Impedindo loops STP em configurações de etherchannels

Qual é a melhor prática ao configurar o etherchannel em switches Cisco para evitar uma tempestade de loop / broadcast STP quando o etherchannel está configurado incorretamente?

Eu tive uma instância em que 2 portas em um switch foram configuradas corretamente através de portas de tronco, no entanto, o switch oposto tinha apenas um switch de porta como tronco, o segundo como porta de acesso regular. Em um ciclo de energia, uma tempestade de transmissão derrubou a rede e se originou desses dois comutadores. channel-group 1 mode onfoi configurado em todas as portas.

Na minha pesquisa, os links etherchannel L2 devem ser configurados apenas

channel-group 1 mode desirable

Os links L3 podem ser configurados com o modo de grupo de canais 1, pois o STP não está sendo executado sobre eles.

Infelizmente, neste cenário, o PVST + foi configurado e o bdpuguard estava ausente em todas as portas de borda :( Por fim, todos os comutadores aqui são Cisco - não um ambiente de vários fornecedores

spanning-tree best-practices knotseh
fonte

que sabor STP você usou?

laf 30/05

Em novos ambientes, eu sempre implanto o rapid-pvst +, mas esse ambiente específico estava executando o PVST + padrão da Cisco.

Knotseh 30/05

Vamos ver o que outros colegas dizem sobre isso. No meu XP, eu uso o desejável apenas em ambientes de teste para aprendizado ou depuração; na produção, uso "no modo" junto com o RSTP.

laf 30/05

Respostas:

Você não deve usar "on" para agregação de links, pois isso pode causar problemas. No lado com agregação estaticamente ativada, ele usará as interfaces no etherchannel, independentemente da configuração do outro lado.

Embora o controle de tempestades (dos comentários) possa ser muito útil em alguns dos problemas resultantes, ele não resolve todos eles. Por exemplo, se um dos links do lado remoto for uma porta de acesso em uma VLAN diferente, todo o tráfego que desce nessa porta provavelmente nunca chegará ao seu destino. Dependendo de quão constante o tráfego e o balanceamento de carga no etherchannel, isso pode resultar em uma "interrupção" completa para alguns hosts.

Eu sempre recomendo o uso do LACP sobre o PAgP; portanto, em vez de desejável / automático ou ativado, use ativo nos dois lados ou ativo em um e passivo no outro. A razão para isso é que o LACP é baseado em padrões, enquanto o PAgP é de propriedade da Cisco.

É claro que isso depende em parte da plataforma de hardware; portanto, verifique a documentação apropriada para sua plataforma.

YLearn
fonte

Implemente também o controle de tempestades. Ele não cuida da causa raiz, mas evita que a rede derreta.

Daniel Dib #

"on" é ocasionalmente necessário para configurações de vários fornecedores. Uso apenas o LACP nas portas do host - os links entre switches nunca são negociados, o STP e o controle de tempestades o capturam se você realmente estragar tudo.

Ricky Beam #

LACP sempre que possível. Certas plataformas, como Cisco 7200, não suportam LACP, enquanto outros, como caixas mais antigas Juniper, necessidade atualizado FEBS para executar LACP

MellowD

Não encontrei nenhum equipamento que valesse a pena usar nos últimos anos que suportava pacotes, mas não conseguia falar sobre o LACP. Mesmo com switches SMB baratos, o VMware só adicionou suporte na v5.

LapTop006

FYI - configurando um etherchannel para "mode on"! = Usando PAgP. Somente o uso do "modo automático" ou "modo desejável" o ativará. Compare isso com o LAG "estático" vs "dinâmico" da Brocade.

John Jensen

Independente de quando usar ativo / ativado / desejável etc; Parece-me que você não tinha o STP configurado / corretamente.

Os pacotes BPDU que entram na porta de acesso no segundo comutador devem ter causado a desativação incorreta da porta. Configure os esquemas de proteção STP corretos (que não vou explicar aqui, pois estão por toda a Internet) e não acredito que esse problema deva ter acontecido em primeiro lugar.

(Além disso, se os seus switches suportarem, transmita o controlador de tempestade, como Ricky mencionou!).

jwbensley
fonte

eu concordo - eu herdei este sistema e definitivamente não estava configurado corretamente para STP. Infelizmente, não tenho permissão para modificar nada até termos janelas de manutenção adequadas e, é claro, os núcleos são antigos 4000 e faltam muitos conjuntos de recursos.

Knotseh