Следует ли использовать portfast на порту, потенциально подключающемся к неуправляемому коммутатору?

19

Я понимаю основы того, как работает связующее дерево и почему вы хотели бы использовать portfast на пользовательских портах доступа.

При работе с топологией с большим количеством немых коммутаторов под рабочими столами и другими недокументированными местоположениями вы действительно хотите включить это на всех «якобы» коммутаторах доступа?

Помимо попыток отследить эти неуправляемые коммутаторы, что является лучшей практикой? Почему?

Тим Бригам
источник

Ответы:

16

Вы должны запустить 'port-fast' (в стандартных терминах пограничный порт) в каждом порту, не являющемся частью вашего ядра коммутатора. Даже если это переключатель.

Вы не должны иметь L2 петли через коммутаторы клиента.

Вы должны запустить BPDUGuard и BUM ограничители всех интерфейсов, интерфейсы, ориентированные на клиента, должны составлять 1/5 или менее от пределов, обращенных к ядру. К сожалению, ограничение неизвестной одноадресной передачи часто не поддерживается.

Почему запуск 'port-fast' или edge является критическим, потому что производительность RSTP (и, соответственно, MST) зависит от него. Как работает RSTP, он спрашивает нисходящий поток, может ли он перейти в режим пересылки, и нисходящий поток запрашивает свои нисходящие потоки, пока не останется больше портов, чтобы запросить frmo, затем разрешение распространяется обратно в обратном направлении. Быстрый-порт или граничный порт - это неявное разрешение с точки зрения RSTP. Если вы удалите это неявное разрешение, должно быть получено явное разрешение, в противном случае оно обратится к классическим таймерам STP. Это означает, что даже один порт, не связанный с portfast, убьет ваше сходящееся за секунду RSTP.

ytti
источник
5
В качестве полного раскрытия я получил один отрицательный голос по этому вопросу. Если бы я сказал что-то неправильно, я был бы очень признателен за исправление, спасибо.
2011 года
Мне интересно, в чем разница между «ядром коммутатора» и «коммутатором»? Это в контексте интернет-провайдера или корпоративной сети?
cpt_fink
13

В дополнение к этому spanning-tree portfast, вы должны также использовать его, spanning-tree bpduguard enableчтобы, если кто-то создает петлю, подключая вещи там, где они не должны, тогда порт коммутатора перейдет в режим отключения по ошибке, когда он увидит BPDU, вместо того, чтобы создавать петлю и потенциально разрушать сеть.

Кроме того, если ваша цель состоит в том, чтобы отследить неуправляемые коммутаторы, вы должны включить

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Это приведет к отключению ошибки любого порта, при котором подключено более 1 mac-адреса. Либо через ловушки, либо в ожидании, пока они обратятся за помощью, позволит вам определить, где подключены эти неуправляемые устройства.

Больше информации о безопасности порта

Майк Маротта
источник
4
Для Cisco (на основе конфигурации выше), я рекомендую вам настроить portfast bpduguard spanning-tree по умолчанию на всех коммутаторах. Это включает bpduguard на любом интерфейсе с включенным portfast. Вы также можете настроить errdisable recovery для bpduguard.
YLearn
8

При работе с топологией с большим количеством тупых коммутаторов под рабочими столами и другими недокументированными местоположениями вы действительно хотите включить этот [portfast] на всех «предположительно» коммутаторах доступа?

Официальный и педантичный ответ: «Нет, не включайте portfast на коммутаторе для переключения каналов» ... Об этом есть соответствующее обсуждение на форуме поддержки Cisco .

Автор этого потока справедливо говорит о том, что сетевая полиция не будет арестовывать вас за включение portfast перед нисходящим коммутатором ... Можно обойти риски временных широковещательных штормов, которые возникают при включении portfast для канала связи. к другому выключателю.

ДОРАБОТКИ

Если вы включаете portfast для ссылки на интеллектуальный или немой коммутатор, обязательно включите bpduguard (защита плоскости управления) и широковещательный шторм-контроль (защита плоскости данных) на этом порту ... эти две функции дают вам некоторые преимущества в В случае непредвиденных обстоятельств:

  • кто-то фильтрует BPDU, которые обычно заставляют bpduguard отключить порт, что приводит к широковещательному шторму. Шторм-контроль ограничивает ущерб от широковещательного шторма
  • У bpduguard есть очевидные преимущества, упомянутые в других ответах.
Майк Пеннингтон
источник
4

Применение специфичных для порта команд в вашей конфигурации сократит время инициализации порта в случае, если коммутатор или подключенное устройство выключит, перезагрузит или перезагрузит. Они также могут предотвратить неправильное использование параметров конфигурации в случае, если порт неправильно согласован.

Поскольку по умолчанию для коммутаторов Cisco используется динамический режим порта коммутатора (коммутаторы с поддержкой Stackwise Cisco являются исключением), каждый порт пытается согласовать свое предназначение. Этот переговорный процесс состоит из четырех основных этапов и может занять целую минуту. - Инициализация протокола связующего дерева (STP) - порт проходит пять этапов STP: блокировка, прослушивание, обучение, переадресация и отключение. - Тестирование конфигурации Ether Channel - порт использует протокол агрегации портов (PAgP), объединяя порты коммутатора для создания более крупных соединений Ethernet. - Тестирование конфигурации магистрали - порты используют динамический протокол магистрали (DTP) для согласования / проверки магистрального соединения. - Переключить скорость порта и дуплекс - порт использует импульсы быстрой связи (FLP) для установки скорости и дуплекса.

Настройка доступа в режиме switchport предотвратит прохождение через порт согласования соединительных линий.

Настройка portfast связующего дерева предотвратит прохождение порта через STP-согласование.

Конфигурирование хоста switchport настроит как доступ, так и portfast.

Конечно, предостережение от Cisco - Внимание: никогда не используйте функцию PortFast на портах коммутатора, которые подключаются к другим коммутаторам, концентраторам или маршрутизаторам. Эти соединения могут вызвать физические петли, и связующее дерево должно пройти полную процедуру инициализации в этих ситуациях. Петля связующего дерева может разрушить вашу сеть. Если вы включите PortFast для порта, который является частью физического цикла, может появиться окно времени, когда пакеты непрерывно пересылаются (и могут даже умножаться) таким образом, что сеть не может восстановиться.

rsebastian
источник
0

Я знаю, что большинство людей говорят, что не делайте этого - жесткое правило для трудных людей. :-)

Если они тупые переключатели (например, не запускают STP), то это не имеет большого значения. Если говорить о опыте Cisco, то в любом случае он почти сразу же зафиксируется. В мире виртуальных машин даже «пограничный порт» может быть петлей. (Наши разработчики узнали, что трудный путь.)

Рики Бим
источник