ควรใช้พอร์ตกับพอร์ตที่อาจเชื่อมต่อกับสวิตช์ที่ไม่มีการจัดการหรือไม่


19

ฉันเข้าใจพื้นฐานของการทำงานของสแปนนิ่งทรีและทำไมคุณถึงต้องการใช้พอร์ตพอร์ตบนพอร์ตการเข้าถึงของผู้ใช้

เมื่อต้องจัดการกับโทโพโลยีที่มีสวิตช์ใบ้จำนวนมากอยู่ใต้โต๊ะและตำแหน่งที่ไม่มีเอกสารอื่น ๆ คุณต้องการเปิดใช้งานสวิตช์การเข้าถึงทั้งหมด "ตามที่คาดคะเน" หรือไม่?

นอกเหนือจากการพยายามติดตามสวิตช์ที่ไม่มีการจัดการสิ่งที่ดีที่สุดแล้วคืออะไร? ทำไม?

คำตอบ:


16

คุณควรเรียกใช้ 'พอร์ตเร็ว' (ในพอร์ตขอบเงื่อนไขการใช้งานมาตรฐาน) ในทุกพอร์ตไม่ใช่ส่วนหนึ่งของคอร์สวิตช์ แม้ว่ามันจะเป็นสวิตช์

คุณไม่ควรมี L2 วนผ่านสวิตช์ลูกค้า

คุณควรรัน BPDUGuard และ BUM policers ทุกอินเตอร์เฟสส่วนที่หันเข้าหาลูกค้าควรเป็น 1 / 5th หรือน้อยกว่าของขีด จำกัด การหันหน้าเข้าหาแกน น่าเสียดายที่การ จำกัด unicast ที่ไม่รู้จักมักจะไม่ได้รับการสนับสนุน

เหตุใดการเรียกใช้ 'พอร์ตเร็ว' หรือ edge มีความสำคัญอย่างยิ่งคือประสิทธิภาพของ RSTP (และโดยส่วนขยาย MST) จึงขึ้นอยู่กับมัน วิธีการทำงานของ RSTP คือการถามว่าดาวน์สตรีมหากสามารถไปที่โหมดการส่งต่อและดาวน์สตรีมจะถามดาวน์สตรีมของมันจนกว่าจะไม่มีพอร์ตเพิ่มเติมที่จะถาม frmo จากนั้นสิทธิ์ในการเผยแพร่จะสำรองข้อมูล พอร์ตเร็วหรือพอร์ตคมเป็นสิทธิ์โดยปริยายจากมุมมอง RSTP หากคุณลบสิทธิ์นี้โดยนัยคุณต้องได้รับอนุญาตอย่างชัดเจนไม่เช่นนั้นจะย้อนกลับไปใช้ตัวนับ STP แบบคลาสสิก ซึ่งหมายความว่าแม้พอร์ตที่ไม่ใช่พอร์ตฟาสต์พอร์ตหนึ่งจะฆ่า RSTP ของคุณรวมกัน


5
จากการเปิดเผยอย่างเต็มรูปแบบฉันได้รับหนึ่งคะแนนในเรื่องนี้ หากฉันระบุสิ่งที่ไม่ถูกต้องฉันจะขอบคุณมากที่ได้รับการแก้ไขขอบคุณ
ytti

ฉันอยากรู้ว่า 'สวิตช์หลัก' และ 'สวิตช์' ต่างกันอย่างไร สิ่งนี้อยู่ในบริบทของ ISP หรือเครือข่ายองค์กรหรือไม่
cpt_fink

13

นอกจากนี้spanning-tree portfastคุณควรใช้spanning-tree bpduguard enableเพื่อที่ว่าถ้าใครบางคนสร้างลูปโดยการเสียบในสิ่งที่ไม่ควรพอร์ตสวิทช์จะเข้าสู่โหมดปิดการใช้งานข้อผิดพลาดเมื่อเห็น BPDU แทนที่จะสร้างลูปและอาจทำให้เครือข่ายแย่ลง

หากเป้าหมายของคุณคือการติดตามสวิตช์ที่ไม่มีการจัดการคุณควรเปิดใช้งาน

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

สิ่งนี้จะทำให้พอร์ตใด ๆ ถูกปิดใช้งานข้อผิดพลาดที่เห็นการเชื่อมต่อมากกว่า 1 ที่อยู่ mac ไม่ว่าจะผ่านทางกับดักหรือรอจนกว่าพวกเขาจะขอความช่วยเหลือจะช่วยให้คุณระบุได้ว่าอุปกรณ์ที่ไม่มีการจัดการเชื่อมต่ออยู่หรือไม่

ข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัยของพอร์ต


4
สำหรับซิสโก้ (ขึ้นอยู่กับการตั้งค่าด้านบน) เราขอแนะนำให้คุณกำหนดค่ามาตรฐานspanning-tree portfast bpduguardบนสวิตช์ทั้งหมด สิ่งนี้ทำให้ bpduguard บนอินเตอร์เฟสใด ๆ ที่เปิดใช้งานพอร์ตพอร์ต คุณอาจต้องการกำหนดค่าการกู้คืนที่ผิดพลาดสำหรับ bpduguard
YLearn

8

เมื่อต้องจัดการกับโทโพโลยีที่มีสวิตช์ใบ้จำนวนมากอยู่ใต้โต๊ะทำงานและตำแหน่งที่ไม่มีเอกสารอื่น ๆ คุณต้องการเปิดใช้งาน [พอร์ตฟาสต์] บนสวิตช์เข้าถึง "ที่คาดคะเน" ทั้งหมดหรือไม่?

คำตอบอย่างเป็นทางการและอวดความรู้คือ "ไม่มีไม่ได้เปิดใช้ portfast สวิทช์สวิทช์ลิงก์" ... มีคือการอภิปรายที่เกี่ยวข้องเกี่ยวกับเรื่องนี้ในฟอรั่มการสนับสนุนของซิสโก้

ผู้เขียนหัวข้อนั้นให้ความเป็นธรรมแม้ว่าตำรวจเครือข่ายจะไม่จับกุมคุณสำหรับการเปิดใช้งาน portfast ซึ่งเป็น downstream switch ... เป็นไปได้ที่จะแฮ็กความเสี่ยงของการออกอากาศพายุชั่วคราวที่คุณใช้เมื่อคุณเปิดใช้งาน portfast บนลิงก์ ไปยังสวิตช์อื่น

การแก้ปัญหา

หากคุณเปิดใช้งานพอร์ตฟาสต์บนลิงก์ไปยังสมาร์ทสวิตช์หรือใบ้ให้แน่ใจว่าได้เปิดใช้bpduguard (การป้องกันระนาบควบคุม) และการควบคุมสตอร์มมิ่งพายุ (การป้องกันระนาบข้อมูล) บนพอร์ตนั้น ... คุณสมบัติทั้งสองนี้ กรณีสิ่งที่ไม่คาดคิดเกิดขึ้น:

  • มีคนกรอง BPDU ที่ปกติแล้วจะทำให้ bpduguard ปิดการใช้งานพอร์ตทำให้เกิดพายุออกอากาศ การควบคุมพายุ จำกัด ความเสียหายจากพายุออกอากาศ
  • bpduguard มีข้อดีที่เห็นได้ชัดที่กล่าวถึงในคำตอบอื่น ๆ

4

การใช้คำสั่งเฉพาะพอร์ตในการกำหนดค่าของคุณจะลดเวลาการกำหนดค่าเริ่มต้นของพอร์ตในกรณีที่สวิตช์หรือวงจรพลังงานของอุปกรณ์ที่เชื่อมต่อรีบูตหรือโหลดซ้ำ นอกจากนี้ยังอาจป้องกันการตั้งค่าการกำหนดค่าที่ไม่ถูกต้องในกรณีที่พอร์ตเจรจาไม่ถูกต้อง

ในฐานะที่เป็นค่าเริ่มต้นสำหรับสวิตช์ของ Cisco เป็นโหมดสวิตช์พอร์ทแบบไดนามิกที่ต้องการ (ยกเว้นสวิตช์ที่มีความสามารถของ Cisco Stackwise) ทุกพอร์ตพยายามต่อรองตามวัตถุประสงค์ที่ตั้งใจไว้ กระบวนการเจรจาต่อรองนี้มีสี่ขั้นตอนหลักและอาจใช้เวลาสักครู่เพื่อให้เสร็จสมบูรณ์ - การเริ่มต้น Spanning Tree Protocol (STP) - พอร์ตผ่านห้าขั้นตอนของ STP: การบล็อกการฟังการเรียนรู้การส่งต่อและปิดใช้งาน - การทดสอบการกำหนดค่า Ether Channel - พอร์ตใช้โปรโตคอล Port Aggregation (PAgP) เชื่อมต่อเข้าด้วยกันของพอร์ตสวิตช์เพื่อสร้างการเชื่อมต่ออีเทอร์เน็ตรวมที่ใหญ่ขึ้น - การทดสอบการกำหนดค่า trunk - พอร์ตใช้ Dynamic Trunk Protocol (DTP) เพื่อเจรจา / ตรวจสอบความถูกต้องของการเชื่อมโยงลำต้น - สลับความเร็วพอร์ตและดูเพล็กซ์ - พอร์ตใช้พัลส์ลิงค์เร็ว (FLP) เพื่อตั้งค่าความเร็วและดูเพล็กซ์

การกำหนดค่าการเข้าถึงโหมด switchportจะป้องกันพอร์ตจากการผ่านการเจรจา trunk

การกำหนดค่าทรี spanning-treeจะป้องกันพอร์ตไม่ให้ผ่านการเจรจา STP

การกำหนดค่าโฮสต์ switchportจะกำหนดค่าทั้งการเข้าถึงและพอร์ตเร็ว

แน่นอนคำเตือนจาก Cisco - ข้อควรระวัง: ห้ามใช้คุณสมบัติ PortFast กับพอร์ตสวิตช์ที่เชื่อมต่อกับสวิตช์ฮับหรือเราเตอร์อื่น ๆ การเชื่อมต่อเหล่านี้อาจทำให้เกิดการวนซ้ำทางกายภาพและต้นไม้ที่ทอดต้องผ่านขั้นตอนการเริ่มต้นเต็มรูปแบบในสถานการณ์เหล่านี้ ต้นไม้ที่ทอดข้ามสามารถนำเครือข่ายของคุณลงได้ หากคุณเปิดใช้งาน PortFast สำหรับพอร์ตที่เป็นส่วนหนึ่งของลูปฟิสิคัลอาจมีหน้าต่างเวลาที่แพ็กเก็ตจะถูกส่งต่อไปอย่างต่อเนื่อง


0

ฉันรู้ว่าคนส่วนใหญ่บอกว่าอย่าทำอย่างนั้น - กฎที่ยากสำหรับคนยาก :-)

หากพวกเขาเป็นสวิตช์ใบ้ (เช่นไม่ใช้ STP ใด ๆ ) แสดงว่าไม่สร้างความแตกต่างมากนัก เมื่อพูดถึงประสบการณ์ของซิสโก้แล้วมันจะจับการวนรอบเกือบจะทันทีในทุกกรณี ในโลกของ VMs แม้แต่ "edge port" ก็สามารถวนซ้ำได้ (นักพัฒนาของเราได้เรียนรู้ว่าวิธีที่ยาก)

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.