защита BPDU на границах фабрики SDA

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:22 GMT

jedolphi — Fri, 13 Feb 2026 20:10:22 GMT

К сожалению, я не могу предсказать, как будет работать будущая версия CatC, особенно если кто-то зайдет в интерфейс SDA host onboarding UI и изменит конфигурацию порта. В идеале этот случай использования можно было бы решить с помощью официальной функции автоматизации SDA. Пожалуйста, оставьте «желание» в интерфейсе CatC UI.
Да, отключение BPDU Guard в шаблоне закрытой аутентификации повлияет на все порты закрытой аутентификации. Противоположным аргументом является то, что если конечные точки проходят аутентификацию, то отключение BPDU Guard является безопасным, поскольку все конечные точки являются «известными», но, конечно, это обобщение, которое может не подходить всем клиентам.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:21 GMT

Hendrik Oosthuizen — Fri, 13 Feb 2026 20:10:21 GMT

Привет, Джером, спасибо за ответ. Что касается варианта 1: я использую шаблон закрытой аутентификации, но, насколько я знаю, его изменение в шаблоне приведет к его отключению на всех закрытых портах в фабрике. Что касается варианта 2: с этим вариантом я теряю 802.1x. В итоге я использовал шаблон, ссылающийся на системную переменную, чтобы выбрать интерфейсы при провижининге, на которых будет запущена команда для отключения BPDU Guard. Конечно, это работает, но меня беспокоит, не перезапишет ли Catalyst Center это в будущем.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:20 GMT

jedolphi — Fri, 13 Feb 2026 20:10:20 GMT

Привет, Энди, по умолчанию функция BPDU Guard отключена на магистральных портах SDA Edge Node. Вы спрашиваете, как ее включить? Если да, то на сегодняшний день единственным вариантом является использование шаблона. Пожалуйста, оставьте пожелание и опишите случай использования, если вы считаете, что это должно быть автоматизировано.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:19 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:19 GMT

Спасибо, Джером,
у нас есть аналогичный флаг для интерфейса магистрали (например, в направлении сервера ESXi)? К сожалению
, в документации по рабочему процессу назначения портов отсутствуют некоторые детали:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/2-3-7/user_guide/b_cisco_catalyst_center_user_guide_237/b_cisco_dna_center_ug_2_3_7_chapter_01110.html#task_ytj_lvy_tdb:~:text=To%20conne...
.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:18 GMT

jedolphi — Fri, 13 Feb 2026 20:10:18 GMT

Привет, Энди, это для всего шаблона закрытой аутентификации: ![jedolphi_0-1741190085077.png]

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:17 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:17 GMT

Буду признателен, если вы покажете мне флаг, с помощью которого можно отключить bpduguard на порту доступа в рабочем процессе PortAssignment. Спасибо.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:16 GMT

jedolphi — Fri, 13 Feb 2026 20:10:16 GMT

Вариант 1 автоматизирован с помощью CatC, я предполагаю, что есть общедоступный API. Вариант 2 потребует настройки порта на trunk (для этого должен быть API), а затем шаблона для native/allowed VLAN. У нас есть UI и API для trunk+native+allowed через автоматизацию SDA, по срокам лучше всего обратиться к отделу продаж.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:15 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:15 GMT

Является ли какой-либо из вариантов 1) или 2) автоматизированным с помощью CatC UI или, по крайней мере, можно ли использовать API-вызовы?

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:14 GMT

jedolphi — Fri, 13 Feb 2026 20:10:14 GMT

Привет, Хендрик, возможные решения: 1. Его можно отключить в шаблоне закрытой аутентификации, но я не уверен, что ваш единственный порт предназначен для использования шаблона закрытой аутентификации. Думаю, скорее всего, нет. 2. Установите для одиночного порта режим trunk и установите нативную VLAN и разрешенную VLAN на 10 (или любую другую VLAN, которую вы хотите использовать на этом порту). Есть также план действий по решению этой проблемы более эффективным способом, но он слишком далек, чтобы я мог обсуждать сроки. Пожалуйста, рассмотрите возможность «заказать желание» и передайте свои отзывы в отдел продаж Cisco.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:13 GMT

Hendrik Oosthuizen — Fri, 13 Feb 2026 20:10:13 GMT

Привет, Скотт, я знаю, что это старый пост, но он имеет отношение к делу. Поскольку BPDU Guard сейчас развертывается Catalyst Center при выборе для фабрики в шаблоне аутентификации. Есть ли способ отключить его для одного интерфейса доступа? Я опасаюсь, что использование шаблона CLI для этого может быть автоматически отменено Catalyst Center позже.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:12 GMT

akinugas — Fri, 13 Feb 2026 20:10:12 GMT

Спасибо за быстрый ответ, Скотт.

Reply to защита BPDU на границах фабрики SDA on Fri, 13 Feb 2026 20:10:11 GMT

Scott Hodgdon — Fri, 13 Feb 2026 20:10:11 GMT

akinugas, Если ваш клиент использует шаблон «Закрытая аутентификация» для портов, то при подключении пользователем коммутатора аутентификация не будет выполнена, и порт не будет пропускать трафик. Поскольку между границами фабрики у нас нет уровня 2, нигде не будет петель уровня 2. Я полагаю, что может быть петля внутри границы фабрики, но это будет только в том случае, если несколько коммутаторов подключены к одному и тому же узлу границы фабрики и если они аутентифицированы в одной и той же VLAN. При этом клиент может использовать редактор шаблонов, чтобы при желании внедрить конфигурацию BPDU Guard. С уважением,
Скотт Ходждон Старший инженер по техническому маркетингу Группа корпоративных сетей