环路保护协议是否与端口安全一起使用?

网络工程 安全 端口安全 阿鲁巴岛
2022-02-17 19:48:23

我正在为一家想要更改其网络设备的公司工作。

我们正在通过 aruba 6100 更改旧的 aruba。我们也在更改网络链接,我们移除网络互连,并将交换机连接到两个使用光纤的网络核心。

我们不再需要 STP,所以我在每台交换机上配置 Loop-Protect 以防止网络循环。我还想通过植入 Mac 端口安全来提高网络安全性。

问题是当我在每个端口上配置 Port-Security 时,Loop-Protect 不再检测到任何环路。当我禁用端口安全时,它会再次起作用。

我的结论是 Loop-Protection 不适用于 Port-Security,这正常吗?

更新:我想用 STP BPDU Guard 测试环路保护。它运行良好,例如 Loop-Protect。但同样的事情,当我使用 port-access port-security enable 时,不再检测到循环。感觉就像端口安全正在锁定每个循环检测协议

1个回答

从逻辑上讲,端口级别的安全性使得主动环路检测几乎是无偿的。循环检测旨在检测和禁用意外或恶意创建的循环 - 两者都很难(如果不是不可能)通过适当的端口级安全性来完成。

但是,我建议启用 RSTP/MSTP 因为它不会造成伤害并且可以为您节省一天的时间。只需使用 Root Guard、TCN Guard 和可选的 BPDU Guard 保护访问端口,即可避免网络中断。

STP 与(探测)环路检测的唯一缺点是 STP 无法检测中间交换机后面的远程环路,这些交换机过滤 BPDU 并且不参与 STP。否则,它应该被认为是普遍优越的。

其它你可能感兴趣的问题
上一篇关于排队延迟的问题 下一篇从未收到数据包的路由器的初始 ARP 缓存