Добрый день. Есть ли какой-нибудь best practice по настройке портов уровня доступа на коммутаторах с точки зрения безопасности. Я имею ввиду защита от петель, шторм-контроль и т.д.
> Добрый день. Есть ли какой-нибудь best practiceДа. Основное правило это не включать функции которых вы не понимаете.
>> Добрый день. Есть ли какой-нибудь best practiceЗависит от того, что вы туда подключаете. Абонент - одно, Сервер в вашем ДЦ - другое.)
Не маловажный фактор играет и зона ответственности.
Добрый день, коллеги в целом правы.Но access port - это:
- port-security (лимит количества MAC) + sticky если нужно;
- portfast;
- bpduguard;
- storm-control broadcast/multicast = 5.0%
- storm-contrl unicast 20-70K pps (зависит от роли порта);
- dhcp snooping (защита от левого DHCP);
- swi unicast block (в отдельных случаях);
- protected (или private-vlan);
- mls qos cos overrideОпишите типовой порт (функции), который Вам нужно защитить.
>[оверквотинг удален]
> - port-security (лимит количества MAC) + sticky если нужно;
> - portfast;
> - bpduguard;
> - storm-control broadcast/multicast = 5.0%
> - storm-contrl unicast 20-70K pps (зависит от роли порта);
> - dhcp snooping (защита от левого DHCP);
> - swi unicast block (в отдельных случаях);
> - protected (или private-vlan);
> - mls qos cos override
> Опишите типовой порт (функции), который Вам нужно защитить.Порты, на которых сидят пользователи. Два мака на порт - телефон и рабочая станция. В общем-то большинство из того, что вы описали уже включил.
>[оверквотинг удален]
>> - storm-control broadcast/multicast = 5.0%
>> - storm-contrl unicast 20-70K pps (зависит от роли порта);
>> - dhcp snooping (защита от левого DHCP);
>> - swi unicast block (в отдельных случаях);
>> - protected (или private-vlan);
>> - mls qos cos override
>> Опишите типовой порт (функции), который Вам нужно защитить.
> Порты, на которых сидят пользователи. Два мака на порт - телефон и
> рабочая станция. В общем-то большинство из того, что вы описали уже
> включил.Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.
>[оверквотинг удален]
>>> - storm-contrl unicast 20-70K pps (зависит от роли порта);
>>> - dhcp snooping (защита от левого DHCP);
>>> - swi unicast block (в отдельных случаях);
>>> - protected (или private-vlan);
>>> - mls qos cos override
>>> Опишите типовой порт (функции), который Вам нужно защитить.
>> Порты, на которых сидят пользователи. Два мака на порт - телефон и
>> рабочая станция. В общем-то большинство из того, что вы описали уже
>> включил.
> Два мало, помнится была какая-то замута с телефонами и CDP. Ставили больше.Да всё правильно, я имею ввиду, что 2 мака стандартно видно на порту. А так ограничение у нас вообще на 10 стоит.