Portfast, yönetilmeyen bir anahtara bağlanma olasılığı olan bir bağlantı noktasında mı kullanılmalıdır?


19

Kapsama ağacının nasıl çalıştığının ve neden kullanıcı erişim bağlantı noktalarında portfast'ı kullanmak istediğinizin temellerini anlıyorum.

Masaların ve diğer belgelenmemiş konumların altında çok sayıda aptal anahtarla bir topoloji ile uğraşırken bunu gerçekten "sözde" erişim anahtarlarında etkinleştirmek istiyor musunuz?

Bu yönetilmeyen anahtarları izlemeye çalışmak dışında en iyi uygulama nedir? Neden?

Yanıtlar:


16

Anahtar çekirdeğinizin parçası olmayan her bağlantı noktasında 'bağlantı noktası hızlı' (standart olarak kenar bağlantı noktası) çalıştırmalısınız. Anahtar olsa bile.

Müşteri anahtarları üzerinden L2 döngüsüne sahip olmamalısınız.

Tüm arayüzleri BPDUGuard ve BUM polislerine çalıştırmalısınız, müşteriye dönük arayüzler çekirdek bakanlık sınırlarının 1 / 5'i veya daha azı olmalıdır. Maalesef bilinmeyen tek noktaya yayınların sık sık sınırlanması desteklenmemektedir.

'Bağlantı noktası hızlı' veya kenar çalıştırmak neden önemlidir, RSTP'nin (ve MST uzantısıyla) performansına güvenmektedir. RSTP'nin nasıl çalıştığı, yönlendirme moduna gidip gelemeyeceğini sorar ve aşağı akış, frmo sormak için başka bağlantı noktası kalmayana kadar aşağı akışını sorar, ardından izin geri yayılır. Bağlantı noktası hızlı veya kenar bağlantı noktası RSTP bakış açısından örtük izintir, bu örtük izni kaldırırsanız açık izin almanız gerekir, aksi takdirde klasik STP zamanlayıcılarına geri döner. Bu, portfast olmayan bir bağlantı noktasının bile ikinci RSTP yakınlaşmanızı öldüreceği anlamına gelir.


5
Tam açıklama olarak bu konuda bir aşağı oy aldım. Eğer yanlış bir şey ifade etseydim, düzeltilmekten çok memnun olurum, teşekkürler.
ytti

'Switch core' ve 'switch' arasındaki farkın ne olduğunu merak ediyorum. Bu bir İSS veya bir kurumsal ağ bağlamında mı?
cpt_fink

13

Buna ek olarak spanning-tree portfast, spanning-tree bpduguard enableeğer kullanmamaları gereken şeyleri takarak bir döngü oluşturuyorsa, bir döngü oluşturmak ve potansiyel olarak ağı düşürmek yerine bir BPDU gördüğünde anahtar bağlantı noktası hata devre dışı moda geçecektir.

Ayrıca, hedefiniz yönetilmeyen anahtarları izlemekse,

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Bu, herhangi bir bağlantı noktasını bağlı 1'den fazla mac adresi gören hata devre dışı bırakacak. Tuzaklar aracılığıyla veya yardım çağrılıncaya kadar beklemek, yönetilmeyen bu cihazların nereye bağlandığını belirlemenizi sağlar.

Liman güvenliği hakkında daha fazla bilgi


4
Cisco için (yukarıdaki yapılandırmaya bağlı olarak), tüm anahtarlarda yayılan ağaç portfast bpduguard varsayılanını yapılandırmanızı öneririm . Bu, portfast etkinleştirilmiş herhangi bir arabirimde bpduguard'ı etkinleştirir. Ayrıca bpduguard için hatalı kurtarma yapılandırmak da isteyebilirsiniz.
YLearn

8

Masaların ve diğer belgelenmemiş konumların altında çok sayıda aptal anahtarla bir topoloji ile uğraşırken, bu [portfast] tüm "sözde" erişim anahtarlarında etkinleştirmek istiyor musunuz?

Resmi ve bilgiçliksel cevap "hayır, bağlantıyı değiştirmek için portfast üzerinde portfast'ı etkinleştirmeyin" ... Bu konuda Cisco'nun destek forumunda ilgili bir tartışma var .

Bu iş parçacığı yazarı ağı polisin mansap anahtar bakan portfast sağlayan tutuklayabilirim olmayacak olsa adil noktası yapar ... Öyle mümkün bir bağlantıyı portfast etkinleştirdiğinizde almasını geçici yayın fırtınalar risklerini etrafında kesmek için başka bir anahtara.

ÇÖZÜMLER

Akıllı veya dilsiz bir anahtarın bağlantısında portfast'ı etkinleştirirseniz, bpduguard'ı (kontrol düzlemi koruması) etkinleştirdiğinizden ve bu bağlantı noktasında fırtına kontrolünü (veri düzlemi koruması) etkinleştirdiğinizden emin olun ... bu iki özellik, beklenmedik şeyler oluyor:

  • birisi normalde bpduguard'ın bağlantı noktasını devre dışı bırakmasına neden olacak ve yayın fırtınasına neden olacak BPDU'ları filtreler. Fırtına kontrolü, yayın fırtınasından kaynaklanan hasarı sınırlar
  • bpduguard'ın diğer cevaplarda belirtilen belirgin avantajları vardır.

4

Yapılandırmanızda bağlantı noktasına özgü komutların uygulanması, anahtarın veya bağlı aygıtın güç döngüsü, yeniden başlatma veya yeniden yükleme durumunda bağlantı noktası başlatma süresini azaltır. Ayrıca, bağlantı noktasının uygun şekilde pazarlık yapmaması durumunda yanlış uygulanan yapılandırma ayarlarını da önleyebilirler.

Cisco anahtarları için varsayılan anahtar noktası modu dinamik olarak istenir (Cisco Stackwise özellikli anahtarlar istisnadır), her bağlantı noktası amaçlanan amacını görüşmeye çalışır. Bu müzakere sürecinin dört ana aşaması vardır ve tamamlanması bir dakika sürebilir. - Yayılan Ağaç Protokolü (STP) başlatma - bağlantı noktası STP'nin beş aşamasından geçer: engelleme, dinleme, öğrenme, yönlendirme ve devre dışı. - Ether Channel yapılandırmasını test etme - port, daha büyük toplam Ethernet bağlantıları oluşturmak için anahtar portlarını birbirine bağlayan Port Aggregation Protocol'ü (PAgP) kullanır. - Devre yapılandırması için test - bağlantı noktaları bir devre bağlantısı üzerinde anlaşmak / doğrulamak için Dinamik Devre Protokolü'nü (DTP) kullanır. - Bağlantı noktası hızını ve dupleksini değiştirin - bağlantı noktası, hızı ve dupleksi ayarlamak için Hızlı Bağlantı Darbeleri'ni (FLP) kullanır.

Switchport modu erişiminin yapılandırılması , bağlantı noktasının ana hat anlaşması yapmasını engeller.

Yayılan ağaç portfast'ı yapılandırmak , portun STP anlaşmasından geçmesini önleyecektir.

Yapılandırma switchport ev sahibi erişimi ve portfast hem yapılandırır ..

Tabii ki Cisco'nun uyarısı - Dikkat: PortFast özelliğini asla diğer anahtarlara, hub'lara veya yönlendiricilere bağlanan anahtar bağlantı noktalarında kullanmayın. Bu bağlantılar fiziksel döngülere neden olabilir ve bu durumda yayılan ağaç tam başlatma prosedüründen geçmelidir. Yayılan bir ağaç döngüsü ağınızı düşürebilir. Fiziksel bir döngünün parçası olan bir bağlantı noktası için PortFast'ı açarsanız, paketlerin ağın kurtarılamayacağı şekilde sürekli olarak iletildiği (ve hatta çoğaltılabildiği) bir zaman penceresi olabilir.


0

Çoğu insanın bunu yapma dediğini biliyorum - zor kural, zor insanlar için. :-)

Eğer aptal anahtarlarsa (örn. Herhangi bir STP çalıştırmayın), o zaman çok fazla fark yaratmaz. Cisco deneyiminden bahsetmişken, neredeyse her durumda döngüyü yakalar. VM'lerin dünyasında, bir "uç bağlantı noktası" bile bir döngü olabilir. (Geliştiricilerimiz bunu zor yoldan öğrendiler.)

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.