Switch

HP ProCurve 防止環路和使用者插入未經授權的交換機/接入點

  • October 31, 2016

我們有一個HP ProCurve 2530-24-PoE (J9773A)交換機,最近我有一個使用者將 Apple 無線硬體設備插入網路 - 每當連接它時,我都會收到來自交換機的大量廣播警告,間歇性丟包和交換機 CPU 使用率飆升.

我移除了他的設備,一切都很好……鑑於整個辦公室都關閉了,並且每次插入時都無法工作,除了與 Apple 硬體配置有關之外,我無法找到根本原因。我只能假設他已設置為連接到 WiFi 的客戶端橋接器並通過 Apple 乙太網埠導致環回!

我在 HP ProCurve 上啟用了生成樹,但這並沒有阻止網路中斷。

我正在考慮再次阻止這種情況發生(並進一步鎖定使用者將他們自己的未經授權的接入點/交換機連接到網路),並在https://cs.uwaterloo.ca/cscf看到以下推薦的命令來加強循環/reports/CNAG/2009/ProCurve%20Best%20Practices.pdf

loop-protect 1-24
spanning-tree 1-24 root-guard
spanning-tree 1-24 bpdu-protection
spanning-tree 1-24 admin-edge-port
loop-protect 1-24

問題 1 - 使用這些命令或任何我應該注意的上述命令可以在晚上輕鬆入睡嗎?

問題 2 - 上述命令會阻止人們弄亂網路並連接他們自己的硬體,還是需要任何其他命令?

問題 3 - 如果我們有自己的授權無線設備,是否會bpdu-protection停止無線接入點上客戶端的橋接,我們是否應該在連接到我們的無線接入點的埠上關閉此功能?

問題 4 - 我們有一個語音 VLAN 設置並指定為語音:

vlan 69
  name "DATA_VLAN"
  untagged 1-24
  no ip address
  exit
vlan 70
  name "VOICE_VLAN"
  tagged 1-24
  no ip address
  qos dscp 101110
  voice
  exit

電話插在交換機上,電腦插在電話後面。與問題 3 類似,這將如何bpdu-protection影響我在每部電話後面都有一台 PC 的事實(因此每個埠基本上有 2 個 MAC 地址)。語音 vlan 70 中指定的事實是否voice允許並處理此問題?

最後我使用了spanning-tree命令和 HP的組合loop-protect

loop-protect 1-44
spanning-tree
spanning-tree bpdu-protection-timeout 600 priority 1
spanning-tree 1-44 admin-edge-port
spanning-tree 1-44 bpdu-protection

我只對邊緣埠執行此操作,連接到其他交換機的任何東西(在我的情況下是埠 45-48)都保留為預設值(沒有生成樹或環路保護命令)。

引用自:https://serverfault.com/questions/703386