[kostas]

sergey1988

По сути вариант srg555 http://forum.nag.ru/forum/index.php?showtopic=86880&view=findpost&p=862678

Где имеем резервирование, но не имеем балансировки.

Изменено 29 июля, 2013 пользователем kostas

[kostas]

ERPS не понял что за зверь такой, но боюсь ничего из вышеперечисленного (ни catalyst ни dlkink) его не поддерживают :(

[Negator]

Длинки должны уметь.

[kostas]

Самый действенный метод выкинуть кольца и сделать петли.

 

Это что-то новенькое. В чём отличе кольца от петли?

 

В том, что в центре кольцо не замыкается, а подключается к 2-м портам сервера доступа или иной железки, непосредственная связь между которыми отсутствует.

Согласен, в паре с FHRP даст результат. Но требует дополнительного железа - как минимум с такой же плотностью, те такого же каталиста.

[NikAlexAn]

sergey1988

По сути вариант srg555 http://forum.nag.ru/forum/index.php?showtopic=86880&view=findpost&p=862678

Где имеем резервирование, но не имеем балансировки.

Поднимите mstp с разными msti на коммутаторе ядра а на абонентских коммутаторах в кольцах использовать rstp можно - работает.

[kostas]

Длинки должны уметь.

Действительно умеет. Правда только один из используемых у нас - DES-3200. Остальные в пролете (

 

sergey1988

По сути вариант srg555 http://forum.nag.ru/forum/index.php?showtopic=86880&view=findpost&p=862678

Где имеем резервирование, но не имеем балансировки.

Поднимите mstp с разными msti на коммутаторе ядра а на абонентских коммутаторах в кольцах использовать rstp можно - работает.

А можно по-подробнее? Каким образом поднять разные msti? PBDU где будут бегать в таком случае?

[NikAlexAn]

А можно по-подробнее? Каким образом поднять разные msti? PBDU где будут бегать в таком случае?

На ядре:

spanning-tree mode mst

no spanning-tree bridge assurance

no spanning-tree optimize bpdu transmission

spanning-tree extend system-id

spanning-tree mst configuration

name CONFIG_NAME

revision CONFIG_NUMBER

instance 1 vlan MGMT_RING1_Number, Ring1StartVID-Ring1EndVID

instance 2 vlan MGMT_RING2_Number, Ring2StartVID-Ring2EndVID

 

instance N vlan MGMT_RINGN_Number, RingNStartVID-RingNEndVID

exit

spanning-tree mst 0-N priority 0

int range gi1/1 - 2

switchport

description << Ring 1 >>

switchport trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan add MGMT_RING1_Number,Ring1StartVID-Ring1EndVID

spanning-tree link-type point-to-point

exit

 

Как то так. А в кольцах:

spanning-tree mode rstp

Запретить BPDU и TCN на абонентских портах, оставить только на транковых.

Изменено 30 июля, 2013 пользователем NikAlexAn

[kostas]

Ага, спасибо за такой развернутый, готовый конфиг. Попробую сегодня на стенде смоделировать. Интересно где будут BPDU бегать при RSTP на доступе. Вроде в натив влане должно. Если так, то все равно надо будет первый влан дефолтный (ну или менять) оставлять на кольцах для работы STP. Будет один большой L2 сегмент через всю сеть. Единственное что, сами деревья будут уже разные.

 

Вопрос еще по последнему Вашему совету - запретить отключить STP на абонентских портах. А что если запетлюют абонентские порты? Вероятность этого есть.

С другой стороны понимаю, что оставлять абонентам возможность засылать TCN в кольцо - совсем не есть гуд.

[sergey1988]

я думаю если использовать Stp как решение проблемы "А что если запетлюют абонентские порты?"

то это сработает только как маскировка проблемы (т.е. абоненты сделали петлю, stp ее порвал проблема осталась), я думаю тут нужен loopback detection

[NikAlexAn]

Ага, спасибо за такой развернутый, готовый конфиг. Попробую сегодня на стенде смоделировать. Интересно где будут BPDU бегать при RSTP на доступе. Вроде в натив влане должно. Если так, то все равно надо будет первый влан дефолтный (ну или менять) оставлять на кольцах для работы STP. Будет один большой L2 сегмент через всю сеть. Единственное что, сами деревья будут уже разные.

 

Вопрос еще по последнему Вашему совету - запретить отключить STP на абонентских портах. А что если запетлюют абонентские порты? Вероятность этого есть.

С другой стороны понимаю, что оставлять абонентам возможность засылать TCN в кольцо - совсем не есть гуд.

Vlan 1 не отключал. Но:

sh mac-address-table vl 1

Legend: * - primary entry

age - seconds since last seen

n/a - not available

 

vlan mac address type learn age ports

------+----------------+--------+-----+----------+--------------------------

Active Supervisor:

* 1 3333.0000.000d static Yes - Gi1/1,Gi1/2,Gi1/3,Gi1/4

Gi1/5,Gi1/6,Gi1/7,Gi1/8

Gi1/9,Gi1/10,Gi1/11,Gi1/12

Gi1/13,Gi1/14,Gi1/15,Gi1/16

Gi2/1,Gi2/2,Gi2/3,Gi2/4

Gi2/5,Gi2/11,Gi2/12,Gi2/13

Gi2/14,Gi2/15,Gi2/16,Gi5/1

Gi7/1,Gi7/2,Gi7/3,Gi7/4

Gi7/5,Gi7/6,Gi7/8,Gi7/9

Gi7/10,Gi7/11,Gi7/12,Gi7/13

Gi7/14,Gi7/15,Router,Switch

* 1 3333.0000.0001 static Yes - Switch

* 1 3333.0000.0016 static Yes - Switch

 

Пусто то бишь.

 

STP на абонентских портах отключать имеет смысл если loopback-detection не базируется на STP а если базируется:

- Абонентским портам принудительно выставлять роль Edge.

- Использовать BPDUGuard, BPDUFilter, RootGuard или аналогичные функции.

- Отключить TCN на абонентских портах.

 

В такой схеме STP должен делить кольцо практически поровну между линками.

Изменено 30 июля, 2013 пользователем NikAlexAn

[srg555]

Вопрос еще по последнему Вашему совету - запретить отключить STP на абонентских портах. А что если запетлюют абонентские порты? Вероятность этого есть.

 

на длинках же есть non-stp lbd

[kostas]

NikAlexAn попробовал на стенде. Чего-то не выходит.

 

spanning-tree mode mst
spanning-tree extend system-id
!
spanning-tree mst configuration
name MAIN
revision 100
instance 1 vlan 101-104
instance 2 vlan 111-114
!
spanning-tree mst 0-2 priority 0
!
interface Ethernet0/0
description SW101
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
spanning-tree link-type point-to-point
!
interface Ethernet0/1
description SW103
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
spanning-tree link-type point-to-point
!
interface Ethernet0/2
description SW111
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto
!         
interface Ethernet0/3
description SW113
switchport trunk encapsulation dot1q
switchport mode trunk
duplex auto

 

Из косяков - на интерфейсы не прописать switchport trunk allowed vlan - как ни прописывай, в конфиге не оседает.

 

В кольце пока включил rapid-pvst, так как на IOU лаба.

 

spanning-tree mode rapid-pvst
spanning-tree extend system-id

 

Смотрю на SW100 (ядро)

 

SW100#sh spanning-tree mst interface e0/0  

Ethernet0/0 of MST0 is designated forwarding 
Edge port: no             (default)        port guard : none        (default)
Link type: point-to-point (point-to-point) bpdu filter: disable     (default)
Boundary : boundary       (PVST)           bpdu guard : disable     (default)
Bpdus sent 3440, received 239

Instance Role Sts Cost      Prio.Nbr Vlans mapped
-------- ---- --- --------- -------- -------------------------------
0        Desg FWD 2000000   128.1    1-100,105-110,115-4094
1        Desg FWD 2000000   128.1    101-104
2        Desg FWD 2000000   128.1    111-114

SW100#sh spanning-tree mst interface e0/1

Ethernet0/1 of MST0 is designated forwarding 
Edge port: no             (default)        port guard : none        (default)
Link type: point-to-point (point-to-point) bpdu filter: disable     (default)
Boundary : boundary       (PVST)           bpdu guard : disable     (default)
Bpdus sent 3461, received 142

Instance Role Sts Cost      Prio.Nbr Vlans mapped
-------- ---- --- --------- -------- -------------------------------
0        Desg FWD 2000000   128.2    1-100,105-110,115-4094
1        Desg FWD 2000000   128.2    101-104
2        Desg FWD 2000000   128.2    111-114

 

Оба инстанса на портах, куда должен смотреть только 101-104 (инстанс #1).

 

Ну и инстанс #0 он есть по умолчанию, в него ведь можно управляющий влан оставить?

 

В общем сами что-то не едут. Может IOU так себя ведет?

 

Вопрос еще по последнему Вашему совету - запретить отключить STP на абонентских портах. А что если запетлюют абонентские порты? Вероятность этого есть.

 

на длинках же есть non-stp lbd

Ага, есть. Тогда можно со спокойной душой отключить STP на абонентах. Спасибо.

[mcdemon]

Всем доброго дня.

 

Подскажите пожалуйста, каким образом можно изолировать несколько STP колец в пределах одного коммутатора аггрегации? Схему прикладываю.

Сейчас используется обычный STP, который бегает ТОЛЬКО по нативному влану. В связи с этим приходится в каждом кольце его использовать. Получается очень большой L2 домен, который начинает колбасить в любом изменении топологии в любом из колец.

 

 

Сейчас используется и поддерживаются такие STP стандарты:

 

SW100 - Catalyst 6500 (mst, pvst, rapid-pvst)

SW101-114 - DLink (stp, rstp, mstp)

 

Подскажите как все это привести в порядок и спать спокойно?

 

Буду очень благодарен за участие и советы!

 

На SW-101,103,111,113 - включаешь restricted_tcn на портах, которые подключены к sw-100 напрямую.

[NikAlexAn]

Из косяков - на интерфейсы не прописать switchport trunk allowed vlan - как ни прописывай, в конфиге не оседает.

 

В кольце пока включил rapid-pvst, так как на IOU лаба.

 

Boundary : boundary (PVST) bpdu guard : disable (default)

1. А на чём пробовали то? Вланы надо жёстко к интерфейсу прибить.

2. В эмуляторе что ли пробовали?

3. boundary (PVST) - говорит что в сети у вас есть кто то с pvst.

 

Используйте для просмотра sh span det - msti1 и msti2 должны появиться только на конкретных портах.

[NikAlexAn]

На SW-101,103,111,113 - включаешь restricted_tcn на портах, которые подключены к sw-100 напрямую.

Это зачем? Это на абонентских надо включать.

[mcdemon]

может я не так читал манулы?

но я её включаю всегда при подобных схемах

вродебы длинк писали что эта функция кокраз и нужна для того, что-бы "соседние" кольца не перестраивались изза перестроек других колец

а на абонентских портах я всегда отключаю stp и bpdu

Изменено 31 июля, 2013 пользователем mcdemon

[kostas]

Из косяков - на интерфейсы не прописать switchport trunk allowed vlan - как ни прописывай, в конфиге не оседает.

 

В кольце пока включил rapid-pvst, так как на IOU лаба.

 

Boundary : boundary (PVST) bpdu guard : disable (default)

1. А на чём пробовали то? Вланы надо жёстко к интерфейсу прибить.

2. В эмуляторе что ли пробовали?

3. boundary (PVST) - говорит что в сети у вас есть кто то с pvst.

 

Используйте для просмотра sh span det - msti1 и msti2 должны появиться только на конкретных портах.

Пробовал - не прибиваются. По всей видимости глюк IOU. Собирался все на нем на L2 образах. На девайсах в кольце включил rapid-pvst, так как обычного stp там нет :(

Похоже придется на делезках собирать стенд :(

 

На SW-101,103,111,113 - включаешь restricted_tcn на портах, которые подключены к sw-100 напрямую.

Это зачем? Это на абонентских надо включать.

Хм, теоретически если мы будет рубить на концах кольца TCN, то это должно остановить шторм перестроения. В тоже время, внутри кольца они все так же будут ходить.

У Вас именно так работает?

[NikAlexAn]

может я не так читал манулы?

но я её включаю всегда при подобных схемах

вродебы длинк писали что эта функция кокраз и нужна для того, что-бы "соседние" кольца не перестраивались изза перестроек других колец

а на абонентских портах я всегда отключаю stp и bpdu

Насколько понял из мануалов длинка - включение данной опции отключает генерацию TCN при изменении состояния(Up/Down) этого порта. Так что я не рекомендовал бы включать эту опцию на портах в кольце. А вот изменение состояния абонентских портов - об этом кольцу знать не надо.

Возможно эта опция и не нужна если отключены stp и bpdu на порту - я не проверял.

[NikAlexAn]

Из косяков - на интерфейсы не прописать switchport trunk allowed vlan - как ни прописывай, в конфиге не оседает.

 

В кольце пока включил rapid-pvst, так как на IOU лаба.

 

Хм, теоретически если мы будет рубить на концах кольца TCN, то это должно остановить шторм перестроения. В тоже время, внутри кольца они все так же будут ходить.

У Вас именно так работает?

У эмуляторов обычно куча ограничений.

Если на каталистах включить mstp но не прописывать instance - получится что то близкое к обычному rstp.

Для правильной работы stp все порты в кольце должны быть полноценными P2P.

[darkagent]

topology change notification необходим только там, где действительно нужно мониторить изменения в направленности топологий. можно смело включать restrict tcn на абонентских портах, а так же на магистральных линках "без резерва", особенно если у вас "звезда". в кольце как раз таки tcn необходим, чтоб понимать когда кольцо начинает жить своей жизнью.

[sergey1988]

sergey1988

По сути вариант srg555 http://forum.nag.ru/...ndpost&p=862678

Где имеем резервирование, но не имеем балансировки.

 

а STP рвет кольцо ровно по середине?

[NikAlexAn]

а STP рвет кольцо ровно по середине?

При чётном количестве коммутаторов в кольце(абонентских)получаем одинаковое количество в каждом луче. При нечётном - в одном будет на один больше.

 

topology change notification необходим только там, где действительно нужно мониторить изменения в направленности топологий. можно смело включать restrict tcn на абонентских портах, а так же на магистральных линках "без резерва", особенно если у вас "звезда". в кольце как раз таки tcn необходим, чтоб понимать когда кольцо начинает жить своей жизнью.

 

С новым стандартом SPB ещё не приходилось сталкиваться?

[kitan]

Есть проблемка с работой STP. Есть L3 агрегаторы трафика Dlink DGS3612G (firmware 3.00.B42). Они выполняют роль терминирования vlan, OSPF, PIM, а так же являются STP корнем для подключенных к нему коммутаторов доступа. К каждому агрегатору подключены коммутаторы доступа (Dlink DES3526, DES3200-xx rev A/C1) в количестве до 100 штук (схема VLAN на коммутатор). Коммутаторы доступа подключены к агрегатору кольцами. В среднем по 12 коммутаторов в кольце. Типовая схема - "ромашка" с 8ю лепестками. Для защиты от петель используется RSTP. На портах коммутаторов доступа смотрящих в сторону агрегатора активирован restricted TCN (защита от распространения STP TCN в другие кольца).

А теперь описание самой проблемы:

при отключении/включении какого-либо коммутатора естественно возникает перестроение топологии. Самое печальное, что оно ведет за собой сброс FDB и ARP таблиц на агрегаторе на всех портах где активирован STP. Больше всего волнует сброс ARP таблицы. Таким образом при сбросе динамических ARP записей (в среднем 800 штук) получаем простой при пинге клиента около 6-8 секунд. В этот момент агрегатор заново изучает ARP записи и его CPU загружен на 100%.

 

Для решения проблемы пробовал настраивать MSTP. Притом след. образом - на коммутаторах доступа оставляю RSTP, на агрегаторе настраиваю так:

config stp version mstp

config stp priority 4096 instance_id 0

create stp instance_id 1

config stp instance_id 1 add_vlan 100-199 (ring 1)

config stp priority 4096 instance_id 1

create stp instance_id 2

config stp instance_id 2 add_vlan 200-299 (ring 2)

config stp priority 4096 instance_id 2

create stp instance_id 3

config stp instance_id 3 add_vlan 300-399 (ring 3)

config stp priority 4096 instance_id 3

При такой конфигурации при STP перестроении топологии в одном кольце, на портах смотрящих в сторону других колец FDB запись сохраняется. Но ARP записи все равно удаляются. Вообще не понимаю зачем сбрасываются ARP записи?!

 

Перейти на топологию звезды крайне проблематично, а заюзать ERPS нельзя из-за большого количества коммутаторов DES3526.

 

Подскажите, как бороться со сбросом ARP таблицы.

Изменено 13 ноября, 2015 пользователем kitan

[tehmeh]

Перенести L3 на другую железку, где нет *STP? :)

[kitan]

Перенести L3 на другую железку, где нет *STP? :)

 

Такой вариант, к сожалению, не рационален в существующей топологии