Czy portfast powinien być używany na porcie potencjalnie łączącym się z niezarządzanym przełącznikiem?

19

Rozumiem podstawy działania drzewa opinającego i dlaczego chciałbyś używać portfast na portach dostępu użytkownika.

Czy mając do czynienia z topologią z dużą liczbą głupich przełączników pod biurkami i innymi nieudokumentowanymi lokalizacjami, naprawdę chcesz włączyć tę funkcję we wszystkich „rzekomo” przełącznikach dostępu?

Oprócz prób wyśledzenia tych niezarządzanych przełączników, jaka jest najlepsza praktyka? Dlaczego?

Tim Brigham
źródło

Odpowiedzi:

16

Powinieneś uruchomić „port-fast” (w standardowych warunkach port brzegowy) na każdym porcie nie będącym częścią rdzenia przełącznika. Nawet jeśli jest to przełącznik.

NIE powinieneś mieć pętli L2 przez przełączniki klienta.

Powinieneś uruchomić BPDUGuard i policjantów BUM na wszystkich interfejsach, interfejsy zorientowane na klienta powinny być na poziomie 1/5 lub mniej z głównych limitów. Niestety ograniczenie nieznanej emisji pojedynczej często nie jest obsługiwane.

Dlaczego uruchamianie „szybkiego portu” lub krawędzi jest kluczowe, zależy od niego wydajność RSTP (a przez to MST). Jak działa RSTP, pyta w dół, czy może przejść do trybu przekazywania, a w dół pyta w dół, dopóki nie będzie więcej portów, aby zapytać frmo, a następnie zezwolenie ponownie się rozchodzi. Port szybki lub brzegowy to niejawne uprawnienie z punktu widzenia RSTP, jeśli usuniesz to niejawne uprawnienie, musisz uzyskać wyraźne pozwolenie, w przeciwnym razie nastąpi powrót do klasycznych zegarów STP. Co oznacza, że ​​nawet jeden nie-portfast zabije twoje drugie połączenie RSTP.

iti
źródło
5
Jako pełne ujawnienie mam jeden głos w tej sprawie. Gdybym powiedział coś niepoprawnego, byłbym wdzięczny za poprawienie, dziękuję.
ytti
Jestem ciekawy, jaka jest różnica między „rdzeniem przełącznika” a „przełącznikiem”? Czy jest to w kontekście usługodawcy internetowego lub sieci korporacyjnej?
cpt_fink
13

Oprócz tego spanning-tree portfastpowinieneś również użyć spanning-tree bpduguard enabletego, że jeśli ktoś utworzy pętlę, podłączając rzeczy, których nie powinien, to port przełącznika przejdzie w tryb wyłączania błędów, gdy zobaczy BPDU, zamiast tworzyć pętlę i potencjalnie doprowadzić do awarii sieci.

Również, jeśli Twoim celem jest wyśledzenie niezarządzanych przełączników, powinieneś włączyć

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Spowoduje to wyłączenie dowolnego portu, w którym podłączony jest więcej niż 1 adres MAC. Albo za pomocą pułapek, albo czekając na wezwanie pomocy, możesz zidentyfikować, gdzie są podłączone te niezarządzane urządzenia.

Więcej informacji na temat bezpieczeństwa portów

Mike Marotta
źródło
4
W przypadku Cisco (w oparciu o powyższą konfigurację) zalecam skonfigurowanie domyślnego portu bpduguard drzewa opinającego na wszystkich przełącznikach. Umożliwia to bpduguard na dowolnym interfejsie z włączonym portfast. Możesz także skonfigurować odzyskiwanie z błędami dla bpduguard.
YLearn
8

Czy mając do czynienia z topologią z dużą liczbą głupich przełączników pod biurkami i innymi nieudokumentowanymi lokalizacjami, naprawdę chcesz włączyć tę opcję [portfast] na wszystkich „rzekomo” przełącznikach dostępu?

Oficjalna i pedantyczna odpowiedź brzmi: „nie, nie włączaj szybkiego przełączania na przełącznik, aby przełączyć link” ... Na forum pomocy Cisco znajduje się odpowiednia dyskusja na ten temat .

Autor tego wątku sprawia, że punkt uczciwą chociaż policja sieć nie będzie cię aresztować za umożliwienie portfast stoi przełącznik downstream ... To jest możliwe , aby włamać się wokół ryzyko przejściowych burz transmisji, aby podjąć po włączeniu portfast w link do innego przełącznika.

OBEJŚCIA

Jeśli włączysz portfast na łączu do inteligentnego lub głupiego przełącznika, pamiętaj, aby włączyć bpduguard (ochrona płaszczyzny kontrolnej) i nadawać kontrolę burzy (ochrona płaszczyzny danych) na tym porcie ... te dwie funkcje dają ci pewną przewagę w w przypadku nieoczekiwanych rzeczy:

  • ktoś filtruje jednostki BPDU, które normalnie powodują, że bpduguard wyłącza port, co powoduje burzę rozgłoszeniową. Kontrola burz ogranicza obrażenia od burzy rozgłoszeniowej
  • bpduguard ma oczywiste zalety wymienione w innych odpowiedziach.
Mike Pennington
źródło
4

Zastosowanie specyficznych dla portu poleceń w konfiguracji skróci czas inicjalizacji portu w przypadku, gdy przełącznik lub cykl zasilania podłączonego urządzenia uruchomi się ponownie lub przeładuje. Mogą również zapobiegać błędnie zastosowanym ustawieniom konfiguracji w przypadku nieprawidłowego negocjacji portu.

Ponieważ domyślnym ustawieniem przełączników Cisco jest dynamiczny tryb przełączania (pożądane są przełączniki Cisco Stackwise), każdy port próbuje negocjować swój zamierzony cel. Proces negocjacji składa się z czterech głównych etapów i jego ukończenie może zająć pełną minutę. - Inicjalizacja protokołu Spanning Tree Protocol (STP) - port przechodzi przez pięć faz STP: blokowanie, nasłuchiwanie, uczenie się, przekazywanie i wyłączanie. - Testowanie konfiguracji kanału Ether - port wykorzystuje protokół agregacji portów (PAgP), łącząc porty przełączników w celu utworzenia większych agregowanych połączeń Ethernet. - Testowanie konfiguracji łącza - porty używają protokołu Dynamic Trunk (DTP) do negocjowania / sprawdzania łącza łącza. - Przełącz prędkość portu i dupleks - port używa impulsów Fast Link Pulses (FLP) do ustawienia prędkości i dupleksu.

Skonfigurowanie dostępu do trybu switchport uniemożliwi portowi przejście przez negocjację łącza.

Skonfigurowanie portu spanning-tree zapobiegnie przejściu portu przez negocjacje STP.

Konfigurowanie hosta switchport skonfiguruje zarówno dostęp, jak i portfast.

Oczywiście zastrzeżenie firmy Cisco - Uwaga: Nigdy nie używaj funkcji PortFast na portach przełączników, które łączą się z innymi przełącznikami, koncentratorami lub routerami. Połączenia te mogą powodować fizyczne pętle, a drzewo opinające musi przejść pełną procedurę inicjalizacji w takich sytuacjach. Pętla drzewa rozpinającego może doprowadzić do awarii sieci. Jeśli włączysz PortFast dla portu, który jest częścią fizycznej pętli, może pojawić się przedział czasu, w którym pakiety są ciągle przekazywane (a nawet mogą się zwielokrotniać) w taki sposób, że sieć nie będzie w stanie odzyskać.

rsebastian
źródło
0

Wiem, że większość ludzi mówi, że tego nie rób - twarda zasada dla twardych ludzi. :-)

Jeśli są głupimi przełącznikami (np. Nie uruchamiają żadnego STP), to nie robi to dużej różnicy. Mówiąc z doświadczenia Cisco, niemal natychmiast złapie pętlę w każdym przypadku. W świecie maszyn wirtualnych nawet „port brzegowy” może być pętlą. (Nasi programiści nauczyli się tego na własnej skórze).

Ricky Beam
źródło