Jump to content
Калькуляторы

Storm constrain как защита от петель без ипользования RSTP?

Есть несколько L2 сетей (hp, cisco, dlink) соединенных в одной точке между собой (hp), в этих сетях свои настройки RSTP и соответственно свои Root свичи, периодически аплинки между сетями блокируются функцией BPDU guard или Root protect.

 

Функции предполагают блокировку любого трафика на порту, если приходит некорректный BPDU или попытка выбрать другой Root свич. Если с BPDU guard можно понять блокировку любого трафика, то с Root protect не совсем...

 

Для решения проблемы на центральном коммутаторе (HP), куда включены аплинки из других сетей, на портах аплинков можно отключить RSTP, с одной стороны никаких рисков нет, ведь на других портах этих сетей RSTP работает и петли будут отключены, но в теории контролировать настройки стороннего оборудования нет возможности и следовательно потенциально петли все таки возможны, можно ли считать, что настроенный Storm constrain решит проблему в случае появления петли на портах с отключенным RSTP?

 

With storm constrain enabled on a port, you can specify the system to act as follows when a certain type of traffic (broadcast, multicast, or unknown unicast) exceeds the upper threshold:

 

Block—Blocks the port. The port is blocked and stops forwarding the traffic of this type until the type of traffic drops down below the lower threshold. A port blocked by the storm constrain function can still forward other types of traffic and collect statistics for the blocked traffic.

Share this post


Link to post
Share on other sites

Не решит.

Полоса ограничивается, но петля всё равно нарушает работу ARP и прочих протоколов, основанных на широковещательных рассылках.

 

Самое правильное решение - то, что на длинках называется loopdetect.

Share this post


Link to post
Share on other sites

Если вы в RSTP кольцо будете намешивать с вендорами, оно может априори работать не стабильно так как у многих свое видение относительно специфики STP.

Share this post


Link to post
Share on other sites

Кольца, вероятно, есть в других сетях, в моей (куда все приходит) только звезда.

Можно еще ограничить кол-во маков на порту... непоможет?

 

Еще момент - внешние сети заведены как отдельные VLANы (т.е. порты смотрящие в эти сети нетэгированные, а уже дальше, внутри моей сети, расходятся по транкам к клиентам), использование MSTP не решит проблему? Или по прежнему будут блокировки из-за BPDU?

 

Loopdetect, насколько показали тесты, работает достаточно медленно, если вообще работает, петля на порту положила весь свич минуты на 2, дальше ждать не стали... RSTP работает почти мгновенно.

Share this post


Link to post
Share on other sites

контролировать настройки стороннего оборудования нет возможности

точка

 

со своей стороны фильтруешь STP чтобы оборудование из чужой ЗО не влияли на твое и включаешь шторм контроль чтобы авария в чужой ЗО не влияла на твое оборудование.

 

Надо знать границу зоны ответственности и работать в ней

Share this post


Link to post
Share on other sites

Loopdetect, насколько показали тесты, работает достаточно медленно, если вообще работает,
Нужно ставить интервал loopdetect на минимум.
петля на порту положила весь свич минуты на 2, дальше ждать не стали…
А от этого помогает фильтрация штормов, да. Одно другому не мешает.

Share this post


Link to post
Share on other sites

Вопрос, когда root коммутатор получает на каком-то порту уведомление об изменении топологии "Instance 0's port GigabitEthernet1/0/1 was notified of a topology change." до него пропадает пинг на секунду даже у того клиента, который подключен к другому порту. Это нормально?

Share this post


Link to post
Share on other sites

В случае если между root свичом и свичом где произошло изменение топологии есть промежуточные свичи, то до root свича эта информация должна доходить?

Share this post


Link to post
Share on other sites

Вопрос, когда root коммутатор получает на каком-то порту уведомление об изменении топологии "Instance 0's port GigabitEthernet1/0/1 was notified of a topology change." до него пропадает пинг на секунду даже у того клиента, который подключен к другому порту. Это нормально?

Секунда - это много. У меня pvst от киско перестраивает топологию бегом, без потери пингов вообще. Но и служебный трафик при неиспользованном по пвст кольцу нехилый на порту, под мегабит. Правда кольцо очень сложное и многосвязное. От двух до 4х коммутаторов по разным дорогам.

Share this post


Link to post
Share on other sites

А как-то внутри настроек RSTP можно отрулить этот момент? Сейчас получается, что какой-то далекий свич из-за каких-то локальных глюков теряет BPDU, срабатывает loop protection на порту и все свичи по цепочке получают topology change и получаем потери на канале около 1-2 секунд. Может быть в случае неиспользования колец имеет смысл ограничить работу RSTP локально внутри каждого свича только для защиты от петель?

Share this post


Link to post
Share on other sites

в случае неиспользования колец имеет смысл

не включать STP вообще. Также STP нужно выключить на всех портах, которые не участвуют непосредственно в кольцах.

 

YuryD, насчет pvst - не знаю, не щупал. У нас RSTP перестраивается как раз примерно за секунду.

 

когда root коммутатор получает на каком-то порту уведомление об изменении топологии

его получают все свитчи с STP. После этого изучают маки снова на портах, где активирован STP.

Share this post


Link to post
Share on other sites

в случае неиспользования колец имеет смысл

не включать STP вообще. Также STP нужно выключить на всех портах, которые не участвуют непосредственно в кольцах.

Это естественно :) для киско и клиентских - spantree bpdufilter ena. Прокидывали влан монстра однажды, так кискины и прочие bpdu просто уложили его коммутатор, до изумления мозгов их админов :) Не stp выключить , а просто запрещать хождение bpdu любого вида/вендора на портах, не включенных в своё кольцо.

Share this post


Link to post
Share on other sites

 

YuryD, насчет pvst - не знаю, не щупал. У нас RSTP перестраивается как раз примерно за секунду.

 

Я слишком старый человек, и вот мы решили :) что наши магистрали будут работать только на циско. Пару магистральных пришлось заменить, они ограничены в pvst/pvst+ были. Зато теперь у меня охрененное закольцевание по всему городу, и я сплю спокойно. Настройка pvst в киско - полтора бумажных листа документации. Нет конечно, есть у меня и длинки, но они не совместимы даже сами с собой, поэтому их закольцовка даже не изучается. STP - слишком тупо, остальные rstp/mstp несовместимы даже сами с собой.

Share this post


Link to post
Share on other sites

магистрали будут работать только на циско

магистрали должны работать на мплс

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.