《分享》HP V1910-48G的防護功能
公司進了一批HP V1910-48G Switch。
在反覆測試之後發現,若這台Switch若接在有DHCP Server的環境下,
會由DHCP Server來配發IP,供管理者進行連結;
若無DHCP Server才會變成機殼後面貼紙上的169.254.XX.XX固定IP。
這台Switch有以下幾個好用的網管防護功能。
此功能可防堵使用者私自架設DHCP Server,干擾網內之IP取得。
預設為disable,啟用此功能後,需把連接DHCP Server的那個port設為Trust,
賦予此port信任的權限,否則連合法的DHCP Sever也無法配發IP。
此為cisco switch上為防止switch間交互串連所造成的loop防護機制。
預設為啟用,也可針對各port逐一調整。
套用Edge Port,該port變成終端裝置專用,不用同步STP,省去同步時間,提供快速使用;
搭配全域的BPDU Protection後,可防止私接switch。
一旦偵測到串接switch所產生的BPDU封包,會關閉此串接port。
套用Root Protection後的port可避免串接switch後發生的port角色變化,
讓該port始終保有root角色,不被取代,避免拓撲結構發生變代造成網路擁擠。
套用Loop Protection後的port若有收到BPDU封包,會正常運作;但若沒收到則會變拋棄(discarding)狀態來避免形成loop。
此機制只能用於串接switch上的port,無法設定於終端裝置。
若套用於終端裝置的port會因為無法取得BPDU封包,而被設定為拋棄(discarding)狀態造成該port無法使用。
綜合來說,Edge Port用在連接終端設備的port,除可省去同步時間外,還可避免私接switch;
而Root Protection及Loop Protection則用在串接switch的port上,用來避免角色改變與形成loop。
不過順子在實測時發現Loop Protection與Edge Port搭配BPDU Protection則有發生預期效果;
switch串接port設定為Root Protection時,該port都會變成Designated Port而無法與上層switch串接!?
為何會如此,順子還不清楚其真正設定與應用方式...
另外這台HP V1910-48G其實是一台L3 Switch。
可以在各vlan間設定IP,並進行路由傳導。
在預設路由下,只有同網段IP能連結到它。
若要連結外網,記得要加上一筆 0.0.0.0/0 的default route。
再做了改變之後,不要忘了儲存設定,
否則reboot後,將恢復為初始值!
參考資料:
http://etherealmind.com/basics-whats-the...and-root-guard/
http://smalleaf.blogspot.tw/2011/10/switch-bpdu-guard.html
http://h20566.www2.hp.com/portal/site/hp...44892.199480143
