Re: [FRnOG] SWITCH - question spanning-tree ports edge
Le 23/09/2011 10:26, Damien Fleuriot a écrit : > Pour le coup on a bien du bonding sur les serveurs et il est arrivé que > certains soient mal configurés (load balancing au lieu de redondance). Le bonding ne pose pas de problème particulier dans un mode ou dans l'autre ;) Par contre le bridge lui ... ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
Comme le fait justement remarquer Nicolas, bpdufilter en global ou par port n'a pas le même comportement. Si bpdufilter par port est sauf exceptions un nid à emmerdes (puisqu'il équivaut à ne pas avoir de spanningtree sur le port), en global il est moins pire puisqu'il transmet 10 BPDU avant de filtrer. Mais il y a rarement d'intérêt à empêcher les clients de voir les bpdu. bpduguard est par contre pertinent, sauf bien sûr face à un switch de blade center, où rootguard est la solution. Le 23 sept. 2011 à 14:19, Damien Fleuriot a écrit : > > > On 9/23/11 2:12 PM, Nicolas MICHEL wrote: >> UDLD sur du copper faut pas avoir de bol :) >> >> Pour approfondir un peu, un bpdufilter en global configuration va aussi >> te permettre de perdre ton portfast si le port reçoit un BPDU. >> BPDU gard et portfast pour moi en général :) >> >> Bon vendredi. >> > > Ici, portfast sur les ports access, portfast trunk sur les ports trunk > non uplink. > > bpdufilter pour que les machines clientes ne voient rien, bpduguard pour > que leur port tombe si ils font des conneries. > > En projet: > - UDLD > - DAI > - DHCP snooping, c'est vrai que je l'avais pas mentionné mais ça serait > vraiment une bonne idée > > > Reste la question de: loopguard, intéressant ou pas, si oui sur quel > type de port (edge, uplink) ... > > Sauf erreur, on ne peut pas avoir root et loop guard en même temps :/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
On 9/23/11 12:44 PM, Guillaume Barrot wrote: > Spanningtree portfast bpduguard en global sur le switch et non par > interface deja, c'est un poil plus optimum ! > Deja fait, pas fou ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
Spanningtree portfast bpduguard en global sur le switch et non par interface deja, c'est un poil plus optimum ! Le 23 sept. 2011 10:24, "Olivier Benghozi" a écrit : > Désactiver le spanning-tree sur ces ports, tu l'as déjà quasiment fait avec bdpu filter. Si un malcomprenant fait une boucle, le switch ne la verra pas et tu regretteras d'avoir placé cette commande :) > De façon générale, supprimer le spanning-tree sur les ports edge peut sembler une bonne idée jusqu'à ce que shit happens. > > Le 23 sept. 2011 à 09:53, Damien Fleuriot a écrit : > >> Hello tous, >> >> >> >> Un truc me turlupine depuis hier là. >> >> Sur nos cisco 2960, on met en place la config spanning-tree suivante >> pour les ports edge (y compris ports trunk arrivant sur des serveurs): >> >> - portfast >> - bpdu guard >> - bpdu filter >> - root guard >> >> Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree >> sur mes ports edge ? >> >> Sachant que les ports non utilisés sont shutdown et dans un vlan >> suspendu, je ne vois pas de scénario catastrophe. >> >> Des avis ? >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ >
RE: [FRnOG] SWITCH - question spanning-tree ports edge
Bonjour, La commande spanning-tree bpdufilter enable stop l'echange de bpdu sur le port edge (mode passive), Le best practice exige la configuration du bpdugurad et du bpdufiler sur les portedge avec un bon portfast ou portfast trunk au final, Pour le bpduguard il mettra les ports en errdisable s'il y a pb, tres pratique quand en a un niveau pas terrible, @+ -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Damien Fleuriot Envoyé : vendredi 23 septembre 2011 10:25 À : frnog@FRnOG.org Objet : Re: [FRnOG] SWITCH - question spanning-tree ports edge Pas tout à fait. Le BPDUfilter (que ce soit au niveau interface, ou global pour les ports en portfast ou portfast trunk) filtre les BPDUs entrant et sortant du port. Mais techniquement parlant le STP tourne toujours sur ce port, pour chaque instance de VLAN: #sh spanning-tree interface g1/0/7 VlanRole Sts Cost Prio.Nbr Type --- --- - VLAN0020Desg FWD 2 128.7P2p Edge On 9/23/11 10:15 AM, Jean-Michel DILLY wrote: > Bonjour, > > Sauf erreur de ma part (ouf on est vendredi :p), la commande spanning-tree > bpdufilter enable sert justement à desactiver le spanning tree sur un port... > > JMichel > > -Message d'origine- > De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de > vincent.duver...@nolme.com > Envoyé : vendredi 23 septembre 2011 10:02 > À : frnog@FRnOG.org > Objet : Re: [FRnOG] SWITCH - question spanning-tree ports edge > > La comme ça à froid un vendredi, le spanning tree n'est obligatoire que si tu > as une boucle dans tes switchs. > Si tu supprimes la boucle, tu peux virer le spanning tree. > Dans le cas contraire, je dirais que ça doit clignoter sévère sur les ports > des switches ;p > > Vincent > > On Fri, 23 Sep 2011 09:53:20 +0200, Damien Fleuriot wrote: >> Hello tous, >> >> >> >> Un truc me turlupine depuis hier là. >> >> Sur nos cisco 2960, on met en place la config spanning-tree suivante >> pour les ports edge (y compris ports trunk arrivant sur des serveurs): >> >> - portfast >> - bpdu guard >> - bpdu filter >> - root guard >> >> Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree >> sur mes ports edge ? >> >> Sachant que les ports non utilisés sont shutdown et dans un vlan >> suspendu, je ne vois pas de scénario catastrophe. >> >> Des avis ? >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
Pour le coup on a bien du bonding sur les serveurs et il est arrivé que certains soient mal configurés (load balancing au lieu de redondance). Je vais peut être faire au plus simple et garder filter+guard+rootguard+portfast sur les ports. C'est pas comme si les switchs bossaient comme des malades non plus... On 9/23/11 10:15 AM, Fabien Delmotte wrote: > Cas 1 : Tu peux générer des boucles au niveau d'un switch virtuel. > Cas 2 : Utilises tu du bonding sur tes serveurs, Si oui attention au problème > de conf > > Le STP bien maitrisé est indispensable dans le niveau 2. Par exemple dans les > DataCenter utilisant la visualisation. > > Fabien > > Le 23 sept. 2011 à 10:04, Damien Fleuriot a écrit : > >> On a bien quelques machines virtu pour les environnements de dev et >> préprod en interne (du proxmox). >> >> Ca a une incidence sur le STP ? >> >> >> Au pire je peux conserver le STP sur leurs ports, et le disable sur tous >> les autres edge. >> >> >> On 9/23/11 10:02 AM, Fabien Delmotte wrote: >>> Bonjour, >>> >>> Utilises tu VMware ou autre ? >>> Si oui, alors garde le STP au niveau du Edge, sinon ……crack boom >>> >>> Fabien >>> >>> Le 23 sept. 2011 à 09:53, Damien Fleuriot a écrit : >>> Hello tous, Un truc me turlupine depuis hier là. Sur nos cisco 2960, on met en place la config spanning-tree suivante pour les ports edge (y compris ports trunk arrivant sur des serveurs): - portfast - bpdu guard - bpdu filter - root guard Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree sur mes ports edge ? Sachant que les ports non utilisés sont shutdown et dans un vlan suspendu, je ne vois pas de scénario catastrophe. Des avis ? --- Liste de diffusion du FRnOG http://www.frnog.org/ >>> > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
Pas tout à fait. Le BPDUfilter (que ce soit au niveau interface, ou global pour les ports en portfast ou portfast trunk) filtre les BPDUs entrant et sortant du port. Mais techniquement parlant le STP tourne toujours sur ce port, pour chaque instance de VLAN: #sh spanning-tree interface g1/0/7 VlanRole Sts Cost Prio.Nbr Type --- --- - VLAN0020Desg FWD 2 128.7P2p Edge On 9/23/11 10:15 AM, Jean-Michel DILLY wrote: > Bonjour, > > Sauf erreur de ma part (ouf on est vendredi :p), la commande spanning-tree > bpdufilter enable sert justement à desactiver le spanning tree sur un port... > > JMichel > > -Message d'origine- > De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de > vincent.duver...@nolme.com > Envoyé : vendredi 23 septembre 2011 10:02 > À : frnog@FRnOG.org > Objet : Re: [FRnOG] SWITCH - question spanning-tree ports edge > > La comme ça à froid un vendredi, le spanning tree n'est obligatoire que si tu > as une boucle dans tes switchs. > Si tu supprimes la boucle, tu peux virer le spanning tree. > Dans le cas contraire, je dirais que ça doit clignoter sévère sur les ports > des switches ;p > > Vincent > > On Fri, 23 Sep 2011 09:53:20 +0200, Damien Fleuriot wrote: >> Hello tous, >> >> >> >> Un truc me turlupine depuis hier là. >> >> Sur nos cisco 2960, on met en place la config spanning-tree suivante >> pour les ports edge (y compris ports trunk arrivant sur des serveurs): >> >> - portfast >> - bpdu guard >> - bpdu filter >> - root guard >> >> Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree >> sur mes ports edge ? >> >> Sachant que les ports non utilisés sont shutdown et dans un vlan >> suspendu, je ne vois pas de scénario catastrophe. >> >> Des avis ? >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
Désactiver le spanning-tree sur ces ports, tu l'as déjà quasiment fait avec bdpu filter. Si un malcomprenant fait une boucle, le switch ne la verra pas et tu regretteras d'avoir placé cette commande :) De façon générale, supprimer le spanning-tree sur les ports edge peut sembler une bonne idée jusqu'à ce que shit happens. Le 23 sept. 2011 à 09:53, Damien Fleuriot a écrit : > Hello tous, > > > > Un truc me turlupine depuis hier là. > > Sur nos cisco 2960, on met en place la config spanning-tree suivante > pour les ports edge (y compris ports trunk arrivant sur des serveurs): > > - portfast > - bpdu guard > - bpdu filter > - root guard > > Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree > sur mes ports edge ? > > Sachant que les ports non utilisés sont shutdown et dans un vlan > suspendu, je ne vois pas de scénario catastrophe. > > Des avis ? > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] SWITCH - question spanning-tree ports edge
Bonjour, Sauf erreur de ma part (ouf on est vendredi :p), la commande spanning-tree bpdufilter enable sert justement à desactiver le spanning tree sur un port... JMichel -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de vincent.duver...@nolme.com Envoyé : vendredi 23 septembre 2011 10:02 À : frnog@FRnOG.org Objet : Re: [FRnOG] SWITCH - question spanning-tree ports edge La comme ça à froid un vendredi, le spanning tree n'est obligatoire que si tu as une boucle dans tes switchs. Si tu supprimes la boucle, tu peux virer le spanning tree. Dans le cas contraire, je dirais que ça doit clignoter sévère sur les ports des switches ;p Vincent On Fri, 23 Sep 2011 09:53:20 +0200, Damien Fleuriot wrote: > Hello tous, > > > > Un truc me turlupine depuis hier là. > > Sur nos cisco 2960, on met en place la config spanning-tree suivante > pour les ports edge (y compris ports trunk arrivant sur des serveurs): > > - portfast > - bpdu guard > - bpdu filter > - root guard > > Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree > sur mes ports edge ? > > Sachant que les ports non utilisés sont shutdown et dans un vlan > suspendu, je ne vois pas de scénario catastrophe. > > Des avis ? > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
La comme ça à froid un vendredi, le spanning tree n'est obligatoire que si tu as une boucle dans tes switchs. Si tu supprimes la boucle, tu peux virer le spanning tree. Dans le cas contraire, je dirais que ça doit clignoter sévère sur les ports des switches ;p Vincent On Fri, 23 Sep 2011 09:53:20 +0200, Damien Fleuriot wrote: > Hello tous, > > > > Un truc me turlupine depuis hier là. > > Sur nos cisco 2960, on met en place la config spanning-tree suivante > pour les ports edge (y compris ports trunk arrivant sur des serveurs): > > - portfast > - bpdu guard > - bpdu filter > - root guard > > Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree > sur mes ports edge ? > > Sachant que les ports non utilisés sont shutdown et dans un vlan > suspendu, je ne vois pas de scénario catastrophe. > > Des avis ? > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SWITCH - question spanning-tree ports edge
On a bien quelques machines virtu pour les environnements de dev et préprod en interne (du proxmox). Ca a une incidence sur le STP ? Au pire je peux conserver le STP sur leurs ports, et le disable sur tous les autres edge. On 9/23/11 10:02 AM, Fabien Delmotte wrote: > Bonjour, > > Utilises tu VMware ou autre ? > Si oui, alors garde le STP au niveau du Edge, sinon ……crack boom > > Fabien > > Le 23 sept. 2011 à 09:53, Damien Fleuriot a écrit : > >> Hello tous, >> >> >> >> Un truc me turlupine depuis hier là. >> >> Sur nos cisco 2960, on met en place la config spanning-tree suivante >> pour les ports edge (y compris ports trunk arrivant sur des serveurs): >> >> - portfast >> - bpdu guard >> - bpdu filter >> - root guard >> >> Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree >> sur mes ports edge ? >> >> Sachant que les ports non utilisés sont shutdown et dans un vlan >> suspendu, je ne vois pas de scénario catastrophe. >> >> Des avis ? >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] SWITCH - question spanning-tree ports edge
Hello tous, Un truc me turlupine depuis hier là. Sur nos cisco 2960, on met en place la config spanning-tree suivante pour les ports edge (y compris ports trunk arrivant sur des serveurs): - portfast - bpdu guard - bpdu filter - root guard Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree sur mes ports edge ? Sachant que les ports non utilisés sont shutdown et dans un vlan suspendu, je ne vois pas de scénario catastrophe. Des avis ? --- Liste de diffusion du FRnOG http://www.frnog.org/
