защита BPDU на границах фабрики SDA

Hendrik Oosthuizen

Привет, Скотт, я знаю, что это старый пост, но он имеет отношение к делу. Поскольку BPDU Guard сейчас развертывается Catalyst Center при выборе для фабрики в шаблоне аутентификации. Есть ли способ отключить его для одного интерфейса доступа? Я опасаюсь, что использование шаблона CLI для этого может быть автоматически отменено Catalyst Center позже.

jedolphi

Привет, Хендрик, возможные решения: 1. Его можно отключить в шаблоне закрытой аутентификации, но я не уверен, что ваш единственный порт предназначен для использования шаблона закрытой аутентификации. Думаю, скорее всего, нет. 2. Установите для одиночного порта режим trunk и установите нативную VLAN и разрешенную VLAN на 10 (или любую другую VLAN, которую вы хотите использовать на этом порту). Есть также план действий по решению этой проблемы более эффективным способом, но он слишком далек, чтобы я мог обсуждать сроки. Пожалуйста, рассмотрите возможность «заказать желание» и передайте свои отзывы в отдел продаж Cisco.

Andrii Oliinyk

Является ли какой-либо из вариантов 1) или 2) автоматизированным с помощью CatC UI или, по крайней мере, можно ли использовать API-вызовы?

jedolphi

Вариант 1 автоматизирован с помощью CatC, я предполагаю, что есть общедоступный API. Вариант 2 потребует настройки порта на trunk (для этого должен быть API), а затем шаблона для native/allowed VLAN. У нас есть UI и API для trunk+native+allowed через автоматизацию SDA, по срокам лучше всего обратиться к отделу продаж.

Andrii Oliinyk

Буду признателен, если вы покажете мне флаг, с помощью которого можно отключить bpduguard на порту доступа в рабочем процессе PortAssignment. Спасибо.

jedolphi

Привет, Энди, это для всего шаблона закрытой аутентификации: ![jedolphi_0-1741190085077.png]

Andrii Oliinyk

Спасибо, Джером,
у нас есть аналогичный флаг для интерфейса магистрали (например, в направлении сервера ESXi)? К сожалению
, в документации по рабочему процессу назначения портов отсутствуют некоторые детали:
https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/catalyst-center/2-3-7/user_guide/b_cisco_catalyst_center_user_guide_237/b_cisco_dna_center_ug_2_3_7_chapter_01110.html#task_ytj_lvy_tdb:~:text=To%20conne...
.

jedolphi

Привет, Энди, по умолчанию функция BPDU Guard отключена на магистральных портах SDA Edge Node. Вы спрашиваете, как ее включить? Если да, то на сегодняшний день единственным вариантом является использование шаблона. Пожалуйста, оставьте пожелание и опишите случай использования, если вы считаете, что это должно быть автоматизировано.

Hendrik Oosthuizen

Привет, Джером, спасибо за ответ. Что касается варианта 1: я использую шаблон закрытой аутентификации, но, насколько я знаю, его изменение в шаблоне приведет к его отключению на всех закрытых портах в фабрике. Что касается варианта 2: с этим вариантом я теряю 802.1x. В итоге я использовал шаблон, ссылающийся на системную переменную, чтобы выбрать интерфейсы при провижининге, на которых будет запущена команда для отключения BPDU Guard. Конечно, это работает, но меня беспокоит, не перезапишет ли Catalyst Center это в будущем.

jedolphi

К сожалению, я не могу предсказать, как будет работать будущая версия CatC, особенно если кто-то зайдет в интерфейс SDA host onboarding UI и изменит конфигурацию порта. В идеале этот случай использования можно было бы решить с помощью официальной функции автоматизации SDA. Пожалуйста, оставьте «желание» в интерфейсе CatC UI.
Да, отключение BPDU Guard в шаблоне закрытой аутентификации повлияет на все порты закрытой аутентификации. Противоположным аргументом является то, что если конечные точки проходят аутентификацию, то отключение BPDU Guard является безопасным, поскольку все конечные точки являются «известными», но, конечно, это обобщение, которое может не подходить всем клиентам.