Evitando a tempestade de pacotes na VLAN

3

Eu tenho uma conexão em um datacenter onde o provedor de rede me fornece duas conexões Ethernet. Eles estão supostamente ligados à mesma VLAN, de modo que eu possa conectá-los ao meu switch e apenas um deles estará ativo de cada vez, mas qualquer um dos lados poderia fazer manutenção de hardware (religação, atualizações de switch, etc.) sem causar uma interrupção de serviço.

Eu particionei meu switch para ter uma VLAN separada para essa borda externa - digamos que as portas 1-3 estão na VLAN, com as portas 1 & 2 sendo minhas conexões de internet fornecidas pela colo, e a porta 3 sendo a interface externa do meu firewall. Isso funciona bem com a porta 1 ou a porta 2 conectada, mas cerca de 2 minutos depois de ambas serem conectadas simultaneamente, meu switch não responde, recebo cerca de 80% de perda de pacotes e alguns diagnósticos mostram milhões de pacotes de transmissão por minuto. >

Eu tenho um entendimento básico do STP para saber que ele deve estar habilitado para que isso funcione; enquanto o STP está ativado, as duas interfaces ainda são marcadas como Encaminhamento.

Alguém tem alguma idéia sobre o que causaria a tempestade de pacotes? Existe uma maneira melhor de configurar uma conexão redundante?

    
por natacado 20.05.2009 / 07:04

2 respostas

4

Resposta rápida: você precisa falar com seu provedor.

Para que o STP evite o loop de rede que você está recebendo, todos os nós potenciais em um loop devem estar executando o mesmo protocolo STP configurado da mesma maneira.

Você precisa entrar em contato com seu provedor e perguntar "Como o STP é configurado?" e garanta que o seu final seja o mesmo. (Possíveis protocolos spanning tree incluem STP, MST, RST, PVST, PVST +, ...)

Por outro lado, é bem possível que ele não esteja executando o STP em seus links, pois provavelmente você não está compartilhando configurações de VLAN.

Se ele estiver disposto a fazê-lo, configure a agregação de links nesses uplinks (em ambas as extremidades!). Então você não precisa se preocupar com o STP.

    
por 20.05.2009 / 07:13
1

Como já foi dito, uma maneira de obter uma conexão redundante funcionando corretamente na camada 2 como essa é executando alguma variante do protocolo spanning tree. A maioria, se não todas, as variantes têm um modo de compatibilidade para lidar com switches mais antigos que executam a árvore de abrangência 802.1d original, portanto, especificamente versões correspondentes não são necessárias para a operação básica; no entanto, a velocidade de failover não será boa se você estiver executando no modo de compatibilidade.

Para um provedor de colo, esse tipo de loop pode ser desastroso. Configurar os switches para detectar e evitar esse tipo de loop é absolutamente fundamental para a execução de uma grande rede de comutação. Eu consideraria seriamente alterar seu fornecedor ou, pelo menos, solicitar que ele revisasse suas práticas recomendadas.

Geralmente, prefiro não vincular switches em diferentes domínios administrativos em uma única árvore de abrangência.

Um método para quebrar o loop do seu lado sem spanning tree seria usar alguma forma de configuração "private-vlan" do seu lado. A maioria dos fornecedores de switches maiores tem um recurso desse tipo que pode ser usado para impedir que os assinantes na mesma vlan conversem entre si diretamente. Isso é muito útil na área de data center e metro da Ethernet. Nas suas portas de configuração 1 & 2 seria marcado como privado / UNI (ou qualquer que seja a terminologia do seu fornecedor) e a porta 3 seria promíscuo / NNI (etc).

Alguns fornecedores também têm uma configuração de porta de backup explícita que permite marcar uma porta como inativa até que o link principal configurado seja desativado.

Se você tiver mais de um switch, certifique-se de estar no controle de sua árvore de abrangência. Geralmente, você pode apenas agrupar os switches e, enquanto a árvore de abrangência estiver em execução, eles funcionarão; No entanto, mais cedo ou mais tarde, algo vai quebrar, e se você souber onde sua raiz está e quais links devem ser encaminhados / bloqueados, isso facilita muito a solução de problemas.

    
por 31.05.2009 / 08:46