Qual é a melhor prática ao configurar o etherchannel em switches Cisco para evitar uma tempestade de loop / broadcast STP quando o etherchannel está configurado incorretamente?
Eu tive uma instância em que 2 portas em um switch foram configuradas corretamente através de portas de tronco, no entanto, o switch oposto tinha apenas um switch de porta como tronco, o segundo como porta de acesso regular. Em um ciclo de energia, uma tempestade de transmissão derrubou a rede e se originou desses dois comutadores.
channel-group 1 mode on
foi configurado em todas as portas.
Na minha pesquisa, os links etherchannel L2 devem ser configurados apenas
channel-group 1 mode desirable
Os links L3 podem ser configurados com o modo de grupo de canais 1, pois o STP não está sendo executado sobre eles.
Infelizmente, neste cenário, o PVST + foi configurado e o bdpuguard estava ausente em todas as portas de borda :( Por fim, todos os comutadores aqui são Cisco - não um ambiente de vários fornecedores
fonte
Respostas:
Você não deve usar "on" para agregação de links, pois isso pode causar problemas. No lado com agregação estaticamente ativada, ele usará as interfaces no etherchannel, independentemente da configuração do outro lado.
Embora o controle de tempestades (dos comentários) possa ser muito útil em alguns dos problemas resultantes, ele não resolve todos eles. Por exemplo, se um dos links do lado remoto for uma porta de acesso em uma VLAN diferente, todo o tráfego que desce nessa porta provavelmente nunca chegará ao seu destino. Dependendo de quão constante o tráfego e o balanceamento de carga no etherchannel, isso pode resultar em uma "interrupção" completa para alguns hosts.
Eu sempre recomendo o uso do LACP sobre o PAgP; portanto, em vez de desejável / automático ou ativado, use ativo nos dois lados ou ativo em um e passivo no outro. A razão para isso é que o LACP é baseado em padrões, enquanto o PAgP é de propriedade da Cisco.
É claro que isso depende em parte da plataforma de hardware; portanto, verifique a documentação apropriada para sua plataforma.
fonte
Independente de quando usar ativo / ativado / desejável etc; Parece-me que você não tinha o STP configurado / corretamente.
Os pacotes BPDU que entram na porta de acesso no segundo comutador devem ter causado a desativação incorreta da porta. Configure os esquemas de proteção STP corretos (que não vou explicar aqui, pois estão por toda a Internet) e não acredito que esse problema deva ter acontecido em primeiro lugar.
(Além disso, se os seus switches suportarem, transmita o controlador de tempestade, como Ricky mencionou!).
fonte