SW3 是一个开关。根据第一个原则,portfast [trunk]或者port type edge [trunk]不应该在连接到交换机的端口上启用,以免在其他交换机连接到其他上游交换机时出现环路风险。
此规则有例外,但它们需要网络管理员扎实的知识和理解。
通常,边缘端口的部署结合了portfast [trunk]和bpduguard,在这种情况下,SW3 的 BPDU 将设置 Port-Channel11err-disabled状态。
请记住,即使使用完整的 VPC 部署,建议仍将生成树作为安全网在后台运行,以在出现问题时提供帮助。portfast在交换机间链接上设置(或添加 bpdufilter,见下文)会使这个安全网变弱。
因此,如果您愿意承担一些风险并勤奋工作,您可以启用portfast或port type edge [trunk]在连接到另一台交换机的交换机端口上。
请确保
- 您绝对确定这台交换机在其他地方没有其他连接
- 通向另一台交换机的只有一个且恰好是一个逻辑路径(在扩展中:一个交换机端口或一个端口通道)
对于多机箱 LAG 设置,这可能很难实现。
在您的情况下,在 Cisco VPC 对上,您必须确保端口通道向下朝向 SW3 的成员接口永远不会作为单独或非捆绑端口出现。
强制 LACPmode active一起使用lacp suspend-individual应该可以实现这一点。注意:Nexus 5500 将此作为默认设置,NX-OS > 7.2.1 和 Nexus 3164Q(可能还有许多 9300)。你必须检查你的 3064。如果那个 3064 不能做lacp-suspend-indiviudal,就停在那里。
这绝对不是为胆小的人准备的。确保在文档中包含 SW3 绝不能上行连接到除此 VPC 对之外的任何其他交换机,只要此设置占优势。
interface port-channel11
...
lacp suspend-indivdual <--- THAT ONE IS _VERY_ IMPORTANT
spanning-tree port-type edge trunk
...
vpc 11
interface e1/x
...
channel-group 11 mode active
此外,您可能希望通过添加一些保护来防止 SW3 干扰上游交换机的生成树实例
interface port-channel11
...
spanning-tree guard root
...
interface e1/x
...
spanning-tree guard root
甚至这个:
interface port-channel11
...
spanning-tree bpdufilter enable
...
interface e1/x
...
spanning-tree bpdufilter enable
...
附带问题:
该机箱中的 HP 交换机是否运行 MST,而 3064 及其上游运行 Rapid-PVST?如果不同的STP协议,你考虑过互操作性问题吗?
