Comprendo le basi di come funziona spanning tree e perché vorresti usare portfast sulle porte di accesso degli utenti.
Quando si ha a che fare con una topologia con un gran numero di interruttori stupidi sotto scrivanie e altre posizioni prive di documenti, si desidera davvero abilitarlo su tutti gli interruttori di accesso "presumibilmente"?
Oltre a cercare di rintracciare questi switch non gestiti, qual è la migliore pratica? Perché?
Risposte:
Dovresti eseguire "port-fast" (in termini standard edge port) in ogni porta che non fa parte del tuo core switch. Anche se è interruttore.
NON dovresti avere L2 loop attraverso switch cliente.
È necessario eseguire BPDUGuard e i poliziotti BUM su tutte le interfacce, le interfacce rivolte al cliente devono essere 1/5 o meno dei limiti di rivestimento del core. Sfortunatamente la limitazione di unicast sconosciuto spesso non è supportata.
Perché eseguire 'port-fast' o edge sia cruciale è la prestazione di RSTP (e per estensione MST) fare affidamento su di essa. Come funziona RSTP è chiedere a valle se può andare in modalità di inoltro, e downstream chiede i suoi flussi verso il basso fino a quando non ci sono più porte per chiedere frmo, quindi l'autorizzazione si propaga indietro. La porta port-fast o edge è un'autorizzazione implicita dal punto di vista RSTP, se si rimuove questa autorizzazione implicita, è necessario ottenere un'autorizzazione esplicita, altrimenti ricadrà sui timer STP classici. Ciò significa che anche una sola porta non portfast ucciderà la tua convergenza RSTP del secondo.
Inoltre spanning-tree portfast, dovresti anche usarlo in spanning-tree bpduguard enablemodo che se qualcuno crea un loop collegando cose in cui non dovrebbero, la porta dello switch andrà in modalità disabilitata per errore quando vede un BPDU piuttosto che creare un loop e potenzialmente far cadere la rete.
Inoltre, se il tuo obiettivo è rintracciare gli switch non gestiti, dovresti abilitare
switchport port-security maximum 1 ! or whatever number is appropriate
switchport port-security violation shutdown
switchport port-security
Questo metterà qualsiasi porta in errore disabilita che vede più di 1 indirizzo mac collegato. O tramite trap o in attesa di chiamare aiuto ti consentirà di identificare dove sono collegati quei dispositivi non gestiti.
Quando si ha a che fare con una topologia con un gran numero di switch stupidi sotto scrivanie e altre posizioni prive di documenti, si desidera davvero abilitare questo [portfast] su tutti gli switch di accesso "presumibilmente"?
La risposta ufficiale e pedante è "no, non abilitare portfast su switch per cambiare link" ... C'è una discussione pertinente al riguardo sul forum di supporto di Cisco .
L'autore di quel thread fa un buon punto però, la polizia di rete non ti arresterà per abilitare il portfast di fronte a uno switch a valle ... È possibile aggirare i rischi delle tempeste di trasmissione temporanee che si prendono quando si abilita il portfast su un collegamento a un altro interruttore.
Se abiliti il portfast su un collegamento a uno switch intelligente o muto, assicurati di abilitare bpduguard (protezione del piano di controllo) e di trasmettere il controllo della tempesta (protezione del piano dati) su quella porta ... queste due funzionalità ti danno un certo vantaggio in in caso accadessero cose inaspettate:
L'applicazione dei comandi specifici della porta nella configurazione ridurrà il tempo di inizializzazione della porta nel caso in cui lo switch o il dispositivo collegato si accendano, si riavviino o si ricarichino. Possono anche impedire impostazioni di configurazione errate nel caso in cui la porta non negozia correttamente.
Poiché l'impostazione predefinita per gli switch Cisco è auspicabile la modalità switchport dinamica (gli switch abilitati Cisco Stackwise sono l'eccezione) ogni porta tenta di negoziare lo scopo previsto. Questo processo di negoziazione prevede quattro fasi principali e il completamento potrebbe richiedere un minuto intero. - Inizializzazione Spanning Tree Protocol (STP): la porta passa attraverso le cinque fasi di STP: blocco, ascolto, apprendimento, inoltro e disabilitazione. - Test per la configurazione del canale Ether - la porta utilizza il protocollo PAgP (Port Aggregation Protocol), che unisce le porte dello switch per creare connessioni Ethernet aggregate più grandi. - Test per la configurazione del trunk: le porte utilizzano il protocollo DTP (Dynamic Trunk Protocol) per negoziare / convalidare un collegamento trunk. - Cambia velocità della porta e duplex - la porta utilizza gli impulsi di collegamento rapido (FLP) per impostare la velocità e il duplex.
La configurazione dell'accesso in modalità switchport impedirà alla porta di passare attraverso la negoziazione di trunk.
La configurazione del portfast di spanning tree impedirà alla porta di passare attraverso la negoziazione STP.
La configurazione dell'host switchport configurerà sia l'accesso che il portfast.
Ovviamente le avvertenze di Cisco - Attenzione: non utilizzare mai la funzione PortFast sulle porte degli switch che si collegano ad altri switch, hub o router. Queste connessioni possono causare loop fisici e lo spanning tree deve passare attraverso la procedura di inizializzazione completa in queste situazioni. Un loop di spanning tree può ridurre la rete. Se si attiva PortFast per una porta che fa parte di un ciclo fisico, potrebbe esserci una finestra temporale in cui i pacchetti vengono continuamente inoltrati (e possono persino moltiplicarsi) in modo tale che la rete non possa essere ripristinata.
So che la maggior parte delle persone dice di non farlo - regola difficile, per persone difficili. :-)
Se sono interruttori stupidi (ad es. Non eseguono alcun STP), allora non fa molta differenza. Parlando dell'esperienza Cisco, prenderà il giro quasi immediatamente in ogni caso. Nel mondo delle macchine virtuali, anche una "porta laterale" può essere un ciclo. (I nostri sviluppatori lo hanno imparato nel modo più duro.)