我需要将多台机器连接到互联网以用于工作。但是,每个工作站只有 1 个 LAN 端口。为了解决这个问题,我尝试将交换机连接到 LAN 端口以从 LAN 端口“获取”多个链接。设置如下:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems
我很快意识到每个 LAN 端口只能支持有限数量的链接,这是 IT 部门在思科交换机级别强加的硬性限制。他们为每个 LAN 端口支持的 MAC 地址数量设置了限制,超过该限制就会开始丢弃链接。
我与网络管理员进行了简短的交谈,他只来得及简单解释一下,如果没有设置限制,交换机上的生成树可能会发生故障,并可能导致整个网络崩溃。
我对 STP 的理解有限,它用于防止交换网络中出现环路。但是,如果没有 MAC 地址限制,我建议的设置怎么可能导致整个网络瘫痪呢?
答案1
当您的公司规模足够大到可以使用“思科交换机”时,它的 IT 部门可能无法支持每个人插入他们认为属于网络的任何网络设备和恶意设备。
如果这是用于工作,您将必须与 IT 部门合作。
具体来说,回答您主题中的问题:当允许流氓网络设备进入网络时,“高级用户”很快就会做出一些愚蠢的事情,例如循环使用集线器、插入流氓 dhcp 服务器等。通过控制每个“端口”上的设备数量(我们在这里讨论的是思科世界中的访问级别交换机),IT 部门可以跟踪什么在哪里以及谁在做什么,而无需一群用户做他们声称永远不会做的事情。
这可能不是解决问题的最佳方法(尤其是在自带设备时代),但这是 IT 部门选择的做法。您的下一步应该是证明工作站需要连接到网络的业务需求,并要求 IT 部门提供解决方案。
答案2
在交换机端口上使用 802.1X / mac 学习很常见。
它更像是一种安全功能,而不是“洪水缓解”功能。大多数时候,部署它与担心有人“淹没网络”无关。IT 只是想限制端口,以防止用户将 10 个家用设备带入网络并连接到网络。MAC 学习是部署起来比较容易的事情之一。802.1X 身份验证和证书也可以完成。
如果需要的话,IT 可以删除或增加该特定 LAN 端口上的 mac 学习限制。
答案3
这可能不是使网络更可靠的最佳方法 - 但却是一种非常有效的方法 - 并且不需要太多工作。
根据我的经验,我遇到的网络问题中大约有一半的原因都很简单:某些人“只是插入了一些测试”而导致某些 5-8 端口交换机(不支持 STP 和环路感知)转储失败...
识别此端口,关闭它,然后等待攻击者抱怨:-)
但只有在长时间出现奇怪的网络行为后我才会接到电话,因此管理员会得到一些关于基本锁定的讲座 - 确保周围都有 STP、环路保护、bpdu 保护...... - 并在需要时限制 mac 地址。
特斯加