SSH_TUNNEL Posted April 5, 2023 (edited) · Report post Добрый день Уважаемые! Занялся тут оформлением в сети STR, и хочу корректно оформить порты на которых сидят оконечные устройства. В примере ниже, соответственно это порты 1-10 conf interface ethernet 1/0/1-10 spanning-tree portfast bpdufilter Т.е. таким образом порты переведены в portfast и на них bpdu пакеты не отправляются и не принимаются Но меня смущает вывод состояния spanning-tree show spanning-tree interface ethernet 1/0/5 *********************************** Process 0 *********************************** Ethernet1/0/5: ID State Role DsgBridge DsgPort VlanCount ------- --- ---- ------------------ ------- --------- 128.005 FWD DSGN 32768.b1e38272bc41 128.005 1 show spanning-tree detail ...... Port 5 (Ethernet1/0/5) is DSGN forwarding Operation port path cost 20000,Port priority 128, Port Identifier 128.5 Designated root has priority 32768, address b1e3.8272.bc41 Designated bridge has priority 32768, address b1e3.8272.bc41 Designated port id is 128.5, Root path cost: external 60000 BPDU: sent 1632(TCN 0, CONFIG 0, MST 0) received 0(TCN 0, CONFIG 0, MST 0) Почему порты на которых я установил portfast и bpdufilter, стоят в состоянии FWD и ещё рассылают эти bpdu? Дайте совет как корректно оформить пограничные порты. Edited April 5, 2023 by SSH_TUNNEL затёр Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted April 5, 2023 · Report post @SSH_TUNNEL, добрый день. Команда на порту "spanning-tree portfast bpdufilter" фильтрует только входящие BPDU (received), на исходящие она никак не влияет. Если хотите фильтровать исходящие BPDU, можете воспользоваться различными ACL. Также не совсем понимаю, что вас смущает, что порты находятся в состоянии FWD? функционал portfast именно это и делает: позволяет сразу же переходить в состояние FWD, минуя все промежуточные состояния. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSH_TUNNEL Posted April 5, 2023 · Report post 4 часа назад, Vladimir Efimtsev сказал: на исходящие она никак не влияет. Если хотите фильтровать исходящие BPDU, можете воспользоваться различными ACL. Владимир, спасибо за разъяснения! Т.е. в целом ничего страшного, что устройство являющееся корректным в сети рассылает BPDU пакеты по всем портам, главное чтобы принимала только с портов за которыми другой корректный в сети коммутатор? 4 часа назад, Vladimir Efimtsev сказал: Также не совсем понимаю, что вас смущает, что порты находятся в состоянии FWD? Я решил, что FWD - это он BPDU пересылает на порту. Сейчас ещё почитал - он и BPDU отправляет и данные, т.е. - это Edge порт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted April 6, 2023 · Report post Здравствуйте. "Т.е. в целом ничего страшного, что устройство являющееся корректным в сети рассылает BPDU пакеты по всем портам, главное чтобы принимала только с портов за которыми другой корректный в сети коммутатор?" Не совсем понимаю о каком устройстве идет речь и что значит, что он правильный или нет? "Я решил, что FWD - это он BPDU пересылает на порту. Сейчас ещё почитал - он и BPDU отправляет и данные, т.е. - это Edge порт?" FWD это значит, что порт прошел все этапы STP и теперь продвигает все пакеты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSH_TUNNEL Posted April 6, 2023 (edited) · Report post 1 час назад, Evgeniy Rychkov сказал: Не совсем понимаю о каком устройстве идет речь и что значит, что он правильный или нет? Т.е. значит что устройство - легальный коммутатор в сети, а не чей-то левый пытающийся пустить трафик через себя. Т.е. если на коммутаторах настроен приём BPDU только с P2P портов глядящих в легальные коммутаторы, то никаких проблем это не создаст, и рассылку BPDU на EDGE портах можно не фильтровать. Главное принимать их только от доверенных (легальных) устройств в сети. Так? Итоговый вопрос : conf interface ethernet 1/0/1-10 spanning-tree portfast bpdufilter нормальная настройка для портов доступа? При глобально включенном STP и отсутствии между управляемыми устройствами тупых свичей? Edited April 6, 2023 by SSH_TUNNEL Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted April 6, 2023 · Report post Ответ: нормальный, она и нужна на портах доступа, чтобы фильтровать поступающие пакеты BDPU в том случае, если по какой-то причине устройство начнет их слать. Данная настройка как раз позволяет фильтровать нежелательные BPDU и должна быть настроена на портах доступа клиентов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stnx Posted April 7, 2023 (edited) · Report post Тогда у меня вопрос. А если за портом клиент или неизвестное оборудование, не лучше ли просто дать команду на порту no spanning tree? Как я понял из других тем, bpdu перестают и отправляться и приниматься, а порт так же сразу переходит в forwarding, точнее работает как на коммутаторе без настроенного stp. В чем смысл ставить на порту portfast bpdufilter? Edited April 7, 2023 by stnx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted April 7, 2023 · Report post Здравствуйте. Цитата А если за портом клиент или неизвестное оборудование, не лучше ли просто дать команду на порту no spanning tree? Это не является лучше или хуже, это просто другая настройка. При использовании no spanning tree вы абсолютно полностью обрубаете интерфейс из всякого взаимодействия STP. Цитата В чем смысл ставить на порту portfast bpdufilter? Смысл в том, что изначально, когда создавался протокол STP люди не задумывались на десятки лет вперед как можно будет улучшить или модернизировать протокол. Смысл команды portfast в рамках протокола STP в том, что вы знаете, что за портом точно конечное устройство клиента, ему нет необходимости проходить все этапы STP и ждать его перехода в FWD, если можно его сразу перевести. Но он от этого не перестает учавствовать в самом процессе STP. Потом оказалось, что даже если за портом конечно устройство клиента оно может слать BPDU(по какой-то причине) и нарушать работу сети. Сделали команду bpdufilter для конкретной сути работы порта. Если там компьютер за портом, что какая разница, просто фильтруй все BPDU. Но BPDU то только входящие. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stnx Posted April 7, 2023 (edited) · Report post Спасибо за ответ, но я немного о другом. no spanning tree - порт никак не взаимодействует с stp. spanning tree portfast bpdufilter - блокирует входящие bpdu, это мне понятно. Непонятно - а зачем при такой настройке отправлять bpdu, но блокировать входящие? Что это дает? Вот поэтому и задал вопрос, что не лучше ли дать команду no spanning tree на порт? Edited April 7, 2023 by stnx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
azhur Posted April 7, 2023 (edited) · Report post Исходящие stp bpdu можно оставлять, например, для обнаружения петель между пользовательскими портами. Но тогда лучше настраивать spanning tree portfast bpduguard (не уверен что оно именно так на SNR-ах пишется). Бонусом можно ещё и обнаруживать самовольно подключенные свитчи в офисной сети. Edited April 7, 2023 by azhur Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...