Tohle mi trochu pripomina zprznenou konfiguraci spanning-tree protokolu. Staci aby byly dva porty uvedene do portfast rezimu bez detekce zasmyckovani a pokud se vypne spanning-tree nad vlanama pripojenymi do techto portu, udela to pekne hogo-fogo. Mame to nekolikrat vyzkousene pri jedne obskurni L2 konfiguraci u zakaznika. Kdo jste byl na Cisco skolenich v Alef0, vite, ze tam maji hosi switch 3500XL, zapojeny prave takhle, ktery ma jedinou funkci, generovat gigabitovy traffic. Asi se to panum nektereho clena NIXu povedlo uvest do ostreho provozu, at uz chybou hardwaru nebo softwaru nebo vlastni blbosti.
No konecne nekdo kdo tomu rozumi. Segment jako NIX mozno shodit jedine tak, ze se na nem udela smycka. Takze zadny DOS ani broadcast storm. Ted je jenom na manazmentu NIXu, aby udelal v liberalnich pravidlech poradek...
portfast jenom přepne port ze stavu blocking přímo do stavu forwarding a přeskočí fáze listening a learning. Ale neznamená to, že na těch portech nejede spanning tree. Takže teoreticky by mohlo nastat zahlcení pouze v intervalu než vyprší listening a learning timery, což není víc jak 30s. (pokud nebudeme počítat s tím, že pak spanning tree nezafunguje kvůli přetíženému procesoru switche).
Portfast neni podminkou toho zasmyckovani, mate pravdu. Psal ale jsem vyse, ze je nutne vypnou ST nad VLANama pripojenych do toho portu. Nebo mit port ve stavu akceptace multiVLAN(u novejsich switchu to uz nejde)+ prislusny ST rezim nebo mit nekompatibilni switche co se tyce enkapsulace trunku + jiny rezim ST nebo asi dalsich pet veci, ktere ale kvuli potencialni zneuzitelnosti radeji na tuto diskuzi psat nebudu. Nechapu proc si nenamapujou L2 na L3, 6500(?) co tam maji by ten traffic pres MLS snad ustaly (ma tusim 9Gb/s backplane) nebo je tam moznost upgradu tusim na 256Gb/s a za lepsi bezpecnost pri podobnych incidentech a neskonale lepsi skalovatelnost to stoji ...
Hmm, meli si vas vcera pozvat na WG k tomuto problemu, urcite byste jim ho vyresil... ;-) L3 na sdilenem segmentu NIXu je z mnoha duvodu ulet, navic vsude nejsou 6500ky...
Protoze uroutovat L3 neni zalezitost backplane, ale procesoru. Dale L3 switche maji urcite vzorce chovani, ktere z nich nedelaji idealni zarizeni pro routovani velkeho mnozstvi ruznych datovych toku. Krome toho by to znamenalo, ze by si jednotlivi operatori jiz dale nemohli rozhodovat, s kym chteji peering mit a s kym nikoli (kazdy by mel BGP peer prave jen a pouze s tim routerem/L3 switchem uprostred) - coz by mozna na druhou stranu bylo svym zpusobem dobre... ;-)
Vida, ze to jde bez invektiv. Ve svem prispevku o backplanu jsem mluvil o MLS a tam ta zatez neni nijak extremni ani pri ruznych datovych tocich, ale treba mate jinou zkusenost z praxe, kdo vi.
No vzdyt o to jde, aby to prepinalo pres ten centralni router. Chapu, ze na linkove vrstve to jde lepe, ale prave pokud dojde v ypadkum nebo k nejakemu "malicious" chovani, je toto k nezaplaceni :-)
ČLÁNKY DO MAILU