classic.ISPforum.cz

Zdravim ve spolek, prosim kdo se vice vyzna v cisco prikazech atd .. u cisco zrejme neni oddelena detekce smycky od spaningu ? Potreboval bych idealne aby na portech byla rozeznana smycka a port se vypnul, ale idealne aby to nebylo se spaningem ...

mam porty takto :

switchport mode access
switchport nonegotiate
switchport protected
spanning-tree portfast
spanning-tree bpduguard disable

a problem je, ze kdykoli nekdo vyvola spaning dotaz ... tak se cely strom prestavi, tedy vymazou se macy ... atd .. coz nechci .. takze otazkou je, jak udelat aby port pred ap, pripadne primo pred klientem, rozpoznal smycku ale nevyvolaval mazani macu / prestavbu spaningu ?

diky

MACky se nevymažou, jenom když se ti tam objeví další krabice s STP na tom portu, ta pošle BDPU paket s příznakem topology change, tak se provede ve switchi fast aging bridge tabulky a pokud MACky zrovna aktivně nekomunikují tak jsou po pár sekundách vyházeny, místo defaultních 5 minut.
Jakou smyčku chceš detekovat?
a) jednoportová smyčka - tu STP neumí chytit. To je případ, že za tím portem máš APčko v bridge, pak máš L2 wifi bridge klienta a klient si za to připojí tupý switch a na něm ti udělá smyčku mezi dvěma porty. Pokud chceš chytat toto, tak to STP neumí a můžeš to STP na portu klidně vypnout (buď aktivovaným bpdu filtrem nebo stp natvrdo pro daný port vypnout).
b) váíceportová smyčka - ano, pak STP funguje. Případ, že mám ve switchi dva porty, na obou bude APčko, klient se připojí dvěma klienty k oběma APčkám a pak to u sebe prokruhuje.... Takový případ STP chytí (pokud krabičky po cestě propustí BPDU pakety). V tomto případě je pak to STP žádoucí mít zapnuto, ale nastavit root guard, ať se ti nestrhne root STP stromu někam k zákazníkovi.
Symčku typu A umí chytit keepalive zapnutý na portu za některých podmínek. Takže záleží, zda máš povoleno/zakázáno "keepalive / no keepalive". V některých verzích IOS to bylo povoleno, někde zase zakázáno, protože to občas dělalo kraviny.

Myslel podle mě spíš tohle:
http://www.cisco.com/c/en/us/support/do ... smartnavRD

Ale pochybuji, že by to Viktor nečetl.

Pokud ovšem chceš loopback-detection bez STP, kupuj access switche od Edge-core. Ty to umí. Resp. umí oboje.

cetl, ale moc jasne me to neni, spis bych potreboval praktickou ukazku jak to udelat aby port detekoval smyce ale nevyvolaval topology change

ludvik píše:Myslel podle mě spíš tohle:
http://www.cisco.com/c/en/us/support/do ... smartnavRD

STP loop guard je něco jiného, to řeší problém jednosměrných smyček přes víc portů. Mám tři switche, propojené duplení optikou do kruhu. STP spokojeně funguje... Pokud ale jedno vlákno přeruším (dva switche jsou tak propojeny jen jedním směrem), tak toto xSTP neumí přímo poznat a otevře smyčku a umátí se to. Toto právě chytá ten loop guard (xSTP korektně samo o sobě funguje správně jen na obousměrných spojích).

Pokud ovšem chceš loopback-detection bez STP, kupuj access switche od Edge-core. Ty to umí. Resp. umí oboje.

Cisco looback smyčky detekuje bez STP, to dělá ta funkce keepalive. Ve skutečnosti STP není schopno loopback detekovat, pokud si pamatuji, tka přímo specifikace říká, že když přijmu BPDU stejným portem do kterého byl poslán, tak má být ignorován.
Proto jsem se Viktora ptal, co za smyčku chce chytat. Pokud ten loopback, tak může STP na těch portech k APčkům vypnout a jen si zkontrolovat, zda má keepalive zapnut. Pak nebude mít problém s topology change, který vyvolává rychlé stárnutí MAC bridge tabulky. TC událost nastane vždy, jak mu port ve stavu portfast přejde do stavu forwarding (stane se součástí xSTP topologie). Takže ani ten návrh s root port guard na to nemá vliv, ten jen hlídá, aby se kořen STP stromu nepřesunul kam nechci.
Jestli Cisco krám má keeplive aktivní na portu je vidět v "show interfaces GigabitEthernetX/Y", kde by měla být pak hláška typu "Keepalive set (10 sec)". U krabic s CatOS by to asi mohl vypisovat "sh port".

Majklik píše:

ludvik píše:Myslel podle mě spíš tohle:
http://www.cisco.com/c/en/us/support/do ... smartnavRD

STP loop guard je něco jiného, to řeší problém jednosměrných smyček přes víc portů. Mám tři switche, propojené duplení optikou do kruhu. STP spokojeně funguje... Pokud ale jedno vlákno přeruším (dva switche jsou tak propojeny jen jedním směrem), tak toto xSTP neumí přímo poznat a otevře smyčku a umátí se to. Toto právě chytá ten loop guard (xSTP korektně samo o sobě funguje správně jen na obousměrných spojích).

Jiné switche tomu říkají stejně (STP Loopback-detection) a naopak to dělá to, co myslím já ... vezmu switch s touto funkcí, do něj něco silně obyčejného - a na tom obyčejném spojím dva porty. STP ač by to asi fakt měl ignorovat, tak neignoruje a přepne port do discard stavu. Asi holt co výrobce, to pojem ...

To co píšeš ty, to si budu muset vyzkoušet. Nemyslím si totiž, že to tak je. Ano, výpadek linku přepočítá topologii ihned ... ale musí to udělat i když přestane komunikovat se sousedem.

Vlastně to vyzkoušené mám ... když jsem přehltil Ceragon a začaly se ztrácet BPDU, spanning-tree se rozpojil. Přehlcený byl jen jedním směrem ... Bylo to otravné, ale žádný problém tohoto typu to nezpůsobilo.

me jde o smycky co zpusobuji vadny atheros ( hlavne u nanostation M5 ) ... uderi blesk sikovne (ne zrovna do nej) a jak ma atheros v sobe 5 eth portu tak se vsechny (nebo nekolik) spoji ... a po bezdratu jak je to napojene k ap dela to smycku, cisco v mem pripade vyhodnoti tuhle smycku a port apecka odpoji ... takze nejde smycka dale do site ..

momentalni konfig portu :
switchport mode access
switchport nonegotiate
switchport protected
spanning-tree portfast
spanning-tree bpduguard disable

pri smycce z vadneho klienta port odpoji ... coz plni ucel ... ale, pokud nekdo pozada o prestaveni stromu, tak je problem

ludvik píše:Jiné switche tomu říkají stejně (STP Loopback-detection) a naopak to dělá to, co myslím já ... vezmu switch s touto funkcí, do něj něco silně obyčejného - a na tom obyčejném spojím dva porty. STP ač by to asi fakt měl ignorovat, tak neignoruje a přepne port do discard stavu. Asi holt co výrobce, to pojem ...

Poslal jsi odkaz na funkci STP Loop Guard, a to je něco zcela jiného než ta STP loopback detekce. Pod názvem loop guard je i v jiných switchích to stejné, co jsem psal, a to detekce jendosměrných smyček a ztrácení BPDU. Cisco má ještě jednu velice podobnou funkci UDLD - Unidirectional Link Detection Protocol, její název je už jasnější.
STP loop guard přitom používá STP pakety (zjednodušeně nedovolí otevřít port do forward stavu pokud přestanou po dobu max age nečekaně chodit pakety a neproběhne cyklus fyzického rozpojení portu - hodí linku do nějaého stavu loop inkonzistence). Kdežto UDLD k tomu používá vlastní obousměrný protokol nezávislý na STP. Ostatní výrobci si také zplácali nějakou obdobu UDLD (myslím, že jen Brocady to maj shodně s Cisco).

STP loopback dělá to, co popisuješ. Detekuje loopback smyčky na jednom portu s použitím STP rámců. Jak jsem včera našel, tak Cisco to má už také o novějších switchů také. Kupodivu pod jménem STP loopback detection. Viktorovi to ta 2960 podle popisu tak i odpojuje pomocí tohoto. Vedle toho má Cisco i detekci smyčly pomocí té funkce keepalive, která používá vlastní loop detekční rámce nezávislé na STP (tohle umí historicky asi i krabice z technického muzea). Je tam ale omezení, že to obvykle neumí detekovat vzdálenou smyčku (dáno tím, že LOOP paket používá unicast, kdy zdrojová i cílová MAC adresa je stejná a nastavena na adresu toho posílacího portu).

ludvik píše:To co píšeš ty, to si budu muset vyzkoušet. Nemyslím si totiž, že to tak je. Ano, výpadek linku přepočítá topologii ihned ... ale musí to udělat i když přestane komunikovat se sousedem.

K čemu tohle bylo? K tomu, že topology change je jen v momentě, když port přejde do stauv forward? Tak tomu je. Musíš rozlišovat STP a RSTP. U RSTP je to tak, že jen přechod portu do stavu forward vyvolá TC událost. Uzavření portu nevyvolá (přechod do blocked stavu), stejně tak edge port si může chodit nahoru/dolů a TC nevyvolá. U staršího STP to bylo jinak, tam TC vyvolalo cokoliv, proto si cisco zavedlo portfast režim portu, jehož přechod up/down nevyvolal poslání TCN k rootu (dokud na portu neuslyší nějaké BPDU).

Tajně doufám, že pokud se bavíme o STP, tak myslíme minimálně RSTP Sorry.

Pokud Viktor fakt nenastavil nic jiného, než uvedl, tak ta 2960 v základu má asi aktivní režim PVST+, což není nic jiného, než Cisco vlastní verze starého a nedobrého STP...
Až při zapnutí rapid PVST+ se to chová dle pokroku daného RSTP protokolem. Takže jde o to, co tam má (ukazuje "show spanning-tree summary"). Takže pokud má aktivní PVST+, tak možná jen přepnutí na modernější variantu (spanning-tree mode rapid-pvst) protokolu by mu odstranilu řadu těch flushování. Pokud všechny switche jsou relativně novější a umí tu rapid verzi.