Cisco 2811 для Forefront - остановка широковещательного трафика
Я недавно обновил со старого ISA до коробки Forefront. Сейчас я получаю массу ошибок 0xc0040050. Подавляющее большинство - по внутреннему широковещательному адресу - 100.100.100.255. Это устаревшая подсеть, которая работает в VLAN 1. У меня есть три VLAN, определенные на моем компьютере Forefront - 40, 50, 250. Они настроены с помощью NCU HP и отлично функционируют. Похоже, что Forefront видит эти пакеты и выдает ошибку, поскольку он не ожидает прямого трафика в этом диапазоне IP. Мне нужно остановить эту запись, либо удалив VLAN1 из порта коммутатора, либо на стороне Forefront.
Маршрутизатор, о котором идет речь, - это устаревший 2811 с операционной системой IOS 12.4. Forefront находится на пакете обновления 1 (SP 1) 3. Я очень надеюсь, что смогу каким-то образом удалить эту VLAN из порта коммутатора - это кажется самым чистым решением. Я не могу вытащить его по умолчанию, и я не знаком со способом переопределения этого поведения.
interface FastEthernet1/8
switchport trunk native vlan 250
switchport trunk allowed vlan 1,2,40,50,250,1002-1005
switchport mode trunk
Когда я пытаюсь удалить VLAN, я получаю
Команда отклонена: неверный список разрешенных VLAN. Вы должны включить все VLAN по умолчанию, например, 1-2,1002-1005.
5 ответов
В конце мы решили решить проблему. Мы начали использовать фильтр syslog-ng для удаления сообщений до того, как они достигли нашего центрального сервера журналов.
interface f1/8
switchport trunk allowed vlan remove 1
Это остановит трафик vlan 1 от отправки через порт.
конф т int f1/8 switchport багажник позволил удалить VLAN 1
Это удалит VLAN 1 от транкинга на этом порту.
Бумага над проблемой!
Создайте правило запрета, соответствующее трафику, разместите его первым в списке и отключите ведение журнала для этого правила.
(может работать:))
Вы не можете удалить vlan1 из этого коммутатора (см. Шаг 3), но вы можете удалить порт из vlan:
conf t
interface FastEthernet1/8
no switchport access vlan 1
Это удалит магистральный порт из vlan1.
Я предпочитаю отключать трафик от vlan1, потому что мне не нравятся вещи, которые я не могу полностью настроить. Попробуйте удалить широковещательные пакеты из вашей сети, если они не нужны.