محافظت از spanning-tree

0
1660

برای نگهداری از درخت بدست آمده باید از آن محافظت کنیم. روش‌های مختلفی برای محافظت از spanning-tree بایستی انجام شود که هر کدام در شرایط مختلفی نمایان می‌شود. در پورت‌هایی که مشخص کرده‌ایم در محاسبه درخت نیستند از ایجاد loop جلوگیری کنیم. اجازه‌ی انتخاب root (در صورت ایجاد مشکل برای سوئیچ root) در لایه‌هایی مانند access را ندهیم. و نهایتا در مشکلات خاصی مانند یکطرفه شدن ارتباطات که باعث بروز مشکل در انتخاب درست درخت می‌شود، بایستی به انتخاب درست درخت کمک کنیم.

BPDU portguard

زمانیکه برای سرعت بخشیدن در محاسبات spanning tree، پورت‎‌هایی که به END-USER یا END-DEVICE متصل‌اند، را با دستور portfast خارج می‌کنیم، بایستی اجازه ارسال BPDU را از این پورت‌ها بگیریم. بسته‌های BPDU توسط سوئیچ‌ها برای همدیگر ارسال می‌شوند و بنابر طراحیمان این پورت‌ها نباید به سوئیچ دیگری متصل شود.

برای محافظت در این قسمت، از دستور bpdugaurd استفاده می‌کنیم. پس استفاد از این دستور، اگر BDPU به یکی از پورت‌های محافظت شده برسد، سوئیچ آن پورت را غیرفعال می‌کند.

برای فعال کردن bpduguard نیز می‌توان در محیط global و یا interface استفاده نمود. با استفاده از دستور زیر تمام پورت‌هایی که portfast باشند Bpduguard شان نیز فعال میشد.

این ویژگی فقط بروی پورتی اعمال می‌شود که portfast برویش اعمال شده باشد.

Rootguard

به طور معمول، در طراحی‌های استاندارد، اجازه نمی‌دهیم سوئیچ‌های لایه اکسس root bridge شوند. در اینصورت، بروی پورت‌هایی که به سوئیچ‌های لایه اکسس متصلند، تنظیمی انجام می‌دهیم که آن سوئیچ‌ها هیچ وقت root bridge نشود. زمانی سوئیچ می‌تواند root bridge شود که superior BPDU یا BPDU با priority پایین تر نسبت به root bridge فعلی ارسال کند. به همین علت، توسط دستور rootguard می‌توان محدوده‌ایی که می‌تواند root bridge تنظیم شود را مشخص کنیم.

 

در این روش، دستور بروی پورت‌هایی که نباید root شوند اعمال می‌شود. توسط این دستور، مشخص می‌شود، اگر از این پورت superior BPDU ارسال شد آن پورت را قطع می‌کند و به حالت inconsistence می‌برد تا تاثیری بروی شبکه فعلی قرار ندهد.

دستور rootguard بروی interface اعمال می‌شود: spanning-tree guard root

برای دیدن وضعیت این پورت‌ها از دستور show spanning-tree inconsistentports استفاده می‌شود. در این وضعیت BPDU از روی این پورت listen می‌شود اما داده ارسال و دریافت نمی‌شود. این وضعیت تا زمانی که superior BPDU ارسال شود باقی خواهد ماند.

UDLD و Loopguard

برخی اوقات امکان دارد ارتباط بین دو سوئیچ یک طرفه (unidirectional) شود. منظور از شبکه‌های یکطرفه، شبکه‌ایی است که ارسال دارد اما دریافت ندارد.

در شبکه‌های با مدیای مس این مشکل می‌تواند به دلیل قطع شدن زوج سیم های ارسال کننده باشد. در شبکه با مدیا فیبر، کافی است یکی از دو core که تشکیل یک لینک فیبر را می‌دهد قطع شود.
وقتی یک پورت block شده است، ارسال ندارد اما بسته های BPDU را دریافت می‌کند.

حال اگر پورتی در ارتباط دو سوئیچ block شده باشد یک طرفه شود، پس از مدتی سوئیچ که پورتش block بوده BPDU دریافت نخواهد کرد. سوئیچ برای پورتی که BPDU نمی گیرد، پورت را غیر فعال نمی‌کند. چون آن پورت را متصل به end user یا دستگاهی که BPDU ارسال نمی‌کند می‌داند، که هیچکدام loop ایجاد نمی‌کند. در اینصورت، سوئیچ پورت خود را از حالت block در می‌آورد.

در چنین حالت‌هایی، همانند تصویر بالا، احتمال بوجود آمدن loop زیاد است.

در شبکه‌های با زیرساخت مسی، زمانی که یک ارتباط به حالت یکطرفه تبدیل شده می‌توان با به راه‌اندازی Loopguard از بوجود آمدن loop جلوگیری نمود.

حالت‌هایی که امکان ایجاد ارتباط یکطرفه را زیاد می‌کند: ایراد سخت افزاری – شبکه‌های وایرلس که BPDU را پشتیبانی می‌کنند و حالت repeater ایی کار می‌کنند تنظیمات BPDU را می‌توان در آنها دست کار کرد که BPDU عبور کند یا خیر – تجهیزات امنیتی هستند که امکان دارد از عبور BPDU جلوگیری کنند.

دستور loop guard در دو محیط اعمال می‌شود. اولین محیط global است که بروی تمام پورت‌ها و در محیط interface بروی محیط interface خاصی که وارد محیطش شده ایم اعمال می‌شود.

در لینک یکطرفه فیبر هم مشکل لینک مسی ایجاد می‌شود. برای فیبر از متد UDLD (Unidirectional Link Detection) استفاده می‌شود.

در UDLD هر 15 ثانیه یک پکت hello ارسال می‌شود.

 

سوئیچی که 45 ثانیه hello ی طرف مقابل را نگیرد متوجه می‌شود که لینک یکطرفه شده است. علت اینکه 45 ثانیه صبر می‌کند چون ماکزیمم زمان 50 ثانیه در spanning-tree تنظیم می‌شود و به حالت stable در می آید به همین خاطر قبل از 50 ثانیه باید بتواند تصمیم بگیرد. اگرچه، تا زمانی که اولین پکت hello از طرف مقابل دریافت نشده باشد لینک در متد UDLD قطع نمی‌شود.

انواع پیاده‌سازی UDLD

Normal mode

در این حالت سوئیچ شروع به تولید log می‌کند. این حالت برای جاهایی استفاده می‌شود که اگر ارتباط یک طرفه شود loop ای ایجاد نمی‌شود.

Aggressive mode

در این حالت، پورت قطع شده و به حالت error disable می‌رود.

دستور بروی Interface و به صورت spanning-tree guard loop

یا در محیط global و با دستور spanning-tree loopguard default ثبت می‌شود.

برای فیبر از دستور udld در دو محیط global و interface استفاده می‌شود.

نکته: message interval در بعضی از سری های 7 و در بعضی سری ها 15 ثانیه است.

پس از یک طرفه شدن لینک مجددا BPDU دریافت شود loopguard لینک را از حالت inconsistences در می آید.

BPDU Filtering Feature

کنترل کردن ارسال BPDU با دستور bdpu filter است.

اگر BPDU filter را فعال کنیم root guard دیگر کار نمی‌کند. این دستور برای پورت‌های access مناسب است.

دستور bdpu filter در حالت‌های global و interface به شکل زیر است

 

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید