我需要将几台机器连接到互联网才能工作。 但是,每个工作站只有一个LAN端口。 为了解决这个问题,我尝试将交换机连接到局域网端口,从局域网端口“抓取”多个链路。 设置是这样的:
Internet <---> CISCO SWITCHES <---> Workstation LAN port <---> My switch <---> My systems 我很快意识到每个局域网端口只能支持有限数量的链路,而这是IT部门在思科交换机层面强加的一个硬性限制。 他们设定了每个局域网端口支持的MAC地址数量的限制,超出这个限制就会开始丢弃链接。
我和networkingpipe理员进行了一次简短的交谈,他只是简单地解释一下,如果交换机没有这个限制,那么交换机上的生成树可能会变得疯狂,并有可能使整个networking崩溃。
我对STP的理解有限,就是用来防止交换networking中的环路。 但是,如果我的build议安装可能会导致整个networking没有MAC地址的限制,我将如何呢?
当你的公司大到可以雇用'思科交换机'的时候,IT部门可能不能支持每一个人,而且他们认为networking上所有的networking设备和stream氓设备都是这样。
如果这是为了工作,你将不得不与IT部门合作。
具体来说,要回答这个问题:当networking上允许stream氓networking设备时,“高级用户”很快就会做一些愚蠢的事情,像循环集线器,插入stream氓dhcp服务器等。通过控制设备的数量每个“端口”(我们正在谈论思科世界中的访问级别交换机),IT部门可以跟踪哪些地方以及谁在做什么,而没有一大堆用户干扰他们声称他们永远不会做的事情。
这可能不是解决问题的最好办法,(尤其是在一个人间的世界里),但这正是IT部门select做的。 您的下一步应该是展示工作站连接到networking的业务需求,并向IT寻求解决scheme。
在交换机端口上使用802.1X / mac学习是很常见的。
这是一个比“洪水减轻”function更安全的function。 大部分时间部署的时候,与关心networking的人没有任何关系,IT只是想限制端口,防止用户进入他们的10个家庭设备并连接到networking。是更容易部署的事情之一,也可以完成802.1Xauthentication和证书。
如果需要有效,IT可以删除或增加该特定LAN端口上的mac-learning限制。
这可能不是让自己的networking更可靠的最佳方式 – 但是这是一个相当有效的方法,而且不会做太多的工作。
根据我的经验,大约有一半的networking问题,我被称为有一个相当简单的理由:一些转储5-8端口开关(不STP的能力和循环意识)在某人“只是插入一些testing”…
身份这个端口,closures它,只是等待cuplprits抱怨:-)
但是我确实只有在长时间的奇怪的networking行为后才会打电话,所以pipe理员会获得一些关于基本locking的讲座 – 确保有四处的STP,loop-guard,bpdu-guard,…并且限制mac-adresses哪里需要它。
TSG