Rozumiem podstawy działania drzewa opinającego i dlaczego chciałbyś używać portfast na portach dostępu użytkownika.
Czy mając do czynienia z topologią z dużą liczbą głupich przełączników pod biurkami i innymi nieudokumentowanymi lokalizacjami, naprawdę chcesz włączyć tę funkcję we wszystkich „rzekomo” przełącznikach dostępu?
Oprócz prób wyśledzenia tych niezarządzanych przełączników, jaka jest najlepsza praktyka? Dlaczego?
Odpowiedzi:
Powinieneś uruchomić „port-fast” (w standardowych warunkach port brzegowy) na każdym porcie nie będącym częścią rdzenia przełącznika. Nawet jeśli jest to przełącznik.
NIE powinieneś mieć pętli L2 przez przełączniki klienta.
Powinieneś uruchomić BPDUGuard i policjantów BUM na wszystkich interfejsach, interfejsy zorientowane na klienta powinny być na poziomie 1/5 lub mniej z głównych limitów. Niestety ograniczenie nieznanej emisji pojedynczej często nie jest obsługiwane.
Dlaczego uruchamianie „szybkiego portu” lub krawędzi jest kluczowe, zależy od niego wydajność RSTP (a przez to MST). Jak działa RSTP, pyta w dół, czy może przejść do trybu przekazywania, a w dół pyta w dół, dopóki nie będzie więcej portów, aby zapytać frmo, a następnie zezwolenie ponownie się rozchodzi. Port szybki lub brzegowy to niejawne uprawnienie z punktu widzenia RSTP, jeśli usuniesz to niejawne uprawnienie, musisz uzyskać wyraźne pozwolenie, w przeciwnym razie nastąpi powrót do klasycznych zegarów STP. Co oznacza, że nawet jeden nie-portfast zabije twoje drugie połączenie RSTP.
Oprócz tego spanning-tree portfastpowinieneś również użyć spanning-tree bpduguard enabletego, że jeśli ktoś utworzy pętlę, podłączając rzeczy, których nie powinien, to port przełącznika przejdzie w tryb wyłączania błędów, gdy zobaczy BPDU, zamiast tworzyć pętlę i potencjalnie doprowadzić do awarii sieci.
Również, jeśli Twoim celem jest wyśledzenie niezarządzanych przełączników, powinieneś włączyć
switchport port-security maximum 1 ! or whatever number is appropriate
switchport port-security violation shutdown
switchport port-security
Spowoduje to wyłączenie dowolnego portu, w którym podłączony jest więcej niż 1 adres MAC. Albo za pomocą pułapek, albo czekając na wezwanie pomocy, możesz zidentyfikować, gdzie są podłączone te niezarządzane urządzenia.
Czy mając do czynienia z topologią z dużą liczbą głupich przełączników pod biurkami i innymi nieudokumentowanymi lokalizacjami, naprawdę chcesz włączyć tę opcję [portfast] na wszystkich „rzekomo” przełącznikach dostępu?
Oficjalna i pedantyczna odpowiedź brzmi: „nie, nie włączaj szybkiego przełączania na przełącznik, aby przełączyć link” ... Na forum pomocy Cisco znajduje się odpowiednia dyskusja na ten temat .
Autor tego wątku sprawia, że punkt uczciwą chociaż policja sieć nie będzie cię aresztować za umożliwienie portfast stoi przełącznik downstream ... To jest możliwe , aby włamać się wokół ryzyko przejściowych burz transmisji, aby podjąć po włączeniu portfast w link do innego przełącznika.
Jeśli włączysz portfast na łączu do inteligentnego lub głupiego przełącznika, pamiętaj, aby włączyć bpduguard (ochrona płaszczyzny kontrolnej) i nadawać kontrolę burzy (ochrona płaszczyzny danych) na tym porcie ... te dwie funkcje dają ci pewną przewagę w w przypadku nieoczekiwanych rzeczy:
Zastosowanie specyficznych dla portu poleceń w konfiguracji skróci czas inicjalizacji portu w przypadku, gdy przełącznik lub cykl zasilania podłączonego urządzenia uruchomi się ponownie lub przeładuje. Mogą również zapobiegać błędnie zastosowanym ustawieniom konfiguracji w przypadku nieprawidłowego negocjacji portu.
Ponieważ domyślnym ustawieniem przełączników Cisco jest dynamiczny tryb przełączania (pożądane są przełączniki Cisco Stackwise), każdy port próbuje negocjować swój zamierzony cel. Proces negocjacji składa się z czterech głównych etapów i jego ukończenie może zająć pełną minutę. - Inicjalizacja protokołu Spanning Tree Protocol (STP) - port przechodzi przez pięć faz STP: blokowanie, nasłuchiwanie, uczenie się, przekazywanie i wyłączanie. - Testowanie konfiguracji kanału Ether - port wykorzystuje protokół agregacji portów (PAgP), łącząc porty przełączników w celu utworzenia większych agregowanych połączeń Ethernet. - Testowanie konfiguracji łącza - porty używają protokołu Dynamic Trunk (DTP) do negocjowania / sprawdzania łącza łącza. - Przełącz prędkość portu i dupleks - port używa impulsów Fast Link Pulses (FLP) do ustawienia prędkości i dupleksu.
Skonfigurowanie dostępu do trybu switchport uniemożliwi portowi przejście przez negocjację łącza.
Skonfigurowanie portu spanning-tree zapobiegnie przejściu portu przez negocjacje STP.
Konfigurowanie hosta switchport skonfiguruje zarówno dostęp, jak i portfast.
Oczywiście zastrzeżenie firmy Cisco - Uwaga: Nigdy nie używaj funkcji PortFast na portach przełączników, które łączą się z innymi przełącznikami, koncentratorami lub routerami. Połączenia te mogą powodować fizyczne pętle, a drzewo opinające musi przejść pełną procedurę inicjalizacji w takich sytuacjach. Pętla drzewa rozpinającego może doprowadzić do awarii sieci. Jeśli włączysz PortFast dla portu, który jest częścią fizycznej pętli, może pojawić się przedział czasu, w którym pakiety są ciągle przekazywane (a nawet mogą się zwielokrotniać) w taki sposób, że sieć nie będzie w stanie odzyskać.
Wiem, że większość ludzi mówi, że tego nie rób - twarda zasada dla twardych ludzi. :-)
Jeśli są głupimi przełącznikami (np. Nie uruchamiają żadnego STP), to nie robi to dużej różnicy. Mówiąc z doświadczenia Cisco, niemal natychmiast złapie pętlę w każdym przypadku. W świecie maszyn wirtualnych nawet „port brzegowy” może być pętlą. (Nasi programiści nauczyli się tego na własnej skórze).