[landy]

Да-да, я уже много раз видел и читал про "обязательно включите DTP и PVST на портах" в официальных цискиных мануалах, но в реальной жизни на портах коммутатора, смотрящих к конечным пользователям, многое приходится подкручивать.

 

А как вы "бронируете" свои циски? Мой базовый конфиг порта выглядит примерно так:

 

interface GigabitEthernet0/1
description UPLINK TO SOMEWHERE
switchport trunk encapsulation dot1q
switchport trunk native vlan 4092
switchport trunk allowed vlan 1,2,3
switchport mode trunk
switchport nonegotiate
logging event link-status
duplex full
storm-control multicast level 64 16
storm-control broadcast level 64 16
storm-control action trap
no cdp enable
spanning-tree portfast trunk
spanning-tree bpdufilter enable

[dmvy]

противоречие:

к конечным пользователям

UPLINK

[yakov2000]

duplex full - и вам точно хочется везде руками его включать ?

[catalist]

duplex full - и вам точно хочется везде руками его включать ?

Цыска часто грешит тем, что автоматом дуплекс в халф ставится.

[dr Tr0jan]

catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха.

[zhenya`]

уже же было.. если на одной стороне неготиация выкл.. то другая сторона поставит халф. в общем можно много приколов поймать. я еще флоу контроль отрубаю.

[tehmeh]

catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха.

Это вообще-то стандарт, а не линия связи. duplex mismatch в гугле.

[kapydan]

duplex auto

если порт дотсупа еще port security - обычно ограничиваем 3 маками

[dr Tr0jan]

catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха.

Это вообще-то стандарт, а не линия связи. duplex mismatch в гугле.

Угу, вот только у меня везде (и на коммутаторах, и на сетевухах) используется autonegotiation. Однако, на одном месте есть конфликт старой 3Com сетевухой и Cat2960 - не хотят они оба в autonegotiation работать. Принудительный FD/100 решает. Другие карточки на этой машине прекрасно в autonegotiation работают. И было несколько рабочих мест, на которых СКС Metrel'ом тест (уже не вспомню какой) не проходил - там была аналогичная ситуация, но на любых карточках.

Edited February 13, 2016 by dr Tr0jan

[kapydan]

не хотят они оба в autonegotiation работать

можно еще подумать на версию софта. ибо много раз после смены версий (не обязательно на более новую, бывало что и приходилось понижать - на релейках) подобная проблема решалась.

[tehmeh]

Вообще, если все железки в вашем административном домене, можно смело хардкодить speed/duplex, на мульти-вендор это сэкономит кучу нервов. Если где-то на стыке с клиентом/оператором, то лучше в автомате или обсудить.

[catalist]

У нас косяк с халф дуплексом проявлялся между 65 цыской и конвертером

[zhenya`]

на конвертерах иногда есть джампер на тему неготиации. правда всегда думал, что оно работает в сторону оптики. мб в сторону меди пашет тоже?

[FATHER_FBI]

switchport mode access
switchport nonegotiate
switchport block unicast
switchport port-security
switchport port-security maximum 3
switchport port-security violation restrict
ip access-group 100 in
storm-control broadcast level pps 15 10
storm-control multicast level 60.00 30.00
storm-control unicast level pps 20000 18000
storm-control action trap
spanning-tree portfast
spanning-tree bpdufilter enable

access-list 100 deny   udp any eq bootps any
access-list 100 permit ip any any

 

Крайне не рекомендовал бы вам делать на конечного пользователя порт trunk

И в storm-control лучше укажите полосу в pps а не % соотношение пропускной способности порта. В вашем случае если на свич прибежит 50Мбит бродкаста, storm-control не отработает с свич начнет срать кирпичами и вся цепочка в том числе.

Edited February 14, 2016 by FATHER_FBI

[tehmeh]

А смысл делать switchport block unicast, чтобы потом на него storm-control включать?

P.S. action trap идет через CPU железки, на это стоит обратить внимание.

[FATHER_FBI]

А смысл делать switchport block unicast, чтобы потом на него storm-control включать?

P.S. action trap идет через CPU железки, на это стоит обратить внимание.

switchport block unicast блокирует unknown unicast

storm-control unicast level pps 20000 18000 блокирует уже трафик который не попал под политику switchport block unicast

[tehmeh]

Хм. Всегда думал, что под unicast в storm-control тоже имеется ввиду unknown.

[tehmeh]

grep'нул по докам, как минимум у Cisco, действительно про unknown в контексте storm-control ничего нет.

[YuryD]

catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха.

Угу, впаянный в наге 100fx модуль тоже грешит. Оптика отличная, с той стороны всё ок, а киска ставит в автонегоциации half. На оптомодуле ! Неоднократно эту фигню видел на всех киско с 100fx портами. Так что режим - ставить скорость и дуплекс руками - однозначно полезна.

 

Крайне не рекомендовал бы вам делать на конечного пользователя порт trunk

А если хочется в отдельном vlan телевидение вещать приставкам ?

[catalist]

catalist, это не циска грешит, а хреновая линия связи (в большинстве случаев) или левая сетевуха.

Угу, впаянный в наге 100fx модуль тоже грешит. Оптика отличная, с той стороны всё ок, а киска ставит в автонегоциации half. На оптомодуле ! Неоднократно эту фигню видел на всех киско с 100fx портами. Так что режим - ставить скорость и дуплекс руками - однозначно полезна.

Да я именно про это!

[FATHER_FBI]

А если хочется в отдельном vlan телевидение вещать приставкам ?

А что тогда в таком случае будет ставиться у абонента? Умный свич или роутер который понимает виланы?

[kaist]

А если хочется в отдельном vlan телевидение вещать приставкам ?

А что тогда в таком случае будет ставиться у абонента? Умный свич или роутер который понимает виланы?

dir 100/300 отлично справляеся

[Butch3r]

Да нифига это не тема - если вы ставите руками у себя, значит с другой стороны нужно сделать тоже самое. И много у вас абонентов, кто самостоятельно настраивает скорость порта на сетевой карте/роутере?

[landy]

противоречие:

к конечным пользователям

UPLINK

Пардоньте, уточню - у меня все шнурки с тегированным трафиком подписаны как UPLINK, с нетегированным - просто как LINK.

 

duplex full - и вам точно хочется везде руками его включать ?

Хочется-не хочется, а всевозможную непредсказуемую динамику я предпочитаю зарубать руками. Я админ на предприятии, а не у провайдера, т.е. с другой стороны подключения я тоже делаю duplex full.

 

Крайне не рекомендовал бы вам делать на конечного пользователя порт trunk

В этом конкретном примере на другом конце шнурка висит дешёвый dlink со vlan'ами, в который уже непосредственно втыкаются пользователи.

 

switchport mode access

switchport nonegotiate

switchport block unicast

switchport port-security

switchport port-security maximum 3

switchport port-security violation restrict

ip access-group 100 in

storm-control broadcast level pps 15 10

storm-control multicast level 60.00 30.00

storm-control unicast level pps 20000 18000

storm-control action trap

spanning-tree portfast

spanning-tree bpdufilter enable

 

 

access-list 100 deny udp any eq bootps any

access-list 100 permit ip any any

port-security, к сожалению, неприменим.

ACL - заблокировать ответы dhcp-сервера из-за порта?

Можно поподробнее про switchport block unicast? Оно вообще весь dlf зарубит?

[dr Tr0jan]

Вообще, если все железки в вашем административном домене, можно смело хардкодить speed/duplex, на мульти-вендор это сэкономит кучу нервов.

Если бы все железки ещё бы умели это делать.

PXE - отказать, многие видеокамеры - отказать, телефоны - отказать.

Edited February 15, 2016 by dr Tr0jan