Có nên sử dụng portfast trên một cổng có khả năng kết nối với một công tắc không được quản lý?


19

Tôi hiểu những điều cơ bản về cách cây bao trùm hoạt động và lý do tại sao bạn muốn sử dụng portfast trên các cổng truy cập của người dùng.

Khi làm việc với một cấu trúc liên kết với một số lượng lớn các công tắc câm dưới bàn và các vị trí không có giấy tờ khác, bạn có thực sự muốn bật tính năng này trên tất cả các công tắc truy cập "được cho là" không?

Ngoài việc cố gắng theo dõi các thiết bị chuyển mạch không được quản lý này, thực hành tốt nhất là gì? Tại sao?

Câu trả lời:


16

Bạn nên chạy 'port-fast' (theo thuật ngữ cổng cạnh tiêu chuẩn) ở mọi cổng không phải là một phần của lõi chuyển đổi của bạn. Ngay cả khi nó là chuyển đổi.

Bạn KHÔNG nên có vòng lặp L2 thông qua các thiết bị chuyển mạch của khách hàng.

Bạn nên chạy các cảnh sát BPDUGuard và BUM tất cả các giao diện, giao diện đối mặt với khách hàng phải là 1/5 hoặc ít hơn các giới hạn đối mặt cốt lõi. Thật không may, hạn chế unicast thường không được hỗ trợ.

Tại sao chạy 'cổng nhanh' hoặc cạnh là điều quan trọng là hiệu suất của RSTP (và bởi MST mở rộng) dựa vào nó. Làm thế nào RSTP hoạt động là nó yêu cầu hạ lưu nếu nó có thể chuyển sang chế độ chuyển tiếp và hạ lưu yêu cầu hạ lưu của nó cho đến khi không còn cổng nào để hỏi frmo, thì quyền truyền lại sao lưu. Cổng nhanh hoặc cổng biên là sự cho phép ngầm định từ quan điểm RSTP, nếu bạn loại bỏ quyền ngầm định này, phải có sự cho phép rõ ràng nếu không nó sẽ rơi trở lại bộ định thời STP cổ điển. Điều đó có nghĩa là ngay cả một cổng không portfast sẽ giết chết hội tụ RSTP thứ hai của bạn.


5
Khi tiết lộ đầy đủ, tôi đã bỏ phiếu về điều này. Nếu tôi đã nói điều gì đó không chính xác, tôi sẽ đánh giá cao việc được sửa chữa, cảm ơn.
ytti

Tôi tò mò không biết sự khác biệt giữa 'lõi chuyển đổi' và 'công tắc' là gì? Đây có phải là trong bối cảnh của một ISP, hoặc một mạng doanh nghiệp?
cpt_fink

13

Ngoài ra spanning-tree portfast, bạn cũng nên sử dụng spanning-tree bpduguard enableđể nếu ai đó tạo vòng lặp bằng cách cắm vào những thứ không nên thì cổng chuyển đổi sẽ chuyển sang chế độ vô hiệu hóa lỗi khi nhìn thấy BPDU thay vì tạo vòng lặp và có khả năng làm sập mạng.

Đồng thời, nếu mục tiêu của bạn là theo dõi các công tắc không được quản lý, bạn nên bật

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

Điều này sẽ đặt bất kỳ cổng nào vào vô hiệu hóa lỗi nhìn thấy nhiều hơn 1 địa chỉ mac được kết nối. Thông qua bẫy hoặc chờ cho đến khi họ gọi trợ giúp sẽ cho phép bạn xác định nơi các thiết bị không được quản lý đó được kết nối.

Thông tin thêm về bảo mật cổng


4
Đối với Cisco (dựa trên cấu hình ở trên), tôi khuyên bạn nên định cấu hình mặc định bpduguard portfast cây trên tất cả các thiết bị chuyển mạch. Điều này cho phép bpduguard trên bất kỳ giao diện nào được bật portfast. Bạn cũng có thể muốn định cấu hình phục hồi lỗi cho bpduguard.
YLearn

8

Khi làm việc với một cấu trúc liên kết với một số lượng lớn các công tắc câm dưới bàn và các vị trí không có giấy tờ khác, bạn có thực sự muốn bật [portfast] này trên tất cả các công tắc truy cập "được cho là" không?

Câu trả lời chính thức và mang tính mô phạm là "không, không bật portfast khi chuyển sang liên kết chuyển đổi" ... Có một cuộc thảo luận liên quan về vấn đề này trên diễn đàn hỗ trợ của Cisco .

Tuy nhiên, tác giả của chủ đề đó đưa ra quan điểm công bằng, cảnh sát mạng sẽ không bắt giữ bạn vì cho phép portfast đối mặt với công tắc hạ lưu ... Có thể hack xung quanh các rủi ro của cơn bão phát sóng tạm thời mà bạn thực hiện khi bạn bật portfast trên một liên kết sang công tắc khác.

CÔNG VIỆC

Nếu bạn bật portfast trên một liên kết đến một công tắc thông minh hoặc câm, hãy chắc chắn bật bpduguard (bảo vệ mặt phẳng điều khiển) và phát sóng điều khiển bão (bảo vệ mặt phẳng dữ liệu) trên cổng đó ... hai tính năng này cung cấp cho bạn một số đòn bẩy trong trường hợp bất ngờ xảy ra:

  • ai đó lọc các BPDU thường khiến bpduguard vô hiệu hóa cổng, dẫn đến một cơn bão phát sóng. Kiểm soát bão hạn chế thiệt hại từ một cơn bão phát sóng
  • bpduguard có những lợi thế rõ ràng được đề cập trong các câu trả lời khác.

4

Áp dụng các lệnh cụ thể của cổng trong cấu hình của bạn sẽ giảm thời gian khởi tạo cổng trong trường hợp công tắc hoặc chu kỳ nguồn của thiết bị được kết nối, khởi động lại hoặc tải lại. Họ cũng có thể ngăn chặn các cài đặt cấu hình bị áp dụng sai trong trường hợp cổng không đàm phán chính xác.

Vì mặc định cho các thiết bị chuyển mạch của Cisco là chế độ chuyển mạch mong muốn động (các thiết bị chuyển mạch có khả năng của Cisco Stackwise là ngoại lệ) mỗi cổng cố gắng đàm phán mục đích dự định của nó. Quá trình đàm phán này có bốn giai đoạn chính và có thể mất trọn một phút để hoàn thành. - Khởi tạo giao thức Spanning Tree Protocol (STP) - cổng trải qua năm giai đoạn của STP: chặn, nghe, học, chuyển tiếp và vô hiệu hóa. - Kiểm tra cấu hình Kênh Ether - cổng sử dụng Giao thức Tổng hợp Cổng (PAgP), liên kết với nhau của các cổng chuyển đổi để tạo kết nối Ethernet tổng hợp lớn hơn. - Kiểm tra cấu hình trung kế - các cổng sử dụng Giao thức trung kế động (DTP) để đàm phán / xác thực liên kết trung kế. - Chuyển đổi tốc độ cổng và song công - cổng sử dụng Xung liên kết nhanh (FLP) để đặt tốc độ và song công.

Cấu hình truy cập chế độ cổng chuyển mạch sẽ ngăn cổng thông qua đàm phán trung kế.

Cấu hình portfast cây bao trùm sẽ ngăn cổng thông qua đàm phán STP.

Cấu hình máy chủ tổng đài sẽ cấu hình cả truy cập và portfast ..

Tất nhiên, cảnh báo từ Cisco - Thận trọng: Không bao giờ sử dụng tính năng PortFast trên các cổng chuyển đổi kết nối với các thiết bị chuyển mạch, trung tâm hoặc bộ định tuyến khác. Các kết nối này có thể gây ra các vòng lặp vật lý và cây bao trùm phải trải qua quy trình khởi tạo đầy đủ trong các tình huống này. Một vòng lặp cây bao trùm có thể đưa mạng của bạn xuống. Nếu bạn bật PortFast cho một cổng là một phần của vòng lặp vật lý, có thể có một cửa sổ thời gian khi các gói được chuyển tiếp liên tục (và thậm chí có thể nhân lên) theo cách mà mạng không thể phục hồi.


0

Tôi biết hầu hết mọi người nói đừng làm điều đó - quy tắc cứng, cho những người khó tính. :-)

Nếu họ chuyển đổi câm (ví dụ: không chạy bất kỳ STP nào), thì nó sẽ không tạo ra nhiều khác biệt. Phát biểu từ kinh nghiệm của Cisco, nó sẽ nắm bắt được vòng lặp gần như ngay lập tức trong bất kỳ sự kiện nào. Trong thế giới của máy ảo, ngay cả một "cổng biên" cũng có thể là một vòng lặp. (Các nhà phát triển của chúng tôi đã học được điều đó một cách khó khăn.)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.