VMware Global Community
Tinto1970
Commander
Commander
‎05-23-2012 06:45 AM
Jump to solution

configurazione porte switch per gli host ESXi

sono stato "cazziato" perché le porte dei miei switch dell che sono connesse agli host erano in configurazione di default (Spanning Tree Abilitato in modo Rapid econ PortFast abilitato) mentre avrebbero dovuto essere con l'STP disabilitato.

Premesso che non mi ero posto il problema quindi la cazziata è comunque meritata, ho googlato un po' e mi pare molti consiglino come configurazione proprio quella con spanningtree in modalità portfast e non disabilitato. (per esempio qui http://simongreaves.co.uk/blog/vmware-nic-trunking )

Voi come vi regolate di solito?

--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
Tags (4)
0 Kudos
1 Solution

Accepted Solutions
ldelloca
Virtuoso
Virtuoso
‎05-23-2012 08:13 AM
Jump to solution

In realtà come sempre dipende più che altro dal disegno della rete: se ci sono possibilità di "mandare in loop" delle connessioni (in realtà STP fa anche altre cose) è sempre buona cosa avere STP, specie se lavori a multi-livello con top-of-rack / distribution / core. Io starei molto attento all'idea di spegnere STP.

STP fa male quando è configurato da cani (e capita spesso…) e quindi si pensa che sia dannoso, oppure quando come han già detto non si usa il portfast e quindi su un failover vSphere si perde perchè STP ci mette i suoi bei 30 secondi a riallineare i path. Le alternative per farne a meno (e te lo dice uno che lo odia letteralmente…) ci sono, ma si parla di TRILL o altri protocolli simili e contemplano il rifacimento di tutta la rete ethernet, non un semplcie "spegnamo STP".

Dubbio: non è che avete già configurato il o gli anelli STP, e i tuoi switch introdotti "alla gribaldina" hanno scassato i path? Nel caso però basta configurarli…

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"

View solution in original post

0 Kudos
13 Replies
scanda
Expert
Expert
‎05-23-2012 07:38 AM
Jump to solution

Che io sappia lo STP non si può disabilitare sulle porte ma solo a livello di switch o vlan (PVSTP)

Se non vuoi che una porta sia interessata da tutto il processo necessario per individuare eventuali LOOP, tipo una porta in access, devi utilizzare il comando spanning-tree portfast.

Il comando non disabilità lo STP ma passa lo stato della porta direttamente a FORWARDING.

Per le porte dove sono connessi gli ESXi è buona norma impostare il portfast, questo per evitare situazioni di isolamento degli HOST e relativa riaccensione delle VM da parte dell'HA.

ciao, scanda

Tinto1970
Commander
Commander
‎05-23-2012 07:42 AM
Jump to solution

Che io sappia lo STP non si può disabilitare sulle porte ma solo a livello di switch o vlan (PVSTP)

almeno sui "miei" Dell ti confermo che si può disabilitare STP sia a livello di porta sia a livello di LAG (cioè per link fatti con due o più porte aggregate)

--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
0 Kudos
scanda
Expert
Expert
‎05-23-2012 07:47 AM
Jump to solution

Scusa l'imprecisione, non avevo letto bene, mi riferivo agli switch cisco. i dell non li conosco :smileysilly:

scanda

0 Kudos
Tinto1970
Commander
Commander
‎05-23-2012 08:06 AM
Jump to solution

di nulla Smiley Happy poi comunque a prescindere dalla marca pare che l'STP purché associato al portfast sia accettabile.

--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
0 Kudos
ldelloca
Virtuoso
Virtuoso
‎05-23-2012 08:13 AM
Jump to solution

In realtà come sempre dipende più che altro dal disegno della rete: se ci sono possibilità di "mandare in loop" delle connessioni (in realtà STP fa anche altre cose) è sempre buona cosa avere STP, specie se lavori a multi-livello con top-of-rack / distribution / core. Io starei molto attento all'idea di spegnere STP.

STP fa male quando è configurato da cani (e capita spesso…) e quindi si pensa che sia dannoso, oppure quando come han già detto non si usa il portfast e quindi su un failover vSphere si perde perchè STP ci mette i suoi bei 30 secondi a riallineare i path. Le alternative per farne a meno (e te lo dice uno che lo odia letteralmente…) ci sono, ma si parla di TRILL o altri protocolli simili e contemplano il rifacimento di tutta la rete ethernet, non un semplcie "spegnamo STP".

Dubbio: non è che avete già configurato il o gli anelli STP, e i tuoi switch introdotti "alla gribaldina" hanno scassato i path? Nel caso però basta configurarli…

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
0 Kudos
Tinto1970
Commander
Commander
‎05-23-2012 08:37 AM
Jump to solution

in realtà "non è successo niente", è che i boss hanno richiesto una consulenza per analizzare lo stato e il primo appunto alla parte networking è "non avete disabilitato l'STP!!!".

Il secondo è che fra i dell e i cisco non c'e' un buon "dialogo", ma era un problema noto e dovuto alla introduzione "garibaldina" senza una adeguata preprogettazione e soprattutto senza collaborazione adeguata fra chi introduceva il nuovo e chi gestiva il vecchio.

Una cosa che ho imparato è che con la virtualizzazione non si può più ragionare a compartimenti separati. Non che prima fosse sano, ma ora è due volte più importante evitarlo Smiley Happy

--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
0 Kudos
Tinto1970
Commander
Commander
‎05-23-2012 01:50 PM
Jump to solution

con calma ho fatto un po' di ricerche nelle documentazioni ufficiali e anch'esse suggeriscono "sì STP con PortFast"

http://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.availability.doc_41...

"Configuring Switches. If the physical network switches that connect your servers support the PortFast (or an equivalent) setting, enable it. This setting prevents a host from incorrectly determining that a network is isolated during the execution of lengthy spanning tree algorithms."

http://www.vmware.com/pdf/vsphere4/r41/vsp_41_esxi_server_config.pdf

"You might lose vSwitch connectivity when a failover or failback event occurs. This causes the MAC addresses
that the virtual machines associated with that vSwitch to appear on a different switch port.
To avoid this problem, put your physical switch in PortFast or PortFast trunk mode."

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=100380...

"

There are two ways to prevent the 30-50 second loss of connectivity during STP convergence:
  • Set STP to Portfast on all switch ports that are connected to network adapters on an ESXi/ESX host.

......


  • Disable STP

    VMware does not typically recommend that you disable STP. However, to prevent this issue from occurring, it may be necessary to disable STP. Before you disable STP, contact your switch vendor."
--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
0 Kudos
ldelloca
Virtuoso
Virtuoso
‎05-23-2012 03:01 PM
Jump to solution

Appunto Smiley Happy

Comunque, è vero che bisognerebbe avere in mano il disegno della tua rete, ma mi piacerebbe sapere chi è il "fenomeno" che ha suggerito di spegnere STP... Spanning Tree va "configurato bene", non spento.

Se poi vuoi sapere se è una ciofeca, te lo confermo, ma non lo si toglie spegnendolo, ma sostituendolo con protocolli alternativi e più efficienti, di cui uno dei più "in voga" è TRILL. Noi ci stiamo seriamente pensando per il nostro DC, però vuol dire dotarsi di apparati appositi (nel nostro caso Brocade VDX).

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
Tinto1970
Commander
Commander
‎05-24-2012 03:31 AM
Jump to solution

sul "fenomeno" dettagli in privato... magari lunedì all'Hands-On?  Ci sei vero? Smiley Wink

Sicuramente ci vorrebbe una riprogettazione complessiva (e senza fare a pugni fra sistemisti e amministratori di rete) della nostra rete, almeno a livello di datacenter. Gli switch di core sono vecchiotti (cisco 6509) e si pensa di sostituirli da un po'. Ho dato uno sguardo ai Brocade che hai indicato, mi piace soprattutto la frase "self healing capabilities minimize downtime caused by failures or human error".

Spero che si vada verso apparati di questo livello.

--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
0 Kudos
ldelloca
Virtuoso
Virtuoso
‎05-24-2012 04:03 AM
Jump to solution

Confermo la presenza lunedì, ne parliamo più che volentieri. Ciao, Luca

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
0 Kudos
vGerry
Contributor
Contributor
‎01-08-2013 03:01 AM
Jump to solution

Ciao,

di solito sui swtich connessi agli host ESXi si mette portfast come hai fatto, per il motivo che gli ESXi vengono visti come end station e quindi non partecipano all'STP,mettendolo come portfast ,se gli host vanno giù quando risalgono le porte vanno subito in forwarding e quindi elimini i circa 30 secondi di disservisio per il ricalcolo dello STP di listening e learning. Quindi secondo me avevi fatto bene Smiley Happy perchè avevi elimimanto il disservisio dei possibili 30 secondi.

Se invece qualcuno stacca le porte e li connette ad uno switch e non più agli host allora si che si crea un llop,ma questo se la rete è sotto security e controllo non si presenta

CCNP-v6/ JNCIS-FWV/ CCIP/ CCDA/ JNCIA-SP/ CCNA-SEC/ CCNA-V/ CCNA-RS http://communities.vmware.com/people/vGerry/blog
0 Kudos
Tinto1970
Commander
Commander
‎01-08-2013 07:57 AM
Jump to solution

Se invece qualcuno stacca le porte e li connette ad uno switch e non più agli host allora si che si crea un llop

e immagino che, in questo scenario, se invece di avere lo spanning tree abilitato col portfast lo hai disabilitato del tutto, le conseguenze siano peggiori Smiley Happy

--
Alessandro aka Tinto VCP-DCV 2023 | VVSPHT 2023 | VMCE 2024 | vExpert 2024 | Veeam Legend
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://blog.tinivelli.com
0 Kudos
vGerry
Contributor
Contributor
‎01-08-2013 08:00 AM
Jump to solution

certo Smiley Happy infatti secondo me va bene come avevi fatto con il portfast.

Buon lavoro, ciao

CCNP-v6/ JNCIS-FWV/ CCIP/ CCDA/ JNCIA-SP/ CCNA-SEC/ CCNA-V/ CCNA-RS http://communities.vmware.com/people/vGerry/blog
0 Kudos