Настройка MSTP Root-Guard для одного региона
Ниже описывается использование механизма защиты протокола MSTP от появления "ложного" STP Root Bride
Требования и ограничения
- после настройки защиты STP Root Guard / Loop Guard требуется перезагрузить настраиваемый порт
- при взаимодействии с внешним регионом (доменом STP/RSTP) приоритет MSTP Root Port будет определяться приоритетом CIST Piority
- настройка приоритета Instance 0 выполняется с помощью команды
stp priority в режиме настройки (stp-config)
- при использовании MSTP защитник Root Guard блокирует движение трафика только для MSTP Instnace, в котором появился "незаконный" Root Bridge
Топология подключения
В целях демонстрации работы функций защиты корневого коммутаторе SW2, новый "незаконный" Root Bridge будет настроен на дальнем периферийном коммутаторе SW4.
Проверка текущего состояния
Периферийный коммутатор SW 1
| SW1# show stp config
Version: MSTP_VB3.70.00.00
!
stp
stp config-name post-analitics
stp revision-level 3200
stp instance 10 vlan 1000-1999
stp instance 20 vlan 2000-2999
stp instance 30 vlan 3000-3999
stp instance 40 vlan 4000-4094
stp process 63
stp enable
stp priority 61440
|
В примере коммутатор подключен к MSTP топологии только одним интефрейсом, поэтому команда show stp brief в данном случае отображет действительное состояние порта для всех возможных MST Instance на коммутаторе.
| SW1# show stp brief
MSTID Port Role STP State Protection Region
0 10ge1/0/1 root forward N/A same
|
Корневой коммутатор SW2
В текущей конфигурации роль коммутатора SW2 Root Bridge для Instance 10,20,30,40 была выбрана на основе MAC адреса коммутатора
Для изменения роли коммутатора рекомендуется для каждого Instance использовать собственный приоритет с помощью команды stp instance <instance_num> priority (0-61440)
| SW2#show stp config
Version: MSTP_VB3.70.00.00
!
stp
stp config-name post-analitics
stp revision-level 3200
stp instance 10 vlan 1000-1999
stp instance 20 vlan 2000-2999
stp instance 30 vlan 3000-3999
stp instance 40 vlan 4000-4094
SW2# show stp brief
MSTID Port Role STP State Protection Region
0 10ge1/0/1 designated forward N/A same
0 10ge1/0/5 designated forward N/A same
|
Просмотр подробной информации о состоянии MSTP интефрейсов для конкретного Instance
Так как коммутатор SW2 в текущей топологии является корнем дерева MSTP, все его активные L2 порты будут находится в состоянии designated/forward
| SW2# show stp instance 10 interface
MSTID Port Role STP State Protection
10 10ge1/0/1 designated forward root
10 10ge1/0/3 disable discarding N/A
10 10ge1/0/4 disable discarding N/A
10 10ge1/0/5 designated forward root
|
Периферийный коммутатор SW 3
Коммутатор SW3 является промежуточным (designated switch) коммутатором для SW4.
| SW3# show stp config
Version: MSTP_VB3.70.00.00
!
stp
stp config-name post-analitics
stp revision-level 3200
stp instance 10 vlan 1000-1999
stp instance 20 vlan 2000-2999
stp instance 30 vlan 3000-3999
stp instance 40 vlan 4000-4094
SW3# show stp brief
MSTID Port Role STP State Protection Region
0 10ge1/0/1 designated forward N/A same
0 10ge1/0/5 root forward N/A same
SW3#
|
Дальний периферийный коммутатор SW4
| SW4#show stp config
Version: MSTP_VB3.70.00.00
!
stp
stp config-name post-analitics
stp revision-level 3200
stp instance 10 vlan 1000-1999
stp instance 20 vlan 2000-2999
stp instance 30 vlan 3000-3999
stp instance 40 vlan 4000-4094
SW4#show stp brief
MSTID Port Role STP State Protection Region
0 10ge1/0/1 root forward N/A same
|
Настройка защиты STP Root Guard на SW2
Настройка защиты требует ручного рестарта интерфейса
| SW2# configure
SW2(config)# interface group 1/0/1,1/0/5
SW2(config-if-group)# stp root-guard ?
disable Disable on the interface
enable Enable on the interface
SW2(config-if-group)# stp root-guard enable
SW2(config-if-group)# shutdown
SW2(config-if-group)# no shutdown
2026/01/04 05:00:27.833 SW2 %01-2-IFM-LINKDOWN(l):The interface status changes. (ifName=[10GigaEthernet1/0/1], AdminStatus=[up], OperStatus=[down], Reason=[link-down])
2026/01/04 05:00:32.036 SW2 %01-2-IFM-LINKUP(l):The interface status changes. (ifName=[10GigaEthernet1/0/1], AdminStatus=[up], OperStatus=[up], Reason=[link-up])
SW2(config-if-group)# end
SW2#
|
Проверка внесенных изменений
| SW2# show stp config
Version: MSTP_VB3.70.00.00
!
stp
stp config-name post-analitics
stp revision-level 3200
stp instance 10 vlan 1000-1999
stp instance 20 vlan 2000-2999
stp instance 30 vlan 3000-3999
stp instance 40 vlan 4000-4094
!
interface 10gigaethernet 1/0/1
stp root-guard enable
!
interface 10gigaethernet 1/0/5
stp root-guard enable
SW2#
|
Выключение защиты Root Guard
Отключение защиты не требует выключения/включения интерфейса
| SW2# configure
SW2(config)# interface group 1/0/1,1/0/5
SW2(config-if-group)# stp root-guard disable
SW2(config-if-group)# end
|
Проверка состояния
В целях проверки функиональности защиты корневого коммутатора, выполните следующие настройки на коммутаторе SW4, объявив его новым Root Bridge в MST Instance 10
| SW4(config)# stp
SW4(config-stp)# stp instance 10 priority 4096
SW4(config-stp)# end
|
Коммутатор SW4
Новый "незаконный" Root Bridge в топологии MSTP для Instance 10
| SW4# show stp information
CIST Bridge : 32768.b4e0-2500-763c
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 18
CIST Root/ERPC : 32768.b4e0-2500-0356/ 0
CIST RegRoot/IRPC : 32768.b4e0-2500-0356/ 4000 <--- стоимость STP для корня региона (SW2)
CIST RootPort : 10GigaEthernet1/0/1
Number of TC : 26
Last TC occurred : 10GigaEthernet1/0/1
MSTI [10] Bridge : 4096.b4e0-2500-763c
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20
MSTI Root/PC : 4096.b4e0-2500-763c / 0 <--- Мы root для Instance 10
Number of TC : 30
Last TC occurred : 10GigaEthernet1/0/1
MSTI [20] Bridge : 32768.b4e0-2500-763c
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 19
MSTI Root/PC : 4096.b4e0-2500-7641 / 4000 <--- Стоимость STP для Instance 20
MIST RootPort : 10GigaEthernet1/0/1
Number of TC : 26
Last TC occurred : 10GigaEthernet1/0/1
...
|
Проверка состояния портов на Root Bridge (SW2)
Note
Обратите внимение на измененное состояние STP State discarding 10ge1/0/5
| SW2# show stp instance 10 interface
MSTID Port Role STP State Protection
10 10ge1/0/1 designated forward root
10 10ge1/0/3 disable discarding N/A
10 10ge1/0/4 disable discarding N/A
10 10ge1/0/5 designated discarding root
10 10ge1/0/6 disable discarding N/A
|
Передача трафика для Vlan в Instance 10 на порту 10ge1/0/5 будет заблокирована средствами STP, однако сам
интерфейс продолжает работать и обслуживать Vlan для других Instance
| MSTID Port Role STP State Protection Region
0 10ge1/0/1 designated forward root same
0 10ge1/0/5 designated forward root same
SW2#
|
| SW2# show interface error-down
SW2#
|
Физический порт находится в состоянии up/up
| SW2#show interface
Interface State(a/o) Mode Descr
mgt-eth0/0/0 up/down router -
10ge1/0/1 up/up bridge -
...
10ge1/0/5 up/up bridge -
10ge1/0/6 down/down bridge -
...
|
Общее состояние MSTP подтверждает, что коммутатор SW2 продолжает работать в качеств MSTP Root для всех Instance.
| SW2# show stp information
CIST Bridge : 32768.b4e0-2500-0356
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20
CIST Root/ERPC : 32768.b4e0-2500-0356/ 0 <--- Мы root для Instance 0
CIST RegRoot/IRPC : 32768.b4e0-2500-0356/ 0
Number of TC : 14
Last TC occurred : 10GigaEthernet1/0/1
MSTI [10] Bridge : 32768.b4e0-2500-0356
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20
MSTI Root/PC : 32768.b4e0-2500-0356 / 0 <--- Мы root для Instance 10
Number of TC : 16
Last TC occurred : 10GigaEthernet1/0/5
MSTI [20] Bridge : 32768.b4e0-2500-0356
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20
MSTI Root/PC : 32768.b4e0-2500-0356 / 0 <--- Мы root для Instance 20
Number of TC : 14
Last TC occurred : 10GigaEthernet1/0/1
MSTI [30] Bridge : 32768.b4e0-2500-0356
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20
MSTI Root/PC : 32768.b4e0-2500-0356 / 0 <--- Мы root для Instance 30
Number of TC : 14
Last TC occurred : 10GigaEthernet1/0/1
MSTI [40] Bridge : 32768.b4e0-2500-0356
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 20
MSTI Root/PC : 32768.b4e0-2500-0356 / 0 <--- Мы root для Instance 40
Number of TC : 14
Last TC occurred : 10GigaEthernet1/0/1
|
Проверка состояния коммутатора SW3
Коммутатор SW3 перестроил топологию, так как защита STP Root Guard на нем не активирована
| SW3# show stp information
CIST Bridge : 32768.b4e0-2500-7641
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 19
CIST Root/ERPC : 32768.b4e0-2500-0356/ 0
CIST RegRoot/IRPC : 32768.b4e0-2500-0356/ 2000
CIST RootPort : 10GigaEthernet1/0/5
Number of TC : 18
Last TC occurred : 10GigaEthernet1/0/5
MSTI [10] Bridge : 32768.b4e0-2500-7641
Bridge Times : Hello 2s MaxAge 20s FwDly 15s RemainingHops 19
MSTI Root/PC : 4096.b4e0-2500-763c / 2000 <---- топология изменилась
MIST RootPort : 10GigaEthernet1/0/1
Number of TC : 28
Last TC occurred : 10GigaEthernet1/0/1
...
|
Отмените настройки на коммутатора SW4
| SW4(config-stp)#stp instance 10 priority default
|
Полная конфигурация
Предварительно деактивируйте все неиспользуемые в топологии интерфейсы
| configure
interface group <int_name>-<int_name>,<int_name>
shutdown
end
|
Конфигурация на SW1-SW4
| configure
stp
stp mode mstp
stp revision-level 3200
stp instance 10 vlan 1000-1999
stp instance 10 priority 8192
stp instance 20 vlan 2000-2999
stp instance 30 vlan 3000-3999
stp instance 40 vlan 4000-4094
exit
|
Настройка защиты на SW2
| configure
interface group 1/0/1,1/0/5
stp root-guard enable
end
|
Настройка защиты на SW3
Настройте защиту на всех Designated интерфейсах топологии STP где не ожидается появление нового Root Bridge коммутатора.
| configure
interface group 1/0/1
description to_SW4
stp root-guard enable
end
|
Настройка нового Root Bridge на коммутаторе SW4
Настройка приоритера для MSTP Instance 10
| configure
stp
stp instance 10 priority 4096
end
|
Настройка значения приоритета по умолчанию
команда ниже "исправляет" ситуацию появления "незаконного" Root Bridge коммутатора в MST Ins 10.
| configure
stp
stp instance 10 priority default
end
|
Рекомендации применения команды
Настройка Root Guard
Для сохранения консистентости топологии STP рекомендуется настраивать защиту Root Guard на всех DownLink интерфесах где не ожидается появления нового STP Root Bridge
Приоритеты Root-коммутаторов
Рекомендуется для коммутаторов Root (Primary) и Root (Secondary) настраивать приоритеты в ручную
Подключение к внешним доменам STP
В случае подключения к другим доменам STP, рекомендуетс настройка приоритета Instance 0 на коммутаторе подключения к STP/RSTP доменам.
История возникновения команды
Версия ПО
Команды в данной главе применимы для
- аппаратных плаформ CIT серии L3200, с уставленной версией ПО v1.0.2.
- являются актуальными с версии ПО v.1.0.2
Ссылка на внешнюю документацию
Стандарт
Стандартизованные версии STP предоставляют единый сервис сходимости сети для всех Vlan. Данный подход обеспечивает движение всего трафика L2 сегмента по одним и тем же каналам связи в коммутируемом сегменте сети.
- Spanning Tree Protocol (IEEE 802.1D), время восстановления сети от 30 до 50 секунд, не рекомендуется к использованию;
- Rapid Spanning Tree Protocol (RSTP, 802.1W) существенно сокращает время конвергенции, может составлять от менее чем 1 секунды и типично до 3-10 секунд. Время восстановления зависит от сложности конфигурации L2 сегмента сети.
- Multiple STP (MSTP, 802.1s) позволяет создавать несколько логических деревьев поверх одной физической сети для разных VLAN.