是否应该在可能连接到非托管交换机的端口上使用portfast？

#1 楼

您应该在交换机核心以外的每个端口中运行“端口快速”（按标准术语为“边缘端口”）。即使是交换机。

您不应该让L2环路通过客户交换机。

您应该在所有接口上运行BPDUGuard和BUM警察，面向客户的接口应该是1/5或更少的核心面临极限。不幸的是，通常不支持限制未知单播。 RSTP的工作方式是询问下游是否可以进入转发模式，然后下游询问其下游，直到没有更多端口可以询问frmo，然后该权限才传播回去。从RSTP的角度来看，如果删除此隐式权限，则必须获得显式权限，否则它将退回到传统的STP计时器。这意味着即使一个非portfast端口也将杀死您的亚秒级RSTP收敛。

#2 楼

除了spanning-tree portfast之外，还应该使用spanning-tree bpduguard enable，这样，如果某人通过插入本不应该插入的东西来创建环路，则交换机端口在看到BPDU时将进入错误禁用模式，而不是创建环路并可能会降低环路。网络。

同样，如果您的目标是跟踪非托管交换机，则应启用

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

，这将使任何端口出错禁用，看到连接了1个以上的MAC地址。通过陷阱或等待他们寻求帮助，可以使您确定那些不受管设备的连接位置。

有关端口安全性的更多信息

#3 楼

当处理在办公桌下和其他未公开文献记录的地方有大量无声开关的拓扑结构时，您真的要在所有“应该”的访问开关上启用此[portfast]吗？


官方的，根深蒂固的回答是“不，不要在交换机到交换机链接上启用portfast” ...在Cisco的支持论坛上对此进行了相关讨论。公平地说，网络警察不会因为启用面向下游交换机的Portfast而逮捕您...当在另一个交换机的链路上启用Portfast时，可能会冒临时广播风暴的风险。 />
WORKAROUNDS

如果在智能交换机或哑交换机的链接上启用portfast，请确保启用bpduguard（控制平面保护）和广播风暴控制（数据平面保护） ）在该端口上...这两个功能为您提供了一些利用，以防万一发生意外情况：


有人过滤器通常会导致bpduguard禁用端口的BPDU，从而导致广播风暴。风暴控制可限制广播风暴的破坏
bpduguard具有其他答案中提到的明显优势。

#4 楼

在交换机或连接的设备重新启动，重新启动或重新加载的情况下，在配置中应用特定于端口的命令将减少端口初始化时间。在端口未正确协商的情况下，它们还可以防止错误应用配置设置。

由于Cisco交换机的默认设置是动态切换端口模式，因此（每个端口都尝试进行Cisco Stackwise功能的交换机除外）其预期目的。此协商过程分为四个主要阶段，可能需要一整分钟才能完成。
-生成树协议（STP）初始化–端口经历了STP的五个阶段：阻塞，侦听，学习，转发，
和禁用。
-测试以太通道配置–端口使用端口
聚合协议（PAgP），将交换机端口绑定在一起，以创建更大的聚合以太网连接。
-测试中继配置–端口使用动态中继协议（DTP）来协商/验证中继链路。
-交换机端口速度和双工–端口使用快速链路脉冲（FLP）
设置速度和双工。无法协商双工Cisco交换机使用默认双工设置为半双工（HDX）（对于10-Mbps和
100-Mbps接口）或全双工（FDX）（对于1000-Mbps接口）。

配置交换端口模式访问将阻止端口通过中继协商。

配置生成树portfast将阻止端口通过STP协商。

配置switchport主机将同时配置访问和portfast。.

当然，请注意思科的警告-警告：切勿在连接到其他交换机，集线器或路由器的交换机端口上使用PortFast功能。这些连接可能会导致物理循环，在这种情况下，生成树必须经过完整的初始化过程。生成树循环可能会使您的网络瘫痪。如果为属于物理环路一部分的端口打开PortFast，则可能会有一段时间，在这种情况下，数据包将以无法恢复的方式连续转发（甚至可能成倍增加）。

#5 楼

我知道大多数人都说不要这样做-艰苦的人很难做。 :-)

如果它们是愚蠢的开关（例如，不运行任何STP），则没有太大区别。从思科的经验来看，无论如何，它都会立即抓住环路。在虚拟机世界中，甚至“边缘端口”也可能是一个循环。 （我们的开发人员已经了解到了这一困难的方法。）