관리되지 않는 스위치에 잠재적으로 연결되는 포트에서 portfast를 사용해야합니까?

스패닝 트리 작동 방법 및 사용자 액세스 포트에서 portfast를 사용하려는 이유의 기본 사항을 이해합니다.

책상과 문서화되지 않은 다른 위치에서 많은 수의 멍청한 스위치가있는 토폴로지를 처리 ​​할 때 모든 "의도 된"액세스 스위치에서이 기능을 사용 하시겠습니까?

관리되지 않는 스위치를 추적하는 것 외에도 모범 사례는 무엇입니까? 왜?

스위치 코어의 일부가 아닌 모든 포트에서 'port-fast'(표준 포트)를 실행해야합니다. 스위치라도.

고객 스위치를 통해 L2 루프가 없어야합니다.

BPDUGuard 및 BUM 경찰관은 모든 인터페이스를 실행해야하며 고객 대면 인터페이스는 코어 대면 한계의 1/5 이하이어야합니다. 불행하게도 알려지지 않은 유니 캐스트를 제한하는 것은 종종 지원되지 않습니다.

'포트 패스트'또는 에지를 실행하는 것이 중요한 이유는 RSTP (및 확장에 의해 MST)의 성능이 이에 의존하기 때문입니다. RSTP 작동 방식은 다운 스트림에서 전달 모드로 전환 할 수 있는지 묻고 다운 스트림은 frmo를 요청할 포트가 더 이상 없을 때까지 다운 스트림을 요청한 다음 권한이 다시 전파됩니다. Port-fast 또는 edge 포트는 RSTP 관점에서 암시 적 권한입니다.이 암시 적 권한을 제거하면 명시 적 권한을 가져와야하며 그렇지 않으면 클래식 STP 타이머로 돌아갑니다. 즉, 포트 포스트가 아닌 포트 하나만 있으면 1 초 미만의 RSTP 수렴이 중단됩니다.

또한 누군가가 루프를 생성하여 루프를 생성하는 경우 루프를 생성하고 잠재적으로 네트워크를 중단시키는 것이 아니라 BPDU를 볼 때 스위치 포트가 오류 비활성화 모드로 전환되도록하는 spanning-tree portfast것도 사용해야 spanning-tree bpduguard enable합니다.

또한 관리되지 않는 스위치를 추적하는 것이 목표라면

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

이것은 하나 이상의 맥 주소가 연결되어있는 포트를 에러 디스 에이블시킨다. 트랩을 통하거나 도움을 요청할 때까지 기다리면 관리되지 않는 장치가 연결된 위치를 식별 할 수 있습니다.

포트 보안에 대한 추가 정보

책상 아래에 많은 수의 멍청한 스위치가있는 토폴로지와 문서화되지 않은 다른 위치를 처리 할 때 모든 "의도 된"액세스 스위치에서이 포트를 실제로 사용 하시겠습니까?

공식적이고 현명한 답변은 "아니요, 스위치 링크로 전환 할 때 portfast를 활성화하지 마십시오" 입니다. Cisco 지원 포럼에서 이에 대한 관련 토론이 있습니다.

스레드의 저자는 네트워크 경찰이 다운 스트림 스위치에 직면 PortFast를 수 있도록 당신을 체포하지 않습니다,하지만 공정한 포인트를한다 ...이다 가능 하면 링크 PortFast를 사용하도록 설정하면 취할 것을 일시적으로 방송 폭풍의 위험을 주위에 해킹 다른 스위치로.

해결 방법

스마트 또는 벙어리 스위치에 대한 링크에서 portfast를 활성화 한 경우 해당 포트에서 bpduguard (제어판 보호) 및 브로드 캐스트 스톰 제어 (데이터 평면 보호)를 활성화해야합니다.이 두 가지 기능을 통해 예기치 않은 상황이 발생하는 경우 :

• 누군가 BPDU를 필터링하면 일반적으로 bpduguard가 포트를 비활성화하여 브로드 캐스트 스톰이 발생합니다. 스톰 제어는 브로드 캐스트 스톰으로 인한 피해를 제한합니다
• bpduguard는 다른 답변에서 언급 한 명백한 이점이 있습니다.

구성에 포트 특정 명령을 적용하면 스위치 또는 연결된 장치의 전원을 껐다 켜거나 재부팅하거나 다시로드 할 경우 포트 초기화 시간이 줄어 듭니다. 또한 포트가 제대로 협상되지 않은 경우 구성 설정이 잘못 적용되는 것을 방지 할 수 있습니다.

Cisco 스위치의 기본값은 스위치 포트 모드 동적 (바람직한 Cisco Stackwise 가능 스위치는 예외)이므로 모든 포트는 의도 한 목적을 협상하려고합니다. 이 협상 프로세스에는 네 가지 주요 단계가 있으며 완료하는 데 1 분 정도 걸릴 수 있습니다. -스패닝 트리 프로토콜 (STP) 초기화 – 포트는 STP의 5 단계 (차단, 청취, 학습, 전달 및 비활성화)를 거칩니다. -이더넷 채널 구성 테스트 – 포트는 PAgP (Port Aggregation Protocol)를 사용하여 스위치 포트를 결합하여 더 큰 집계 이더넷 연결을 만듭니다. -트렁크 구성 테스트 – 포트는 DTP (Dynamic Trunk Protocol)를 사용하여 트렁크 링크를 협상 / 확인합니다. -스위치 포트 속도 및 이중 – 포트는 FLP (고속 링크 펄스)를 사용하여 속도 및 이중을 설정합니다.

스위치 포트 모드 액세스 를 구성 하면 포트가 트렁크 협상을 거치지 않습니다.

스패닝 트리 portfast를 구성 하면 포트가 STP 협상을 거치지 않습니다.

구성 스위치 포트 호스트하는 액세스 및 PortFast를 모두 구성합니다 ..

물론 Cisco의주의 사항-주의 : 다른 스위치, 허브 또는 라우터에 연결된 스위치 포트에서는 PortFast 기능을 사용하지 마십시오. 이러한 연결은 물리적 루프를 유발할 수 있으며 이러한 상황에서 스패닝 트리는 전체 초기화 절차를 거쳐야합니다. 스패닝 트리 루프로 인해 네트워크가 다운 될 수 있습니다. 물리적 루프의 일부인 포트에 대해 PortFast를 켜면 네트워크가 복구 할 수없는 방식으로 패킷이 지속적으로 전달 (배수) 될 수 있습니다.

나는 대부분의 사람들이 그렇게하지 않는다고 말합니다. 어려운 사람들에게는 어려운 규칙입니다. :-)

스위치가 멍청한 스위치 인 경우 (예 : STP를 실행하지 않음) 별 차이가 없습니다. 시스코의 경험에 비추어 볼 때 거의 모든 상황에서 루프를 즉시 잡을 수 있습니다. VM 세계에서는 "에지 포트"도 루프가 될 수 있습니다. (개발자들은 어려운 방법을 배웠습니다.)