我们有一个HP ProCurve 2530-24-PoE (J9773A)交换机,最近有一位用户将一个 Apple 无线硬件设备插入网络 - 每当连接时,我都会收到来自交换机的大量广播警告,间歇性数据包丢失和交换机 CPU 使用率急剧上升。
我移除了他的设备,一切都正常……考虑到整个办公室都瘫痪了,每次插入设备时都无法工作,除了与 Apple 硬件配置有关之外,我无法找到根本原因。我只能假设他已设置为客户端桥接器以连接到 WiFi,并通过 Apple 以太网端口导致环回!
我在 HP ProCurve 上启用了生成树,但这并没有阻止网络瘫痪。
我正在研究如何阻止这种情况再次发生(并进一步锁定用户,防止他们自己的未经授权的接入点/交换机连接到网络),并看到以下推荐的命令来加强对循环的防范https://cs.uwaterloo.ca/cscf/reports/CNAG/2009/ProCurve%20Best%20Practices.pdf:
loop-protect 1-24
spanning-tree 1-24 root-guard
spanning-tree 1-24 bpdu-protection
spanning-tree 1-24 admin-edge-port
loop-protect 1-24
问题 1- 有了这些命令,晚上就能安然入睡吗?或者我应该注意上述任何事情?
问题2- 上述命令是否会阻止人们干扰网络并连接自己的硬件,还是需要任何其他命令?
问题 3- 如果我们有自己的授权无线设备,是否会bpdu-protection停止无线接入点上的客户端桥接,我们是否应该在连接到我们的无线接入点的端口上关闭此功能?
问题 4- 我们有一个语音 VLAN 设置并指定为语音:
vlan 69
name "DATA_VLAN"
untagged 1-24
no ip address
exit
vlan 70
name "VOICE_VLAN"
tagged 1-24
no ip address
qos dscp 101110
voice
exit
电话插入交换机,计算机插入电话背面。与问题 3 类似,bpdu-protection每部电话后面都有一台 PC(因此每个端口基本上有 2 个 MAC 地址),这将如何影响。语音 VLAN 70 中指定的事实是否voice允许并处理这个问题?
答案1
最后我使用了spanning-tree命令和 HP的组合loop-protect:
loop-protect 1-44
spanning-tree
spanning-tree bpdu-protection-timeout 600 priority 1
spanning-tree 1-44 admin-edge-port
spanning-tree 1-44 bpdu-protection
我只对边缘端口执行了此操作,连接到其他交换机的任何内容(在我的情况下是端口 45-48)都保留为默认值(没有生成树或环路保护命令)。