[GTER] rSTP
Douglas Fischer
fischerdouglas at gmail.com
Tue Apr 16 22:12:56 -03 2013
Echo na solução do Michel!
Ainda mais para ambientes com telefonia IP...
Em 16 de abril de 2013 17:17, Michel L. M. B. Perez <michelmbperez at gmail.com
> escreveu:
> Geralmente quando uso o o portfast (edge), habilito o BPDU Guard, dessa
> forma se a porta ouvir qualquer BPDU que seja é colocada em ErrDisable,
> protegendo a rede contra Switch safados.
>
> Eu sempre uso no Core da rede o root do STP como 0, e habilito o STP sempre
> na borda, prefiro habilitar o STP do que o cliente me ligar enlouquecido
> dizendo que a rede ta flapando mac de um lado para outro.
>
> Cada caso é um caso, eu te contei como faço. :)
>
> --
> Michel Perez
> Skype: michelmbperez
> michelmbperez at gmail.com
> http://br.linkedin.com/in/michelmbperez
>
>
> Em 16 de abril de 2013 14:35, Rinaldo Vaz <rinaldo at anid.com.br> escreveu:
>
> > Também reforço essa prática. Pode haver uma situação onde você mesmo
> > precise mudar o root, e usar o valor mínimo pode te deixar
> impossibilitado
> > de "mudar" o root, já que o valor mínimo já está em uso. Utilizar valores
> > como 8192 pode ser na prática uma carta na manga para uma demanda assim.
> >
> > No mais, habilitar STP/STPD em porta de acesso requer que o projeto
> > "espere" paralisações de 30 segundos no tráfego do cliente toda vez que
> uma
> > mudança na topologia ocorrer. O que pode ser resolvido colocando a porta
> em
> > modo edge. Porém é importante observar qual o comportamento de uma porta
> > "edge" de acordo com o fabricante. O Cisco muda essa porta para o modo
> > trunk padrão caso receba um BPDU, porém nada garante que esse
> comportamento
> > seja o mesmo no "modo egde" equivalente de outro fabricante.
> >
> >
> > Em 16 de abril de 2013 01:46, Shine <eshine at gmail.com> escreveu:
> >
> > > Bruno,
> > >
> > > Eu concordo em quase tudo o que foi dito, lembrando que muito que foi
> > > colocado aqui são funcionalidades específicas de fabricante e não algo
> > > padronizado de forma geral. :)
> > > De preferência, procurar ter um STP uniforme em toda a rede. Evitar
> usar
> > > 802.1d, pq o tempo de convergência dele é lento, hoje a maioria dos
> > > switches suporta RSTP ao menos.
> > >
> > > No tocante a usar priority zero, eu gostaria de sugerir que se
> > > considerassem escalas de prioridades. Como o default é relativamente
> > > grande, vc pode usar prioridades intermediárias como 8192, 4096 e
> deixar
> > o
> > > zero como um coringa para migração e uso em situações emergenciais.
> > > Não que você esteja errado, do ponto de vista técnico é válido. Mas
> fica
> > a
> > > sugestão acima para consideração.
> > >
> > > sd,
> > > Shine
> > >
> > >
> > > Em 13 de abril de 2013 20:57, Bruno Camargo <mustardahc at gmail.com>
> > > escreveu:
> > >
> > > > Em ambiente onde diversos switches L2 são interconectados é sempre
> > > saudável
> > > > habilitar o rapid spanning tree.
> > > > Vc deve, além de habilitar o protocolo, configurá-lo de maneira a
> > > proteger
> > > > sua rede de possíveis loops e "rogue switches" que podem vir a
> assumir
> > o
> > > > papel de root bridge.
> > > > Vc deve ter uma topologia da sua rede. Baseado nela, escolha um
> switch
> > > para
> > > > ser o root e configure sua prioridade para 0, dessa maneira ele
> sempre
> > > será
> > > > o root.
> > > > Habilite a feature de root guard, que vai proteger a rede de rogue
> > > switches
> > > > em todos os switches, não permitindo que bpdus com prioridade menor
> > > venham
> > > > a provocar uma mudança no root.
> > > > As portas de acesso vc pode configurar como edge port, ou port fast
> > > (mesma
> > > > coisa) e habilitar o bpdu filter, para fazer com que essa porta não
> > mande
> > > > ou processe BPDUs.
> > > > Pode tbm habilitar o bpdu guard, que bloqueia a porta de acesso em
> caso
> > > de
> > > > recepção de bpdu's.
> > > > As portas de uplink podem ser configuradas como uplink-fast, mas não
> > sei
> > > se
> > > > o dell tem essa funcionalidade.
> > > >
> > > > Att,
> > > >
> > > > Bruno Camargo
> > > >
> > > >
> > > > 2013/4/12 Rinaldo Vaz <rinaldo at anid.com.br>
> > > >
> > > > > >O correto é ativar rSTP somente nas portas de uplink, ou em todas
> ?
> > > > > A pergunta foi genérica, e a respostá também: Como boa prática a
> > > > respostá é
> > > > > NÃO, não se deve habilitar STP em porta de acesso.
> > > > > Não considero útil nem mesmo configurar a porta em modo "edge"
> > (Cisco)
> > > > pois
> > > > > ao receber algum BPDU ela muda automaticamente para o modo trunk
> > > > >
> > > > >
> > > >
> > >
> >
> http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_paper09186a0080094cfa.shtml#edge
> > > > >
> > > > >
> > > > > >Como são portas de Maquinas/Estações não vai ter switch para VIRAR
> > um
> > > > > >rootport
> > > > > Você afirma então que não há problema em ter STP habilitado no
> > acesso?
> > > > >
> > > > > Eu afirmo que não. Não há nenhum motivo para o cliente ficar fora
> > > > enquanto
> > > > > a porta está no estado listening/learning, independente de haver ou
> > não
> > > > > haver SW do lado do cleinte.
> > > > >
> > > > > >mas para ter a segurança use
> > > > > >a opção de segurança de porta switch port-security "cisco"
> > > > >
> > > > > Port security nada tem haver com o caso nem com Spanning-Tree
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Em 11 de abril de 2013 18:21, Rafael Galdino
> > > > > <sup.rafaelgaldino at gmail.com>escreveu:
> > > > >
> > > > > > Como são portas de Maquinas/Estações não vai ter switch para
> VIRAR
> > um
> > > > > > rootport, mas para ter a segurança use
> > > > > > a opção de segurança de porta switch port-security "cisco" creio
> > que
> > > o
> > > > > DELL
> > > > > > tenha. habilite, e caso corte problemas com homem do meio.
> simples
> > e
> > > > > > rápido.
> > > > > >
> > > > > >
> > > > > > Em 11 de abril de 2013 16:31, Rinaldo Vaz <rinaldo at anid.com.br>
> > > > > escreveu:
> > > > > >
> > > > > > > Alexandre,
> > > > > > >
> > > > > > > Não é uma boa coisa habilitar STP em porta de acesso. Há o
> risco
> > de
> > > > um
> > > > > > > cliente ter um switch com valor 4096 de BridgeID e toda sua
> > > topologia
> > > > > > passa
> > > > > > > a referenciar a porta do cliente como "RootPort", te deixando a
> > > mercê
> > > > > do
> > > > > > > MAC desse switch. Caso seja menor que o seu root isso vai
> > > acontecer.
> > > > > > >
> > > > > > > Outro efeito negativo é que em uma eventual mudança na
> topologia
> > > que
> > > > > não
> > > > > > > afete determinado cliente, mesmo assim ele terá
> > > (desnecessáriamente)
> > > > a
> > > > > > sua
> > > > > > > porta bloqueada por algum tempo (até que a nova topologia seja
> > > > montada)
> > > > > > até
> > > > > > > ter certeza que não há possibilidade de loop.
> > > > > > >
> > > > > > > Abs
> > > > > > >
> > > > > > >
> > > > > > > Em 11 de abril de 2013 15:37, Alexandre J. Correa (Onda) <
> > > > > > > alexandre at onda.net.br> escreveu:
> > > > > > >
> > > > > > > > Caros, em uma rede com uma topologia assim:
> > > > > > > >
> > > > > > > > Switch01 portas 1-40 sao maquinas/estações, portas 46,47,48
> são
> > > > > uplinks
> > > > > > > > para outros switchs.
> > > > > > > >
> > > > > > > > O correto é ativar rSTP somente nas portas de uplink, ou em
> > > todas ?
> > > > > > > >
> > > > > > > > acontece algo estranho nessa topologia:
> > > > > > > >
> > > > > > > > switchX ---- switch01 ------ switchY
> > > > > > > >
> > > > > > > > switch X eh um micronet POE para ligar umas cameras
> aviglion, a
> > > > > porta 8
> > > > > > > > dele liga no switch 01.
> > > > > > > >
> > > > > > > > o switchY eh o mesmo modelo do X, mas NADA ligado nele,
> apenas
> > a
> > > > > porta
> > > > > > 8
> > > > > > > > ligada no switch 01.
> > > > > > > >
> > > > > > > > o pessoal que instalou (nao sei se veio de fabrica) ativou o
> > stp
> > > > em
> > > > > > > todas
> > > > > > > > as portas.
> > > > > > > >
> > > > > > > > no switchY, a porta 8 fica mudando o estado,
> > > > DISCARDING->FORWARDING,
> > > > > > > > FORWARDING->DISCARD, constantemente.
> > > > > > > >
> > > > > > > > o Switch01 é um Dell 2848.
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > Sds.
> > > > > > > >
> > > > > > > > Alexandre Jeronimo Correa
> > > > > > > > Sócio-Administrador
> > > > > > > >
> > > > > > > > Office: +55 34 3351 3077
> > > > > > > >
> > > > > > > > Onda Internet
> > > > > > > > www.onda.net.br
> > > > > > > >
> > > > > > > > --
> > > > > > > > gter list https://eng.registro.br/**mailman/listinfo/gter
> <
> > > > > > > https://eng.registro.br/mailman/listinfo/gter>
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > Rinaldo Vaz
> > > > > > > Chefe de operações do NOC
> > > > > > > Associação Nacional para Inclusão Digital
> > > > > > > Tim - 083 99975736
> > > > > > > INOC - 28135*100
> > > > > > >
> > > > > > > *********************************************************
> > > > > > > Dias 13,14,15,16 e 17 de maio de 2013
> > > > > > > Curso Avançado na sede da ANID em João Pessoa-PB
> > > > > > > anid.com.br/cursobgp
> > > > > > > *********************************************************
> > > > > > > --
> > > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Att.
> > > > > >
> > > > > > Rafael Galdino
> > > > > > --
> > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Rinaldo Vaz
> > > > > Chefe de operações do NOC
> > > > > Associação Nacional para Inclusão Digital
> > > > > Tim - 083 99975736
> > > > > INOC - 28135*100
> > > > >
> > > > > *********************************************************
> > > > > Dias 13,14,15,16 e 17 de maio de 2013
> > > > > Curso Avançado na sede da ANID em João Pessoa-PB
> > > > > anid.com.br/cursobgp
> > > > > *********************************************************
> > > > > --
> > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Bruno Camargo
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Rinaldo Vaz
> > Chefe de operações do NOC
> > Associação Nacional para Inclusão Digital
> > Tim - 083 99975736
> > INOC - 28135*100
> >
> > *********************************************************
> > Dias 13,14,15,16 e 17 de maio de 2013
> > Curso Avançado na sede da ANID em João Pessoa-PB
> > anid.com.br/cursobgp
> > *********************************************************
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list