Bonjour,
Merci beaucoup pour vos réponses et avis.
Ça nous a conforté dans l'idée de ne pas faire de spanning-tree à
l'échelle de l'infra, car nous n'en avons pas besoin (et pas envie).
Voilà ce que ça donne au final chez nous :
* Pas de spanning-tree sur notre infra, du tout, sur les couches core
et aggregation (no spanning-tree). Tous les liens sont redondés en
LACP (vPC/MLAG).
* Du spanning-tree le plus simple possible sur les couches access,
chaque stack étant la racine de son propre arbre local, qui ne sort
pas de la stack (à priori du rapid-pvst par simplicité sur nos 2960x)
* Sur les switchs d'access, il faut donc systématiquement faire du
bpdufilter sur les ports upstream (pour ne pas propager l'arbre
spanning-tree vers l'infra)
* Sur les ports edge, on fait du portfast (pour éviter les latences à
l'allumage du port) et du bpduguard pour shut un port edge qui
reçoit des BPDU (un switch, à priori)
* En complément sur les ports edge, on fait du storm-control pour
couper s'il y a trop de broadcast/multicast ; et du port-security
pour limiter le nombre de MAC autorisées sur un port (variable selon
le type de VLAN)
* Et on bosse sur l’implémentation de 802.1x et Private Vlan, mais
c'est un autre sujet.
Bonne journée à toutes et tous,
Fabien
On 4/22/24 17:49, Fabien Sirjean wrote:
Bonjour la liste !
Ça fait maintenant quelques semaines qu'on se gratte la tête avec les
collègues, alors je viens ici chercher des avis éclairés.
On exploite une infra campus, de type 3 tiers (core/aggreg/access), en
pur layer 2 (des VLAN propagés entre l'edge et le core) en
multi-constructeurs (HP procurve, Extreme, Cisco 2960X...).
Grosso-modo 300 (stacks de) switchs, répartis dans une grosse
vingtaine de bâtiments, sur un seul site. Le core est à cheval sur
deux bâtiments, tout comme la couche d'aggreg des différents switchs
d'access.
Tous les liens sont redondés en LACP (technos VPC/MLAG/whatever selon
la couleur de l'équipement), on a aucune boucle sur l'infra.
On est en train de reprendre la config de nos switchs (refonte totale
du parc, on déploie du 2060X refurbished) et on se pose une question
bête : spanning-tree or not spanning tree ?
Aujourd'hui il n'y en a pas du tout ("no spanning-tree" sur les
équipements). On veut bien sur faire de la détection de boucle (voire
du bpdu guard) sur les ports edge ; mais quid des liens infra ?
Entre le nombre d'équipements, l'hétérogénéité des constructeurs, et
notre manque de maîtrise de cette (ou plutôt ces entre STP, RSTP,
PVST, MSTP...) techno du diable, on a pas très envie de faire un seul
arbre spanning-tree à l'échelle de notre infra.
On a vécu des changements de topologie incessants, avec des temps de
convergence infinis, et on a pas très envie de recommencer. Mais c'est
ce que nous préconise un presta, alors on doute de nos choix.
Un avis sur la question ? Vous faites comment chez vous ?
Bien sur la meilleure réponse est de tout passer en L3 et de faire du
routage, mais... C'est pas au programme pour l'instant ;-)
Merci d'avance de vos retours !
Bonne soirée,
Fabien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
