Portfast doit-il être utilisé sur un port se connectant potentiellement à un commutateur non géré?

19

Je comprends les bases du fonctionnement de Spanning Tree et pourquoi vous souhaitez utiliser Portfast sur les ports d'accès utilisateur.

Lorsque vous traitez une topologie avec un grand nombre de commutateurs stupides sous des bureaux et d'autres emplacements non documentés, voulez-vous vraiment activer cela sur tous les commutateurs d'accès «supposés»?

En dehors de la recherche de ces commutateurs non gérés, quelle est la meilleure pratique? Pourquoi?

Tim Brigham
la source

Réponses:

16

Vous devez exécuter «port-fast» (en termes de port de périphérie standard) dans chaque port ne faisant pas partie de votre cœur de commutateur. Même si c'est interrupteur.

Vous ne devriez PAS avoir de boucle L2 via les commutateurs client.

Vous devez exécuter les régulateurs BPDUGuard et BUM toutes les interfaces, les interfaces orientées client doivent être au 1 / 5ème ou moins des limites face au cœur. Malheureusement, la limitation de la monodiffusion inconnue n'est souvent pas prise en charge.

Pourquoi exécuter «port-fast» ou edge est crucial, les performances de RSTP (et par extension MST) en dépendent. Le fonctionnement de RSTP consiste à demander en aval s'il peut passer en mode de transfert, et en aval à ses aval jusqu'à ce qu'il n'y ait plus de ports pour demander frmo, puis l'autorisation se propage. Le port rapide ou le port périphérique est une autorisation implicite du point de vue RSTP, si vous supprimez cette autorisation implicite, une autorisation explicite doit être obtenue, sinon elle retombera sur les temporisateurs STP classiques. Ce qui signifie que même un port non-portfast tuera votre convergence RSTP de sous-seconde.

ytti
la source
5
En tant que divulgation complète, j'ai obtenu un vote négatif à ce sujet. Si j'ai déclaré quelque chose de incorrect, j'apprécierais beaucoup d'être corrigé, merci.
ytti
Je suis curieux de savoir quelle est la différence entre 'switch core' et 'switch'? Est-ce dans le contexte d'un FAI ou d'un réseau d'entreprise?
cpt_fink
13

De plus spanning-tree portfast, vous devez également utiliser de spanning-tree bpduguard enablesorte que si quelqu'un crée une boucle en branchant des choses là où il ne devrait pas, le port du commutateur passera en mode désactivé par erreur lorsqu'il verra un BPDU plutôt que de créer une boucle et potentiellement de réduire le réseau.

De plus, si votre objectif est de rechercher les commutateurs non gérés, vous devez activer

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Cela mettra tout port en désactivation d'erreur qui voit plus d'une adresse mac connectée. Soit via des pièges, soit en attendant qu'ils appellent à l'aide, vous pourrez identifier où ces appareils non gérés sont connectés.

Plus d'informations sur la sécurité des ports

Mike Marotta
la source
4
Pour Cisco (basé sur la configuration ci-dessus), je vous recommande de configurer la valeur par défaut de bfduguard de portfast de spanning-tree sur tous les commutateurs. Cela active bpduguard sur n'importe quelle interface avec portfast activé. Vous pouvez également configurer la récupération errdisable pour bpduguard.
YLearn
8

Lorsque vous traitez une topologie avec un grand nombre de commutateurs stupides sous des bureaux et d'autres emplacements non documentés, voulez-vous vraiment activer ce [portfast] sur tous les commutateurs d'accès «supposés»?

La réponse officielle et pédante est "non, n'activez pas le portfast sur le commutateur pour changer de lien" ... Il y a une discussion pertinente à ce sujet sur le forum de support de Cisco .

L'auteur de ce fil fait cependant un bon point, la police du réseau ne vous arrêtera pas pour avoir activé portfast face à un commutateur en aval ... Il est possible de contourner les risques de tempêtes de diffusion temporaires que vous prenez lorsque vous activez portfast sur un lien à un autre commutateur.

CONTOURNEMENTS

Si vous activez portfast sur une liaison vers un commutateur intelligent ou stupide, assurez-vous d'activer bpduguard (protection du plan de contrôle) et de diffuser le contrôle des tempêtes (protection du plan de données) sur ce port ... ces deux fonctionnalités vous donnent un certain si des choses inattendues se produisent:

  • quelqu'un filtre les BPDU qui entraîneraient normalement la désactivation du port par bpduguard, entraînant une tempête de diffusion. Le contrôle des tempêtes limite les dommages causés par une tempête diffusée
  • bpduguard présente des avantages évidents mentionnés dans les autres réponses.
Mike Pennington
la source
4

L'application de commandes spécifiques au port dans votre configuration réduira le temps d'initialisation du port dans le cas où le commutateur ou l'appareil connecté redémarre, redémarre ou se recharge. Ils peuvent également empêcher des paramètres de configuration mal appliqués dans le cas où le port ne négocierait pas correctement.

Comme la valeur par défaut pour les commutateurs Cisco est une dynamique de mode de port de commutation souhaitable (les commutateurs Cisco Stackwise sont l'exception), chaque port tente de négocier son objectif. Ce processus de négociation comporte quatre phases principales et peut prendre une minute complète. - Initialisation du protocole Spanning Tree (STP) - le port passe par les cinq phases de STP: blocage, écoute, apprentissage, transmission et désactivé. - Test de la configuration du canal Ether - le port utilise le protocole d'agrégation de ports (PAgP), reliant les ports de commutation pour créer des connexions Ethernet agrégées plus importantes. - Test de la configuration de jonction - les ports utilisent le protocole Dynamic Trunk Protocol (DTP) pour négocier / valider une liaison de jonction. - Commutez la vitesse du port et le duplex - le port utilise des impulsions de liaison rapide (FLP) pour définir la vitesse et le duplex.

La configuration de l' accès en mode switchport empêchera le port de passer par la négociation de jonction.

La configuration de portfast spanning-tree empêchera le port de passer par la négociation STP.

La configuration de l' hôte switchport configurera à la fois l'accès et le portfast.

Bien sûr, la mise en garde de Cisco - Attention: n'utilisez jamais la fonction PortFast sur les ports de commutateur qui se connectent à d'autres commutateurs, concentrateurs ou routeurs. Ces connexions peuvent provoquer des boucles physiques et le spanning-tree doit suivre la procédure d'initialisation complète dans ces situations. Une boucle d'arbre couvrant peut mettre votre réseau en panne. Si vous activez PortFast pour un port qui fait partie d'une boucle physique, il peut y avoir une fenêtre de temps lorsque les paquets sont transmis en continu (et peuvent même se multiplier) de telle manière que le réseau ne puisse pas récupérer.

rsebastian
la source
0

Je sais que la plupart des gens disent de ne pas le faire - règle stricte, pour les personnes difficiles. :-)

S'ils sont des commutateurs stupides (par exemple, ne exécutez aucun STP), cela ne fait pas beaucoup de différence. Parlant de l'expérience de Cisco, il rattrapera la boucle presque immédiatement dans tous les cas. Dans le monde des machines virtuelles, même un «port de périphérie» peut être une boucle. (Nos développeurs l'ont appris à la dure.)

Ricky Beam
la source