在网络方面我绝对不是一个专家,我继承了一个我非常确定是错误的网络,而且由于我缺乏经验,我不知道如何清理它。
该网络看起来简化了如下内容:
L2 交换机上连接有多个设备。
一些设备充当无线网桥,连接到接入点,然后由客户端通过无线方式连接。
重要的是,每个 L2 交换机由多个子网组成。在此示例中
- 10.10.10.0/24
- 10.10.20.0/24
- 10.10.30.0/24
这些网络的设备随机分散,但最终都会到达其中一个 L2 交换机。
我看到了类似单播泛洪的行为。(例如在 wireshark 中,如果我在PC5)
not eth.addr == <MY_MAC_ADDRESS> and ip.addr != 10.10.10.2 and ip.addr != 10.10.10.255
我可以看到来自或发往其他网络(10.10.20.0/24和10.10.30.0.24)的流量 - 即使主机位于另一个 L2 交换机。
更不用说这会对路由器产生负面影响,尤其是在高峰时段(带宽急剧下降)。
开关上实施的唯一安全措施是Port Isolation,但我认为它没有发挥作用。
我能做些什么来改善这种情况?
由于子网分散在 L2 交换机上,因此 VLAN 是否无法实现?
我可以远程更改客户端(无线连接)以使用PPPOE协议,但这对这种单播泛滥有帮助吗?
你有什么建议?
答案1
单播泛洪本身并不异常。随着 MAC 地址从交换机上的 CAM(MAC 地址)表中过期,一定程度的单播泛洪将会发生。如果出现过多的单播泛洪,那么我可能会认为您的交换基础设施的生成树拓扑存在问题。我建议您做的第一件事是查看所有交换机间链路以确定当前的 STP 拓扑并验证您没有任何交换机环路(将它们画在一张纸上以便可视化)。如果您正在使用任何非管理型交换机,那么我的建议是用管理型交换机替换它们。您不想将管理型交换机(支持 STP)与非管理型交换机(不支持 STP)混用。
就实施 VLAN 而言,在这种情况下这可能是一个好主意。这将限制单播泛洪和广播流量到每个 VLAN 的范围。您需要将交换机间链路适当地配置为中继端口,以承载所有 VLAN 的流量。您还需要配置路由器或第 3 层交换机以在每个 VLAN 之间路由流量。