Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-23 Par sujet Fabien Sirjean 

Bonjour,

Merci beaucoup pour vos réponses et avis.

Ça nous a conforté dans l'idée de ne pas faire de spanning-tree à 
l'échelle de l'infra, car nous n'en avons pas besoin (et pas envie).


Voilà ce que ça donne au final chez nous :

 * Pas de spanning-tree sur notre infra, du tout, sur les couches core
   et aggregation (no spanning-tree). Tous les liens sont redondés en
   LACP (vPC/MLAG).
 * Du spanning-tree le plus simple possible sur les couches access,
   chaque stack étant la racine de son propre arbre local, qui ne sort
   pas de la stack (à priori du rapid-pvst par simplicité sur nos 2960x)
 * Sur les switchs d'access, il faut donc systématiquement faire du
   bpdufilter sur les ports upstream (pour ne pas propager l'arbre
   spanning-tree vers l'infra)
 * Sur les ports edge, on fait du portfast (pour éviter les latences à
   l'allumage du port) et du bpduguard pour shut un port edge qui
   reçoit des BPDU (un switch, à priori)
 * En complément sur les ports edge, on fait du storm-control pour
   couper s'il y a trop de broadcast/multicast ; et du port-security
   pour limiter le nombre de MAC autorisées sur un port (variable selon
   le type de VLAN)
 * Et on bosse sur l’implémentation de 802.1x et Private Vlan, mais
   c'est un autre sujet.

Bonne journée à toutes et tous,

Fabien


On 4/22/24 17:49, Fabien Sirjean wrote:

Bonjour la liste !

Ça fait maintenant quelques semaines qu'on se gratte la tête avec les 
collègues, alors je viens ici chercher des avis éclairés.


On exploite une infra campus, de type 3 tiers (core/aggreg/access), en 
pur layer 2 (des VLAN propagés entre l'edge et le core) en 
multi-constructeurs (HP procurve, Extreme, Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse 
vingtaine de bâtiments, sur un seul site. Le core est à cheval sur 
deux bâtiments, tout comme la couche d'aggreg des différents switchs 
d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon 
la couleur de l'équipement), on a aucune boucle sur l'infra.


On est en train de reprendre la config de nos switchs (refonte totale 
du parc, on déploie du 2060X refurbished) et on se pose une question 
bête : spanning-tree or not spanning tree ?


Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les 
équipements). On veut bien sur faire de la détection de boucle (voire 
du bpdu guard) sur les ports edge ; mais quid des liens infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et 
notre manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, 
PVST, MSTP...) techno du diable, on a pas très envie de faire un seul 
arbre spanning-tree à l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps de 
convergence infinis, et on a pas très envie de recommencer. Mais c'est 
ce que nous préconise un presta, alors on doute de nos choix.


Un avis sur la question ? Vous faites comment chez vous ?

Bien sur la meilleure réponse est de tout passer en L3 et de faire du 
routage, mais... C'est pas au programme pour l'instant ;-)


Merci d'avance de vos retours !

Bonne soirée,

Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-23 Par sujet Denis Fondras via frnog 
Le Mon, Apr 22, 2024 at 07:16:42PM +, NELLI Olivier a écrit :
> Bonsoir à tous,
> Le spanning-tree marche bien pour de très petites infras. Le mstp est 
> compliqué (le rstp est mieux, plus simple) mais la convergence, bien 
> qu'améliorée, reste mauvaise (plusieurs secondes voir 1/2 minute). A mon 
> avis, dans votre cas le stp et dérivés seraient à proscrire.
> Il y a une techno peu utilisée en campus mais qui est super pour ces 
> environnements de niv 2. C'est le rps/erps/rrpp. Ça gère des boucles, 
> imbriquées ou non, ça converge hyper bien (<100ms), c'est assez simple en 
> mettre en œuvre et ça s'adapterai assez bien à votre profil (300sw/20 
> bâtiments).

Autant je trouve ERPS efficace sur des petites infras, autant je suis dubitatif
sur un anneau avec un grand nombre de switches.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-23 Par sujet Phil Regnauld 
David Ponzone (david.ponzone) writes:
> 
> 
> Suffit d’un téléphone IP et d’un bouffon qui trouve dommage que son port PC 
> soit pas dans une prise murale.

C'est pas ça qu'on appelle la boucle locale ? :D

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet David Ponzone 



> Le 23 avr. 2024 à 03:38, Guillaume Lorre  a écrit :
> 
> 
> Autre interrogation : il y a encore des hubs, des mini-switch ou autre
> horreurs dans le genre chez toi ? A prendre en compte pour du loop-protect.
> 

Suffit d’un téléphone IP et d’un bouffon qui trouve dommage que son port PC 
soit pas dans une prise murale.

David


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Guillaume Lorre 
Salut,

MSTP semble effectivement le mieux indiqué.
C'est pas trop compliqué à comprendre (ca reste une sorte de mélange entre
RSTP et RPVST) qui est assez souple, malléable et adaptatif par rapport aux
autres protocoles Spanning-tree (par exemple : les régions dans ton cas
pour avoir plusieurs arbres).
Attention quand même à l'interopérabilité sur les phases de migration. J'ai
déjà eu de mauvaises surprises, sur du Catalyst notamment, lorsque des BPDU
de différents protocoles se déplacent sur le réseau.

Et puis tout dépends de l'étendu de tes VLAN sur tes bâtiments. Tout les
VLANs sont déployés et utilisés sur plusieurs bâtiments ou non ? Si c'est
pas le cas, la topologie en VLAN locaux et routage à l'agrégation est
peut-être pas si loin.

Ou sinon pas de STP et du stormcontrol blindés partout et un très bon
monitoring mais je suis moins fan.

Autre interrogation : il y a encore des hubs, des mini-switch ou autre
horreurs dans le genre chez toi ? A prendre en compte pour du loop-protect.

A+

Guillaume.

Le lun. 22 avr. 2024, 20:40, Pierre LANCASTRE 
a écrit :

> Hello
>
> +1 pour le mstp. Car plus flexible sur certaines archi. Par exemple sur des
> étages "coeur" ou on veut avoir des vlan point a point entre les "switch
> routeurs" pour faire du routage dynamique, pour passer des vlan de synchro
> firewalls via deux paths différents, etc.
> Avec MSTP tu peux faire plusieurs arbres, avec rstp un seul, et le
> pvst/vstp c est le plus flexible (1 vlan 1 arbre) mais c est pas scalable,
> et source potentielle de bonnes blagues, au moins sur iOS Cisco. Exemple un
> peu vieux : tu configures le N+1 ème VLAN avec N le nombre max d instances
> stp. Et hop, le Cisco te fait un no spanning tree vlan xxx avec xxx le vlan
> id de plus haut de souvenir (pas sur).
>
> J avais eu jadis des incompatibilités MSTP entre des Cisco et des Extreme,
> mais ça date de 2007, j pense que ça c est amélioré depuis :)
>
> Bref, une page pour aider à comparer les +/- des protos
>
> https://www.juniper.net/documentation/us/en/software/junos/stp-l2/topics/topic-map/spanning-tree-configuring-mstp.html
>
> A+
>
> Pierre L.
>
> Le lun. 22 avr. 2024, 5 h 04 p.m., Nicolas Parpandet via frnog <
> frnog@frnog.org> a écrit :
>
> > Hello,
> >
> > Comme tu as un environnement hétérogène, le spanning tree le plus
> > compatible "inter-marques" est très certainement le MSTP 
> >
> > A+
> >
> > Nicolas
> >
> >
> > 
> > From: frnog-requ...@frnog.org  on behalf of
> > Fabien Sirjean 
> > Sent: Monday, April 22, 2024 17:49
> > To: frnog-t...@frnog.org 
> > Subject: [FRnOG] [TECH] Spanning-tree sur infra campus
> >
> > Bonjour la liste !
> >
> > Ça fait maintenant quelques semaines qu'on se gratte la tête avec les
> > collègues, alors je viens ici chercher des avis éclairés.
> >
> > On exploite une infra campus, de type 3 tiers (core/aggreg/access), en
> > pur layer 2 (des VLAN propagés entre l'edge et le core) en
> > multi-constructeurs (HP procurve, Extreme, Cisco 2960X...).
> > Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine
> > de bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments,
> > tout comme la couche d'aggreg des différents switchs d'access.
> > Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la
> > couleur de l'équipement), on a aucune boucle sur l'infra.
> >
> > On est en train de reprendre la config de nos switchs (refonte totale du
> > parc, on déploie du 2060X refurbished) et on se pose une question bête :
> > spanning-tree or not spanning tree ?
> >
> > Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les
> > équipements). On veut bien sur faire de la détection de boucle (voire du
> > bpdu guard) sur les ports edge ; mais quid des liens infra ?
> > Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et
> > notre manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST,
> > MSTP...) techno du diable, on a pas très envie de faire un seul arbre
> > spanning-tree à l'échelle de notre infra.
> > On a vécu des changements de topologie incessants, avec des temps de
> > convergence infinis, et on a pas très envie de recommencer. Mais c'est
> > ce que nous préconise un presta, alors on doute de nos choix.
> >
> > Un avis sur la question ? Vous faites comment chez vous ?
> >
> > Bien sur la meilleure réponse est de tout passer en L3 et de faire du
> > routage, mais... C'est pas au programme pour l'instant ;-)
> >
> > Merci d'avance de vos retours !
> >
> > Bonne soirée,
> >
> > Fabien
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Pierre LANCASTRE 
Hello

+1 pour le mstp. Car plus flexible sur certaines archi. Par exemple sur des
étages "coeur" ou on veut avoir des vlan point a point entre les "switch
routeurs" pour faire du routage dynamique, pour passer des vlan de synchro
firewalls via deux paths différents, etc.
Avec MSTP tu peux faire plusieurs arbres, avec rstp un seul, et le
pvst/vstp c est le plus flexible (1 vlan 1 arbre) mais c est pas scalable,
et source potentielle de bonnes blagues, au moins sur iOS Cisco. Exemple un
peu vieux : tu configures le N+1 ème VLAN avec N le nombre max d instances
stp. Et hop, le Cisco te fait un no spanning tree vlan xxx avec xxx le vlan
id de plus haut de souvenir (pas sur).

J avais eu jadis des incompatibilités MSTP entre des Cisco et des Extreme,
mais ça date de 2007, j pense que ça c est amélioré depuis :)

Bref, une page pour aider à comparer les +/- des protos
https://www.juniper.net/documentation/us/en/software/junos/stp-l2/topics/topic-map/spanning-tree-configuring-mstp.html

A+

Pierre L.

Le lun. 22 avr. 2024, 5 h 04 p.m., Nicolas Parpandet via frnog <
frnog@frnog.org> a écrit :

> Hello,
>
> Comme tu as un environnement hétérogène, le spanning tree le plus
> compatible "inter-marques" est très certainement le MSTP 
>
> A+
>
> Nicolas
>
>
> 
> From: frnog-requ...@frnog.org  on behalf of
> Fabien Sirjean 
> Sent: Monday, April 22, 2024 17:49
> To: frnog-t...@frnog.org 
> Subject: [FRnOG] [TECH] Spanning-tree sur infra campus
>
> Bonjour la liste !
>
> Ça fait maintenant quelques semaines qu'on se gratte la tête avec les
> collègues, alors je viens ici chercher des avis éclairés.
>
> On exploite une infra campus, de type 3 tiers (core/aggreg/access), en
> pur layer 2 (des VLAN propagés entre l'edge et le core) en
> multi-constructeurs (HP procurve, Extreme, Cisco 2960X...).
> Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine
> de bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments,
> tout comme la couche d'aggreg des différents switchs d'access.
> Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la
> couleur de l'équipement), on a aucune boucle sur l'infra.
>
> On est en train de reprendre la config de nos switchs (refonte totale du
> parc, on déploie du 2060X refurbished) et on se pose une question bête :
> spanning-tree or not spanning tree ?
>
> Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les
> équipements). On veut bien sur faire de la détection de boucle (voire du
> bpdu guard) sur les ports edge ; mais quid des liens infra ?
> Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et
> notre manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST,
> MSTP...) techno du diable, on a pas très envie de faire un seul arbre
> spanning-tree à l'échelle de notre infra.
> On a vécu des changements de topologie incessants, avec des temps de
> convergence infinis, et on a pas très envie de recommencer. Mais c'est
> ce que nous préconise un presta, alors on doute de nos choix.
>
> Un avis sur la question ? Vous faites comment chez vous ?
>
> Bien sur la meilleure réponse est de tout passer en L3 et de faire du
> routage, mais... C'est pas au programme pour l'instant ;-)
>
> Merci d'avance de vos retours !
>
> Bonne soirée,
>
> Fabien
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Nicolas Parpandet via frnog 
Hello,

Comme tu as un environnement hétérogène, le spanning tree le plus compatible 
"inter-marques" est très certainement le MSTP 

A+

Nicolas



From: frnog-requ...@frnog.org  on behalf of Fabien 
Sirjean 
Sent: Monday, April 22, 2024 17:49
To: frnog-t...@frnog.org 
Subject: [FRnOG] [TECH] Spanning-tree sur infra campus

Bonjour la liste !

Ça fait maintenant quelques semaines qu'on se gratte la tête avec les
collègues, alors je viens ici chercher des avis éclairés.

On exploite une infra campus, de type 3 tiers (core/aggreg/access), en
pur layer 2 (des VLAN propagés entre l'edge et le core) en
multi-constructeurs (HP procurve, Extreme, Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine
de bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments,
tout comme la couche d'aggreg des différents switchs d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la
couleur de l'équipement), on a aucune boucle sur l'infra.

On est en train de reprendre la config de nos switchs (refonte totale du
parc, on déploie du 2060X refurbished) et on se pose une question bête :
spanning-tree or not spanning tree ?

Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les
équipements). On veut bien sur faire de la détection de boucle (voire du
bpdu guard) sur les ports edge ; mais quid des liens infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et
notre manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST,
MSTP...) techno du diable, on a pas très envie de faire un seul arbre
spanning-tree à l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps de
convergence infinis, et on a pas très envie de recommencer. Mais c'est
ce que nous préconise un presta, alors on doute de nos choix.

Un avis sur la question ? Vous faites comment chez vous ?

Bien sur la meilleure réponse est de tout passer en L3 et de faire du
routage, mais... C'est pas au programme pour l'instant ;-)

Merci d'avance de vos retours !

Bonne soirée,

Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet NELLI Olivier 
Bonsoir à tous,
Le spanning-tree marche bien pour de très petites infras. Le mstp est compliqué 
(le rstp est mieux, plus simple) mais la convergence, bien qu'améliorée, reste 
mauvaise (plusieurs secondes voir 1/2 minute). A mon avis, dans votre cas le 
stp et dérivés seraient à proscrire.
Il y a une techno peu utilisée en campus mais qui est super pour ces 
environnements de niv 2. C'est le rps/erps/rrpp. Ça gère des boucles, 
imbriquées ou non, ça converge hyper bien (<100ms), c'est assez simple en 
mettre en œuvre et ça s'adapterai assez bien à votre profil (300sw/20 
bâtiments).
Cdt,

Olivier

Le 22/04/2024 17:51, « frnog-requ...@frnog.org 
 au nom de Fabien Sirjean » 
mailto:frnog-requ...@frnog.org> au nom de 
fsirj...@eddie.fdn.fr > a écrit :


Ce mail provient de l'extérieur, restons vigilants


Bonjour la liste !


Ça fait maintenant quelques semaines qu'on se gratte la tête avec les 
collègues, alors je viens ici chercher des avis éclairés.


On exploite une infra campus, de type 3 tiers (core/aggreg/access), en 
pur layer 2 (des VLAN propagés entre l'edge et le core) en 
multi-constructeurs (HP procurve, Extreme, Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine 
de bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments, 
tout comme la couche d'aggreg des différents switchs d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la 
couleur de l'équipement), on a aucune boucle sur l'infra.


On est en train de reprendre la config de nos switchs (refonte totale du 
parc, on déploie du 2060X refurbished) et on se pose une question bête : 
spanning-tree or not spanning tree ?


Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les 
équipements). On veut bien sur faire de la détection de boucle (voire du 
bpdu guard) sur les ports edge ; mais quid des liens infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et 
notre manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST, 
MSTP...) techno du diable, on a pas très envie de faire un seul arbre 
spanning-tree à l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps de 
convergence infinis, et on a pas très envie de recommencer. Mais c'est 
ce que nous préconise un presta, alors on doute de nos choix.


Un avis sur la question ? Vous faites comment chez vous ?


Bien sur la meilleure réponse est de tout passer en L3 et de faire du 
routage, mais... C'est pas au programme pour l'instant ;-)


Merci d'avance de vos retours !


Bonne soirée,


Fabien




---
Liste de diffusion du FRnOG
http://www.frnog.org/ 




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Clément Guivy 

On 22/04/2024 20:18, Paul Rolland (ポール・ロラン) wrote:

Et si tu nous expliquais pourquoi tu ne veux pas de Spanning-tree ? A la
base, il a ete fait pour gerer ces problemes de boucles. Tu ne veux pas des
problemes de boucles, mais tu ne veux pas non plus de la solution
naturelle. C'est un peu complexe du coup ;)


Tout à fait d'accord là-dessus. Il faut préciser le besoin avant de 
chercher (à écarter) une solution. Pour l'instant sauf si j'ai raté 
quelque chose, on pourrait très bien être face à un problème XY.


J'ai déjà fait du campus (~50 switches) avec STP (RSTP en l'occurence), 
ça fonctionne comme prévu quand c'est configuré correctement (et ce 
n'est pas très compliqué à configurer). Et ce n'est pas incompatible 
avec le LACP ou même le stacking (pour ceux qui pratiquent cette 
religion :o ).


Penser à récupérer les messages syslog de détection de boucle pour 
avertir le help desk ou les admins quand quelqu'un fait une boulette, si 
c'est pertinent.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Paul Rolland (ポール・ロラン) 
Bonsoir,

On Mon, 22 Apr 2024 18:08:33 +0200
Fabien Sirjean  wrote:

> > Tu as une boucle dans ton L2 ou pas ?  
> Non, et c'est pas prévu puisqu'on redonde tout en LACP.
>
> > Et si non, y a des bouffons qui pourraient en faire une ?  
> 
> Sur les liens autres que edge (c'est-à-dire sur l'infra) les bouffons
> éventuels c'est nous, et on sait châtier les collègues au besoin. --> Non

Bon, mes deux sous:
 - "c'est pas prevu", c'est une mauvaise reponse. Si tu le prevois pas, le
   jour ou ca va arriver, tu seras bien triste.

 - "on sait châtier les collègues au besoin", ok, sauf que ca sera trop
   tard.

Je te conseille donc, si tu es sur ce genre d'approche, de t'assurer que
ton OOB pour manager tous tes equipements, et deboucler en remote en cas de
boulette, est bien fonctionnel et totalement independant. 

> Par contre sur les ports edge (ceux où sont connectés les users, ceux
> qui font peur et qui branchent/débranchent leurs équipements en
> permanence) c'est un risque sérieux.

En plus des suggestions deja faites, tu peux aussi regarder :
 - max mac-address, pour limiter le nombre de MAC, et bloquer si ca depasse
   1 par exemple,
 - 802.1x ???
 
> Si je suis ta logique, on souhaite donc uniquement détecter une boucle
> sur les ports edge. Comment on fait ça proprement, sans se lancer dans
> du spanning-tree sur l'infra ?

Et si tu nous expliquais pourquoi tu ne veux pas de Spanning-tree ? A la
base, il a ete fait pour gerer ces problemes de boucles. Tu ne veux pas des
problemes de boucles, mais tu ne veux pas non plus de la solution
naturelle. C'est un peu complexe du coup ;)
 
Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Phil Regnauld 
Fabien Sirjean (fsirjean) writes:
> Bonjour la liste !
> 
> Ça fait maintenant quelques semaines qu'on se gratte la tête avec les
> collègues, alors je viens ici chercher des avis éclairés.
> 
> On exploite une infra campus, de type 3 tiers (core/aggreg/access), en pur
> layer 2 (des VLAN propagés entre l'edge et le core) en multi-constructeurs
> (HP procurve, Extreme, Cisco 2960X...).


Ne pas faire du 3 tiers en pur L2 ? Je sais, c'est pas au programme :)


> On est en train de reprendre la config de nos switchs (refonte totale du
> parc, on déploie du 2060X refurbished) et on se pose une question bête :
> spanning-tree or not spanning tree ?

MSTP si possible.

> techno du diable, on a pas très envie de faire un seul arbre spanning-tree à
> l'échelle de notre infra.

Bonne idée.

> On a vécu des changements de topologie incessants, avec des temps de
> convergence infinis, et on a pas très envie de recommencer. Mais c'est ce
> que nous préconise un presta, alors on doute de nos choix.

Si on contrôle bien les liens infra et on est quasi sûr que personne
ne va faire des boucles à ce niveau, on peut décider de fermer les ports
manuellement. Ou voir si il y a des options vPC / MLAG pour utiliser des
liens redondants de manière efficace (moins certain quand on fait du
multi-vendeur bien évidemment).

> Bien sur la meilleure réponse est de tout passer en L3 et de faire du
> routage, mais... C'est pas au programme pour l'instant ;-)

Mais y réfléchir fortement - et ça ne nécessite pas forcément
une transition complète du réseau en une seule étape.

P.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Emmanuel ANDRÉ via frnog 

Salut,

Perso, je le configurerai partout, même sans boucle dans le design à 
date mais pour le futur, tu es boufon-proof ready.


Le storm control, fait avec des ASR920, ça marche mais c'est le backbone 
qui tient pas les end device qui au delà de 100 Mbps de bcast sont dans 
le vent déjà.



Le 22/04/2024 à 19:29, Fabien Sirjean a écrit :

Hello,

On 4/22/24 18:51, Aurélien TABARAUD wrote:

Salut,

Fonction storm control avec en action le shutdown du port au delà 
d’un certain seuil de paquets de broadcast.


Merci pour le retour :-)

On met déjà du storm-control, mais la question du seuil n'est pas 
évidente. Même 1% sur un port 10G, ça fait quand même 100 Mbps...


D'ailleurs, vous les mettez à combien vos seuils de storm-control ?

On voulait donc mettre du bpduguard en complément, d'où la question 
sur spanning-tree.


Bonne soirée !

Fabien





Ensuite ton technicien gère les tickets de support « ehhh mon réseau 
marche plus » ouverts au fur et à mesure par les utilisateurs.


Syntaxe Cisco : storm-control
Synthaxe HP : storm-constrain
Etc

Cordialement,

Aurélien


Par exemple, j'ai l'impression que si je fais un "no spanning-tree" 
sur un 2960X, les commandes "spanning-tree bpduguard enable" sur un 
port sont sans effet.


Bonne soirée,

Fabien


David


Le 22 avr. 2024 à 17:49, Fabien Sirjean   
a écrit :

Bonjour la liste !

Ça fait maintenant quelques semaines qu'on se gratte la tête avec 
les collègues, alors je viens ici chercher des avis éclairés.


On exploite une infra campus, de type 3 tiers 
(core/aggreg/access), en pur layer 2 (des VLAN propagés entre 
l'edge et le core) en multi-constructeurs (HP procurve, Extreme, 
Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse 
vingtaine de bâtiments, sur un seul site. Le core est à cheval sur 
deux bâtiments, tout comme la couche d'aggreg des différents 
switchs d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever 
selon la couleur de l'équipement), on a aucune boucle sur l'infra.


On est en train de reprendre la config de nos switchs (refonte 
totale du parc, on déploie du 2060X refurbished) et on se pose une 
question bête : spanning-tree or not spanning tree ?


Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les 
équipements). On veut bien sur faire de la détection de boucle 
(voire du bpdu guard) sur les ports edge ; mais quid des liens 
infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, 
et notre manque de maîtrise de cette (ou plutôt ces entre STP, 
RSTP, PVST, MSTP...) techno du diable, on a pas très envie de 
faire un seul arbre spanning-tree à l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps 
de convergence infinis, et on a pas très envie de recommencer. 
Mais c'est ce que nous préconise un presta, alors on doute de nos 
choix.


Un avis sur la question ? Vous faites comment chez vous ?

Bien sur la meilleure réponse est de tout passer en L3 et de faire 
du routage, mais... C'est pas au programme pour l'instant ;-)


Merci d'avance de vos retours !

Bonne soirée,

Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Bien cordialement,
Emmanuel André


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Erwan David 

Le 22/04/2024 à 19:29, Fabien Sirjean a écrit :

Hello,

On 4/22/24 18:51, Aurélien TABARAUD wrote:

Salut,

Fonction storm control avec en action le shutdown du port au delà 
d’un certain seuil de paquets de broadcast.


Merci pour le retour :-)

On met déjà du storm-control, mais la question du seuil n'est pas 
évidente. Même 1% sur un port 10G, ça fait quand même 100 Mbps...


D'ailleurs, vous les mettez à combien vos seuils de storm-control ?

On voulait donc mettre du bpduguard en complément, d'où la question 
sur spanning-tree.


Bonne soirée !

Fabien 



Attention avec le BPDUGuard, j'ai déjà vu un virtualbox émettre des 
BPDU, le dev qui avait besoin de se simuler un petit réseau était un peu 
emmerdé.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Fabien Sirjean 

Hello,

On 4/22/24 18:51, Aurélien TABARAUD wrote:

Salut,

Fonction storm control avec en action le shutdown du port au delà d’un certain 
seuil de paquets de broadcast.


Merci pour le retour :-)

On met déjà du storm-control, mais la question du seuil n'est pas 
évidente. Même 1% sur un port 10G, ça fait quand même 100 Mbps...


D'ailleurs, vous les mettez à combien vos seuils de storm-control ?

On voulait donc mettre du bpduguard en complément, d'où la question sur 
spanning-tree.


Bonne soirée !

Fabien





Ensuite ton technicien gère les tickets de support « ehhh mon réseau marche 
plus » ouverts au fur et à mesure par les utilisateurs.

Syntaxe Cisco : storm-control
Synthaxe HP : storm-constrain
Etc

Cordialement,

Aurélien



Par exemple, j'ai l'impression que si je fais un "no spanning-tree" sur un 2960X, les 
commandes "spanning-tree bpduguard enable" sur un port sont sans effet.

Bonne soirée,

Fabien


David



Le 22 avr. 2024 à 17:49, Fabien Sirjean   a écrit :

Bonjour la liste !

Ça fait maintenant quelques semaines qu'on se gratte la tête avec les 
collègues, alors je viens ici chercher des avis éclairés.

On exploite une infra campus, de type 3 tiers (core/aggreg/access), en pur 
layer 2 (des VLAN propagés entre l'edge et le core) en multi-constructeurs (HP 
procurve, Extreme, Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine de 
bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments, tout 
comme la couche d'aggreg des différents switchs d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la 
couleur de l'équipement), on a aucune boucle sur l'infra.

On est en train de reprendre la config de nos switchs (refonte totale du parc, 
on déploie du 2060X refurbished) et on se pose une question bête : 
spanning-tree or not spanning tree ?

Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les équipements). 
On veut bien sur faire de la détection de boucle (voire du bpdu guard) sur les ports edge 
; mais quid des liens infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et notre 
manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST, MSTP...) 
techno du diable, on a pas très envie de faire un seul arbre spanning-tree à 
l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps de 
convergence infinis, et on a pas très envie de recommencer. Mais c'est ce que 
nous préconise un presta, alors on doute de nos choix.

Un avis sur la question ? Vous faites comment chez vous ?

Bien sur la meilleure réponse est de tout passer en L3 et de faire du routage, 
mais... C'est pas au programme pour l'instant ;-)

Merci d'avance de vos retours !

Bonne soirée,

Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Emmanuel Halbwachs 
Bonsoir,

Fabien Sirjean (Mon 2024-04-22 18:08:33 +0200) :
> Par contre sur les ports edge (ceux où sont connectés les users, ceux qui
> font peur et qui branchent/débranchent leurs équipements en permanence)
> c'est un risque sérieux.
> 
> Si je suis ta logique, on souhaite donc uniquement détecter une boucle sur
> les ports edge. Comment on fait ça proprement, sans se lancer dans du
> spanning-tree sur l'infra ?

Chez Procurve, il y a loop-protect.

Chez nous, nous voulions nous prémunir du câble branché entre deux
prises murales (faut vraiment vouloir) mais surtout nous prémunir
d'une boucle faite sur un mini-switch non manageable connecté sur un
port (vu régulièrement).

Pour bloquer le port (action par défaut) pendant une
temporisation p. ex. de 5' (300 s), qui se répètera tant que le
problème n'aura pas disparu :

loop-protect  
loop-protect disable-timer 300


Ou alors une temporisation de zéro, c.-à-d. que le port restera
indéfiniment bloqué tant que l'admin ne l'aura pas débloqué
(pédagogie). ;-). La temporisation de 0 est la valeur par défaut :

loop-protect  
loop-protect disable-timer 0

La doc HP mentionne que cette technique est plus sûre que la
protection BPDU, car un équipement comme un mini-switch pourrait dans
certains cas dropper les paquets BPDU.

Bonne soirée,

-- 
Emmanuel Halbwachs, Observatoire de Paris, ✆ +33 1 45 07 75 54
DIO¹ / CASTORS² 嶺 / PANDA³ 
¹ Direction Informatique de l'Observatoire ; ² CAlcul, STOckage, Réseau, Système
³ Pool of Awesome Network Devices Administrators


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Aurélien TABARAUD via frnog 




> Le 22 avr. 2024 à 18:08, Fabien Sirjean  a écrit :
> 
> Hello,
> 
>> On 4/22/24 18:00, David Ponzone wrote:
>> Si tu reviens aux fondamentaux, c’est quoi la raison d’être de STP ?
> OK, j'aime bien l'approche ;-)
>> -avoir un réseau qui fonctionne avec une boucle
>> -avoir un réseau qui continue de fonctionner quand un bouffon vient former 
>> une boucle qui était pas prévue en branchant un câble n’importe où
>> 
>> Tu as une boucle dans ton L2 ou pas ?
> Non, et c'est pas prévu puisqu'on redonde tout en LACP.
>> Et si non, y a des bouffons qui pourraient en faire une ?
> 
> Sur les liens autres que edge (c'est-à-dire sur l'infra) les bouffons 
> éventuels c'est nous, et on sait châtier les collègues au besoin. --> Non
> 
> Par contre sur les ports edge (ceux où sont connectés les users, ceux qui 
> font peur et qui branchent/débranchent leurs équipements en permanence) c'est 
> un risque sérieux.
> 
> Si je suis ta logique, on souhaite donc uniquement détecter une boucle sur 
> les ports edge. Comment on fait ça proprement, sans se lancer dans du 
> spanning-tree sur l'infra ?

Salut,

Fonction storm control avec en action le shutdown du port au delà d’un certain 
seuil de paquets de broadcast.

Ensuite ton technicien gère les tickets de support « ehhh mon réseau marche 
plus » ouverts au fur et à mesure par les utilisateurs.

Syntaxe Cisco : storm-control
Synthaxe HP : storm-constrain
Etc

Cordialement,

Aurélien 


> Par exemple, j'ai l'impression que si je fais un "no spanning-tree" sur un 
> 2960X, les commandes "spanning-tree bpduguard enable" sur un port sont sans 
> effet.
> 
> Bonne soirée,
> 
> Fabien
> 
>> David
>> 
>> 
 Le 22 avr. 2024 à 17:49, Fabien Sirjean  a écrit :
>>> 
>>> Bonjour la liste !
>>> 
>>> Ça fait maintenant quelques semaines qu'on se gratte la tête avec les 
>>> collègues, alors je viens ici chercher des avis éclairés.
>>> 
>>> On exploite une infra campus, de type 3 tiers (core/aggreg/access), en pur 
>>> layer 2 (des VLAN propagés entre l'edge et le core) en multi-constructeurs 
>>> (HP procurve, Extreme, Cisco 2960X...).
>>> Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine de 
>>> bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments, tout 
>>> comme la couche d'aggreg des différents switchs d'access.
>>> Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la 
>>> couleur de l'équipement), on a aucune boucle sur l'infra.
>>> 
>>> On est en train de reprendre la config de nos switchs (refonte totale du 
>>> parc, on déploie du 2060X refurbished) et on se pose une question bête : 
>>> spanning-tree or not spanning tree ?
>>> 
>>> Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les 
>>> équipements). On veut bien sur faire de la détection de boucle (voire du 
>>> bpdu guard) sur les ports edge ; mais quid des liens infra ?
>>> Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et notre 
>>> manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST, MSTP...) 
>>> techno du diable, on a pas très envie de faire un seul arbre spanning-tree 
>>> à l'échelle de notre infra.
>>> On a vécu des changements de topologie incessants, avec des temps de 
>>> convergence infinis, et on a pas très envie de recommencer. Mais c'est ce 
>>> que nous préconise un presta, alors on doute de nos choix.
>>> 
>>> Un avis sur la question ? Vous faites comment chez vous ?
>>> 
>>> Bien sur la meilleure réponse est de tout passer en L3 et de faire du 
>>> routage, mais... C'est pas au programme pour l'instant ;-)
>>> 
>>> Merci d'avance de vos retours !
>>> 
>>> Bonne soirée,
>>> 
>>> Fabien
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet Fabien Sirjean 

Hello,

On 4/22/24 18:00, David Ponzone wrote:

Si tu reviens aux fondamentaux, c’est quoi la raison d’être de STP ?

OK, j'aime bien l'approche ;-)

-avoir un réseau qui fonctionne avec une boucle
-avoir un réseau qui continue de fonctionner quand un bouffon vient former une 
boucle qui était pas prévue en branchant un câble n’importe où

Tu as une boucle dans ton L2 ou pas ?

Non, et c'est pas prévu puisqu'on redonde tout en LACP.

Et si non, y a des bouffons qui pourraient en faire une ?


Sur les liens autres que edge (c'est-à-dire sur l'infra) les bouffons 
éventuels c'est nous, et on sait châtier les collègues au besoin. --> Non


Par contre sur les ports edge (ceux où sont connectés les users, ceux 
qui font peur et qui branchent/débranchent leurs équipements en 
permanence) c'est un risque sérieux.


Si je suis ta logique, on souhaite donc uniquement détecter une boucle 
sur les ports edge. Comment on fait ça proprement, sans se lancer dans 
du spanning-tree sur l'infra ?


Par exemple, j'ai l'impression que si je fais un "no spanning-tree" sur 
un 2960X, les commandes "spanning-tree bpduguard enable" sur un port 
sont sans effet.


Bonne soirée,

Fabien


David



Le 22 avr. 2024 à 17:49, Fabien Sirjean  a écrit :

Bonjour la liste !

Ça fait maintenant quelques semaines qu'on se gratte la tête avec les 
collègues, alors je viens ici chercher des avis éclairés.

On exploite une infra campus, de type 3 tiers (core/aggreg/access), en pur 
layer 2 (des VLAN propagés entre l'edge et le core) en multi-constructeurs (HP 
procurve, Extreme, Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine de 
bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments, tout 
comme la couche d'aggreg des différents switchs d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la 
couleur de l'équipement), on a aucune boucle sur l'infra.

On est en train de reprendre la config de nos switchs (refonte totale du parc, 
on déploie du 2060X refurbished) et on se pose une question bête : 
spanning-tree or not spanning tree ?

Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les équipements). 
On veut bien sur faire de la détection de boucle (voire du bpdu guard) sur les ports edge 
; mais quid des liens infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et notre 
manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST, MSTP...) 
techno du diable, on a pas très envie de faire un seul arbre spanning-tree à 
l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps de 
convergence infinis, et on a pas très envie de recommencer. Mais c'est ce que 
nous préconise un presta, alors on doute de nos choix.

Un avis sur la question ? Vous faites comment chez vous ?

Bien sur la meilleure réponse est de tout passer en L3 et de faire du routage, 
mais... C'est pas au programme pour l'instant ;-)

Merci d'avance de vos retours !

Bonne soirée,

Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Spanning-tree sur infra campus

2024-04-22 Par sujet David Ponzone 
Si tu reviens aux fondamentaux, c’est quoi la raison d’être de STP ?

-avoir un réseau qui fonctionne avec une boucle
-avoir un réseau qui continue de fonctionner quand un bouffon vient former une 
boucle qui était pas prévue en branchant un câble n’importe où

Tu as une boucle dans ton L2 ou pas ?
Et si non, y a des bouffons qui pourraient en faire une ?

David


> Le 22 avr. 2024 à 17:49, Fabien Sirjean  a écrit :
> 
> Bonjour la liste !
> 
> Ça fait maintenant quelques semaines qu'on se gratte la tête avec les 
> collègues, alors je viens ici chercher des avis éclairés.
> 
> On exploite une infra campus, de type 3 tiers (core/aggreg/access), en pur 
> layer 2 (des VLAN propagés entre l'edge et le core) en multi-constructeurs 
> (HP procurve, Extreme, Cisco 2960X...).
> Grosso-modo 300 (stacks de) switchs, répartis dans une grosse vingtaine de 
> bâtiments, sur un seul site. Le core est à cheval sur deux bâtiments, tout 
> comme la couche d'aggreg des différents switchs d'access.
> Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon la 
> couleur de l'équipement), on a aucune boucle sur l'infra.
> 
> On est en train de reprendre la config de nos switchs (refonte totale du 
> parc, on déploie du 2060X refurbished) et on se pose une question bête : 
> spanning-tree or not spanning tree ?
> 
> Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les équipements). 
> On veut bien sur faire de la détection de boucle (voire du bpdu guard) sur 
> les ports edge ; mais quid des liens infra ?
> Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et notre 
> manque de maîtrise de cette (ou plutôt ces entre STP, RSTP, PVST, MSTP...) 
> techno du diable, on a pas très envie de faire un seul arbre spanning-tree à 
> l'échelle de notre infra.
> On a vécu des changements de topologie incessants, avec des temps de 
> convergence infinis, et on a pas très envie de recommencer. Mais c'est ce que 
> nous préconise un presta, alors on doute de nos choix.
> 
> Un avis sur la question ? Vous faites comment chez vous ?
> 
> Bien sur la meilleure réponse est de tout passer en L3 et de faire du 
> routage, mais... C'est pas au programme pour l'instant ;-)
> 
> Merci d'avance de vos retours !
> 
> Bonne soirée,
> 
> Fabien
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/