O portfast deve ser usado em uma porta potencialmente conectada a um switch não gerenciado?

19

Entendo o básico de como a Spanning Tree funciona e por que você deseja usar o portfast nas portas de acesso do usuário.

Ao lidar com uma topologia com um grande número de comutadores burros em mesas e outros locais não documentados, você realmente deseja ativar isso em todos os comutadores de acesso "supostamente"?

Além de tentar rastrear essas opções não gerenciadas, qual é a melhor prática? Por quê?

Tim Brigham
fonte

Respostas:

16

Você deve executar 'port-fast' (em termos padrão, edge edge) em todas as portas que não fazem parte do núcleo do seu switch. Mesmo que seja switch.

Você NÃO deve fazer um loop L2 através dos switches do cliente.

Você deve executar os agentes de policiamento BPDUGuard e BUM em todas as interfaces. As interfaces voltadas para o cliente devem ter 1/5 ou menos dos limites principais. Infelizmente, a limitação de unicast desconhecido geralmente não é suportada.

Por que executar 'port-fast' ou edge é crucial é o desempenho do RSTP (e por extensão MST) depende dele. Como o RSTP funciona é que ele pergunta a jusante se pode ir para o modo de encaminhamento, e a jusante solicita seus fluxos de jusante até que não haja mais portas para solicitar o frmo, a permissão se propaga de volta. A porta rápida ou de porta é permissão implícita do ponto de vista do RSTP; se você remover essa permissão implícita, a permissão explícita deve ser obtida, caso contrário, ela voltará aos temporizadores STP clássicos. O que significa que mesmo uma porta que não seja portfast eliminará a convergência do RSTP de subsegundo.

ytti
fonte
5
Como divulgação completa, recebi um voto negativo sobre isso. Se afirmei algo incorreto, eu gostaria muito de ser corrigido, obrigado.
Ytti 25/05
Estou curioso para saber qual é a diferença entre 'switch core' e 'switch'? Isso ocorre no contexto de um ISP ou de uma rede corporativa?
Ct_fink 21/11
13

Além disso spanning-tree portfast, você também deve usar spanning-tree bpduguard enablepara que, se alguém criar um loop conectando coisas onde não deveria, a porta do switch entrará no modo desativado por erro quando vir um BPDU em vez de criar um loop e potencialmente derrubar a rede.

Além disso, se seu objetivo é rastrear os switches não gerenciados, você deve ativar

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Isso colocará qualquer porta em desativação por erro que veja mais de um endereço MAC conectado. Através de traps ou aguardando até que solicitem ajuda, você poderá identificar onde esses dispositivos não gerenciados estão conectados.

Mais informações sobre segurança portuária

Mike Marotta
fonte
4
Para Cisco (com base na configuração acima), eu recomendo que você configure o padrão portfast bpduguard da Spanning Tree em todos os switches. Isso habilita o bpduguard em qualquer interface com o portfast ativado. Você também pode configurar a recuperação incorreta para o bpduguard.
YLearn
8

Ao lidar com uma topologia com um grande número de comutadores burros sob mesas e outros locais não documentados, você realmente deseja ativar esse [portfast] em todos os comutadores de acesso "supostamente"?

A resposta oficial e pedante é "não, não habilite o portfast no switch para alternar o link" ... Há uma discussão relevante sobre isso no fórum de suporte da Cisco .

O autor desse segmento faz um argumento justo, porém, a polícia da rede não o prenderá por ativar o portfast diante de um switch downstream ... É possível evitar os riscos de tempestades de transmissão temporárias que você corre ao ativar o portfast em um link para outro interruptor.

SOLUÇÕES

Se você habilitar o portfast em um link para um comutador inteligente ou burro, ative o bpduguard (proteção do plano de controle) e transmita o controle de tempestade (proteção do plano de dados) nessa porta ... esses dois recursos oferecem alguma vantagem em caso ocorram coisas inesperadas:

  • alguém filtra os BPDUs que normalmente fazem com que o bpduguard desative a porta, resultando em uma tempestade de broadcast. O controle de tempestade limita o dano de uma tempestade de transmissão
  • O bpduguard tem vantagens óbvias mencionadas nas outras respostas.
Mike Pennington
fonte
4

A aplicação de comandos específicos de porta em sua configuração reduzirá o tempo de inicialização da porta, caso o comutador ou o dispositivo conectado desligue, reinicie ou recarregue. Eles também podem impedir configurações mal aplicadas, no caso de a porta não negociar adequadamente.

Como o padrão para os comutadores Cisco é desejável dinâmico no modo de porta de comutação (os comutadores com capacidade Cisco Stackwise são a exceção) toda porta tenta negociar sua finalidade. Esse processo de negociação tem quatro fases principais e pode levar um minuto para ser concluído. - Inicialização do Spanning Tree Protocol (STP) - a porta passa pelas cinco fases do STP: bloqueio, escuta, aprendizado, encaminhamento e desativação. - Teste para configuração do canal Ether - a porta usa o PAgP (Port Aggregation Protocol), conectando as portas do switch para criar conexões Ethernet agregadas maiores. - Teste para configuração de tronco - as portas usam o protocolo Dynamic Trunk (DTP) para negociar / validar um link de tronco. - Velocidade da porta do switch e duplex - a porta usa Fast Link Pulses (FLP) para definir a velocidade e o duplex.

A configuração do acesso no modo de porta de switch impedirá que a porta passe pela negociação de tronco.

A configuração do portfast da Spanning Tree impedirá que a porta passe pela negociação do STP.

A configuração do host do switchport configurará o acesso e o portfast.

Obviamente, a ressalva da Cisco - Cuidado: nunca use o recurso PortFast nas portas do switch que se conectam a outros switches, hubs ou roteadores. Essas conexões podem causar loops físicos e a árvore de abrangência deve passar pelo procedimento de inicialização completo nessas situações. Um loop de árvore estendida pode derrubar sua rede. Se você ativar o PortFast para uma porta que faz parte de um loop físico, pode haver uma janela de tempo em que os pacotes são encaminhados continuamente (e podem até se multiplicar) de forma que a rede não possa se recuperar.

rsebastian
fonte
0

Eu sei que a maioria das pessoas diz que não faz isso - regra difícil, para pessoas difíceis. :-)

Se forem interruptores burros (por exemplo, não execute nenhum STP), isso não fará muita diferença. Falando da experiência da Cisco, ele pegará o loop quase imediatamente em qualquer caso. No mundo das VMs, mesmo uma "porta de borda" pode ser um loop. (Nossos desenvolvedores aprenderam isso da maneira mais difícil.)

Ricky Beam
fonte