amper Posted November 25, 2016 Posted November 25, 2016 Есть несколько L2 сетей (hp, cisco, dlink) соединенных в одной точке между собой (hp), в этих сетях свои настройки RSTP и соответственно свои Root свичи, периодически аплинки между сетями блокируются функцией BPDU guard или Root protect. Функции предполагают блокировку любого трафика на порту, если приходит некорректный BPDU или попытка выбрать другой Root свич. Если с BPDU guard можно понять блокировку любого трафика, то с Root protect не совсем... Для решения проблемы на центральном коммутаторе (HP), куда включены аплинки из других сетей, на портах аплинков можно отключить RSTP, с одной стороны никаких рисков нет, ведь на других портах этих сетей RSTP работает и петли будут отключены, но в теории контролировать настройки стороннего оборудования нет возможности и следовательно потенциально петли все таки возможны, можно ли считать, что настроенный Storm constrain решит проблему в случае появления петли на портах с отключенным RSTP? With storm constrain enabled on a port, you can specify the system to act as follows when a certain type of traffic (broadcast, multicast, or unknown unicast) exceeds the upper threshold: Block—Blocks the port. The port is blocked and stops forwarding the traffic of this type until the type of traffic drops down below the lower threshold. A port blocked by the storm constrain function can still forward other types of traffic and collect statistics for the blocked traffic. Вставить ник Quote
rdc Posted November 25, 2016 Posted November 25, 2016 Не решит. Полоса ограничивается, но петля всё равно нарушает работу ARP и прочих протоколов, основанных на широковещательных рассылках. Самое правильное решение - то, что на длинках называется loopdetect. Вставить ник Quote
FATHER_FBI Posted November 26, 2016 Posted November 26, 2016 Если вы в RSTP кольцо будете намешивать с вендорами, оно может априори работать не стабильно так как у многих свое видение относительно специфики STP. Вставить ник Quote
amper Posted November 26, 2016 Author Posted November 26, 2016 Кольца, вероятно, есть в других сетях, в моей (куда все приходит) только звезда. Можно еще ограничить кол-во маков на порту... непоможет? Еще момент - внешние сети заведены как отдельные VLANы (т.е. порты смотрящие в эти сети нетэгированные, а уже дальше, внутри моей сети, расходятся по транкам к клиентам), использование MSTP не решит проблему? Или по прежнему будут блокировки из-за BPDU? Loopdetect, насколько показали тесты, работает достаточно медленно, если вообще работает, петля на порту положила весь свич минуты на 2, дальше ждать не стали... RSTP работает почти мгновенно. Вставить ник Quote
zi_rus Posted November 26, 2016 Posted November 26, 2016 контролировать настройки стороннего оборудования нет возможности точка со своей стороны фильтруешь STP чтобы оборудование из чужой ЗО не влияли на твое и включаешь шторм контроль чтобы авария в чужой ЗО не влияла на твое оборудование. Надо знать границу зоны ответственности и работать в ней Вставить ник Quote
rdc Posted November 27, 2016 Posted November 27, 2016 Loopdetect, насколько показали тесты, работает достаточно медленно, если вообще работает,Нужно ставить интервал loopdetect на минимум.петля на порту положила весь свич минуты на 2, дальше ждать не стали…А от этого помогает фильтрация штормов, да. Одно другому не мешает. Вставить ник Quote
amper Posted December 12, 2016 Author Posted December 12, 2016 Вопрос, когда root коммутатор получает на каком-то порту уведомление об изменении топологии "Instance 0's port GigabitEthernet1/0/1 was notified of a topology change." до него пропадает пинг на секунду даже у того клиента, который подключен к другому порту. Это нормально? Вставить ник Quote
myth Posted December 12, 2016 Posted December 12, 2016 Да. Он при этом таблицу маков забывает. Вставить ник Quote
amper Posted December 12, 2016 Author Posted December 12, 2016 В случае если между root свичом и свичом где произошло изменение топологии есть промежуточные свичи, то до root свича эта информация должна доходить? Вставить ник Quote
YuryD Posted December 12, 2016 Posted December 12, 2016 Вопрос, когда root коммутатор получает на каком-то порту уведомление об изменении топологии "Instance 0's port GigabitEthernet1/0/1 was notified of a topology change." до него пропадает пинг на секунду даже у того клиента, который подключен к другому порту. Это нормально? Секунда - это много. У меня pvst от киско перестраивает топологию бегом, без потери пингов вообще. Но и служебный трафик при неиспользованном по пвст кольцу нехилый на порту, под мегабит. Правда кольцо очень сложное и многосвязное. От двух до 4х коммутаторов по разным дорогам. Вставить ник Quote
amper Posted December 14, 2016 Author Posted December 14, 2016 А как-то внутри настроек RSTP можно отрулить этот момент? Сейчас получается, что какой-то далекий свич из-за каких-то локальных глюков теряет BPDU, срабатывает loop protection на порту и все свичи по цепочке получают topology change и получаем потери на канале около 1-2 секунд. Может быть в случае неиспользования колец имеет смысл ограничить работу RSTP локально внутри каждого свича только для защиты от петель? Вставить ник Quote
myth Posted December 14, 2016 Posted December 14, 2016 в случае неиспользования колец имеет смысл не включать STP вообще. Также STP нужно выключить на всех портах, которые не участвуют непосредственно в кольцах. YuryD, насчет pvst - не знаю, не щупал. У нас RSTP перестраивается как раз примерно за секунду. когда root коммутатор получает на каком-то порту уведомление об изменении топологии его получают все свитчи с STP. После этого изучают маки снова на портах, где активирован STP. Вставить ник Quote
YuryD Posted December 14, 2016 Posted December 14, 2016 в случае неиспользования колец имеет смысл не включать STP вообще. Также STP нужно выключить на всех портах, которые не участвуют непосредственно в кольцах. Это естественно :) для киско и клиентских - spantree bpdufilter ena. Прокидывали влан монстра однажды, так кискины и прочие bpdu просто уложили его коммутатор, до изумления мозгов их админов :) Не stp выключить , а просто запрещать хождение bpdu любого вида/вендора на портах, не включенных в своё кольцо. Вставить ник Quote
YuryD Posted December 14, 2016 Posted December 14, 2016 YuryD, насчет pvst - не знаю, не щупал. У нас RSTP перестраивается как раз примерно за секунду. Я слишком старый человек, и вот мы решили :) что наши магистрали будут работать только на циско. Пару магистральных пришлось заменить, они ограничены в pvst/pvst+ были. Зато теперь у меня охрененное закольцевание по всему городу, и я сплю спокойно. Настройка pvst в киско - полтора бумажных листа документации. Нет конечно, есть у меня и длинки, но они не совместимы даже сами с собой, поэтому их закольцовка даже не изучается. STP - слишком тупо, остальные rstp/mstp несовместимы даже сами с собой. Вставить ник Quote
myth Posted December 14, 2016 Posted December 14, 2016 С rstp встречал грабли только с Хуавеями. Остальное работает нормально. Вставить ник Quote
zi_rus Posted December 15, 2016 Posted December 15, 2016 магистрали будут работать только на циско магистрали должны работать на мплс Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.