8
Spanning Tree - Cost ändern
Hallo,
ich habe die Situation mit einem Bild dargestellt.
Momentan laufen nur die Switches Core001, Core002 und DMZ-SW1. DMZ-SW2 ist ausgeschaltet, da es sonst Probleme gibt. Kann also kein show spanning-tree abrufen.
Sobald DMZ-SW2 angeschaltet ist, müsste die Verbindung zu DMZ-SW1 ja im blocking state sein, oder? Da die Cost über DMZ-SW1 zu CORE001 für VLAN 100 ja bei 8 liegt. Über CORE002 bei 5.
Daher ist der Link blocked und die Daten für VLAN 3 werden nicht übertragen.
An welchem Interface müsste ich jetzt die Cost am besten senken, damit VLAN 100 den Weg über DMZ-SW1 wählt und der Link nicht blocked ist?
DMZ-SW2 zum DMZ-SW1 ? Oder DMZ-SW1 zu DMZ2 oder an beiden Enden der Verbindung?
Kann das ganze nicht im Packet Tracer darstellen, da dort der Befehl nicht existiert.
Gruß,
hash2k2
ich habe die Situation mit einem Bild dargestellt.
Momentan laufen nur die Switches Core001, Core002 und DMZ-SW1. DMZ-SW2 ist ausgeschaltet, da es sonst Probleme gibt. Kann also kein show spanning-tree abrufen.
Sobald DMZ-SW2 angeschaltet ist, müsste die Verbindung zu DMZ-SW1 ja im blocking state sein, oder? Da die Cost über DMZ-SW1 zu CORE001 für VLAN 100 ja bei 8 liegt. Über CORE002 bei 5.
Daher ist der Link blocked und die Daten für VLAN 3 werden nicht übertragen.
An welchem Interface müsste ich jetzt die Cost am besten senken, damit VLAN 100 den Weg über DMZ-SW1 wählt und der Link nicht blocked ist?
DMZ-SW2 zum DMZ-SW1 ? Oder DMZ-SW1 zu DMZ2 oder an beiden Enden der Verbindung?
Kann das ganze nicht im Packet Tracer darstellen, da dort der Befehl nicht existiert.
Gruß,
hash2k2
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 328229
Url: https://administrator.de/contentid/328229
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
lg,
Slainte
ich habe die Situation mit einem Bild dargestellt.
Sehr schön - jetzt musst du das Bild nur noch hier posten lg,
Slainte
Hi
wir haben bei uns zwar keíne Cisco sondern Brocade im Einsatz und dort funktioniert das soweit automatisch wie "gut" der Link ist, eine 10G Verbindung hat eine geringere Pathcost wie eine 1G - kann man aber auch einstellen, bei Brocade lautet der Syntax:
direkt im config mode.
Bei Cisco sollte das so aussehen: http://www.cisco.com/web/techdoc/dc/reference/cli/nxos/commands/l2/span ...
Gruß
@clSchak
wir haben bei uns zwar keíne Cisco sondern Brocade im Einsatz und dort funktioniert das soweit automatisch wie "gut" der Link ist, eine 10G Verbindung hat eine geringere Pathcost wie eine 1G - kann man aber auch einstellen, bei Brocade lautet der Syntax:
spanning-tree 802-1w ethernet <id> path-cost <wert> priority <wert>direkt im config mode.
Bei Cisco sollte das so aussehen: http://www.cisco.com/web/techdoc/dc/reference/cli/nxos/commands/l2/span ...
Gruß
@clSchak
Danke,
nur eine Frage bleibt mir noch.. muss ich den Befehl
auf beiden Enden der Verbindung konfigurieren oder reicht dort ein Interface?
nur eine Frage bleibt mir noch.. muss ich den Befehl
spanning-tree cost xxx
Da du VLAN spezifisches STP machst wäre mal die Frage WELCHES STP Protokoll du überhaupt einsetzt interessant ??
Zur Verfügung steht:
Bedenke das die Priority Steps hier immer Modulo 4096 eingestellt werden müssen.
Das Link Costs kann gefährlich sein und macht nur Sinn wenn man z.B. eine WLAN Bridge, Laser Link oder sowas dazwischen hat, wo z.B. der Port physisch auf 1G negotiated aber der Funk- oder Laser Link dazwischen nur eine niedrigere Bandbreite hat. Das kann der Switch durch die physische Linkrate dann nicht erkennen logischerweise.
Wenn das nicht der Fall ist ist die globale Bridge Priority pro VLAN immer der bessere Weg.
Und JA, einen spezifische Link Cost MUSS zwingend an beiden Enden gleich sein. Andernfalls würde das Riesenprobleme in der STP Berechnung geben !
Genau deshalb ist das ein sehr großes Fehlerrisiko wenn hier ein Mismatch passiert. Man sollte das immer mit einem Topologie Protokoll wie CDP oder besser LLDP dann querchecken.
Deshalb auch der dringende Rat das immer über die Bridge Priority zu lösen und nie über die Link Priority wenn man nicht unbedingt muss.
Bei der Bridge Priority wird die nur einmal global angegeben pro VLAN !
Zur Verfügung steht:
- PVSTP+ (Cisco proprietär und NICHT kompatibel zu PVSTP und MSTP und nur mischbar mit Herstellern die PVSTP+ supporten (z.B. Brocade) !)
- PVSTP
- MSTP
Bedenke das die Priority Steps hier immer Modulo 4096 eingestellt werden müssen.
Das Link Costs kann gefährlich sein und macht nur Sinn wenn man z.B. eine WLAN Bridge, Laser Link oder sowas dazwischen hat, wo z.B. der Port physisch auf 1G negotiated aber der Funk- oder Laser Link dazwischen nur eine niedrigere Bandbreite hat. Das kann der Switch durch die physische Linkrate dann nicht erkennen logischerweise.
Wenn das nicht der Fall ist ist die globale Bridge Priority pro VLAN immer der bessere Weg.
Und JA, einen spezifische Link Cost MUSS zwingend an beiden Enden gleich sein. Andernfalls würde das Riesenprobleme in der STP Berechnung geben !
Genau deshalb ist das ein sehr großes Fehlerrisiko wenn hier ein Mismatch passiert. Man sollte das immer mit einem Topologie Protokoll wie CDP oder besser LLDP dann querchecken.
Deshalb auch der dringende Rat das immer über die Bridge Priority zu lösen und nie über die Link Priority wenn man nicht unbedingt muss.
Bei der Bridge Priority wird die nur einmal global angegeben pro VLAN !
Hallo,
bei show spanning-tree zeigt er mir: Protocol rstp, also vermutlich Rapid-PVST.
Erstmal noch eine grundsätzliche Frage:
Bei PVST: Ist der Link zwischen den zwei Switches für ein VLAN auf blocked, ist er dann auch automatisch für alle anderen VLAN's auf blocked?
Dafür ist dann ja MSTP oder? Hier wäre es möglich, auf dem selben Link für verschiedene VLAN's unterschiedliche status zu haben.
Das mit dem cost ändern leuchtet mir ein, nur das mit der Bridge Priority nicht.
Ist die Bridge Priority nicht dafür zuständig, zu entscheiden, wer die root bridge ist, im Fall, dass die eigentlich root ausfällt?
Das also automatisch die bridge mit der nächst niedrigeren ID zur root wird, sobald die "haupt"-rootbridge ausgefallen ist?
Ich erkläre mal das eigentliche Problem.
An DMZ-SW1 und DMZ-SW2 hängt jeweils ein Router im Active/standby- Modus. Über VLAN 3 senden sie ihren keepalive, um zu schauen, ob der andere noch da ist. Das funktioniert aber nicht weil keine Kommunikation stattfindet (weil ich vermute, dass der link auf blocked ist durch VLAN 100) Daher denken beide, sie sind dran, zu agieren.
Momentan ist DMZ-SW2 und der router augeschaltet um die probleme zu vermeiden.. nur die redundanz fehlt natürlich hier..
bei show spanning-tree zeigt er mir: Protocol rstp, also vermutlich Rapid-PVST.
Erstmal noch eine grundsätzliche Frage:
Bei PVST: Ist der Link zwischen den zwei Switches für ein VLAN auf blocked, ist er dann auch automatisch für alle anderen VLAN's auf blocked?
Dafür ist dann ja MSTP oder? Hier wäre es möglich, auf dem selben Link für verschiedene VLAN's unterschiedliche status zu haben.
Das mit dem cost ändern leuchtet mir ein, nur das mit der Bridge Priority nicht.
Ist die Bridge Priority nicht dafür zuständig, zu entscheiden, wer die root bridge ist, im Fall, dass die eigentlich root ausfällt?
Das also automatisch die bridge mit der nächst niedrigeren ID zur root wird, sobald die "haupt"-rootbridge ausgefallen ist?
Ich erkläre mal das eigentliche Problem.
An DMZ-SW1 und DMZ-SW2 hängt jeweils ein Router im Active/standby- Modus. Über VLAN 3 senden sie ihren keepalive, um zu schauen, ob der andere noch da ist. Das funktioniert aber nicht weil keine Kommunikation stattfindet (weil ich vermute, dass der link auf blocked ist durch VLAN 100) Daher denken beide, sie sind dran, zu agieren.
Momentan ist DMZ-SW2 und der router augeschaltet um die probleme zu vermeiden.. nur die redundanz fehlt natürlich hier..
bei show spanning-tree zeigt er mir: Protocol rstp, also vermutlich Rapid-PVST.
Cisco IOS Hardware ?? Catalysten ??Dann ist es PVRSTP+ ein Cisco proprietäres Per VLAN RSTP
Bei Cisco SG Billigsereine ist es Single Span RSTP
Bei PVST: Ist der Link zwischen den zwei Switches für ein VLAN auf blocked, ist er dann auch automatisch für alle anderen VLAN's auf blocked?
Nein ! Logischerweise nicht, denn das sagt ja schon der Name Per VLAN STP an sich !!In jedem VLAN rennt bei PVSTP ein EIGENER Spanning Tree Prozess mit eigener Topologie pro VLAN.
Nur bei einem Singla Span Verfahren wie es die Masse der Billigswitches nur supportet hat du einen einzigen STP Prozess für alle VLANs. Geht da ein Link auf Blocking reisst er den natürlich dann für alle anderen VLANs auch mit runter.
Klar, denn er hat ja nur einen STP Prozess für alle
Dafür ist dann ja MSTP oder?
Nein !Oder jedenfalls nicht nur ! Außer MSTP kann das natürlich auch noch PVSTP und Ciscos PVSTP+
Alle 3 Protokolle sind Per VLAN Spanning Tree Verfahren und nur sehr bedingt bis gar nicht untereinander kompatibel !
Ist die Bridge Priority nicht dafür zuständig, zu entscheiden, wer die root bridge ist
Ja das siehst du genau richtig. Mit der Bridge Priority gibts du die Root Bridge und auch die Backup Root Bridge vor.Wenn du die aber so fest bestimmst, dann bestimmst du auch den Spanning Tree Baum wie dieser aussieht und wo er ins Blocking geht. Das ist erheblich einfacher als das umständlich über die Link Costs zu machen was sehr fehlerträchtig ist und auch andere Nachteile hat.
An DMZ-SW1 und DMZ-SW2 hängt jeweils ein Router im Active/standby- Modus
Was technisch genau ist dieser active/standby Modus ?? Ist das VRRP oder HSRP ??Das funktioniert aber nicht weil keine Kommunikation stattfindet
Das kann aber unmöglich sein wenn DMZ1 im VLAN 3 die Root Brige ist (z.B. Prio 4096) und DMZ2 die Backup Root ist mit z.B. Prio 8192. Dann darf der Link zw. den beiden Switches niemals in Blocking gehen. Ausnahme nur wenn BEIDE Switches ausfallen sollten.Auch sonst dürfte es niemals zu einem Ausfall der Kommunikation zw. den Routern kommen, denn wenn VLAN 3 durchgehend auf den Switches definiert ist ist es ja dann vollkommen egal WO in dem Quadrat der Link in den Blocking get die VRRP Keepalives erreichen so IMMER die andere Seite auch wenn sie z.B. den Umweg unten rum über die beiden anderen Switches gehen müssten.
Das wäre nicht optimal aber so oder so könnte es niemals zu einem Ausfall kommen.
Wenn man über die Bridge Prio DMZ1 als Root und DMZ2 als Backup Root setzt dann bleibt der VRRP Link sprich der Link direkt zw. diesen beiden Switches immer up solange nur einer dieser Switches aktiv ist.
So wie es aussieht bzw. wie du es schilderst stimmt ganz grundsätzlich was an deiner STP Switchkonfig nicht.
weil ich vermute, dass der link auf blocked ist durch VLAN 100
Könnte natürlich sein wenn du ein Single Span Verfahren einsetzt. Deshalb die Frage oben ob PVSTP oder Single Span also Catalysten oder SoHo Modelle SG-xyz ?
Das Problem an der ganzen Geschichte ist, dass ich aktuell keinen Zugriff auf die Switches habe und erst am Dienstag vor Ort bin.
Ein Kollege hat mir nur die "show spanning-tree"-logs von den beiden Core Switches und dem einen DMZ-Switch gesendet und gesagt, ich solle mir das mal anschauen und das Problem lösen.
Ja, es soll sich bei allen Switches um Cisco Switches handeln.
Bei dem active/standby handelt es ich um VRRP.
Wenn ich das also richtig verstehe, dann sollte die Kommunikation kein Problem sein, wenn beide DMZ-Switches PVSTP sprechen, da es keinen Unterschied macht, ob der Link für VLAN 100 auf blocking steht. VLAN 3 Traffic geht dann ohne Probleme drüber.
VLAN 3 ist nicht allowed bei den Links zu den Cores, daher ist die einzige mögliche Verbindung über den Link zwischen den DMZ-Switches..
Daher kam auch meine Vermutung, dass es daran liegt, dass VLAN 100 dort geblockt wird und deshalb keine Kommunikation in VLAN 3 möglich ist.
Tja, was bleibt mir zu tun.
Ich müsste also am Dienstag rausfinden, ob das DMZ2-Switch auch PVSTP spricht und nicht nur Single Span. (Ich vermute aber, dass es PVSTP spricht, da großes Firma)
Werde mir die STP Konfiguration dann vor Ort nochmal anschauen müssen. Habe leider nur so halbe Informationen..
Danke für die ausführlichen Erklärungen!
Ein Kollege hat mir nur die "show spanning-tree"-logs von den beiden Core Switches und dem einen DMZ-Switch gesendet und gesagt, ich solle mir das mal anschauen und das Problem lösen.
Ja, es soll sich bei allen Switches um Cisco Switches handeln.
Bei dem active/standby handelt es ich um VRRP.
Wenn ich das also richtig verstehe, dann sollte die Kommunikation kein Problem sein, wenn beide DMZ-Switches PVSTP sprechen, da es keinen Unterschied macht, ob der Link für VLAN 100 auf blocking steht. VLAN 3 Traffic geht dann ohne Probleme drüber.
VLAN 3 ist nicht allowed bei den Links zu den Cores, daher ist die einzige mögliche Verbindung über den Link zwischen den DMZ-Switches..
Daher kam auch meine Vermutung, dass es daran liegt, dass VLAN 100 dort geblockt wird und deshalb keine Kommunikation in VLAN 3 möglich ist.
Tja, was bleibt mir zu tun.
Ich müsste also am Dienstag rausfinden, ob das DMZ2-Switch auch PVSTP spricht und nicht nur Single Span. (Ich vermute aber, dass es PVSTP spricht, da großes Firma)
Werde mir die STP Konfiguration dann vor Ort nochmal anschauen müssen. Habe leider nur so halbe Informationen..
Danke für die ausführlichen Erklärungen!
Das Problem an der ganzen Geschichte ist, dass ich aktuell keinen Zugriff auf die Switches habe
Das ist natürlich GANZ schlecht. Wie willst du das dann fixen ?... Unmöglich ! Du kannst ja nichtmal debuggen und dir die STP Logs und Topology ansehen 
Ja, es soll sich bei allen Switches um Cisco Switches handeln.
Soll, kann, muss...du siehst zuviel Konjunktive.. Wenn Cisco dann ist es noch essentiell wichtig ob Das Catalyst Switches sind, also IOS Firmware basierend oder ob das deren billige SoHo Modelle sind.Da ist STP seitig nochmal ein himmelweiter Unterschied bei den Defaults !
Leider auch keine Infos dazu von dir ?
Mal ehrlich wie willst du mit raten und vermuten da eine saubere Lösung hinbekommen ?!
Gehe vor Ort bringe das in Erfahrung und fixe das. Oder frag jemanden vor Ort von dem du einen verlässliche Auskunft bekommst und der wenigstens weiss was er tut und wie man das Wort "Switch" schreibt.
Bei dem active/standby handelt es ich um VRRP.
Wäre für Cisco ungewöhnlich, denn deren Default ist immer ihr proprietäres HSRP. Gut möglich das ein Netzwerker da aber nachgedacht hat und das standardkonforme VRRP nutzt...würde Sinn machen.Wenn ich das also richtig verstehe, dann sollte die Kommunikation kein Problem sein, wenn beide DMZ-Switches PVSTP sprechen
Ja das sollte so sein aber es gilt auch wenn sie STP, RSTP oder Single Span machen.Sind denn alle 4 Switches alle vom gleichen Hersteller ?? Oder ist das ein Mix Cisco und noch was anderes.
Ein Mix wäre fatal wenn da keiner den Spanning Tree Mode umgeschaltet hat. Ciscos PVSTP+ ist NICHT Komaptibel zu allen anderen Protokollen. !!
Wenn 2 Switches also NON Cisco sind dann ist es kein Wunder das der Spanning Tree so kollabiert ! Das geht so nicht.
Werde mir die STP Konfiguration dann vor Ort nochmal anschauen müssen. Habe leider nur so halbe Informationen..
Das ist das einzig Richtige ! 
