rkelly_2 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Hallo *, um einem Loop in einem Netz mit Catalyst 4506 und 3560 Switches, die über Spanning Tree den besten Pfad über redundate Pfade verwenden, vorzubeugen, habe ich mir folgende Konfiguration überlegt: Auf den Fa-Interfaces wird das BPDUFiltering abgeschaltet, der BPDUGuard an. Somit wird der Port deaktiviert, wenn hier BPDU Pakete von einem fälschichwerweise angeschlossenen Switch empfangen werden und ein ev. Loop wird verhindert. Auf dem Core-Switch 4506 und auf den 3560 Access Switchen wird der Loopguard aktiviert, auf den Uplink Ports von und zu den Core-Gbit-Interfaces jeweils Portfast/BPDU Guard und Filter default sowie auf den Ports aus. Sind meine Überlegungen soweit richtig? Was kann ich noch tun, ob ev. Loops bzw. Überlast der Switches/ Netzes zu verhindern? Lieben Dank für Eure Hinweise André Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Hallo, generell sollte es ja zu keinen Loops im non Accessbereich kommen. Bei der Konfiguration zur zusätzlichen Absicherung der Topo bist du auf dem richtigen Weg. Zusätzlich kann man noch storm-control (vorsicht bei 4k blocking Linecards ==> dort wird storm-control in software gehandelt. Auf dem 3560 immer über den ASIC) aktivieren, um den GAU zu verhindern. Auf den Uplinks sollte man UDLD aktivieren (aggressiv). Ein sauberes Placement der primary / secundary root setzte ich jetzt mal vorraus. Natürlich sollte man die maximalen logischen Ports nicht überschreiten (zwischen 1500 - 3000 [1.d | 1.w] ==> kommt auf die SUP an).. hope this helps Zitieren Link zu diesem Kommentar
rkelly_2 10 Geschrieben 13. Mai 2008 Autor Melden Teilen Geschrieben 13. Mai 2008 Hi daking, danke für Antworten und Hinweise, hierzu habe ich jedoch noch ein paar "Nach-"-Fragen: generell sollte es ja zu keinen Loops im non Accessbereich kommen Sollte, ist es jedoch leider. Ein 2950 (nicht von mir aktiv verwalteter) Switch war über einen Etherchannel mit 2 Gi-Ports auf dem 4506 verbunden, ein weiterer Port (von dem ich nichts wusste) war zwischen den Beiden aktiv, mit dem portfast und spanning-tree bpdufilter enable. Ein anderer Fa-Port war wiederum mit einem 3750E (anderer Netzbereich, nicht von mir verwaltet) verbunden, und der wiederum mit dem 4506 durch einen Etherchannel. Ungefähr 30sek. nachdem der Kollege vom anderen Netzbereichh (natürlich ohne eine Info an mich) den Etherchannel 3750E-4506 auf dem 3750e fertig konfiguriert hatte, brach das Netz zusammen und alle schrien """"""""" Um dies in Zukunft zu vermeiden, möchte ich zumindest auf meiner Netzseite für Ordnung sorgen, deshgalb auch dieser Thread. Ein sauberes Placement der primary / secundary root setzte ich jetzt mal vorraus. Wie kann ich dies am Besten überprüfen? Die obigen Verbindungen sind schon bereinigt. Natürlich sollte man die maximalen logischen Ports nicht überschreiten (zwischen 1500 - 3000 [1.d | 1.w] ==> kommt auf die SUP an) Logische Ports sind (u.a.) neben den physikalischen Ports auch meine VLANS & meine Etherchannels - Korrekt? Ich denke, da habe ich derzeit nach oben nopch ein wenig Platz. Bis dann André Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 13. Mai 2008 Melden Teilen Geschrieben 13. Mai 2008 Hola, ja das ist dann eher suboptimal... die prim / sec root im layer 2 segment wird über die Bridge Prio bestimmt ==> die niedrigste prio gewinnt. (falls gleiche Prio läufts anders). Im optimalen Fall sollte die Rootbridge dann auf der im Normallfall aktiven HSRP / GLBP / ... Komponente liegen. Die Rootbridges kannst du so finden: SWITCH#sh spanning-tree root Root Hello Max Fwd xxxx Instance Root ID Cost Time Age Dly Root Port ---------------- -------------------- --------- ----- --- --- ------------ VLAN 100 4097 001f.9d86.7c00 20000 2 20 15 Gi0/23 SWITCH# ==> Root hat eine Prio von 4097 ==> Root Port = Gig0/23 ==> Kosten zur Root sind 20000 (hier 802.1t) ==> weiter nun wer an gig0/23 verbunden sind. ==> telnet x.x.x.x DISTRIBUTION#sh spanning-tree root Root Hello Max Fwd MST Instance Root ID Cost Time Age Dly Root Port ---------------- -------------------- ------ ----- --- --- ---------------- vlan100 4097 001f.9d86.7c00 0 2 20 15 DISTRIBUTION# ==> Root Cost = 0 ==> rootbridge ==> keine rootports ==> Root identifiziert DISTRIBUTION#sh spanning-tree xxx Spanning tree enabled protocol Root ID Priority 4097 Address <> This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 4097 (priority 4096 sys-id-ext 0) Address <> Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec logische STP Ports pro Box cat4k: Bei per VLAN STP muss pro aktivierten VLAN auf jedem Port für den Link BPDUs generiert werden. Das Generieren der BPDUs wird durch das 4k Design natürlich auf der SUP gesteuert. Die SUP hat für diesen Task bergrenzte Ressourcen (max 1500 - 3000 Pro Box ==> what sup...). ==> Für n VLANs auf einem Trunkport müssen n BPDUs pro VLAN erzeugt werden ==> Trunks ==> n VLANs erlabt = N logische Ports ==> Falls nun ein GEC konfiguriert wird ==> N * links logische Ports ==> Accessport ==> 1 VLAN ist erlaubt = 1 logischer Port ==> Accessport + IP Phone ==> 2 VLANs = 2 logische Ports LALA#sh spanning-tree summary totals Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------- 12 vlans 0 0 0 278 278 LALA# hope this hepls.. Zitieren Link zu diesem Kommentar
rkelly_2 10 Geschrieben 14. Mai 2008 Autor Melden Teilen Geschrieben 14. Mai 2008 Hallo daking, vielen Dank für die Aufklärung. Jetzt ist das Ganze schon viel verständlicher... :) Bis dann André Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.