Ich verstehe die Grundlagen der Funktionsweise von Spanning Tree und warum Sie portfast für Benutzerzugriffsports verwenden möchten.
Wenn Sie mit einer Topologie mit einer großen Anzahl von dummen Switches unter Schreibtischen und anderen undokumentierten Orten arbeiten, möchten Sie dies wirklich für alle "vermeintlichen" Access-Switches aktivieren?
Was ist neben dem Versuch, diese nicht verwalteten Switches aufzuspüren, die beste Vorgehensweise? Warum?
Antworten:
Sie sollten in jedem Port, der nicht Teil Ihres Switch-Cores ist, "port-fast" (in der Regel Edge-Port) ausführen. Auch wenn es Schalter ist.
Sie sollten KEINE L2-Durchschleif-Kunden-Switches haben.
Sie sollten BPDUGuard- und BUM-Policer für alle Schnittstellen ausführen. Kundenbezogene Schnittstellen sollten höchstens 1/5 der Kernbezugsgrenzwerte betragen. Leider wird das Begrenzen von unbekanntem Unicast oft nicht unterstützt.
Warum das Ausführen von "Port-Fast" oder Edge entscheidend ist, hängt von der Leistung von RSTP (und damit auch von MST) ab. Wie RSTP funktioniert, fragt es Downstream, ob es in den Weiterleitungsmodus wechseln kann, und Downstream fragt seine Downstreams, bis es keine Ports mehr gibt, die von frmo abgefragt werden können. Dann wird die Erlaubnis weitergegeben. Port-Fast- oder Edge-Port ist aus RSTP-Sicht eine implizite Berechtigung. Wenn Sie diese implizite Berechtigung entfernen, muss eine explizite Berechtigung eingeholt werden, da sie sonst auf klassische STP-Timer zurückgreifen kann. Dies bedeutet, dass selbst ein nicht portfester Port Ihre RSTP-Konvergenz in einem Teil von Sekunden zum Erliegen bringt.
Darüber hinaus spanning-tree portfastsollten Sie diese Option verwenden, spanning-tree bpduguard enabledamit der Switch-Port in den Modus "Fehler deaktiviert" wechselt, wenn er eine BPDU sieht, anstatt eine Schleife zu erstellen und möglicherweise das Netzwerk herunterzufahren, wenn jemand eine Schleife erstellt, indem er Dinge einsteckt, die er nicht sollte.
Wenn Sie die nicht verwalteten Switches aufspüren möchten, sollten Sie diese ebenfalls aktivieren
switchport port-security maximum 1 ! or whatever number is appropriate
switchport port-security violation shutdown
switchport port-security
Dadurch wird jeder Port in die Fehler-Deaktivierung versetzt, bei dem mehr als eine Mac-Adresse verbunden ist. Mithilfe von Traps oder durch Warten auf einen Hilferuf können Sie feststellen, wo diese nicht verwalteten Geräte angeschlossen sind.
Wenn Sie mit einer Topologie mit einer großen Anzahl von dummen Switches unter Schreibtischen und anderen undokumentierten Orten arbeiten, möchten Sie diese Option wirklich für alle "vermeintlichen" Access-Switches aktivieren?
Die offizielle und umständliche Antwort lautet: "Nein, Portfast beim Umschalten nicht aktivieren, um die Verbindung zu wechseln". Im Cisco Support-Forum wird diesbezüglich eine relevante Diskussion geführt .
Der Autor dieses Themas einen fairen Punkt macht allerdings wird das Netzwerk der Polizei nicht verhaften zu ermöglichen portfast eine nachgeschaltete Schalter mit Blick auf ... Es ist möglich , die Risiken von temporären Broadcast - Stürme hacken um , dass Sie nehmen , wenn Sie Portfast auf einen Link aktivieren zu einem anderen Schalter.
Wenn Sie portfast für eine Verbindung zu einem intelligenten oder dummen Switch aktivieren, müssen Sie bpduguard (Kontrollebenenschutz) und Broadcast Storm-Control (Datenebenenschutz) für diesen Port aktivieren. Diese beiden Funktionen bieten Ihnen eine gewisse Hebelwirkung Falls unerwartete Dinge passieren:
Durch das Anwenden von portspezifischen Befehlen in Ihrer Konfiguration wird die Zeit für die Portinitialisierung verringert, falls der Switch oder das angeschlossene Gerät aus- und wieder eingeschaltet, neu gestartet oder neu geladen wird. Sie können auch verhindern, dass Konfigurationseinstellungen falsch angewendet werden, falls der Port nicht ordnungsgemäß verhandelt.
Da für Cisco-Switches standardmäßig der dynamische Switchport-Modus erwünscht ist (Cisco Stackwise-fähige Switches sind die Ausnahme), versucht jeder Port, seinen beabsichtigten Zweck auszuhandeln. Dieser Verhandlungsprozess besteht aus vier Hauptphasen und kann eine volle Minute dauern. - Spanning Tree Protocol (STP) -Initialisierung - Der Port durchläuft die fünf Phasen von STP: Blockieren, Abhören, Lernen, Weiterleiten und Deaktivieren. - Testen der Ether Channel-Konfiguration - Port verwendet das Port Aggregation Protocol (PAgP), das Switch-Ports miteinander verbindet, um größere Ethernet-Verbindungen zu erstellen. - Testen der Trunk-Konfiguration - Ports verwenden das Dynamic Trunk Protocol (DTP), um eine Trunk-Verbindung auszuhandeln / zu validieren. - Switch-Port-Geschwindigkeit und Duplex - Der Port verwendet Fast Link Impulse (FLP), um Geschwindigkeit und Duplex einzustellen.
Wenn Sie den Switchport-Modus konfigurieren, wird verhindert, dass der Port die Trunk-Aushandlung durchläuft.
Konfigurieren Spanning-Tree-Portfast wird verhindert, dass der Port die STP-Aushandlung durchläuft.
Konfigurieren Switchport-Hosts werden sowohl Zugriff als auch Portfast konfiguriert.
Natürlich die Einschränkung von Cisco - Achtung: Verwenden Sie die PortFast-Funktion niemals für Switch-Ports, die mit anderen Switches, Hubs oder Routern verbunden sind. Diese Verbindungen können physische Schleifen verursachen, und Spanning Tree muss in diesen Situationen die vollständige Initialisierung durchlaufen. Eine Spanning Tree-Schleife kann Ihr Netzwerk zum Erliegen bringen. Wenn Sie PortFast für einen Port aktivieren, der Teil einer physischen Schleife ist, kann es ein Zeitfenster geben, in dem Pakete kontinuierlich weitergeleitet (und sogar multipliziert) werden, sodass das Netzwerk nicht wiederhergestellt werden kann.
Ich weiß, dass die meisten Leute sagen, tu es nicht - harte Regel für harte Leute. :-)
Wenn es sich um dumme Schalter handelt (z. B. keine STP ausführen), macht das keinen großen Unterschied. Cisco-Erfahrungen zeigen, dass es auf jeden Fall fast sofort die Runde macht. In der Welt der VMs kann sogar ein "Edge-Port" eine Schleife sein. (Unsere Entwickler haben das auf die harte Tour gelernt.)