Вот надо заняться составлением! К пятнице как раз успеем)

https://i.imgur.com/dfu4EPh.png

Игрушка для кота!

и на портах, в которые конечное оборудование включено, тоже лучше фильтровать)

А если я его изначально отключу, смысл фильтровать. И насколько я понимаю включение фильтра на порту равносильно отключению stp на этом порту

кстати, если речь про циску, то не забывайте: бпдуфильтр включается вместе с бпдугвардом

А если я его изначально отключу, смысл фильтровать. И насколько я понимаю включение фильтра на порту равносильно отключению stp на этом порту

Не факт

Фильтр будет входящие резать

По идее

А если я его изначально отключу, смысл фильтровать. И насколько я понимаю включение фильтра на порту равносильно отключению stp на этом порту

Хуже, оно порт погасит если туда пакет bpdu прилетит

кстати, если речь про циску, то не забывайте: бпдуфильтр включается вместе с бпдугвардом

Вроде в циске не сработает гвард если настроен фильтр. Фильтр в приоритете, не?

фильтр в приоритете

но фильтр фильтрует только валидные с точки зрения циски бпду

а невалидные форвардит как обычные пакеты

но фильтр фильтрует только валидные с точки зрения циски бпду

А что с её точки валидные?

и вот их-то лучше пристукивать гвардом, пока они вам сетку не положили, если в сети где-то используются не-циски

А что с её точки валидные?

проще сказать, что с ее точки зрения невалидное

например, бпду с субсекундными таймерами циски считают невалидными

хотя это абсолютно стандартная вещь

циски берут только старший байт от таймера, эффективно округляя таймер вниз до целого числа секунд

если приходит таймер в 1/256 секунды, циска берет старший байт и говорит "пришло бпду с таймером 0 секунд, невалидно,"

если такую бпду пропустить дальше и она дойдет до хуавея, аристы, или любой другой железки, корректно реализующей стандарт, то в сегменте будет два десигнейтед порта

Фильтр будет входящие резать

Когда stp включён и настроен фильтр я вижу что счётчик количества пакетов на порту не растёт. А если выключит stp то оно меня шлёт лесом, мол такой информации нет т.к. STP выключен.

а невалидные форвардит как обычные пакеты

Сейчас попробую найти про форвардинг у huawei

у хуавея, емнип, гранулярность 1/100

так что у него такой проблемы нет

если такую бпду пропустить дальше и она дойдет до хуавея, аристы, или любой другой железки, корректно реализующей стандарт, то в сегменте будет два десигнейтед порта

А как происходит этот самый пропуск? Прилетело на клиентском порту... И коммутатор разослал дальше? Но вроде он же не рассылает дальше если включено это самое stp

если включен бпдуфильтр, но бпду прилетела невалидная - рассылает

не скажу за все версии иоса, но по крайней мере в некоторых такое точно есть

в гетерогенных средах это представляет проблему

потому и рекомендация включать и фильтр, и гвард

лучше положить один проблемный порт, чем словить петлю и уложить всю сеть

Окей; в цисках нет возможности отключить. STP на определённом порту?

в цисках есть возможность отключить работу цискостп на определенном порту

засада в том, что цискореализация цискостп не соответствует стандарту

Если мы его просто отключи он не будет участвовать в построении stp, но будет дальше передаваться полученный на порту bpdu?

если мы используем на порту бпдуфильтр, то мы перестаем отправлять валидные бпду (а другие циска не отправляет) и перестаем принимать валидные бпду (а другие циска и не ожидает)

на таком порту еще имеет смысл включаить портфаст, раз уж все равно проверки на петлю нет. чего лишние 30 секунд терять

если на бпдуфильтрованном порту придет невалидная бпду, она зафильтрована не будет

и будет форвардиться как обычный кадр, если мы не пристукнем порт bpduguard'ом

Т.е. если я хочу фильтровать bpdu для этого нужно включать stp...

Или для циски не обязательно?

в смысле "включать"

его нельзя выключить, процесс запущен всегда

можно только 1. перестать отправлять и принимать бпду на порту (bpdufilter) 2. переводить порт в designated forwarding без доп.проверок (portfast)

В экстримах какой прикол, если глобально выключить STP то фильтры не работают.

то экстримы :)

там можно отдельно ванильный стп включать и отдельно пвст, например

Мне по факту то чего нужно, чтобы bpdu пакеты не пролетали через коммутатор. STP не используется для своей основной роли.

portfast default, bpduguard default, bpdufilter прибитый гвоздями на всех портах

Вот, я то думал есть какая то универсальная команда, которая сделает это глобально для всех портов.

есть. но она неправильно работает

spanning-tree portfast edge bpdufilter default

не надо ее использовать

она если увидит бпду в первые 20 секунд работы, выключает фильтр на порту

А что там не так??

она если увидит бпду в первые 20 секунд работы, выключает фильтр на порту

Понятно.

точнее сказать, включает фильтр только если не увидит бпду в первые 20 секунд работы порта

как по мне, это вредительство

поэтому только прибивать говздями в конфиг порта, только хардкор

Уточняющий вопрос т.к. для порта мы можем включить или выключить STP и навестить фильтр, фаст и гвард... На порту stp вкл. или выкл.?

Уточняющий вопрос т.к. для порта мы можем включить или выключить STP и навестить фильтр, фаст и гвард... На порту stp вкл. или выкл.?

Это на каком оборудовании ? На циске выключить стп на порту нельзя

Обсуждали циску, а так нужно для huawei?

Это на каком оборудовании ? На циске выключить стп на порту нельзя

дополню: нельзя выключить порт из active topology

но можно задушить любую активность stp на порту

с нюансом про невалидные бпду, описанным выше

portfast/port type edge как раз ведь выключает порт из топологии

омг

а ещё для меня остаётся загадкой опция bpdu { disable | enable } After you run the bpdu enable command on an interface, the interface forwards a packet to the CPU if the destination MAC address of the packet is the BPDU MAC address. You can use the display bpdu mac-address command to view the BPDU MAC address.

это на хуевее?

Indicates the action that an interface performs on BPDUs. disable: The interface discards BPDUs. enable: The interface sends BPDUs to the CPU.

ага...

portfast/port type edge как раз ведь выключает порт из топологии

могу я порекомендовать покурить эту тему поподробнее?

Indicates the action that an interface performs on BPDUs. disable: The interface discards BPDUs. enable: The interface sends BPDUs to the CPU.

по описанию похоже на приемную часть бпдуфильтра

@dedicatet_chat ХаЦкерский Приват Чат будет жить. Поприветствуем!

по описанию похоже на приемную часть бпдуфильтра

If the stp bpdu-filter enable command is run on a port, the port will not transmit or process BPDUs. The port cannot negotiate the STP status with the directly connected port on the remote device. Therefore, exercise cautions when using the stp bpdu-filter enable command. Running the stp bpdu-filter enable command only on edge ports is recommended.

а ещё для меня остаётся загадкой опция bpdu { disable | enable } After you run the bpdu enable command on an interface, the interface forwards a packet to the CPU if the destination MAC address of the packet is the BPDU MAC address. You can use the display bpdu mac-address command to view the BPDU MAC address.

Волшебная штука. Она отрубает отправку не только СТП но и ллдп и ласп и вообще все где есть буквы пду

Спотыкался

аа точно

в описании ж так и написано

мак-то у всех slow protocols одинаковый

я вроде настраивал LLDP и оно знает данные о соседях, а соседи о нём?

а оно тупо по маку блочит

На 23хх, мб в других местах по другому

т.е. оно блочит все BPDU, а stp bpdu-filter только для STP

На 23хх, мб в других местах по другому

дак вот 23хх серия :)

дак вот 23хх серия :)

Софт свежий?) вдруг баг

т.е. оно блочит все BPDU, а stp bpdu-filter только для STP

оно блочит pdu всех slow protocols

bpdu = bridge protocol data unit, оно по определению только к stp относится

stp - один из slow protocols

т.е. эта чудо опция будет выше над stp bpdu-filter она указывается глобально; или как часть этой опции...

простите, я чот зануделся. пойду чайку ебну

давайте :)

чайки - сволочи. их не жалко