Коммутация LAN : Протокол STP

Улучшение защиты корня дерева STP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (20 октября 2015) | Отзыв


Содержание


Введение

Данный документ описывает такую функциональную возможность протокола связующего дерева (STP), как защита корня. Эта функциональная возможность – одна из новых функций STP, созданных Cisco. Данная функциональность повышает надежность, управляемость и безопасность коммутируемой сети.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Описание функции

Стандартный STP не предусматривает возможности для администратора сети безопасно задать топологию коммутируемой сети уровня 2 (L2). Возможность установить топологию может быть особенно важной для сетей с общим административным контролем, в которых различные административные объекты или компании контролируют одну коммутируемую сеть.

Топология передачи коммутируемой сети является вычисляемой. Вычисление основано, наряду с другими параметрами, на расположении корневого моста. Любой коммутатор в сети может быть корневым мостом. Но более оптимальная топология передачи располагает корневой мост в специальном предопределенном месторасположении. При стандартных настройках STP любой мост в сети с меньшим значением идентификатора моста берет на себя функцию корневого моста. Администратор положение корневого моста выбрать не может.

Примечание: Администратор может установить приоритет корневого моста в 0, чтобы защитить положение корневого моста. Но гарантии того, что в системе не будут одновременно присутствовать мосты с приоритетом 0 и более низким адресом MAC, не существует.

Функция защиты корня обеспечивает возможность задать расположение корневого моста в сети.

Функция защиты корня обеспечивает уверенность в том, что порт, на котором активизирована функция защиты корня, является назначенным. Обычно все порты корневого моста являются назначенными, если два или более портов корневого моста не соединены вместе. Если мост получает высокоприоритетные STP элементы данных протокола управления мостами (BPDU) в корневом порту, для которого включена функция защиты корня, защита корня переводит порт в состояние STP, называемое несогласованностью корня. Состояние несогласованности корня аналогично состоянию прослушивания. Трафик через порт в таком состоянии не пересылается. Таким образом, защита корня задает расположение корневого моста.

Пример в данном разделе демонстрирует как посторонний корневой мост может вызвать проблемы в сети и как в такой ситуации может помочь функция защиты корня.

На Рисунке 1 коммутаторы А и В составляют ядро сети, а А является корневым мостом VLAN. Коммутатор C – коммутатор доступа уровня доступа. Канал между В и С заблокирован со стороны С. Стрелки обозначают направление потока STP BPDU.

Рис. 1

/image/gif/paws/10588/74a.gif

На Рисунке 2 устройство D становится частью STP. Например, приложения для создания моста на основе программного обеспечения запускаются на ПК или других коммутаторах, подключенных клиентом к сети провайдера услуг. Если приоритет моста D равен 0 или его приоритет ниже приоритета корневого моста, устройство D выбирается корневым мостом для данной VLAN. Если канал между устройствами А и В имеет пропускную способность 1 гигабит, а канал между А и С так же, как канал между В и С - 100 Mбит/с, выбор D корневым портом приводит к тому, что канал Gigabit Ethernet, соединяющий два базовых коммутатора, заблокируется. Такая блокировка канала приводит к тому, что всех данные в данной VLAN устремляются через канал с пропускной способностью 100 Mбит/с на уровне доступа. Если через ядро этой VLAN проходит больше данных, чем канал может пропустить, некоторые кадры будут сброшены. Сброс кадров приводит к снижению производительности или потере соединения.

Рис. 2

/image/gif/paws/10588/74b.gif

Функция защиты корня защищает сеть от таких проблем.

Настройка защиты корня осуществляется для каждого порта в отдельном порядке. Защита корня не позволяет порту становится STP корневым портом, поэтому порт всегда остается STP-назначенным. Если в такой порт попадает приоритетный BPDU, защита корня не принимает этот BPDU в расчет и не выбирает новый корень STP. Вместо этого защита корня приводит порт в состояние несогласованности корня STP. Функцию защиты корня необходимо включить на всех портах, которые не должны стать корневыми. Таким образом можно настраивать периметр вокруг той части сети, в которой может быть расположен корень STP.

На рисунке 2 включите защиту корневого узла на порту C Коммутатора, который соединяется с Коммутатором D.

C коммутатора на рисунке 2 блокирует порт, который соединяется с Коммутатором D, после того, как коммутатор получает вышестоящее BPDU. Защита корня приводит порт в состояние STP несогласованности корня. Трафик через порт в таком состоянии не передается. После окончания передачи устройством D высокоприоритетных BPDU порт снова разблокируется. Благодаря STP порт переходит из состояния прослушивания в состояние обучения и в конечном итоге в состояние пересылки. Восстановление происходит автоматически; участия администратора не требуется.

Следующее сообщение появляется после того, как защита корня блокирует порт:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

Доступность

Функция защиты корня доступна для ОС Catalyst (CatOS) для Catalyst 29хх, 4500/4000, 5500/5000 и 6500/6000 версии ПО 6.1.1 и более поздних версий. Для Catalyst 6500/6000, который выполняет Cisco системное программное обеспечение IOS�, эта функция была сначала представлена в программном обеспечении Cisco IOS версии 12.0(7)XE. Для Catalyst 4500/4000, на основе которого функционирует системное программное обеспечение Cisco IOS, данная функция доступна во всех версиях.

Для коммутаторов Catalyst 2900XL и 3500XL защита корня доступна в ПО Cisco IOS Release 12.0(5)XU и более поздних. Коммутаторы Catalyst серии 2950 поддерживают функцию защиты корня в ПО Cisco IOS Release 12.0(5.2)WC(1) или более поздней версии. Коммутаторы Catalyst серии 3550 поддерживают функцию защиты корня в ПО Cisco IOS Release 12.1(4)EA1 или более поздней версии.

Конфигурация

Конфигурация CatOS

Конфигурация защиты корневого узла идет для каждого порта основание. На коммутаторах Catalyst, работающих под управлением CatOS, настройка защиты корня осуществляется следующим образом:

vega> (enable) set spantree guard root 1/1
Rootguard on port 1/1 is enabled.
Warning!! Enabling rootguard may result in a topology change.
vega> (enable)

Чтобы убедиться в том, что функция защиты корня настроена, введите следующую команду:

vega> (enable) show spantree guard
Port                     VLAN Port-State    Guard Type
------------------------ ---- ------------- ----------
 1/1                     1    forwarding          root
 1/2                     1    not-connected       none
 3/1                     1    not-connected       none
 3/2                     1    not-connected       none
 3/3                     1    not-connected       none
 3/4                     1    not-connected       none
 5/1                     1    forwarding          none
 5/25                    1    not-connected       none
15/1                     1    forwarding          none
vega> (enable)

Конфигурация программного обеспечения Cisco IOS для Catalyst 6500/6000 и Catalyst 4500/4000

На Catalyst 6500/6000 или коммутаторах Catalyst 4500/4000, которые выполняют системное ПО Cisco IOS, выполните этот набор команд для настройки защиты корня STP:

Cat-IOS# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Cat-IOS#(config)# interface fastethernet 3/1

Cat-IOS#(config-if)# spanning-tree guard root

Примечание: Программное обеспечение Cisco IOS версии 12.1(3a)E3 для Catalyst 6500/6000, который выполняет системное ПО Cisco IOS, изменило эту команду от spanning-tree rootguard до root spanning-tree guard. Catalyst 4500/4000, где функционирует системное ПО Cisco IOS, использует команду spanning-tree guard root во всех версиях.

Конфигурация программного обеспечения Cisco IOS для Catalyst 2900XL, 2950, и 3550

На Catalyst 2900XL, 3500XL, 2950 и 3550 настройте коммутаторы с защитой корневого узла в режиме конфигурации интерфейса, как показано в примере:

Hinda# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Hinda(config)# interface fastethernet 0/8
Hinda(config-if)# spanning-tree rootguard
Hinda(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on 
port FastEthernet0/8 VLAN 1.^Z
Hinda#

В чем разница между защитой STP BPDU и защитой корня STP?

Защита BPDU и защита корневого узла похожи, однако их воздействие отличается. Функция защиты от BPDU отключает порт при приеме пакета BPDU, если этот порт работает в режиме portfast. Это отключение эффективно предотвращает участие в STP устройств, находящихся в сети за такими портами. Вы должны вручную восстановить работу порта, находящегося в состоянии отключения в результате ошибки, или настроить интервал времени ожидания при отключении в результате ошибки.

Защита корня позволяет устройству принимать участие в STP до тех пор, пока оно не пытается стать корневым. Если защита корня блокирует порт, последующее его восстановление будет автоматическим. Восстановление произойдет сразу после того как устройство-нарушитель прекратит посылать высокоприоритетные BPDU.

Для получения дополнительных сведений о защите BPDU обратитесь к следующему документу:

Поможет ли функция защиты корня решить проблему двух корней?

Между двумя мостами сети может возникнуть сбой в виде однонаправленного канала. Из-за такого сбоя один из мостов не получает BPDU от корневого моста. При возникновении такого сбоя корневой коммутатор получает кадры, посылаемые другими коммутаторами, а другие коммутаторы BPDU, посылаемых корневым коммутатором, не получают. Это может привести к петле STP. Так как другие коммутаторы не получают никаких BPDU от корневого, они станут считать себя корневыми и начнут сами отправлять BPDU.

Когда настоящий корневой мост начинает получать BPDU, он сбрасывает эти BPDU, так как они не являются приоритетными. Корневой мост не меняется. Следовательно, защита корня не может помочь в решении данной проблемы. Для решения этой проблемы предназначены протокол обнаружения однонаправленных соединений (UDLD) и функция защиты от петель.

Дополнительные сведения о сценариях ошибок STP и устранении неполадок содержатся в следующем документе:

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10588