Поиск колец

[sfox]

Есть сеть построеная на комутаторах cisco 3500 и длинках 3028. Сеть поделена по вланам. И казалось бы, все работает замечательно, но вот возникает кольцо. Вот тут то и начинаются грабли. На данный момент проблема решается выключением сегментов сети(метод половинного деления? ) и отключением всех вланов кроме управляющего в тот или иной сегмент, до тех пор, пока не будет локализован виновник. Однако, это слишком долгий, накладный способ поиска кольца и мне кажется не профессиональный способ поиска проблемы.
Есть ли более оптимальные способы диагностики и поиска? Как вы боретесь с подобным?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[blade_007]

spanning-tree вам поможет

[hizel]

и portfast на всех портах отлючить
если много вланов то выбирайте mst

[sfox]

в перемешку стоят 3028, а у тех только rstp
portfast на клиентских портах включен, и форвард bpdu разрешен только на магистралях, т.к. задолбали клиентские роутеры дерево перестраивать.
еще есть трабла с тем(как мне кажется, из-за разношерстности девайсов), что от малейшего чиха, дерево перестраивается, а длинки блокируют приходящую магистраль.

[hizel]

кольца это не только резервирование, но и много-много сэкса и "удовольствия" :-)

кстати 3028 написано:

802.1s Multiple Spanning Tree

держит

[sfox]

кольца это не только резервирование, но и много-много сэкса и "удовольствия" :-)

о, да)

кстати 3028 написано:

802.1s Multiple Spanning Tree

держит

безсовестно врут. даже с новой прошивкой только STP Compatible(не работает в купе с кошкой) и RSTP

[hizel]

на форуме их спросить, у них есть практика выдачи свежих(часто с исправленными ошибками) прошивок по запросу

[lolwut]

возникает кольцо

подразумевается наличие колец == надо юзать STP
как уже выше и было сказано

Есть ли более оптимальные способы диагностики и поиска?

оптимальнее нет, т.к. STP в свичах аппаратно реализован

Как вы боретесь с подобным?

никак настроил и забыл ...
на 3028 так:

Код: Выделить всё

config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable
config stp version rstp
enable stp

попутно, до кучи

Код: Выделить всё

config loopdetect ports 1-24 state enable
enable loopdetect

[berserkdeep]

STP надо отключать только на стыке с конечным клиентом и другими сетями, лупдетектед обязателен

Отключить stp на свитчах уровнем пониже Cisco т.к. Zyxel, D-link, Alied Telesyn можно.

Делается это просто, достаточно забанить мак для вещательной рассылки STP - 01:80:c2:00:00:00

но опять же лупдетектед нужен и стп на выше стоящем свиче обязателен.

[lolwut]

STP надо отключать только на стыке с конечным клиентом и другими сетями

нет! как раз таки STP _надо_ включать для конечного клиента, т.к. оный клиент, подключенный, допустим, в порт 1, может купить мыльницу, в которую воткнуть как Ваш кабель, так и кабель своего соседа, который, по "счастливой" случайности, подключен к Вашему же свичу в порт, допустим, 2 и тоже воткнул Ваш кабель в мыльницу ... усе! привет петля
просто STP надо по умному включать - так чтобы клиент никогда не смог стать root (пример см. выше)

P.S. именно включение STP для клиентов позволяет моей сети, в которой есть места где есть неконтролируемая, создаваемая пользователями локалка (они сами там ставят мыльницы и тянут между собой кабеля), жить спокойно

[berserkdeep]

STP надо отключать только на стыке с конечным клиентом и другими сетями

нет! как раз таки STP _надо_ включать для конечного клиента, т.к. оный клиент, подключенный, допустим, в порт 1, может купить мыльницу, в которую воткнуть как Ваш кабель, так и кабель своего соседа, который, по "счастливой" случайности, подключен к Вашему же свичу в порт, допустим, 2 и тоже воткнул Ваш кабель в мыльницу ... усе! привет петля
просто STP надо по умному включать - так чтобы клиент никогда не смог стать root (пример см. выше)

P.S. именно включение STP для клиентов позволяет моей сети, в которой есть места где есть неконтролируемая, создаваемая пользователями локалка (они сами там ставят мыльницы и тянут между собой кабеля), жить спокойно

ну так для защиты от кольца, от мыльницы есть защита лупдетектед, а вот как ты защитишься если клиент воткнет каталист у которого стп по дефолту включено и приоритет рут свитча у него такой же... твоя сеть начнет постоянно перестраивать стп и в лог будет вываливаться всякая ересь... аномалии не объяснимые начинают появляться... защита от вражеского стп только фильтрация бпду... ну или просвяти как это у тебя работать нормально будет еслив физической сети у тебя появляются одинаковые корневые свитчи, думаешь между вами трафик будет ходить?

[lolwut]

ну так для защиты от кольца, от мыльницы есть защита лупдетектед

нет!
лупдетект защищает от петли в рамках _одного_ порта - втыкаем мыльницу в свич, соединяем на ней любые 2 порта патчкордом - смотрим как работает лупдетект
STP защищает от петли в рамках разных портов - втыкаем мыльницу в 2 порта нашего свича, ну или одну мыльницу в свич в порт 1, другую в порт 2, соединяем мыльницы - смотрим как работает STP

как ты защитишься если клиент воткнет каталист у которого стп по дефолту включено и приоритет рут свитча у него такой же

см выше

твоя сеть начнет постоянно перестраивать стп и в лог будет вываливаться всякая ересь

у меня такого нет - ЧЯДНТ?

аномалии не объяснимые начинают появляться

в этом топике - уже

защита от вражеского стп только фильтрация бпду

да

как это у тебя работать нормально будет еслив физической сети у тебя появляются одинаковые корневые свитчи, думаешь между вами трафик будет ходить?

в моей сети один корневой коммутатор - мой и никто другой не может стать корнем моего дерева!


P.S.
это

Код: Выделить всё

config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable

подразумевает:

Edge
Выбор значения True в данном поле определяет порт как пограничный. Пограничный порт подключен к сегменту сети, на котором невозможно образование петли. Пограничный порт не должен принимать BPDU-пакеты. Если был принят BPDU-пакет, это приведёт к автоматической потере статуса пограничного порта. Выбор значения False означает, что порт не является пограничным портом.


Restricted Role
Этот параметр может принимать два значения: True и False. При выборе значения TRUE этот порт не будет корневым портом для CIST или других MSTI, даже если он будет обладать наименьшим приоритетом. Таким образом, порт становится альтернативным портом, который будет выбираться всегда после корневого порта. По умолчанию этот параметр установлен как FALSE. Выбор True может привести к потере связности покрывающего дерева. Это позволяет избежать влияния внешних мостов на активную топологию покрывающего дерева, поскольку данные мосты не находятся под управлением сетевого администратора.


Restricted Tcn
Возможно два значения этого поля: True и False. При выборе значения TRUE полученные с этого порта уведомления (topology change notifications и topology change) не будут распространяться на другие порты. Этот параметр установлен в значение FALSE, по умолчанию. При установленной опции False может временно теряться связность из-за некорректных пакетов изменения топологии (topology change), полученных с клиентских портов.

[berserkdeep]

Edge
Выбор значения True в данном поле определяет порт как пограничный. Пограничный порт подключен к сегменту сети, на котором невозможно образование петли. Пограничный порт не должен принимать BPDU-пакеты. Если был принят BPDU-пакет, это приведёт к автоматической потере статуса пограничного порта. Выбор значения False означает, что порт не является пограничным портом

ну что и требовалось доказать... я тебе про фильтр бпду и грил и как его забанить без фитч комутаторов 3 уровня...

опять же ты мне говоришь всего лишь о своих длинках, а я речь веду о железяках в массе ... и то что у длинк лупдетектед работает через жопу не значит что оно везде так