我了解生成树如何工作以及为什么要在用户访问端口上使用portfast的基础知识。
当在办公桌和其他未公开记录的位置处理带有大量哑交换机的拓扑时,您真的要在所有“假定”的接入交换机上启用此功能吗?
除了尝试查找这些非托管交换机之外,最佳实践是什么?为什么?
我了解生成树如何工作以及为什么要在用户访问端口上使用portfast的基础知识。
当在办公桌和其他未公开记录的位置处理带有大量哑交换机的拓扑时,您真的要在所有“假定”的接入交换机上启用此功能吗?
除了尝试查找这些非托管交换机之外,最佳实践是什么?为什么?
Answers:
您应该在交换机核心以外的每个端口中运行“端口快速”(按标准术语为“边缘端口”)。即使是开关。
您不应让L2环路通过客户交换机。
您应该在所有接口上运行BPDUGuard和BUM策略,面向客户的接口应为面向核心的限制的1/5或更小。不幸的是,通常不支持限制未知单播。
为什么运行“快速端口”或边缘至关重要至关重要,RSTP的性能(以及MST的扩展)都依赖于它。RSTP的工作方式是,它询问下游是否可以进入转发模式,然后下游询问其下游,直到没有更多端口可以询问frmo,然后权限才传播回去。从RSTP的角度来看,快速端口或边缘端口是隐式许可,如果删除此隐式许可,则必须获取显式许可,否则它将退回到传统的STP计时器。这意味着即使一个非portfast端口也将杀死您的亚秒级RSTP收敛。
除之外spanning-tree portfast,还应该使用,spanning-tree bpduguard enable以便如果某人通过插入不应该插入的东西来创建环路,则交换机端口在看到BPDU时将进入错误禁用模式,而不是创建环路并可能导致网络瘫痪。
同样,如果您的目标是跟踪不受管理的交换机,则应启用
switchport port-security maximum 1 ! or whatever number is appropriate
switchport port-security violation shutdown
switchport port-security
这会将所有端口连接到错误超过1个mac地址的错误禁用状态。通过陷阱或等待他们寻求帮助,可以使您确定那些不受管设备的连接位置。
当在办公桌和其他未公开记录的位置处理带有大量哑交换机的拓扑时,您真的要在所有“假定”的接入交换机上启用此[portfast]吗?
官方和迂腐的答案是“不,不要在交换机到交换机链路启用portfast的” ......有一个关于这个思科的支持论坛的相关讨论。
该线程的作者提出一个公平一点,虽然,网络警察会不会抓你启用了portfast面临下游交换机...这是可以破解周围临时广播风暴的风险,当你一个链接上启用了portfast你拿到另一个开关。
如果您在智能交换机或哑交换机的链路上启用了portfast,请确保在该端口上启用bpduguard(控制平面保护)和广播风暴控制(数据平面保护)...这两个功能为您提供了一些利用如果发生意外情况:
在交换机或连接的设备重新启动,重新启动或重新加载的情况下,在配置中应用端口特定的命令将减少端口初始化时间。如果端口未正确协商,它们还可以防止错误应用配置设置。
由于Cisco交换机的默认设置是动态切换端口模式(Cisco具备wisewise功能的交换机除外),因此每个端口都尝试协商其预期用途。谈判过程分为四个主要阶段,可能需要一整分钟才能完成。-生成树协议(STP)初始化-端口经历STP的五个阶段:阻塞,侦听,学习,转发和禁用。-测试以太通道配置–端口使用端口聚合协议(PAgP),将交换机端口绑定在一起以创建更大的聚合以太网连接。-测试中继配置–端口使用动态中继协议(DTP)来协商/验证中继链路。-交换机端口速度和双工–端口使用快速链接脉冲(FLP)设置速度和双工。
配置交换端口模式访问将阻止端口进行中继协商。
配置生成树portfast将阻止端口进行STP协商。
配置switchport主机将同时配置访问和portfast。
当然,请注意思科的警告-警告:切勿在连接到其他交换机,集线器或路由器的交换机端口上使用PortFast功能。这些连接可能导致物理循环,在这种情况下,生成树必须经过完整的初始化过程。生成树循环可能会使您的网络瘫痪。如果为属于物理环路一部分的端口打开PortFast,则可能会有一段时间,在这种情况下,数据包将以无法恢复的方式连续转发(甚至可能成倍增加)。