管理されていないスイッチに接続する可能性のあるポートでportfastを使用する必要がありますか？

スパニングツリーの仕組みの基本と、ユーザーアクセスポートでportfastを使用する理由を理解しています。

机やその他の文書化されていない場所の下に多数のダムスイッチがあるトポロジを扱う場合、すべての「おそらく」アクセススイッチでこれを本当に有効にしたいですか。

これらのアンマネージドスイッチを追跡しようとするのとは別に、ベストプラクティスは何ですか？どうして？

スイッチコアの一部ではないすべてのポートで「port-fast」（標準的にはエッジポート）を実行する必要があります。スイッチであっても。

カスタマースイッチを介したL2ループを使用しないでください。

すべてのインターフェイスでBPDUGuardおよびBUMポリサーを実行する必要があります。顧客向けインターフェイスは、コア向け制限の1/5以下でなければなりません。残念ながら、未知のユニキャストを制限することはしばしばサポートされません。

「ポートファースト」またはエッジを実行することが重要である理由は、RSTP（およびMST拡張）のパフォーマンスがRSTPに依存しているためです。RSTPの仕組みは、フォワーディングモードに移行できるかどうかをダウンストリームに要求し、frmoに要求するポートがなくなるまでダウンストリームに要求した後、許可が伝達されます。Port-FastまたはEdge PortはRSTPの観点からの暗黙的な許可です。この暗黙的な許可を削除する場合、明示的な許可を取得する必要があります。許可しない場合、従来のSTPタイマーにフォールバックします。つまり、1つの非portfastポートでさえ、1秒未満のRSTPコンバージェンスを強制終了します。

に加えてspanning-tree portfast、使用spanning-tree bpduguard enableするべきでないものを差し込んでループを作成した場合、ループを作成してネットワークをダウンさせるのではなく、BPDUを検出するとスイッチポートがエラーディセーブルモードになるように使用する必要があります。

同様に、管理されていないスイッチを追跡することが目標の場合は、有効にする必要があります

 switchport port-security maximum 1  ! or whatever number is appropriate
 switchport port-security violation shutdown
 switchport port-security

これにより、複数のMACアドレスが接続されているポートがエラーディセーブルになります。トラップを介して、または彼らが助けを求めるまで待つことで、それらの管理されていないデバイスが接続されている場所を特定できます。

ポートセキュリティの詳細

机やその他の文書化されていない場所に多数のダムスイッチがあるトポロジを扱う場合、すべての「想定される」アクセススイッチでこの[portfast]を有効にしたいですか？

公式でつまらない答えは、「いいえ、スイッチのportfastをスイッチリンクに切り替えないでください」です。これについては、シスコのサポートフォーラムで関連する議論があります。

ネットワーク警察はダウンストリームスイッチに直面PortFastを有効にするためにあなたを逮捕しません、けれどもそのスレッドの著者は公正なポイントになります... 可能あなたがリンク上でPortFastをイネーブルにするときあなたが取ることを一時的にブロードキャストストームのリスクを周りにハックします別のスイッチに。

回避策

スマートまたはダムスイッチへのリンクでPortFastを有効にする場合は、そのポートでbpduguard（コントロールプレーン保護）とブロードキャストストーム制御（データプレーン保護）を有効にしてください...これらの2つの機能により、予期しないことが起こる場合：

• 通常、bpduguardがポートを無効にするBPDUを誰かがフィルタリングし、ブロードキャストストームが発生します。ストーム制御により、ブロードキャストストームによる被害を制限
• bpduguardには、他の回答で言及されている明らかな利点があります。

設定にポート固有のコマンドを適用すると、スイッチまたは接続されたデバイスの電源を入れ直したり、再起動またはリロードしたりした場合のポートの初期化時間が短縮されます。また、ポートが適切にネゴシエートされない場合に、構成設定が誤って適用されないようにすることもできます。

Ciscoスイッチのデフォルトはswitchport mode dynamic desirable（Cisco Stackwise対応スイッチは例外です）であるため、すべてのポートは意図した目的をネゴシエートしようとします。この交渉プロセスには4つの主要なフェーズがあり、完了するまでに1分かかる場合があります。-スパニングツリープロトコル（STP）の初期化-ポートは、STPの5つのフェーズ（ブロッキング、リスニング、学習、転送、無効）を通過します。-Etherチャネル構成のテスト-ポートはPort Aggregation Protocol（PAgP）を使用し、スイッチポートを結合して、より大きな集約イーサネット接続を作成します。-トランク構成のテスト-ポートはDynamic Trunk Protocol（DTP）を使用してトランクリンクをネゴシエート/検証します。-ポートの速度とデュプレックスを切り替える-ポートはFast Link Pulse（FLP）を使用して速度とデュプレックスを設定します。

スイッチポートモードアクセスを設定すると、ポートがトランクネゴシエーションを通過できなくなります。

スパニングツリーportfastを設定すると、ポートがSTPネゴシエーションを通過できなくなります。

設定スイッチポートのホストはアクセスおよびPortFastの両方を設定します。..

もちろん、シスコからの警告-注意：他のスイッチ、ハブ、またはルーターに接続するスイッチポートでPortFast機能を使用しないでください。これらの接続は物理的なループを引き起こす可能性があり、スパニングツリーはこれらの状況で完全な初期化手順を実行する必要があります。スパニングツリーループは、ネットワークをダウンさせる可能性があります。物理ループの一部であるポートに対してPortFastをオンにすると、ネットワークが回復できないような方法でパケットが連続的に転送される（さらには乗算される）時間があります。

私はほとんどの人がそれをしないと言っていることを知っています-厳しいルール、厳しい人々のために。:-)

ダムスイッチ（たとえば、STPを実行しない）である場合、大きな違いはありません。シスコの経験から言えば、どのような場合でもほぼ即座にループをキャッチします。VMの世界では、「エッジポート」でさえループになることがあります。（私たちの開発者は、その困難な方法を学びました。）