Следует ли использовать портпорт на порту, потенциально подключающемся к неуправляемому коммутатору?

Я понимаю основы того, как работает связующее дерево, и почему вы хотите использовать portfast для портов доступа пользователей.

При работе с топологией с большим количеством тупых переключателей под столами и другими недокументированными местоположениями вы действительно хотите включить это на всех «якобы» переключателях доступа?

Помимо попыток отследить эти неуправляемые коммутаторы, что лучше всего подходит? Зачем?

19 голосов | спросил Tim Brigham 24 Maypm13 2013, 18:45:19

5 ответов


16

Вы должны запустить «port-fast» (в стандартном терминальном краевом порту) в каждом порту, не являющемся частью ядра коммутатора. Даже если это переключатель.

У вас не должно быть циклов L2 через клиентские переключатели.

Вы должны использовать BPDUGuard и BUM-контроллеры для всех интерфейсов, интерфейсы, ориентированные на клиента, должны быть 1/5-м или менее от основных границ. К сожалению, ограничение неизвестной одноадресной передачи часто не поддерживается.

Почему использование «port-fast» или edge имеет решающее значение, так это использование RSTP (и расширением MST). Как работает RSTP, он запрашивает нисходящий поток, если он может перейти в режим пересылки, а нисходящий поток запрашивает свои нисходящие потоки, пока больше нет портов для запроса frmo, тогда разрешение распространяется обратно. Порт-быстрый или пограничный порт является неявным разрешением с точки зрения RSTP, если вы удаляете это неявное разрешение, должно быть получено явное разрешение, иначе оно вернется к классическим таймерам STP. Это означает, что даже один непортативный порт убьет ваш подсегментный RSTP.

ответил ytti 24 Maypm13 2013, 18:51:14
12

В дополнение к spanning-tree portfast, вы также должны использовать spanning-tree bpduguard enable, чтобы, если кто-то создает цикл, подключая вещи, где они не должны порт коммутатора переходит в режим с отключенной ошибкой, когда видит BPDU, а не создает цикл и потенциально снижает сеть.

Кроме того, если ваша цель - отслеживать неуправляемые коммутаторы, вы должны включить

switchport port-security максимум 1! или любое другое число
 shutdown port-security shutdown shutdown
 безопасность портов портов

Это приведет к отключению любого порта в ошибке, который видит более одного подключенного MAC-адреса. Либо через ловушки, либо до тех пор, пока они не обратятся за помощью, вы сможете определить, где подключены эти неуправляемые устройства.

Дополнительная информация о безопасности портов

ответил Mike Marotta 24 Maypm13 2013, 19:45:24
8
  

При работе с топологией с большим количеством немых переключателей под столами и другими недокументированными местоположениями вы действительно хотите включить этот [portfast] на всех «якобы» переключателях доступа?

Официальный и педантичный ответ: «нет, не включайте portfast on switch to switch link» ... Существует соответствующее обсуждение об этом на форуме поддержки Cisco .

Автор этой темы, однако, считает, что сетевая полиция не будет арестовывать вас за то, что вы обеспечили возможность портативного доступа к нисходящему коммутатору ... Возможно взломать риски временных штормов которые вы берете, когда вы включаете portfast на ссылку на другой коммутатор.

ДОРАБОТКИ

Если вы включите portfast по ссылке на интеллектуальный или немой переключатель, обязательно включите bpduguard (защита плоскости управления) и широковещательный штормовой контроль (данные плоская защита) на этом порту ... эти две функции дают вам некоторые рычаги в случае неожиданных событий:

  • кто-то фильтрует BPDU, которые обычно приводят к тому, что bpduguard отключает порт, что приводит к широковещательному шторму. Storm-control ограничивает ущерб от широковещательной шторма.
  • bpduguard имеет очевидные преимущества, упомянутые в других ответах.
ответил Mike Pennington 25 Mayam13 2013, 03:57:51
3

Применение специфичных к порту команд в вашей конфигурации приведет к сокращению времени инициализации порта в случае, если коммутатор или подключенный к нему режим питания, перезагрузка или перезагрузка. Они также могут препятствовать неправильным настройкам конфигурации в случае, если порт неправильно согласовывает.

Поскольку по умолчанию для коммутаторов Cisco по умолчанию используется динамический режим коммутатора (коммутаторы Cisco Stackwise - это исключение), каждый порт пытается согласовать его целевое назначение. Этот переговорный процесс имеет четыре основные фазы и может занять полную минуту.  - Инициализация протокола Spanning Tree Protocol (STP) - порт проходит через    пять этапов STP: блокирование, прослушивание, обучение, пересылка,    и отключен.  - Тестирование конфигурации Ether Channel - порт использует порт    Протокол агрегирования (PAgP), связывание портов коммутатора с    создавать более крупные агрегатные соединения Ethernet.  - Тестирование конфигурации соединительных линий - использует протокол Dynamic Trunk Protocol    (DTP) для согласования /проверки соединительной линии.  - Переключение скорости порта и дуплексного порта использует Fast Link Pulses (FLP) для    установить скорость и дуплекс. Невозможность согласования дуплексных коммутаторов Cisco    дуплексная настройка по умолчанию для полудуплексного (HDX) (для 10-Мбит /с и    100 Мбит /с) или полнодуплексный (FDX) (для интерфейсов 1000 Мбит /с).

Конфигурирование режима доступа к коммутатору предотвратит переход порта через переговоры по соединительной линии.

Настройка spanning-tree portfast предотвратит переход порта через согласование STP.

Конфигурирование switchport host будет настраивать как доступ, так и portfast.

Конечно, предостережение от Cisco - Предостережение: никогда не используйте функцию PortFast на портах коммутатора, которые подключаются к другим коммутаторам, концентраторам или маршрутизаторам. Эти соединения могут вызывать физические циклы, и в этих ситуациях охватывающее дерево должно пройти полную процедуру инициализации. Петля остовного дерева может привести к снижению вашей сети. Если вы включите PortFast для порта, который является частью физического цикла, может быть окно времени, когда пакеты непрерывно пересылаются (и могут даже размножаться) таким образом, что сеть не может восстановить.

ответил rsebastian 24 Maypm13 2013, 22:12:33
0

Я знаю, что большинство людей говорят, что не делайте этого - твердое правило, для трудных людей. : -)

Если они глупые переключатели (например, не запускают STP), то это не имеет большого значения. Говоря по опыту Cisco, он почти сразу поймает цикл в любом случае. В мире виртуальных машин даже «пограничный порт» может быть циклом. (Наши разработчики узнали, что это трудный путь.)

ответил Ricky Beam 24 Maypm13 2013, 18:55:30

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132