Informacje, które widzę w konfliktach - strona wikipedii na temat powodzi unicasta podaje tryb chroniony jako mechanizm blokowania powodzi, podczas gdy dokumentacja Cisco mówi, że ochrona switchport nie ma znaczenia, i że unicast blokowania switchport byłby nadal potrzebny, aby zapobiec zalaniu .
switchport protectedsłuży do egzekwowania prywatności w sieci vlan ... polecenie uniemożliwia portom komunikowanie się z innymi portami skonfigurowanymi za pomocą switchport protected. To polecenie zmniejsza zalewanie jako efekt uboczny używania go na wszystkich portach w Vlan, ale robi znacznie więcej niż „tylko” usuwa zalanie z portu przełączania. Szczerze mówiąc, myślę, że są lepsze sposoby na osiągnięcie twoich celów.
switchport protectedjest przydatny, jeśli agregujesz klientów kolokacji w tym samym vlan; to polecenie jest jednym ze sposobów oferowania prywatności między klientami bez komplikacji prywatnych sieci vlan. Artykuł w Wikipedii, o którym wspomniałeś, mówi, że możesz „odbić” ruch od domyślnej bramy (która nie powinna znajdować się w chronionym portie przełączania), aby dotrzeć do tych innych miejsc docelowych ...
switchport block unicastpowstrzymuje nieznane powodzie unicast; zobacz jednak poniżej, dlaczego uważam, że nie powinieneś potrzebować tego polecenia.
Ostatnio jednak natknąłem się na problem polegający na tym, że w 2950G z relatywnie starym kodem 12.1 (22) zalewanie emisji pojedynczej wydawało się całkowicie przerwane dla chronionego portu - czas starzenia się na przełączniku wynosił 5 minut, podczas gdy limit czasu ARP routera trwało 30 minut, a jedno połączenie TCP korzystające z tego interfejsu miało tendencję do uśpienia przez 10 minut na raz - i w tym przypadku nie działało po przebudzeniu po 10 minutach.
Jak wspomniałem w moim komentarzu, jeśli istnieje potencjał dla asymetrycznej trasy routowanej w tej sieci, albo potrzebujesz nieznanego zalewania emisji pojedynczej, albo musisz dopasować timery CAM i ARP, aby upewnić się, że wpisy CAM nie zestarzeją się przed Wpisy ARP.
W większości przypadków dopasowanie timerów ARP i CAM jest właściwym sposobem naprawienia sytuacji , ale wybór należy do Ciebie ...
EDYTUJ, aby odpowiedzieć na komentarze:
Ustawienie czasomierzy, które pasują, działa świetnie jako obejście - po prostu nie rozumiem, dlaczego powódź nie dzieje się zgodnie z oczekiwaniami.
Cytując z „CCIE Practical Studies, Tom 2”, str. 115 Karl Solie, Leah Lynch, Charles Ragan:
Jeśli nieznany ruch emisji pojedynczej i multiemisji zostanie przekazany do chronionego portu, mogą wystąpić problemy z bezpieczeństwem. Aby zapobiec przekazywaniu nieznanego ruchu emisji pojedynczej lub multiemisji z jednego portu do drugiego, można skonfigurować port (chroniony lub niezabezpieczony) w celu blokowania nieznanego ruchu emisji pojedynczej i multiemisji.
3550_switch(config-if)#switchport block unicast
3550_switch(config-if)#switchport block multicast