Zum Inhalt wechseln


Foto

Wie kann man Spanning-Tree komplett abschalten ?


  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 srellik

srellik

    Gast

  • 34 Beiträge

 

Geschrieben 22. September 2006 - 18:04

Hallo,

ich hätte hier ein Problem, für das ich bisher noch keine Lösung gefunden habe (leider auch nicht die vom Support unseres Distributors, die es auch zum Cisco-TAC escaliert haben !!!)

Wie kann ich spanning-tree auf einem Switch komplett, pro Port oder pro VLAN abschalten ???

Hatten es schon mit verschiedenen Dingen versucht, zuletzt mit

no spanning-tree vlan xxx

Das Problem bei der Sache ist, das er trotz allen Versuchen immer noch BPDUs aus den entsprechenden Port(s) aussendet.
Ihm selbst sind die empfangenen BPDUs "egal", d.h. Schleifen sind möglich.

Der Grund, weshalb die komplette Spanning-Tree-Instanz für dieses VLAN abgeschaltet werden muss, ist das die Gegenstelle keine ankommenden BPDUs akzeptiert und gedroht hat abzuschalten (-> bpdu-filter)

Anderes IOS wurde auch schon getestet:
aktuell läuft 122-25.SEB1
Switch ist ein 3750, aber auch andere Geräte, wie 3508 haben dasselbe Problem

Kennt jmd. das Problem oder hat jemand eine Lösung.

Mfg

#2 daking

daking

    Board Veteran

  • 595 Beiträge

 

Geschrieben 22. September 2006 - 18:59

Hola,

wenn du mit no spanning-tree vlan xx den SPT deaktivierts ist dieser aus. Welche Version benutzt du (122-25.SEB1 wirklich)? Habe das heute mit einer SEE mit einem 3560 unter einem Testaufbau validiert.
Falls die SW Probleme mach kannst du mit spanning-tree bpduf en oder einer mac access-list einen Workaround schaffen.. Denke jedoch nicht, dass das IOS hier Probleme macht...
Kommen die STP Pakete vielleicht von einer anderen Komponente?
Welcher STP Typ wird hier versendet?


Ciao

#3 tom12

tom12

    Member

  • 294 Beiträge

 

Geschrieben 22. September 2006 - 21:50

Hi,
warum willst du STP abschalten??
Was bringt dir das? Damit "suchst" du dir die Probleme.. (das schlimmste sind im in einem geswitchten Netz L2 Loops!).

Setze access ports auf spanning-tree portfast, und mache (wenn möglich) rapid-pvst...

Grüsse
Thomas

#4 srellik

srellik

    Gast

  • 34 Beiträge

 

Geschrieben 23. September 2006 - 15:18

Hallo,

es wird per-vlan-spanning-tree verwendet.
Wenn ich den bpdufilter aktiviere habe ich doch nur den effekt, das bei eingehenden BPDUs eine "Aktion" ausgeführt wird, oder sehe ich da was falsch ??? Und das Problem ist ja, das er trotz no spanning-tree vlan x immer noch BPDUs aus dem Ports/den Ports aussendet, die im entsprechenden VLAN liegen. Und die Gegenstelle akzeptierts halt nicht.

@daking
Wie könnte denn so eine Mac-ACL aussehen ?
Von einer anderen Komponente können die BPDUs nicht sein, da dies der einzige Port im entsprechenden VLAN auf diesem Switch ist und dies eine direkte verbindung über LWL ist
(somit also kein Transport über ein weiteres L2-Segment, wo eventuell andere Devices mitspielen könnten)

@tom12
spanning-tree sollte natürlich nicht ganz abgeschaltet werden, sonder nur auf dem entsprechenden Port.
es sind von der topologie her dort keine schleifen möglich (dafür muss bei abgeschaltetem STP natürlich gesorgt sein)
Der Port ist ist unser Uplink zu einem CIX, und die akzeptieren dort keine eingehenden BPDUs und haben gedroht abzuschalten.
spanning-tree portfast ist also hier auch keine Lösung

mfg

#5 tom12

tom12

    Member

  • 294 Beiträge

 

Geschrieben 23. September 2006 - 20:17

Hi,

hast du schon auf dem interface den bpdufilter aktiviert?

XXXX(config-if)#spanning-tree ?
bpdufilter Don't send or receive BPDUs on this interface



grüsse
Thomas

#6 thematrix

thematrix

    Member

  • 154 Beiträge

 

Geschrieben 24. September 2006 - 07:14

Hi,

geht es nicht mit :

no spanning-tree vlan <vlan-id>
Hacking is like SEX ... You get in, You get out and after it you leave and hope not to be track backed :)

Passed: Zertifikate, die keine Sau interessieren :D :cool:

#7 daking

daking

    Board Veteran

  • 595 Beiträge

 

Geschrieben 24. September 2006 - 12:22

Hola,

mit no spanning-tree vlan muss der SPT deaktiviert sein (es gibt keine bekannten Probleme in den Releasenotes)

was sagt:

show spanning-tree summary

Falls der STP nicht deaktiviert werden kann oder die Quelle der BPDUs nicht ausfindig gemacht werden kann hilft vielleicht folgendes....
!
mac access-list extended bpdu-range
permit any 0180.c200.0000 0000.0000.000f
!
Jetzt solltest du diese ACL auf einen Port legen können oder das ganze Vlan via vlan-maps filtern können:
!
vlan access-map bpduFilter 10
match mac address bpdu-range
action drop
!
vlan access-map bpduFilter 20
action forward
!
vlan filter bpduFilter vlan-list x,x,x - x

Mit dem bpduf sollte es auch klappen. Jedoch gibt es hier ein paar sachen zu beachten:

When you globally enable BPDU filtering on Port Fast-enabled interfaces, it prevents interfaces that are in a Port Fast-operational state from sending or receiving BPDUs. The interfaces still send a few BPDUs at link-up before the switch begins to filter outbound BPDUs. You should globally enable BPDU filtering on a switch so that hosts connected to these interfaces do not receive BPDUs. If a BPDU is received on a Port Fast-enabled interface, the interface loses its Port Fast-operational status, and BPDU filtering is disabled.


Ciao

#8 s.F

s.F

    Junior Member

  • 91 Beiträge

 

Geschrieben 25. September 2006 - 02:56

Hallo srellik,

STP lässt sich mit Sicherheit auf dem ganzen Switch (nicht zu empfehelen)
oder auch wie erwünscht per vlan ausschalten.

Beim jeweiligem Interface die Option setzen:
spanning-tree portfast

Danach gäbe es dann noch
spanning-tree portfast bpduguard
spanning-tree portfast bpdufilter

Wobei bpduguard den Port disabled sobald bpdu traffic festgestellt wird
und bpdufilter lediglich diesen "heraus filtert". In deinem Fall wäre also
spanning-tree portfast bpdufilter vermutlich das was du benötigst.

STP deakaivierst du per vlan mit diesem command.
no spanning-tree vlan <vlanID>

Ich hoffe ich verbreite keinen unsinn bin mir jedoch sicher das es korrekt ist.