¿Debería usarse portfast en un puerto que potencialmente se conecta a un conmutador no administrado?
19
Entiendo los conceptos básicos de cómo funciona el árbol de expansión y por qué querría usar portfast en los puertos de acceso de usuario.
Cuando se trata de una topología con una gran cantidad de conmutadores tontos debajo de escritorios y otras ubicaciones no documentadas, ¿realmente desea habilitar esto en todos los conmutadores de acceso "supuestamente"?
Además de tratar de rastrear estos interruptores no administrados, ¿cuál es la mejor práctica? ¿Por qué?
Debe ejecutar 'port-fast' (en términos estándar puerto de borde) en cada puerto que no sea parte del núcleo de su conmutador. Incluso si es un interruptor.
NO debe tener un bucle L2 a través de los conmutadores del cliente.
Debe ejecutar BPDUGuard y BUM policers en todas las interfaces, las interfaces orientadas al cliente deben ser 1/5 o menos de los límites orientados al núcleo. Desafortunadamente, limitar la unidifusión desconocida a menudo no es compatible.
Por qué es crucial ejecutar 'port-fast' o edge es el rendimiento de RSTP (y por extensión MST) depende de él. El funcionamiento de RSTP es si pregunta en sentido descendente si puede pasar al modo de reenvío, y en sentido descendente pregunta en sentido descendente hasta que no haya más puertos para solicitar de frmo, luego el permiso se propaga nuevamente. Port-fast o edge port es un permiso implícito desde el punto de vista RSTP; si elimina este permiso implícito, se debe obtener un permiso explícito; de lo contrario, recurrirá a los temporizadores STP clásicos. Lo que significa que incluso un puerto que no sea rápido matará su convergencia RSTP de un segundo.
Como divulgación completa, obtuve un voto negativo sobre esto. Si he declarado algo incorrecto, agradecería mucho que me corrijan, gracias.
ytti
Tengo curiosidad por saber cuál es la diferencia entre 'switch core' y 'switch'. ¿Está esto en el contexto de un ISP o una red empresarial?
cpt_fink
13
Además spanning-tree portfast, también debe usarlo spanning-tree bpduguard enablepara que si alguien crea un bucle conectando cosas donde no debería, el puerto del conmutador entrará en modo de error desactivado cuando vea una BPDU en lugar de crear un bucle y potencialmente derribar la red.
Además, si su objetivo es rastrear los conmutadores no administrados, debe habilitar
switchport port-security maximum 1 ! or whatever number is appropriate
switchport port-security violation shutdown
switchport port-security
Esto pondrá a cualquier puerto en deshabilitación de error que vea más de 1 dirección mac conectada. Ya sea a través de trampas o esperando hasta que pidan ayuda, le permitirá identificar dónde están conectados esos dispositivos no administrados.
Para Cisco (basado en la configuración anterior), le recomiendo que configure el árbol de expansión portfast bpduguard predeterminado en todos los conmutadores. Esto habilita bpduguard en cualquier interfaz con portfast habilitado. Es posible que también desee configurar la recuperación errdisable para bpduguard.
YLearn
8
Cuando se trata de una topología con una gran cantidad de conmutadores tontos debajo de escritorios y otras ubicaciones no documentadas, ¿realmente desea habilitar este [portfast] en todos los conmutadores de acceso "supuestamente"?
Sin embargo, el autor de ese hilo hace un punto justo, la policía de la red no lo arrestará por habilitar portfast frente a un interruptor aguas abajo ... Es posible hackear los riesgos de tormentas de transmisión temporal que toma cuando habilita portfast en un enlace a otro interruptor
WORKAROUNDS
Si habilita portfast en un enlace a un interruptor inteligente o tonto, asegúrese de habilitar bpduguard (protección del plano de control) y transmitir control de tormentas (protección del plano de datos) en ese puerto ... estas dos características le brindan cierta influencia en caso de que sucedan cosas inesperadas:
alguien filtra las BPDU que normalmente causarían que bpduguard deshabilite el puerto, lo que resulta en una tormenta de transmisión. El control de tormentas limita el daño de una tormenta de difusión
bpduguard tiene ventajas obvias mencionadas en las otras respuestas.
La aplicación de comandos específicos del puerto en su configuración reducirá el tiempo de inicialización del puerto en caso de que el conmutador o el dispositivo conectado apaguen, reinicien o recarguen. También pueden evitar ajustes de configuración mal aplicados en caso de que el puerto no negocie correctamente.
Como el valor predeterminado para los switches Cisco es el modo de puerto de conmutación dinámico deseable (los switches compatibles con Cisco Stackwise son la excepción) cada puerto intenta negociar su propósito previsto. Este proceso de negociación tiene cuatro fases principales y puede tomar un minuto completo en completarse. - Inicialización del Protocolo de árbol de expansión (STP): el puerto pasa por las cinco fases de STP: bloqueo, escucha, aprendizaje, reenvío y desactivación. - Prueba de la configuración del canal Ether: el puerto utiliza el Protocolo de agregación de puertos (PAgP), uniendo los puertos del switch para crear conexiones Ethernet agregadas más grandes. - Prueba de configuración de troncal: los puertos utilizan el Protocolo de troncal dinámico (DTP) para negociar / validar un enlace de troncal. - Cambiar la velocidad del puerto y el dúplex: el puerto utiliza impulsos de enlace rápido (FLP) para establecer la velocidad y el dúplex.
La configuración del acceso en modo switchport evitará que el puerto pase por una negociación troncal.
La configuración de portfast de árbol de expansión evitará que el puerto pase por la negociación de STP.
La configuración del host de switchport configurará el acceso y portfast.
Por supuesto, la advertencia de Cisco: precaución: nunca use la función PortFast en puertos de conmutadores que se conectan a otros conmutadores, concentradores o enrutadores. Estas conexiones pueden causar bucles físicos, y el árbol de expansión debe pasar por el procedimiento de inicialización completo en estas situaciones. Un bucle de árbol de expansión puede derribar su red. Si activa PortFast para un puerto que forma parte de un bucle físico, puede haber una ventana de tiempo cuando los paquetes se reenvían continuamente (e incluso pueden multiplicarse) de tal manera que la red no pueda recuperarse.
Sé que la mayoría de la gente dice que no lo hagas: regla difícil, para las personas duras. :-)
Si son conmutadores tontos (por ejemplo, no ejecute ningún STP), entonces no hay mucha diferencia. Hablando de la experiencia de Cisco, atrapará el ciclo casi de inmediato en cualquier caso. En el mundo de las máquinas virtuales, incluso un "puerto de borde" puede ser un bucle. (Nuestros desarrolladores lo han aprendido por las malas).
Además
spanning-tree portfast
, también debe usarlospanning-tree bpduguard enable
para que si alguien crea un bucle conectando cosas donde no debería, el puerto del conmutador entrará en modo de error desactivado cuando vea una BPDU en lugar de crear un bucle y potencialmente derribar la red.Además, si su objetivo es rastrear los conmutadores no administrados, debe habilitar
Esto pondrá a cualquier puerto en deshabilitación de error que vea más de 1 dirección mac conectada. Ya sea a través de trampas o esperando hasta que pidan ayuda, le permitirá identificar dónde están conectados esos dispositivos no administrados.
Más información sobre seguridad portuaria
fuente
La respuesta oficial y pedante es "no, no habilite portfast en el switch para cambiar el enlace" ... Hay una discusión relevante sobre esto en el foro de soporte de Cisco .
Sin embargo, el autor de ese hilo hace un punto justo, la policía de la red no lo arrestará por habilitar portfast frente a un interruptor aguas abajo ... Es posible hackear los riesgos de tormentas de transmisión temporal que toma cuando habilita portfast en un enlace a otro interruptor
WORKAROUNDS
Si habilita portfast en un enlace a un interruptor inteligente o tonto, asegúrese de habilitar bpduguard (protección del plano de control) y transmitir control de tormentas (protección del plano de datos) en ese puerto ... estas dos características le brindan cierta influencia en caso de que sucedan cosas inesperadas:
fuente
La aplicación de comandos específicos del puerto en su configuración reducirá el tiempo de inicialización del puerto en caso de que el conmutador o el dispositivo conectado apaguen, reinicien o recarguen. También pueden evitar ajustes de configuración mal aplicados en caso de que el puerto no negocie correctamente.
Como el valor predeterminado para los switches Cisco es el modo de puerto de conmutación dinámico deseable (los switches compatibles con Cisco Stackwise son la excepción) cada puerto intenta negociar su propósito previsto. Este proceso de negociación tiene cuatro fases principales y puede tomar un minuto completo en completarse. - Inicialización del Protocolo de árbol de expansión (STP): el puerto pasa por las cinco fases de STP: bloqueo, escucha, aprendizaje, reenvío y desactivación. - Prueba de la configuración del canal Ether: el puerto utiliza el Protocolo de agregación de puertos (PAgP), uniendo los puertos del switch para crear conexiones Ethernet agregadas más grandes. - Prueba de configuración de troncal: los puertos utilizan el Protocolo de troncal dinámico (DTP) para negociar / validar un enlace de troncal. - Cambiar la velocidad del puerto y el dúplex: el puerto utiliza impulsos de enlace rápido (FLP) para establecer la velocidad y el dúplex.
La configuración del acceso en modo switchport evitará que el puerto pase por una negociación troncal.
La configuración de portfast de árbol de expansión evitará que el puerto pase por la negociación de STP.
La configuración del host de switchport configurará el acceso y portfast.
Por supuesto, la advertencia de Cisco: precaución: nunca use la función PortFast en puertos de conmutadores que se conectan a otros conmutadores, concentradores o enrutadores. Estas conexiones pueden causar bucles físicos, y el árbol de expansión debe pasar por el procedimiento de inicialización completo en estas situaciones. Un bucle de árbol de expansión puede derribar su red. Si activa PortFast para un puerto que forma parte de un bucle físico, puede haber una ventana de tiempo cuando los paquetes se reenvían continuamente (e incluso pueden multiplicarse) de tal manera que la red no pueda recuperarse.
fuente
Sé que la mayoría de la gente dice que no lo hagas: regla difícil, para las personas duras. :-)
Si son conmutadores tontos (por ejemplo, no ejecute ningún STP), entonces no hay mucha diferencia. Hablando de la experiencia de Cisco, atrapará el ciclo casi de inmediato en cualquier caso. En el mundo de las máquinas virtuales, incluso un "puerto de borde" puede ser un bucle. (Nuestros desarrolladores lo han aprendido por las malas).
fuente