Коммутация LAN : Протокол STP

Улучшенная функция протокола связующего дерева для защиты корня

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (30 августа 2005) | Отзыв

Содержание

Общие сведения
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Описание функции
Доступность
Настройка
      Настройка в случае CatOS
      Настройка ПО Cisco IOS для Catalyst 6500/6000 и Catalyst 4500/4000
      Настройка ПО Cisco IOS для Catalyst 2900XL/3500XL, 2950 и 3550
В чем разница между защитой STP BPDU и защитой корня STP?
Поможет ли функция защиты корня решить проблему двух корней?
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Общие сведения

Данный документ описывает такую функциональную возможность протокола связующего дерева (STP), как защита корня. Эта функциональная возможность – одна из новых функций STP, созданных Cisco. Данная функциональность повышает надежность, управляемость и безопасность коммутируемой сети.

Предварительные условия

Требования

Для данного документа специфических требований нет.

Используемые компоненты

Данный документ не ограничен отдельными версиями программного и аппаратного обеспечения.

Условные обозначения

См. "Технические рекомендации Cisco. Условные обозначения" для получения дополнительной информации об условных обозначениях, встречающихся в данном документе.

Описание функции

Стандартный STP не предусматривает возможности для администратора сети безопасно задать топологию коммутируемой сети уровня 2 (L2). Возможность установить топологию может быть особенно важной для сетей с общим административным контролем, в которых различные административные объекты или компании контролируют одну коммутируемую сеть.

Топология передачи коммутируемой сети является вычисляемой. Вычисление основано, наряду с другими параметрами, на расположении корневого моста. Любой коммутатор в сети может быть корневым мостом. Но более оптимальная топология передачи располагает корневой мост в специальном предопределенном месторасположении. При стандартных настройках STP любой мост в сети с меньшим значением идентификатора моста берет на себя функцию корневого моста. Администратор положение корневого моста выбрать не может.

Примечание. Администратор может установить приоритет корневого моста в 0 для того, чтобы закрепить его расположение. Но гарантии того, что в системе не будут одновременно присутствовать мосты с приоритетом 0 и более низким адресом MAC, не существует.

Функция защиты корня обеспечивает возможность задать расположение корневого моста в сети.

Функция защиты корня обеспечивает уверенность в том, что порт, на котором активизирована функция защиты корня, является назначенным. Обычно все порты корневого моста являются назначенными, если два или более портов корневого моста не соединены вместе. Если мост получает высокоприоритетные STP элементы данных протокола управления мостами (BPDU) в корневом порту, для которого включена функция защиты корня, защита корня переводит порт в состояние STP, называемое несогласованностью корня. Состояние несогласованности корня аналогично состоянию прослушивания. Трафик через порт в таком состоянии не пересылается. Таким образом, защита корня задает расположение корневого моста.

Пример в данном разделе демонстрирует как посторонний корневой мост может вызвать проблемы в сети и как в такой ситуации может помочь функция защиты корня.

На Рисунке 1 коммутаторы А и В составляют ядро сети, а А является корневым мостом VLAN. Коммутатор C – коммутатор уровня доступа. Канал между В и С заблокирован со стороны С. Стрелки обозначают направление потока STP BPDU.

Рисунок 1

74a.gif

На Рисунке 2 устройство D становится частью STP. Например, приложения для создания моста на основе программного обеспечения запускаются на ПК или других коммутаторах, подключенных клиентом к сети провайдера услуг. Если приоритет моста D равен 0 или его приоритет ниже приоритета корневого моста, устройство D выбирается корневым мостом для данной VLAN. Если канал между устройствами А и В имеет пропускную способность 1 гигабит, а канал между А и С так же, как канал между В и С - 100 Mбит/с, выбор D корневым портом приводит к тому, что канал Gigabit Ethernet, соединяющий два базовых коммутатора, заблокируется. Такая блокировка канала приводит к тому, что всех данные в данной VLAN устремляются через канал с пропускной способностью 100 Mбит/с на уровне доступа. Если через ядро этой VLAN проходит больше данных, чем канал может пропустить, некоторые кадры будут сброшены. Сброс кадров приводит к снижению производительности или потере соединения.

Рисунок 2

74b.gif

Функция защиты корня защищает сеть от таких проблем.

Настройка защиты корня осуществляется для каждого порта в отдельном порядке. Защита корня не позволяет порту становится STP корневым портом, поэтому порт всегда остается STP-назначенным. Если в такой порт попадает приоритетный BPDU, защита корня не принимает этот BPDU в расчет и не выбирает новый корень STP. Вместо этого защита корня приводит порт в состояние несогласованности корня STP. Функцию защиты корня необходимо включить на всех портах, которые не должны стать корневыми. Таким  образом можно настраивать периметр вокруг той части сети, в которой может быть расположен корень STP.

На Рисунке 2, на порту коммутатора С, соединяющего его с коммутатором D, включена функция защиты корня.

Коммутатор С на Рисунке 2 блокирует порт, соединяющий его с коммутатором D, после получения коммутатором высокоприоритетного BPDU. Защита корня приводит порт в состояние STP несогласованности корня. Трафик через порт в таком состоянии не передается. После окончания передачи устройством D высокоприоритетных BPDU порт снова разблокируется. Благодаря STP порт переходит из состояния прослушивания в состояние обучения и в конечном итоге в состояние пересылки. Восстановление происходит автоматически; участия администратора не требуется.

Следующее сообщение появляется после того, как защита корня блокирует порт:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

Доступность

Функция защиты корня доступна для ОС Catalyst (CatOS) для Catalyst 29хх, 4500/4000, 5500/5000 и 6500/6000 версии ПО 6.1.1 и более поздних версий. Для Catalyst 6500/6000, который работает под управлением системного программного обеспечения Cisco IOS®, данная функция была впервые представлена в ПО Cisco IOS Release 12.0(7)XE. Для Catalyst 4500/4000, на основе которого функционирует системное программное обеспечение Cisco IOS, данная функция доступна во всех версиях.

Для коммутаторов Catalyst 2900XL и 3500XL защита корня доступна в ПО Cisco IOS Release 12.0(5)XU и более поздних. Коммутаторы Catalyst серии 2950 поддерживают функцию защиты корня в ПО Cisco IOS Release 12.0(5.2)WC(1) или более поздней версии. Коммутаторы Catalyst серии 3550 поддерживают функцию защиты корня в ПО Cisco IOS Release 12.1(4)EA1 или более поздней версии.

Настройка

Настройка в случае CatOS

Настройка защиты корня осуществляется для каждого порта в отдельном порядке. На коммутаторах Catalyst, работающих под управлением CatOS, настройка защиты корня осуществляется следующим образом:

vega> (enable) set spantree guard root 1/1
Rootguard on port 1/1 is enabled.
Warning!! Enabling rootguard may result in a topology change.
vega> (enable)

Чтобы убедиться в том, что функция защиты корня настроена, введите следующую команду:

vega> (enable) show spantree guard
Port                     VLAN Port-State    Guard Type
------------------------ ---- ------------- ----------
 1/1                     1    forwarding          root
 1/2                     1    not-connected       none
 3/1                     1    not-connected       none
 3/2                     1    not-connected       none
 3/3                     1    not-connected       none
 3/4                     1    not-connected       none
 5/1                     1    forwarding          none
 5/25                    1    not-connected       none
15/1                     1    forwarding          none
vega> (enable)

Настройка для ПО Cisco IOS для Catalyst 6500/6000 и Catalyst 4500/4000

На коммутаторах Catalyst 6500/6000 или Catalyst 4500/4000, работающих под управлением системного ПО Cisco IOS, для настройки функции STP защиты корня введите следующие команды:

Cat-IOS# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Cat-IOS#(config)# interface fastethernet 3/1

Cat-IOS#(config-if)# spanning-tree guard root

Примечание: в ПО Cisco IOS Release 12.1(3a)E3 для Catalyst 6500/6000, работающих под управлением системного ПО Cisco IOS, данная команда была изменена с spanning-tree rootguard на spanning-tree guard root. Catalyst 4500/4000, где функционирует системное ПО Cisco IOS, использует команду spanning-tree guard root во всех версиях.

Настройка ПО Cisco IOS для Catalyst 2900XL/3500XL, 2950 и 3550

Для Catalyst 2900XL, 3500XL, 2950 и 3550 настройка функции защиты корня коммутатора должна осуществляться в режиме конфигурации интерфейса, как показано в примере:

Hinda# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Hinda(config)# interface fastethernet 0/8
Hinda(config-if)# spanning-tree rootguard
Hinda(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on 
port FastEthernet0/8 VLAN 1.^Z
Hinda#

В чем разница между защитой STP BPDU и защитой корня STP?

Защита BPDU и защита корня похожи, однако их воздействие различно. Функция защиты BPDU отключает порт при приеме пакета BPDU, если этот порт работает в режиме PortFast. Это отключение эффективно предотвращает участие в STP устройств, находящихся в сети за такими портами. Вы должны вручную восстановить работу порта, находящегося в состоянии отключения в результате ошибки, или настроить интервал времени ожидания при отключении в результате ошибки.

Защита корня позволяет устройству принимать участие в STP до тех пор, пока оно не пытается стать корневым. Если защита корня блокирует порт, последующее его восстановление будет автоматическим. Восстановление произойдет сразу после того как устройство-нарушитель прекратит посылать высокоприоритетные BPDU.

Для получения дополнительных сведений о защите BPDU обратитесь к следующему документу:

Поможет ли функция защиты корня решить проблему двух корней?

Между двумя мостами сети может возникнуть сбой в виде однонаправленного канала. Из-за такого сбоя один из мостов не получает BPDU от корневого моста. При возникновении такого сбоя корневой коммутатор получает кадры, посылаемые другими коммутаторами, а другие коммутаторы BPDU, посылаемых корневым коммутатором, не получают. Это может привести к петле STP. Так как другие коммутаторы не получают никаких BPDU от корневого, они станут считать себя корневыми и начнут сами отправлять BPDU.

Когда настоящий корневой мост начинает получать BPDU, он сбрасывает эти BPDU, так как они не являются приоритетными. Корневой мост не меняется. Следовательно, защита корня не может помочь в решении данной проблемы. Для решения этой проблемы предназначены протокол обнаружения однонаправленных соединений (UDLD) и функция защиты от петель.

Дополнительные сведения о сценариях ошибок STP и устранении неполадок содержатся в следующем документе:

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10588