Перейти к содержанию

Настройка защиты STP Root Guard

Ниже описывается настройка защиты STP Root Guard при работе в доменах RSTP и/или STP.

Информация о функциональности

Защитник STP Root Guard применяется на портах направленных вниз по дереву топологии STP, в случае появления нового Root Bridge с более предпочтительным приоритетом, чем у текущего коммутатора Root в топологии STP, такой порт будет переведен в состояние STP discarding, движение трафика будет ограничено. Защитник примяется для защиты от появления "незаконного" корневого коммутатора в топологии STP.

Информация о версиях STP

Команды настройки, приведенные в данной статье совместимы с версиями STP:

  • Spanning Tree Protocol (STP, IEEE 802.1D)
  • Rapid Spanning Tree Protocol (RSTP, 802.1W)

Допущения и общие данные: аббревиатура STP обозначает все семейство протоколов STP, если не указано иное.

Требования и ограничения

  • после настройки защиты  STP Root Guard / Loop Guard требуется перезагрузить настраиваемый порт
  • настройка защиты требует предварительной оценки в изменении топологии, так как может привести к блокировке движения трафика
  • функция Root Guard заблокирует движение трафика на порту STP, где появление "незаконного" корневого коммутатора в сети не является желательным
  • для исключения ситуации, когда функция Root Guard блокирует передачу трафика вниз для всей цепочки нижестоящих коммутаторов, рекомендуется настраивать STP Root Guard на всех "вниз смотрящих" портах в топологии STP, где появление нового Root Bridge является недопустимым или нежелательным

Топология подключения

В целях демонстрации работы функций защиты корневого коммутаторе SW2, новый "незаконный" Root Bridge будет настроен на дальнем периферийном коммутаторе SW4.

STP_RootGuard.png

Проверка текущего состояния

Просмотр настройки протокола STP

Настройка STP на корневом коммутаторе SW2

1
2
3
4
5
6
SW2#show stp config 
Version: MSTP_VB3.70.00.00
!
stp
 stp mode rstp
 stp priority 8192   <--- Улучшенный приоритет для Root Bridge

Настройка stp на коммутаторах SW1, SW3-SW4 является одинаковой

1
2
3
4
5
SW2# show stp config 
Version: MSTP_VB3.70.00.00
!
stp
 stp mode rstp

Просмотрт текущего состояния портов

Просмотр на периферийном коммутаторе SW1

1
2
3
SW1#show stp brief
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      root           forward        N/A            different

Просмотр на корневом коммутаторе SW2

1
2
3
4
SW2# show stp brief 
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      designated     forward        N/A            different
0     10ge1/0/5      designated     forward        N/A            different

Просмотр на промежуточном коммутаторе SW3 

1
2
3
4
5
SW3# show stp brief 
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      designated     forward        N/A            different
0     10ge1/0/5      root           forward        N/A            different
SW3#

Просмотр на дальнем (периферийном) коммутаторе SW4

1
2
3
SW4#show stp brief
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      root           forward        N/A            different

Настройка защиты STP Root Guard на SW2

Настройка защиты требует ручного рестарта интерфейса

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
SW2# configure
SW2(config)# interface group 1/0/1,1/0/5
SW2(config-if-group)#stp root-guard ?

  disable   Disable on the interface
  enable    Enable on the interface

SW2(config-if-group)# stp root-guard enable 
SW2(config-if-group)# shutdown 
2026/01/04 05:00:27.833 SW2 %01-2-IFM-LINKDOWN(l):The interface status changes. (ifName=[10GigaEthernet1/0/1], AdminStatus=[up], OperStatus=[down], Reason=[link-down])

SW2(config-if-group)# no shutdown 
20206/01/04 05:00:32.036 SW2 %01-2-IFM-LINKUP(l):The interface status changes. (ifName=[10GigaEthernet1/0/1], AdminStatus=[up], OperStatus=[up], Reason=[link-up])  

SW2(config-if-group)# end
SW2#

Проверка внесенных изменений

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
SW2#show stp config 
Version: MSTP_VB3.70.00.00
!
stp
 stp mode rstp
 stp priority 8192
 stp process 63
  stp enable
  stp priority 61440
!
interface 10gigaethernet 1/0/1
 stp root-guard enable
!
interface 10gigaethernet 1/0/5
 stp root-guard enable

Проверка состояния защиты

Note

Обратите внимание на включенный тип защиты root в столбце Protection

1
2
3
4
5
6
SW2# show stp interface 
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      designated     forward        root           different
0     10ge1/0/3      disable        discarding     N/A            N/A
0     10ge1/0/4      disable        discarding     N/A            N/A
0     10ge1/0/5      designated     forward        root           different

Активация "незаконного" корневого коммутатора

Для проверки работы защиты STP Root Guard выполните следующие команды на коммутаторе SW4

1
2
3
4
5
SW4#configure 
  %Enter configuration commands.End with Ctrl+Z or command "quit" & "end"
SW4(config)#stp
SW4(config-stp)# stp priority 4096
SW4(config-stp)# end

Коммутатор SW4 имеет больший приоритет STP и коммутатор SW3 анонсирует об этом текущему корневому коммутатору SW2

Проверка состояния портов на SW2

После получения BPDU кадра с наличием более приоритетного коммутатора, SW2 блокирует передачу трафика на порту направленном в сторону коммутатора SW3

Note

Обратите внимание, порт discarding для порта 10ge1/0/5, на котором появился новый Root Bridge

1
2
3
4
5
6
SW2# show stp interface 
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      designated     forward        root           different
0     10ge1/0/3      disable        discarding     N/A            N/A
0     10ge1/0/4      disable        discarding     N/A            N/A
0     10ge1/0/5      designated     discarding     root           different

Информацию о состоянии активных STP портах в доменах, отличных от MSTP рекоменудется просматривать командой ниже

1
2
3
4
5
SW2#show stp brief 
MSTID Port           Role           STP State      Protection     Region         
0     10ge1/0/1      designated     forward        root           different
0     10ge1/0/5      designated     discarding     root           different
SW2#

Выключение защиты Root Guard

Отключение защиты не требует выключения/включения интерфейса. Может быть вополнено с помощью следующей команды.

1
2
3
4
SW2# configure
SW2(config)# interface group 1/0/1,1/0/5
SW2(config-if-group)# stp root-guard disable 
SW2(config-if-group)# end

Просмотр полной конфигурации на SW2

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
configure
stp
 stp mode rstp
 exit
interface group 1/0/1,1/0/5
stp root-guard enable
shutdown
!
no shutdown
end

История возникновения команды

Версия ПО

Команды в данной главе применимы для

  • аппаратных плаформ CIT серии L3200, с уставленной версией ПО v1.0.2.
  • являются актуальными с версии ПО v.1.0.2