Haruskah portfast digunakan pada port yang berpotensi menghubungkan ke sakelar yang tidak dikelola?


19

Saya mengerti dasar-dasar bagaimana spanning tree bekerja dan mengapa Anda ingin menggunakan portfast pada port akses pengguna.

Ketika berhadapan dengan topologi dengan sejumlah besar sakelar bisu di bawah meja dan lokasi tak berdokumen lain, apakah Anda benar-benar ingin mengaktifkan ini pada semua sakelar akses "yang seharusnya"?

Selain mencoba melacak sakelar yang tidak dikelola ini, apa praktik terbaik? Mengapa?

Jawaban:


16

Anda harus menjalankan 'port-fast' (dalam istilah standar port tepi) di setiap port bukan bagian dari inti sakelar Anda. Bahkan jika itu sudah beralih.

Anda TIDAK harus memiliki L2 loop melalui sakelar pelanggan.

Anda harus menjalankan BPDUGuard dan BUM policers semua antarmuka, antarmuka pelanggan harus 1/5 atau kurang dari batas inti yang dihadapi. Sayangnya membatasi unicast yang tidak dikenal sering tidak didukung.

Mengapa menjalankan 'port-fast' atau edge sangat penting adalah kinerja RSTP (dan dengan ekstensi MST) bergantung padanya. Bagaimana RSTP bekerja adalah ia meminta hilir jika ia bisa pergi ke mode penerusan, dan hilir meminta downstreamnya sampai tidak ada lagi port untuk meminta frmo, maka izin menyebar kembali. Port-fast atau edge port adalah izin implisit dari sudut pandang RSTP, jika Anda menghapus izin implisit ini, izin eksplisit harus diperoleh, jika tidak maka akan kembali ke timer STP klasik. Yang berarti bahkan satu port non-portfast akan membunuh RSTP subsecond Anda.


5
Sebagai pengungkapan penuh saya mendapat satu suara untuk ini. Jika saya telah menyatakan sesuatu yang salah, saya akan sangat menghargai dikoreksi, terima kasih.
ytti

Saya ingin tahu apa perbedaan antara 'switch core' dan 'switch'? Apakah ini dalam konteks ISP, atau jaringan perusahaan?
cpt_fink

13

Selain itu spanning-tree portfast, Anda juga harus menggunakannya spanning-tree bpduguard enablesehingga jika seseorang membuat loop dengan cara menghubungkannya dengan hal-hal yang seharusnya tidak dilakukan, maka port switch akan masuk ke mode kesalahan yang dinonaktifkan ketika melihat BPDU daripada membuat loop dan berpotensi menjatuhkan jaringan.

Juga, jika tujuan Anda adalah melacak sakelar yang tidak dikelola, Anda harus mengaktifkannya

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Ini akan membuat port apa saja dalam penonaktifan kesalahan yang melihat lebih dari 1 alamat mac terhubung. Baik melalui jebakan atau menunggu sampai mereka meminta bantuan akan memungkinkan Anda untuk mengidentifikasi di mana perangkat yang tidak dikelola tersebut terhubung.

Info lebih lanjut tentang keamanan pelabuhan


4
Untuk Cisco (berdasarkan konfigurasi di atas), saya sarankan Anda mengkonfigurasi spanning-tree portfast bpduguard default pada semua switch. Ini memungkinkan bpduguard pada antarmuka apa pun dengan portfast diaktifkan. Anda mungkin ingin juga mengkonfigurasi pemulihan yang dapat dihapus untuk bpduguard.
YPelajari

8

Ketika berhadapan dengan topologi dengan sejumlah besar sakelar bisu di bawah meja dan lokasi tak berdokumen lain, apakah Anda benar-benar ingin mengaktifkan [portfast] ini pada semua sakelar akses "yang seharusnya"?

Jawaban resmi dan bertele-tele adalah "tidak, jangan aktifkan portfast pada switch untuk beralih tautan" ... Ada diskusi yang relevan tentang ini di forum dukungan Cisco .

Penulis utas itu membuat titik yang adil, polisi jaringan tidak akan menangkap Anda karena memungkinkan portfast menghadapi switch hilir ... Dimungkinkan untuk meretas risiko badai siaran sementara yang Anda ambil saat Anda mengaktifkan portfast pada tautan ke sakelar lain.

WORKAROUNDS

Jika Anda mengaktifkan portfast pada tautan ke smart atau dumb switch, pastikan untuk mengaktifkan bpduguard (control-plane protection), dan broadcast storm-control (data plane protection) pada port itu ... kedua fitur ini memberi Anda sedikit pengaruh dalam hal-hal tak terduga terjadi:

  • seseorang memfilter BPDU yang biasanya akan menyebabkan bpduguard menonaktifkan port, menghasilkan badai siaran. Kontrol badai membatasi kerusakan akibat badai penyiaran
  • bpduguard memiliki kelebihan jelas yang disebutkan dalam jawaban lain.

4

Menerapkan perintah khusus port dalam konfigurasi Anda akan mengurangi waktu inisialisasi port jika saklar atau siklus daya perangkat yang terhubung, reboot atau memuat ulang. Mereka juga dapat mencegah pengaturan konfigurasi yang tidak diterapkan jika port tidak melakukan negosiasi dengan benar.

Sebagai default untuk switch Cisco adalah mode switchport dinamis yang diinginkan (switch yang mampu Cisco Stackwise adalah pengecualian) setiap port mencoba untuk menegosiasikan tujuan yang dimaksud. Proses negosiasi ini memiliki empat fase utama dan dapat diselesaikan dalam satu menit penuh. - Inisialisasi Spanning Tree Protocol (STP) - port melewati lima fase STP: memblokir, mendengarkan, belajar, meneruskan, dan dinonaktifkan. - Pengujian untuk konfigurasi Saluran Eter - port menggunakan Port Aggregation Protocol (PAgP), menyatukan port switch untuk membuat koneksi Ethernet agregat yang lebih besar. - Pengujian untuk konfigurasi trunk - port menggunakan Dynamic Trunk Protocol (DTP) untuk menegosiasikan / memvalidasi tautan trunk. - Ganti kecepatan port dan dupleks - port menggunakan Fast Link Pulses (FLP) untuk mengatur kecepatan dan dupleks.

Mengkonfigurasi akses mode switchport akan mencegah port melewati negosiasi trunk.

Mengkonfigurasi spanfast-tree portfast akan mencegah port melewati negosiasi STP.

Mengkonfigurasi host switchport akan mengonfigurasi akses dan portfast ..

Tentu saja peringatan dari Cisco - Perhatian: Jangan pernah menggunakan fitur PortFast pada port switch yang terhubung ke switch, hub, atau router lainnya. Koneksi ini dapat menyebabkan loop fisik, dan spanning tree harus melalui prosedur inisialisasi penuh dalam situasi ini. Lingkaran spanning tree dapat menurunkan jaringan Anda. Jika Anda mengaktifkan PortFast untuk port yang merupakan bagian dari loop fisik, mungkin ada jendela waktu ketika paket-paket diteruskan secara terus menerus (dan bahkan dapat berlipat ganda) sedemikian rupa sehingga jaringan tidak dapat pulih.


0

Saya tahu kebanyakan orang mengatakan jangan lakukan itu - aturan keras, untuk orang yang sulit. :-)

Jika mereka bodoh switch (mis. Tidak menjalankan STP), maka itu tidak membuat banyak perbedaan. Berbicara dari pengalaman Cisco, itu akan menangkap loop segera dalam acara apa pun. Dalam dunia VM, bahkan "port tepi" dapat menjadi sebuah loop. (Pengembang kami telah belajar itu dengan cara yang sulit.)

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.