[kostas]

Всем доброго дня.

 

Подскажите пожалуйста, каким образом построить независимые кольца при условии, что корни колец будут на одном и том же устройстве - каталисте 6500, который является ядром сети.

В кольцах стоят коммутаторы dlink, поддерживают версии stp:

#config stp version  
Command: config stp version
Next possible completions: 
mstp                rstp                stp

 

Каталист поддерживает:

#spanning-tree mode ?
 mst         Multiple spanning tree mode
 pvst        Per-Vlan spanning tree mode
 rapid-pvst  Per-Vlan rapid spanning tree mode

 

Сейчас на каталисте используется PVST, а на DLINKах стандартный STP. Дерево одно на все кольца. При перестроении любого из колец, перестраивается все дерево и соответственно колбасит все кольца.

 

Как правильно сделать независимые кольца, чтобы изменение топологии одного кольца, не затрагивало остальные?

 

Заранее благодарен за помощь и советы.

[darkagent]

mstp

[Chrst]

Возможно поможет настройка MST с разными инстансами. И Длинки должны MST поддерживать. Хотя проще всего STP настроить на ядре (Cisco), а на длинках STP выключить.

[kostas]

MSTP? Каталист к сожалению поддерживает только pre-standart MSTP, а он какой-то не шибко совместимый. И инстансов боюсь там совсем не много (у нас колец более 30). Кстати, DLINK тоже должен стоять в режиме MSTP (у них около 7 инстансов максимум)?

По поводу STP на ядре и отключенными STP на dlink'ах. Можно конечно, но кольца будут не совсем рационально работать. Хотелось бы получить нормальную загрузку обоих плечей.

[Grid]

Не qinq у вас? l2protocol-tunnel stp не подойдёт?

[config]

Новогоднюю гирлянду хотите сделать ? :-)

 

Если инстансов не хватает. То просто выключите stp на каталисте, на dlink включить mstp блокировка кольца по середине , тогда каждое плечо будет половиной. Каждое кольцо - свой native vlan , чтоб bpdu не перехлестнулись.

 

Ведь получится гирляндочка!!!

Edited October 9, 2012 by config

[kostas]

Grid не, qinq не используем. Можно по-подробней про l2protocol-tunnel stp? Как оно будет выглядеть?

config не совсем понял про гирлянду. Как раз минимальное резервирование с двух сторон есть. Для этого и все заморочки. А bpdu у нас ведь только в nativ vlan ведь бегают, вне зависимости от типа stp, mstp, pvst?

[config]

Grid не, qinq не используем. Можно по-подробней про l2protocol-tunnel stp? Как оно будет выглядеть?

config не совсем понял про гирлянду. Как раз минимальное резервирование с двух сторон есть. Для этого и все заморочки. А bpdu у нас ведь только в nativ vlan ведь бегают, вне зависимости от типа stp, mstp, pvst?

Ну представьте себе 5 dlink в кольце , Cisco не участвует в stp просто перекидывает bpdu из одного порта в другой порт в пределах данного ( native в данном случае vlan) поэтому важно что бы разные были native vlan в каждом кольце( так как bpdu не tagged). Приоритет выставите на ближних к Cisco коммутаторах и тогда заблокированный порт в кольце как раз ляжет по середине кольца. Добиться этого можно либо при помощи отключения stp ( не помню как с этим у циско) либо тот же предложенный bpdu-tunnel результат тот же. Делали как то такое только не с Cisco, и при помощи bridged group. Проще - тупой прозрачный проброс bpdu между двумя портами коробки.

Edited October 9, 2012 by config

[s.lobanov]

как вариант, можно реализовать прозрачный пропуск bpdu на аксессных коммутаторах, а на циске включать что больше нравится. на длинке команда что-то типа ..fbpdu enable..., при этом циска будет видеть сама себя и блокировать по одному пороту каждого кольца. единственный минус(хотя есть мнение, что это плюс) - отсутсвие балансировки(хотя в принципе можно с помощью rpvst отбалансировать по вланам). очевидный плюс - не страшно, если у длинка снесёт крышу(CPU) - не возникнет L2-петля

[darkagent]

если у вас кольца физически не пересекаются (схема "ромашка") и только сходятся на циске, то делаем на циске rapid-pvst mode, назначаем рутом дерева и на длинках включаем rstp. очень хорошо взаимодествие pvst/rapid-pvst с rstp расписано у телесисов

www.alliedtelesis.com/userfiles/file/howto_aw-_config_pvst_interop_cisco_aw-_aw.pdf

просто полистайте документик, множество вопросов отпадет сразу.

[kostas]

config как не участвует? Каталист является корнем для всех колец (по два порта на кольцо). В общем что-то я туплю наверно, но схемы не понимаю :(

s.lobanov да, этот вариант предложили ранее. К сожалению хотелось бы балансировки. А вот замечание по поводу загрузки CPU и возможной при этом колбасне колец ценное - не подумал. Ведь такое как раз могло быть. Надо посмотреть, на dlink'ах вроде ыла защита CPU от перегруза...

darkagent все верно, схема "ромашка" кольца не пересекаются. Получается у нас будет в каждом влане по STP дереву? Это нагрузку дополнительную не сделает (порядка 400 вланов)? Спасибо за документик пойду почитаю.

[darkagent]

darkagent все верно, схема "ромашка" кольца не пересекаются. Получается у нас будет в каждом влане по STP дереву? Это нагрузку дополнительную не сделает (порядка 400 вланов)? Спасибо за документик пойду почитаю.

особенность такая, что работать будет только 1 stp домен, для vlan id 1 - если подать на порт trunk native vlan X, stpd развалится пока в trunk allowed не добавишь vlan 1, даже если vlan dot1q tag native включить не повлияет.

но т.к. корнем будет кошка (а ей лучше всего давать минимальный приоритет 4096, или даже 0), тряска одного лепестка не скажется на другой.

[kostas]

Хм. А если будет один STP домен, то почему тряска одного кольца не повлияет на остальные?

[darkagent]

ну разойдется tcn по ромашке, с чего вдруг лепести будут реагировать на него, если оно не влияет на топологию лепестка? можно вобще в лепестках с restrict tcn поиграться.

[kostas]

Даже и не знаю что ответить. Началось просто с того, что периодически ни стого ни ссего начинает колбасить все кольца. Решил, что именно в STP дело, потому что дерево одно, корень один. А получается, что оно и не должно влиять изменение топологии одного кольца, на все остальные... А бывает шторм TCN? Может он перегружать процессор коммутаторов, тем самым затрядняя хождение BPDU и тем самым нарушая топологию?

[Jugernault]

можно вобще в лепестках с restrict tcn поиграться.

Именно это в свое время Демин предлагал, только корнем был не каталист.

[darkagent]

А бывает шторм TCN? Может он перегружать процессор коммутаторов, тем самым затрядняя хождение BPDU и тем самым нарушая топологию?

к сожалению бывает и такое, например когда в кольце наблюдается такое явление как unidirection link. в таких случаях restrict tcn в лепестках обязательно крутить.

[kostas]

TCN накручено

 

config stp ports 1-24 externalCost auto edge true p2p auto state disable
config stp ports 1-24 fbpdu disable
config stp ports 1-24 restricted_role true
config stp ports 1-24 restricted_tcn true

config stp ports 25-28 externalCost auto edge false p2p auto state enable
config stp ports 25-28 fbpdu enable
config stp ports 25-28 restricted_role false
config stp ports 25-28 restricted_tcn false

 

Кстати, родился вопрос. Если по сути дерево одно, и живет оно в nativ vlan 1, то по сути остальные вланы можно вообще убрать из дерева, чтобы не загромождать дерево?

 

spanning-tree mode rapid-pvst
spanning-tree vlan 1 root primary
spanning-tree vlan 1 priority 0
no spanning-tree vlan 2-4094
no spanning-tree etherchannel guard misconfig

[darkagent]

TCN накручено

на коммутаторах, в которые уходят линки с кошки, можно еще сделать restrict_tcn в сторону кошки + выставить stp priority промежуточный (если корень 0 или 4096, то на оба плеча лепестка выставить 8192 например)

- такая конфигурация конечно не самая правильная, но в случае дергания кольца, кошка этого даже не заметит.

Кстати, родился вопрос. Если по сути дерево одно, и живет оно в nativ vlan 1, то по сути остальные вланы можно вообще убрать из дерева, чтобы не загромождать дерево?

можно, но тогда ingress checking на всех коммутаторах критичен.

 

еще настоятельно рекомендую на портах доступа включать bpdu protection (mode drop), чтобы bpdu с абонентских мыльниц никак не влияли на сеть.

[kostas]

Спасибо. Это действительно будет полезно.

 

Не по теме конечно, но думаю может еще заюзать DOS PREVENTION фичи комутатора:

 

disable dos_prevention trap_log 
config dos_prevention dos_type land_attack action drop state enable 
config dos_prevention dos_type blat_attack action drop state enable 
config dos_prevention dos_type smurf_attack action drop state enable 
config dos_prevention dos_type tcp_null_scan action drop state enable 
config dos_prevention dos_type tcp_xmascan action drop state enable 
config dos_prevention dos_type tcp_synfin action drop state enable 
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable 

 

Не используете?