Я розумію основи того, як працює розкинутесь дерево і чому ви хочете використовувати portfast на порти доступу користувачів.
Якщо ви маєте справу з топологією з великою кількістю тупих комутаторів під партами та іншими незадокументованими місцями, чи дійсно ви хочете включити це на всіх "нібито" комутаторах доступу?
Окрім спроб відстежити ці некеровані комутатори, яка найкраща практика? Чому?
Відповіді:
Ви повинні запустити "port-fast" (у стандартних умовах крайній порт) у кожному порту, який не є частиною ядра комутатора. Навіть якщо це перемикач.
У вас НЕ повинно бути циклу L2 через перемикачі клієнтів.
Ви повинні запускати поліцейські BPDUGuard і BUM на всіх інтерфейсах, інтерфейси, що стоять перед клієнтом, повинні становити 1/5 або менше основних обмежень. На жаль, обмеження невідомого одноадресного найчастіше не підтримується.
Чому запуск «порт-швидко» або край має вирішальне значення - це ефективність RSTP (і MST-розширення) розраховувати на нього. Як працює RSTP, він запитує вниз за течією, чи може він перейти в режим переадресації, і нижче за течією запитує його нижче за течією, поки не буде більше портів, щоб запитувати frmo, тоді дозвіл поширюється назад. Порт-швидкий або крайовий порт - це неявний дозвіл з точки зору RSTP, якщо ви видалите цей неявний дозвіл, явний дозвіл повинен бути отриманий, інакше він повернеться до класичних таймерів STP. Це означає, що навіть один порт, який не працює на порту, вбиває ваш підсекундний конвергент RSTP.
Крім цього spanning-tree portfast, ви також повинні використовувати spanning-tree bpduguard enableтак, що якщо хтось створює цикл, підключаючи речі, де вони не повинні, порт комутатора перейде в режим відключення помилок, коли він бачить BPDU, а не створює цикл і потенційно збиває мережу.
Крім того, якщо ваша мета - відстежити некеровані комутатори, які ви повинні включити
switchport port-security maximum 1 ! or whatever number is appropriate
switchport port-security violation shutdown
switchport port-security
Це призведе до відключення будь-якого порту, який бачить більше 1 mac-адреси. Або через пастки або в очікуванні, доки вони не зателефонують за допомогою, ви зможете визначити, де підключені ці некеровані пристрої.
Якщо ви маєте справу з топологією з великою кількістю тупих комутаторів під партами та іншими незадокументованими місцями, чи дійсно ви хочете включити цю функцію [portfast] на всіх "нібито" комутаторах доступу?
Офіційна і педантична відповідь - «ні, не дозволяйте портативному переключенню перемикати посилання» ... Про це є відповідна дискусія на форумі підтримки Cisco .
Автор цієї теми робить справедливий момент, хоча мережна поліція не заарештовує вас за включення портфаста, що стикається з низхідним вимикачем ... Можливо зламати ризики тимчасових трансляцій штормів, які ви берете на себе, коли ви включите портфайст по посиланню до іншого вимикача.
Якщо ви ввімкнули portfast за посиланням на розумний або німий комутатор, не забудьте ввімкнути bpduguard (захист площини управління) і транслювати штормове управління (захист площини даних) на цьому порту ... ці дві функції дають вам певний вагу в якщо трапляються несподівані речі:
Застосування спеціальних команд для порту у вашій конфігурації скоротить час ініціалізації портів у випадку, якщо комутатор або підключений пристрій живлення циклу, перезавантажте або перезавантажте. Вони також можуть запобігти неправильно застосованим налаштуванням конфігурації у випадку, якщо порт не відповідає належним чином.
Оскільки за замовчуванням для комутаторів Cisco є бажаний динамічний режим перемикання (виняток є компромісними можливостями Cisco Stackwise - кожен порт) намагається узгодити його призначення. Цей переговорний процес має чотири основні етапи і може зайняти повну хвилину. - Ініціалізація протоколу Spanning Tree Protocol (STP) - порт проходить п'ять фаз STP: блокування, прослуховування, навчання, пересилання та відключення. - Тестування конфігурації каналу Ether - порт використовує протокол агрегації портів (PAgP), з'єднуючи разом порти комутаторів, щоб створити більші сукупні з'єднання Ethernet. - Тестування конфігурації магістралі - порти використовують Dynamic Trunk Protocol (DTP) для узгодження / перевірки зв'язку магістралі. - Перемикайте швидкість порту та дуплекс - порт використовує швидкі імпульси зв'язку (FLP) для встановлення швидкості та дуплексу.
Налаштування доступу до режиму комутації не дозволить порту пройти узгодження магістралі.
Конфігурація портфайн-весільного дерева не дозволить порту пройти STP-переговори.
Налаштування хоста комутатора буде конфігурувати як доступ, так і портпост ..
Звичайно, застереження від Cisco - Увага! Ніколи не використовуйте функцію PortFast на портах комутаторів, які підключаються до інших комутаторів, концентраторів або маршрутизаторів. Ці з'єднання можуть спричинити фізичні цикли, і в цих ситуаціях дерево, що охоплює, повинно пройти повну процедуру ініціалізації. Цикл, що охоплює дерево, може збити вашу мережу. Якщо увімкнути PortFast для порту, який є частиною фізичного циклу, може настати вікно часу, коли пакети безперервно передаються (і навіть можуть розмножуватися) таким чином, що мережа не може відновитись.
Я знаю, що більшість людей кажуть, що не робити цього - жорстке правило для важких людей. :-)
Якщо вони тупі комутатори (наприклад, не запускають STP), то це не має великого значення. Якщо говорити з досвіду Cisco, то в будь-якому випадку воно буде негайно перехоплене. У світі віртуальних машин навіть цикл може бути циклом. (Наші розробники навчилися тому важкому шляху.)