Страница 1 из 1
Поиск колец
Добавлено: 2011-02-25 14:14:54
sfox
Есть сеть построеная на комутаторах cisco 3500 и длинках 3028. Сеть поделена по вланам. И казалось бы, все работает замечательно, но вот возникает кольцо. Вот тут то и начинаются грабли. На данный момент проблема решается выключением сегментов сети(метод половинного деления?
) и отключением всех вланов кроме управляющего в тот или иной сегмент, до тех пор, пока не будет локализован виновник. Однако, это слишком долгий, накладный способ поиска кольца и мне кажется не профессиональный способ поиска проблемы.
Есть ли более оптимальные способы диагностики и поиска? Как вы боретесь с подобным?
Re: Поиск колец
Добавлено: 2011-02-25 14:26:25
blade_007
spanning-tree вам поможет
Re: Поиск колец
Добавлено: 2011-02-25 14:27:37
hizel
и portfast на всех портах отлючить
если много вланов то выбирайте mst
Re: Поиск колец
Добавлено: 2011-02-25 14:41:36
sfox
в перемешку стоят 3028, а у тех только rstp
portfast на клиентских портах включен, и форвард bpdu разрешен только на магистралях, т.к. задолбали клиентские роутеры дерево перестраивать.
еще есть трабла с тем(как мне кажется, из-за разношерстности девайсов), что от малейшего чиха, дерево перестраивается, а длинки блокируют приходящую магистраль.
Re: Поиск колец
Добавлено: 2011-02-25 15:06:10
hizel
кольца это не только резервирование, но и много-много сэкса и "удовольствия" :-)
кстати 3028 написано:
802.1s Multiple Spanning Tree
держит
Re: Поиск колец
Добавлено: 2011-02-25 15:12:57
sfox
hizel писал(а):кольца это не только резервирование, но и много-много сэкса и "удовольствия" :-)
о, да)
hizel писал(а):
кстати 3028 написано:
hizel писал(а):802.1s Multiple Spanning Tree
держит
безсовестно врут. даже с новой прошивкой только STP Compatible(не работает в купе с кошкой) и RSTP
Re: Поиск колец
Добавлено: 2011-02-25 15:24:50
hizel
на форуме их спросить, у них есть практика выдачи свежих(часто с исправленными ошибками) прошивок по запросу
Re: Поиск колец
Добавлено: 2011-03-07 19:33:58
lolwut
sfox писал(а):возникает кольцо
подразумевается наличие колец == надо юзать STP
как уже выше и было сказано
sfox писал(а):Есть ли более оптимальные способы диагностики и поиска?
оптимальнее нет, т.к. STP в свичах аппаратно реализован
sfox писал(а):Как вы боретесь с подобным?
никак
настроил и забыл ...
на 3028 так:
Код: Выделить всё
config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable
config stp version rstp
enable stp
попутно, до кучи
Код: Выделить всё
config loopdetect ports 1-24 state enable
enable loopdetect
Re: Поиск колец
Добавлено: 2011-03-10 6:52:37
berserkdeep
STP надо отключать только на стыке с конечным клиентом и другими сетями, лупдетектед обязателен
Отключить stp на свитчах уровнем пониже Cisco т.к. Zyxel, D-link, Alied Telesyn можно.
Делается это просто, достаточно забанить мак для вещательной рассылки STP - 01:80:c2:00:00:00
но опять же лупдетектед нужен и стп на выше стоящем свиче обязателен.
Re: Поиск колец
Добавлено: 2011-03-10 15:57:42
lolwut
berserkdeep писал(а):STP надо отключать только на стыке с конечным клиентом и другими сетями
нет! как раз таки STP _надо_ включать для конечного клиента, т.к. оный клиент, подключенный, допустим, в порт 1, может купить мыльницу, в которую воткнуть как Ваш кабель, так и кабель своего соседа, который, по "счастливой" случайности, подключен к Вашему же свичу в порт, допустим, 2 и тоже воткнул Ваш кабель в мыльницу ... усе! привет петля
просто STP надо по умному включать - так чтобы клиент никогда не смог стать root (пример см. выше)
P.S. именно включение STP для клиентов позволяет моей сети, в которой есть места где есть неконтролируемая, создаваемая пользователями локалка (они сами там ставят мыльницы и тянут между собой кабеля), жить спокойно
Re: Поиск колец
Добавлено: 2011-03-10 16:22:24
berserkdeep
lolwut писал(а):berserkdeep писал(а):STP надо отключать только на стыке с конечным клиентом и другими сетями
нет! как раз таки STP _надо_ включать для конечного клиента, т.к. оный клиент, подключенный, допустим, в порт 1, может купить мыльницу, в которую воткнуть как Ваш кабель, так и кабель своего соседа, который, по "счастливой" случайности, подключен к Вашему же свичу в порт, допустим, 2 и тоже воткнул Ваш кабель в мыльницу ... усе! привет петля
просто STP надо по умному включать - так чтобы клиент никогда не смог стать root (пример см. выше)
P.S. именно включение STP для клиентов позволяет моей сети, в которой есть места где есть неконтролируемая, создаваемая пользователями локалка (они сами там ставят мыльницы и тянут между собой кабеля), жить спокойно
ну так для защиты от кольца, от мыльницы есть защита лупдетектед, а вот как ты защитишься если клиент воткнет каталист у которого стп по дефолту включено и приоритет рут свитча у него такой же... твоя сеть начнет постоянно перестраивать стп и в лог будет вываливаться всякая ересь... аномалии не объяснимые начинают появляться... защита от вражеского стп только фильтрация бпду... ну или просвяти как это у тебя работать нормально будет еслив физической сети у тебя появляются одинаковые корневые свитчи, думаешь между вами трафик будет ходить?
Re: Поиск колец
Добавлено: 2011-03-10 17:00:23
lolwut
berserkdeep писал(а):ну так для защиты от кольца, от мыльницы есть защита лупдетектед
нет!
лупдетект защищает от петли в рамках _одного_ порта - втыкаем мыльницу в свич, соединяем на ней любые 2 порта патчкордом - смотрим как работает лупдетект
STP защищает от петли в рамках разных портов - втыкаем мыльницу в 2 порта нашего свича, ну или одну мыльницу в свич в порт 1, другую в порт 2, соединяем мыльницы - смотрим как работает STP
berserkdeep писал(а):как ты защитишься если клиент воткнет каталист у которого стп по дефолту включено и приоритет рут свитча у него такой же
см выше
berserkdeep писал(а):твоя сеть начнет постоянно перестраивать стп и в лог будет вываливаться всякая ересь
у меня такого нет - ЧЯДНТ?
berserkdeep писал(а):аномалии не объяснимые начинают появляться
в этом топике - уже
berserkdeep писал(а):защита от вражеского стп только фильтрация бпду
да
berserkdeep писал(а):как это у тебя работать нормально будет еслив физической сети у тебя появляются одинаковые корневые свитчи, думаешь между вами трафик будет ходить?
в моей сети один корневой коммутатор - мой и никто другой не может стать корнем моего дерева!
P.S.
это
Код: Выделить всё
config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable
подразумевает:
D-Link мануал писал(а):
Edge
Выбор значения True в данном поле определяет порт как пограничный. Пограничный порт подключен к сегменту сети, на котором невозможно образование петли. Пограничный порт не должен принимать BPDU-пакеты. Если был принят BPDU-пакет, это приведёт к автоматической потере статуса пограничного порта. Выбор значения False означает, что порт не является пограничным портом.
Restricted Role
Этот параметр может принимать два значения: True и False. При выборе значения TRUE этот порт не будет корневым портом для CIST или других MSTI, даже если он будет обладать наименьшим приоритетом. Таким образом, порт становится альтернативным портом, который будет выбираться всегда после корневого порта. По умолчанию этот параметр установлен как FALSE. Выбор True может привести к потере связности покрывающего дерева. Это позволяет избежать влияния внешних мостов на активную топологию покрывающего дерева, поскольку данные мосты не находятся под управлением сетевого администратора.
Restricted Tcn
Возможно два значения этого поля: True и False. При выборе значения TRUE полученные с этого порта уведомления (topology change notifications и topology change) не будут распространяться на другие порты. Этот параметр установлен в значение FALSE, по умолчанию. При установленной опции False может временно теряться связность из-за некорректных пакетов изменения топологии (topology change), полученных с клиентских портов.
Re: Поиск колец
Добавлено: 2011-03-10 19:20:58
berserkdeep
D-Link мануал писал(а):
Edge
Выбор значения True в данном поле определяет порт как пограничный. Пограничный порт подключен к сегменту сети, на котором невозможно образование петли. Пограничный порт не должен принимать BPDU-пакеты. Если был принят BPDU-пакет, это приведёт к автоматической потере статуса пограничного порта. Выбор значения False означает, что порт не является пограничным портом
ну что и требовалось доказать... я тебе про фильтр бпду и грил и как его забанить без фитч комутаторов 3 уровня...
опять же ты мне говоришь всего лишь о своих длинках, а я речь веду о железяках в массе
... и то что у длинк лупдетектед работает через жопу не значит что оно везде так