Jump to content
Калькуляторы

Как корректно оформить пограничные порты на SNR 2985G-24T?

Добрый день Уважаемые!

 

Занялся тут оформлением в сети STR, и хочу корректно оформить порты на которых сидят оконечные устройства. В примере ниже, соответственно это порты 1-10

conf
interface ethernet 1/0/1-10
spanning-tree portfast bpdufilter

Т.е. таким образом порты переведены в portfast и на них bpdu пакеты не отправляются и не принимаются

 

Но меня смущает вывод состояния spanning-tree

show spanning-tree interface ethernet 1/0/5
*********************************** Process 0 ***********************************
Ethernet1/0/5:
   ID      State Role    DsgBridge      DsgPort VlanCount  
 -------   ---  ---- ------------------ ------- --------- 
 128.005   FWD  DSGN 32768.b1e38272bc41 128.005         1

show spanning-tree detail
......
Port 5 (Ethernet1/0/5) is   DSGN forwarding                            
Operation port path cost 20000,Port priority 128, Port Identifier 128.5 
Designated root has priority 32768, address b1e3.8272.bc41    
Designated bridge has priority 32768, address b1e3.8272.bc41  
Designated port id is 128.5, Root path cost: external 60000 
BPDU: sent     1632(TCN 0, CONFIG 0, MST 0) 
      received 0(TCN 0, CONFIG 0, MST 0) 

 

Почему порты на которых я установил portfast и bpdufilter, стоят в состоянии FWD и ещё рассылают эти bpdu?

Дайте совет как корректно оформить пограничные порты. 

Edited by SSH_TUNNEL
затёр

Share this post


Link to post
Share on other sites

@SSH_TUNNEL, добрый день. Команда на порту "spanning-tree portfast bpdufilter" фильтрует только входящие BPDU (received), на исходящие она никак не влияет. Если хотите фильтровать исходящие BPDU, можете воспользоваться различными ACL.

Также не совсем понимаю, что вас смущает, что порты находятся в состоянии FWD? функционал portfast именно это и делает: позволяет сразу же переходить в состояние FWD, минуя все промежуточные состояния.

Share this post


Link to post
Share on other sites

4 часа назад, Vladimir Efimtsev сказал:

на исходящие она никак не влияет. Если хотите фильтровать исходящие BPDU, можете воспользоваться различными ACL.

Владимир, спасибо за разъяснения!

 

Т.е. в целом ничего страшного, что устройство являющееся корректным в сети рассылает BPDU пакеты по всем портам, главное чтобы принимала только с портов за которыми другой корректный в сети коммутатор?

 

4 часа назад, Vladimir Efimtsev сказал:

Также не совсем понимаю, что вас смущает, что порты находятся в состоянии FWD?

Я решил, что FWD - это он BPDU пересылает на порту. Сейчас ещё почитал - он и BPDU отправляет и данные, т.е. - это Edge порт?

Share this post


Link to post
Share on other sites

Здравствуйте.

 

"Т.е. в целом ничего страшного, что устройство являющееся корректным в сети рассылает BPDU пакеты по всем портам, главное чтобы принимала только с портов за которыми другой корректный в сети коммутатор?"

 

Не совсем понимаю о каком устройстве идет речь и что значит, что он правильный или нет?

"Я решил, что FWD - это он BPDU пересылает на порту. Сейчас ещё почитал - он и BPDU отправляет и данные, т.е. - это Edge порт?"

 

FWD это значит, что порт прошел все этапы STP и теперь продвигает все пакеты.

Share this post


Link to post
Share on other sites

1 час назад, Evgeniy Rychkov сказал:

Не совсем понимаю о каком устройстве идет речь и что значит, что он правильный или нет?

Т.е. значит что устройство - легальный коммутатор в сети, а не чей-то левый пытающийся пустить трафик через себя. Т.е. если на коммутаторах настроен приём BPDU только с P2P портов глядящих в легальные коммутаторы, то никаких проблем это не создаст, и рассылку BPDU на EDGE портах можно не фильтровать. Главное принимать их только от доверенных (легальных) устройств в сети.

 

Так? Итоговый вопрос

conf
interface ethernet 1/0/1-10
spanning-tree portfast bpdufilter

нормальная настройка для портов доступа? При глобально включенном STP и отсутствии между управляемыми устройствами тупых свичей? 

Edited by SSH_TUNNEL

Share this post


Link to post
Share on other sites

Ответ: нормальный, она и нужна на портах доступа, чтобы фильтровать поступающие пакеты BDPU в том случае, если по какой-то причине устройство начнет их слать.

Данная настройка как раз позволяет фильтровать нежелательные BPDU и должна быть настроена на портах доступа клиентов

Share this post


Link to post
Share on other sites

Тогда у меня вопрос. А если за портом клиент или неизвестное оборудование, не лучше ли просто дать команду на порту no spanning tree? Как я понял из других тем, bpdu перестают и отправляться и приниматься, а порт так же сразу переходит в forwarding, точнее работает как на коммутаторе без настроенного stp. В чем смысл ставить на порту portfast bpdufilter?

Edited by stnx

Share this post


Link to post
Share on other sites

Здравствуйте.

 

Цитата

А если за портом клиент или неизвестное оборудование, не лучше ли просто дать команду на порту no spanning tree?

Это не является лучше или хуже, это просто другая настройка. При использовании no spanning tree вы абсолютно полностью обрубаете интерфейс из всякого взаимодействия STP.

 

Цитата

В чем смысл ставить на порту portfast bpdufilter?

Смысл в том, что изначально, когда создавался протокол STP люди не задумывались на десятки лет вперед как можно будет улучшить или модернизировать протокол.
Смысл команды portfast в рамках протокола STP в том, что вы знаете, что за портом точно конечное устройство клиента, ему нет необходимости проходить все этапы STP и ждать его перехода в FWD, если можно его сразу перевести. Но он от этого не перестает учавствовать в самом процессе STP. Потом оказалось, что даже если за портом конечно устройство клиента оно может слать BPDU(по какой-то причине) и нарушать работу сети. Сделали команду bpdufilter  для конкретной сути работы порта. Если там компьютер за портом, что какая разница, просто фильтруй все BPDU. Но BPDU то только входящие.

Share this post


Link to post
Share on other sites

Спасибо за ответ, но я немного о другом.

 

no spanning tree - порт никак не взаимодействует с stp.

 

spanning tree portfast bpdufilter - блокирует входящие bpdu, это мне понятно. Непонятно - а зачем при такой настройке отправлять bpdu, но блокировать входящие? Что это дает? Вот поэтому и задал вопрос, что не лучше ли дать команду no spanning tree на порт?

Edited by stnx

Share this post


Link to post
Share on other sites

Исходящие stp bpdu можно оставлять, например, для обнаружения петель между пользовательскими портами.

Но тогда лучше настраивать spanning tree portfast bpduguard (не уверен что оно именно так на SNR-ах пишется).

Бонусом можно ещё и обнаруживать самовольно подключенные свитчи в офисной сети.

Edited by azhur

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.