Re: [FRnOG] Re: SWITCH - question spanning-tree ports edge
Le 25 septembre 2011 12:20, Damien Fleuriot m...@my.gd a écrit : Pourquoi 5 Mac par port ? A moins que tes étudiants aient des VM qui bridgent (par opposition a du nat) ou qu'il y ait des hubs sur ton réseau, aucun intérêt d'avoir + de 1 ou 2. Pourquoi du restrict sur les ports ? Mets les en shutdown avec une err-disable recovery en 30 secondes. Effectivement, c'est à cause des VM que font tourner nos étudiants :) Dans certains cours celle-ci doivent être obligatoirement en bridge, et plus généralement les étudiants les configurent de la sorte par praticité (malgré qu'on le déconseille pour certains cours). En sachant qu'à un moment dans le cursus on doit faire tourner 3 à 4 VM en même temps, j'ai mis une limitation de 5. Le but est surtout d'éviter du MAC flooding, plutôt que les petits hub des étudiants (ca n'arrive jamais, hors laboratoire). On avait choisit le restrict pour qu'un étudiant étourdi puisse continuer de travailler, tous en empêchant les nouvelles mac de passer sur le ports. Après ce choix peut-être discutable, mais connaissant les étudiants, ca râlent pour un rien, donc un shutdown du port nous semblait moyen. Après je n'avais jamais était voir le err-disable, ca m'a l'air vraiment pas mal du tous, merci :) Johann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: SWITCH - question spanning-tree ports edge
Tu droppes les BPDU==ton spanning-tree actuel ne sert à rien :) La bonne démarche est de virer cette commande pour commencer. bpdu guard est suffisant, rootguard ne sert à rien du coup. Par contre attention aux blade-centers avec switch intégré: dans ce cas, pas de bpdu guard (sinon le port il va très vite se couper) mais rootguard à la place (et le rootbridge et son backup fixés en dur sur tes switches, avec priority 0 et 4096). Le 23 sept. 2011 à 10:33, Damien Fleuriot a écrit : Merci à tous pour les réponses, je vais jouer la prudence et conserver le STP ;) Concernant les ports edge, quelqu'un a une recommendation particulière entre root guard et loop guard ? D'un côté, on drop déjà les BPDU des ports edge alors le root guard c'est peut être un peu redondant. On 9/23/11 9:53 AM, Damien Fleuriot wrote: Hello tous, Un truc me turlupine depuis hier là. Sur nos cisco 2960, on met en place la config spanning-tree suivante pour les ports edge (y compris ports trunk arrivant sur des serveurs): - portfast - bpdu guard - bpdu filter - root guard Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree sur mes ports edge ? Sachant que les ports non utilisés sont shutdown et dans un vlan suspendu, je ne vois pas de scénario catastrophe. Des avis ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: SWITCH - question spanning-tree ports edge
Les root bridges sont déjà fixés avec respectivement 4096 et 8192. Concernant les blade centers avec switchs intégrés, c'est des switchs cisco alors sur les ports d'uplink on a une configuration standardisée: - pas de portfast , donc pas de bpdufilter/guard - root guard La question subsidiaire était, est-ce qu'il y a une utilité à loop guard (ou UDLD) sur les ports edge ? On 9/23/11 10:42 AM, Olivier Benghozi wrote: Tu droppes les BPDU==ton spanning-tree actuel ne sert à rien :) La bonne démarche est de virer cette commande pour commencer. bpdu guard est suffisant, rootguard ne sert à rien du coup. Par contre attention aux blade-centers avec switch intégré: dans ce cas, pas de bpdu guard (sinon le port il va très vite se couper) mais rootguard à la place (et le rootbridge et son backup fixés en dur sur tes switches, avec priority 0 et 4096). Le 23 sept. 2011 à 10:33, Damien Fleuriot a écrit : Merci à tous pour les réponses, je vais jouer la prudence et conserver le STP ;) Concernant les ports edge, quelqu'un a une recommendation particulière entre root guard et loop guard ? D'un côté, on drop déjà les BPDU des ports edge alors le root guard c'est peut être un peu redondant. On 9/23/11 9:53 AM, Damien Fleuriot wrote: Hello tous, Un truc me turlupine depuis hier là. Sur nos cisco 2960, on met en place la config spanning-tree suivante pour les ports edge (y compris ports trunk arrivant sur des serveurs): - portfast - bpdu guard - bpdu filter - root guard Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree sur mes ports edge ? Sachant que les ports non utilisés sont shutdown et dans un vlan suspendu, je ne vois pas de scénario catastrophe. Des avis ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: SWITCH - question spanning-tree ports edge
On 9/23/11 10:49 AM, Fabien Delmotte wrote: Bonjour, Je pensais que UDLD était Unidirectional link détection et donc n'avait rien a voir avec le STP ? Par contre cela peut être un complément au STP, mais UDLD ne s'utilise que sur de la fibre Suis je dans l'erreur ? En effet pas de rapport avec STP ;) L'UDLD fonctionne aussi sur le copper: UDLD is a Layer 2 protocol that enables devices connected through fiber-optic or twisted-pair Ethernet cables [...] http://www.cisco.com/en/US/docs/switches/lan/catalyst2970/software/release/12.1_14_ea1/configuration/guide/swudld.html#wp1020819 J'essaye de blinder au mieux nos ports edge, et je considère les features suivantes: - virer le root guard depuis que j'ai mis du bpdufilter - ajouter du loop guard (est-ce qu'il y a un intérêt ? a mon avis ça sert surtout à se protéger des switchs non manageables, donc oui, intérêt) - ajouter de l'UDLD - ajouter du DAI --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: SWITCH - question spanning-tree ports edge
UDLD sur du copper faut pas avoir de bol :) Pour approfondir un peu, un bpdufilter en global configuration va aussi te permettre de perdre ton portfast si le port reçoit un BPDU. BPDU gard et portfast pour moi en général :) Bon vendredi. Le 23 septembre 2011 10:53, Damien Fleuriot m...@my.gd a écrit : On 9/23/11 10:49 AM, Fabien Delmotte wrote: Bonjour, Je pensais que UDLD était Unidirectional link détection et donc n'avait rien a voir avec le STP ? Par contre cela peut être un complément au STP, mais UDLD ne s'utilise que sur de la fibre Suis je dans l'erreur ? En effet pas de rapport avec STP ;) L'UDLD fonctionne aussi sur le copper: UDLD is a Layer 2 protocol that enables devices connected through fiber-optic or twisted-pair Ethernet cables [...] http://www.cisco.com/en/US/docs/switches/lan/catalyst2970/software/release/12.1_14_ea1/configuration/guide/swudld.html#wp1020819 J'essaye de blinder au mieux nos ports edge, et je considère les features suivantes: - virer le root guard depuis que j'ai mis du bpdufilter - ajouter du loop guard (est-ce qu'il y a un intérêt ? a mon avis ça sert surtout à se protéger des switchs non manageables, donc oui, intérêt) - ajouter de l'UDLD - ajouter du DAI --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Nicolas MICHEL Ingenieur Réseaux CCIE #29410 Tel: +33 6 08 72 75 97
Re: [FRnOG] Re: SWITCH - question spanning-tree ports edge
On 9/23/11 2:12 PM, Nicolas MICHEL wrote: UDLD sur du copper faut pas avoir de bol :) Pour approfondir un peu, un bpdufilter en global configuration va aussi te permettre de perdre ton portfast si le port reçoit un BPDU. BPDU gard et portfast pour moi en général :) Bon vendredi. Ici, portfast sur les ports access, portfast trunk sur les ports trunk non uplink. bpdufilter pour que les machines clientes ne voient rien, bpduguard pour que leur port tombe si ils font des conneries. En projet: - UDLD - DAI - DHCP snooping, c'est vrai que je l'avais pas mentionné mais ça serait vraiment une bonne idée Reste la question de: loopguard, intéressant ou pas, si oui sur quel type de port (edge, uplink) ... Sauf erreur, on ne peut pas avoir root et loop guard en même temps :/ --- Liste de diffusion du FRnOG http://www.frnog.org/