (J9773A)
交換機,最近我有一個使用者將 Apple 無線硬體設備插入網路 - 每當連接它時,我都會收到來自交換機的大量廣播警告,間歇性丟包和交換機 CPU 使用率飆升.我移除了他的設備,一切都很好……鑑於整個辦公室都關閉了,並且每次插入時都無法工作,除了與 Apple 硬體配置有關之外,我無法找到根本原因。我只能假設他已設置為連接到 WiFi 的客戶端橋接器並通過 Apple 乙太網埠導致環回!
我在 HP ProCurve 上啟用了生成樹,但這並沒有阻止網路中斷。
我正在考慮再次阻止這種情況發生(並進一步鎖定使用者將他們自己的未經授權的接入點/交換機連接到網路),並在https://cs.uwaterloo.ca/cscf看到以下推薦的命令來加強循環/reports/CNAG/2009/ProCurve%20Best%20Practices.pdf:
loop-protect 1-24 spanning-tree 1-24 root-guard spanning-tree 1-24 bpdu-protection spanning-tree 1-24 admin-edge-port loop-protect 1-24
問題 1 - 使用這些命令或任何我應該注意的上述命令可以在晚上輕鬆入睡嗎?
問題 2 - 上述命令會阻止人們弄亂網路並連接他們自己的硬體,還是需要任何其他命令?
問題 3 - 如果我們有自己的授權無線設備,是否會
bpdu-protection
停止無線接入點上客戶端的橋接,我們是否應該在連接到我們的無線接入點的埠上關閉此功能?問題 4 - 我們有一個語音 VLAN 設置並指定為語音:
vlan 69 name "DATA_VLAN" untagged 1-24 no ip address exit vlan 70 name "VOICE_VLAN" tagged 1-24 no ip address qos dscp 101110 voice exit
電話插在交換機上,電腦插在電話後面。與問題 3 類似,這將如何
bpdu-protection
影響我在每部電話後面都有一台 PC 的事實(因此每個埠基本上有 2 個 MAC 地址)。語音 vlan 70 中指定的事實是否voice
允許並處理此問題?
最後我使用了
spanning-tree
命令和 HP的組合loop-protect
:loop-protect 1-44 spanning-tree spanning-tree bpdu-protection-timeout 600 priority 1 spanning-tree 1-44 admin-edge-port spanning-tree 1-44 bpdu-protection
我只對邊緣埠執行此操作,連接到其他交換機的任何東西(在我的情況下是埠 45-48)都保留為預設值(沒有生成樹或環路保護命令)。