защита BPDU на границах фабрики SDA
-
akinugas, Если ваш клиент использует шаблон «Закрытая аутентификация» для портов, то при подключении пользователем коммутатора аутентификация не будет выполнена, и порт не будет пропускать трафик. Поскольку между границами фабрики у нас нет уровня 2, нигде не будет петель уровня 2. Я полагаю, что может быть петля внутри границы фабрики, но это будет только в том случае, если несколько коммутаторов подключены к одному и тому же узлу границы фабрики и если они аутентифицированы в одной и той же VLAN. При этом клиент может использовать редактор шаблонов, чтобы при желании внедрить конфигурацию BPDU Guard. С уважением,
Скотт Ходждон Старший инженер по техническому маркетингу Группа корпоративных сетей -
Спасибо за быстрый ответ, Скотт.
-
Привет, Скотт, я знаю, что это старый пост, но он имеет отношение к делу. Поскольку BPDU Guard сейчас развертывается Catalyst Center при выборе для фабрики в шаблоне аутентификации. Есть ли способ отключить его для одного интерфейса доступа? Я опасаюсь, что использование шаблона CLI для этого может быть автоматически отменено Catalyst Center позже.
-
Привет, Хендрик, возможные решения: 1. Его можно отключить в шаблоне закрытой аутентификации, но я не уверен, что ваш единственный порт предназначен для использования шаблона закрытой аутентификации. Думаю, скорее всего, нет. 2. Установите для одиночного порта режим trunk и установите нативную VLAN и разрешенную VLAN на 10 (или любую другую VLAN, которую вы хотите использовать на этом порту). Есть также план действий по решению этой проблемы более эффективным способом, но он слишком далек, чтобы я мог обсуждать сроки. Пожалуйста, рассмотрите возможность «заказать желание» и передайте свои отзывы в отдел продаж Cisco.
-
Является ли какой-либо из вариантов 1) или 2) автоматизированным с помощью CatC UI или, по крайней мере, можно ли использовать API-вызовы?
-
Вариант 1 автоматизирован с помощью CatC, я предполагаю, что есть общедоступный API. Вариант 2 потребует настройки порта на trunk (для этого должен быть API), а затем шаблона для native/allowed VLAN. У нас есть UI и API для trunk+native+allowed через автоматизацию SDA, по срокам лучше всего обратиться к отделу продаж.
-
Буду признателен, если вы покажете мне флаг, с помощью которого можно отключить bpduguard на порту доступа в рабочем процессе PortAssignment. Спасибо.
-
Привет, Энди, это для всего шаблона закрытой аутентификации: ![jedolphi_0-1741190085077.png]
-
Спасибо, Джером,
у нас есть аналогичный флаг для интерфейса магистрали (например, в направлении сервера ESXi)? К сожалению
, в документации по рабочему процессу назначения портов отсутствуют некоторые детали:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/2-3-7/user_guide/b_cisco_catalyst_center_user_guide_237/b_cisco_dna_center_ug_2_3_7_chapter_01110.html#task_ytj_lvy_tdb:~:text=To%20conne...
. -
Привет, Энди, по умолчанию функция BPDU Guard отключена на магистральных портах SDA Edge Node. Вы спрашиваете, как ее включить? Если да, то на сегодняшний день единственным вариантом является использование шаблона. Пожалуйста, оставьте пожелание и опишите случай использования, если вы считаете, что это должно быть автоматизировано.
-
Привет, Джером, спасибо за ответ. Что касается варианта 1: я использую шаблон закрытой аутентификации, но, насколько я знаю, его изменение в шаблоне приведет к его отключению на всех закрытых портах в фабрике. Что касается варианта 2: с этим вариантом я теряю 802.1x. В итоге я использовал шаблон, ссылающийся на системную переменную, чтобы выбрать интерфейсы при провижининге, на которых будет запущена команда для отключения BPDU Guard. Конечно, это работает, но меня беспокоит, не перезапишет ли Catalyst Center это в будущем.
-
К сожалению, я не могу предсказать, как будет работать будущая версия CatC, особенно если кто-то зайдет в интерфейс SDA host onboarding UI и изменит конфигурацию порта. В идеале этот случай использования можно было бы решить с помощью официальной функции автоматизации SDA. Пожалуйста, оставьте «желание» в интерфейсе CatC UI.
Да, отключение BPDU Guard в шаблоне закрытой аутентификации повлияет на все порты закрытой аутентификации. Противоположным аргументом является то, что если конечные точки проходят аутентификацию, то отключение BPDU Guard является безопасным, поскольку все конечные точки являются «известными», но, конечно, это обобщение, которое может не подходить всем клиентам.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти