Opened 6 years ago
Closed 4 years ago
#345 closed улучшение (invalid)
RSTP: Добавить для Edge портов опции Bpdufilter и Bpduguard
| Reported by: | artem | Owned by: | alx |
|---|---|---|---|
| Priority: | средний | Milestone: | 2 очередь |
| Component: | sw | Keywords: | |
| Cc: | artem |
Description
Предлагаю по аналогии с Cisco и китайскими производителями добавить в нашу аппаратуру дополнительные опции для Edge портов:
- опция Bpdufilter - принятые в порт сообщения BPDU отбрасываются.
- опция Bpduguard - при приеме сообщения BPDU порт блокируется.
Change History (8)
comment:1 by , 6 years ago
comment:2 by , 6 years ago
скажем так для защиты от "дурака". Данные функции включать на Edge портах. так как мы предполагаем, что к этим портам будут подключены терминальные устройства, но если пользователь подключит по ошибке к таким портам сеть с коммутаторами, то произойдет перестроение топологии, которое нам не надо. Чтоб не было лишних пререстроений я считаю что необходимо ограничивать прохождение BPDU пакетов на EDGe портах.
comment:3 by , 5 years ago
С отбрасыванием BPDU идея понятна. Непонятен второй из предложенных вариантов - блокировать порт. Зачем это надо? Казалось бы, отбрасывание BPDU поставленную задачу решает - BPDU от оборудования пользователя отбрасываются на входе в наш коммутатор и, следовательно, не оказывают никакого влияния на работу STP/RSTP - никакой перестройки дерева вызвать уже не могут. Зачем же кроме BPDU дропать все остальные пакеты, которые для пользователя могут быть полезны?
follow-up: 5 comment:4 by , 5 years ago
Могу предположить что если
пользователь подключит по ошибке к таким портам сеть с коммутаторами
и bpdu мы не пропустим, то вполне вероятно образование кольца, "не заметного" для RSTP, и если других методов защиты от петель в оборудованиии нет, разумнее отрубить трафик совсем, с целью "защиты от дурака".
comment:5 by , 5 years ago
Replying to san:
Могу предположить что если ... bpdu мы не пропустим, то вполне вероятно образование кольца,
Образование кольца вароятно и при полном отсутствии BPDU - например при подключении пользователем неуправляемого коммутатора, наличие которого у пользователя намного более вероятно чем управляемого с STP. Например я читал (как раз перед тем как мы обсуждали меры по защите) описание случая, как в одной компании кто-то подключил к локальной сети телефон. При этом обнаружил, что в телефоне есть второй порт ethernet и, видимо, чтобы второму порту не было обидно, подключил и его тоже ко кторой розетке ethernet на стене. :)
и если других методов защиты от петель в оборудованиии нет,
Так как одновременно с этим предложением Артем предложил функцию обнаружения и блокировки петель (кстати, на картинке по ссылке с описанием как раз пример образования петли через неуправляемый коммутатор!), полагаю, предложение Bpduguard преследовало какую-то иную цель...
Артем?
comment:7 by , 5 years ago
Я с тех пор немного погуглил на эту тему. Насколько я понял, разные производители используют разные средства для обнаружения петель. Так, Cisco используют для этого BPDU (Bpduguard). Соответственно, в их коммутаторах нет никаких других Loopback detection и т.п. функций. Dlink используют для обнаружения петель ECTP echo, и называют это Loopback detection. Соответственно, в их коммутаторах нет Bpduguard...
Стало быть, нам стоит выбрать что-то одно. Я пока не могу сказать, что нам будет лучше/удобнее...
comment:8 by , 4 years ago
| Resolution: | → invalid |
|---|---|
| Status: | new → closed |
Возможность фильтрации (отбрасывания) BPDU в коммутаторе уже есть (и была на момент создания тикета).
Функция обнаружения петель и блокировки портов реализована без использования BPDU (см. #346). Пояснений о том, для чего еще предлагалось реализовать BPDUguard, от автора тикета не поступило.
Артем, мотивируй, пожалуйста, свое предложение. Хочется понять, чем это улучшит работу аппаратуры.