Utilizar o Spanning-Tree, sim ou não?

Publicado originalmente em 16 DE MAIO DE 2010

Olá amigos, a idéia desse post partiu de uma discussão com um colega sobre a razão dele não utilizar e não confiar no Protocolo Spanning-Tree ao ponto de desabilitá-lo em todos os Switches da rede.

O administrador dessa rede sempre priorizou a idéia do controle total sobre a topologia, sem redundâncias com o argumento de que em caso de falhas na rede é preferível perder algumas dezenas de minuto na troca do suposto equipamento (ou meio físico defeituoso) ao invés de não conseguir identificar problemas de convergência na Topologia.

Nessa mesma rede que chamaremos de Empresa X, todos os UpLinks estão conectados no Switch Core com um único cabo, sem caminhos alternativos ou redundância. Então faço a seguinte pergunta: O administrador dessa rede está correto? Eu diria que sim… Se não houver redundância ou Loop Físico entre os Switches não há função para o Spanning-Tree.


Mas é possível possuir o controle total da rede? Podemos confiar que um usuário não irá conectar um “Switch Hub” na rede para prover mais pontos ou ligar sem querer um ponto de rede do equipamento no próprio Switch?

O Protocolo Spanning-Tree poderia ajudar o Administrador da Empresa X em casos como esse bloqueando o Loop físico e/ou permitindo a utilização de meios físicos redundantes como fibra, cabo UTP ou via Wireless.

Na prática se o Switch estiver com o Spanning-Tree habilitado, irá encaminhar BPDUs -mensagens geradas pelo Root da Topologia . A rede efetuaria a convergência com o mínimo de perda em caso de falhas no meio físico ou Switches, deixando a disponibilidade dependente apenas dos timers do Max Age e do Forward Delay.

Olhando o desenho, quem é o Switch Root da Rede?

Em breve escreverei mais artigos sobre o STP. Dúvidas ou criticas? Deixem comentários!

Abraços

Switches 3Com 4800G – Edged-port + BPDU Protection

Hoje comentaremos de duas features que atuam como complemento ao Spanning-Tree. O comando edged-port agrega diversos beneficios ao STP, como por exemplo, a prevenção de timeouts no processo DHCP. Já o bpdu-protection, previne as portas configuradas como “edged” de ocasionar Loop na rede por HUBs, “Switches-HUB”, etc.

Edged-port

A feature edged-port permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do stp edged-port enableforça a interface a ignorar os estados de convergência do STP, incluíndo as mensagens de notificação de mudança na topologia (mensagens TCN ).

O comando deverá ser aplicado nas portas de acesso conectadas a servidores, estações de trabalho, impressoras, etc.


Configuração

[4800G]interface gigabitethernet 1/0/1
[4800G-GigabitEthernet1/0/1]stp edged-port enable
[4800G-GigabitEthernet1/0/1]quit
[4800G]interface gigabitethernet 1/0/2
[4800G-GigabitEthernet1/0/2]stp edged-port enable
[4800G-GigabitEthernet1/0/2]quit

Obs: Quando uma porta configurada como edged-port receber um BPDU ( mensagens trocadas pelo Switch para estabilidade da topologia do Spanning-Tree), a interface voltará a participar dos estados de convergência do protocolo.

As portas configuradas como Edged-port encaminham BPDUs. A feature edged-port é também conhecida como Portfast.

BPDU Protection

A utilização da feature edged-port é restrita a portas conectadas aos equipamentos finais como servidores e estações de trabalho. Quando conectamos um HUB ou um Switch nas portas de acesso configuradas como stp edged-port enable corremos o risco de criar um loop na rede ou afetarmos a estabilidade da topologia.

Com a configuração do comando stp bpdu-protection, protegemos as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.

Configuração

No exemplo abaixo, configuramos o switch com stp bpdu-protection e conectamos um HUB na porta Giga 1/0/14 configurada como stp edged-port enable. Fechamos um Loop no equipamento com um cabo de rede. O cenário fará o HUB devolver as mensagens BPDUs geradas pelo Switch na porta configurada comoedged-port. O comando bpdu-protection bloqueará a porta conectada ao HUB.

[4800G]stp bpdu-protection
[4800G]int g1/0/14
[4800G-GigabitEthernet1/0/1] stp edged-port enable

Após a configuração a porta entra imediatamente em estado down

Display

[4800G]display stp down-port
Down Port                Reason
GigabitEthernet1/0/14    BPDU-Protected

Ativando a porta

Para colocar a porta novamente em estado UP será necessário removermos o loop do HUB e aplicarmos o comando shutdown / undo shutdown na interface gigabitethernet 1/0/14.

[4800G-GigabitEthernet1/0/14]shut
[4800G-GigabitEthernet1/0/14]undo shut

#Apr 26 12:05:47:785 2000 4800G
MSTP/1/IVBPDU:hwPortMstiBpduGuarded: BPDU-Protec
tion port 14 received BPDU packet!
%Apr 26 12:05:48:364 2000 4800G IFNET/4/LINK
UPDOWN: GigabitEthernet1/0/14: link status is DOWN

#Apr 26 12:07:43:906 2000 4800G IFNET/4/INTERFACE UPDOWN:
Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437197 is Up, ifAdminStatus is 1,
ifOperStatus is 1
#Apr 26 12:07:44:108 2000 4800G
MSTP/1/PFWD:hwPortMstiStateForwarding: Instance
0's Port 0.9437197 has been set to forwarding state!
%Apr 26 12:07:44:271 2000 4800G IFNET/4/LINK
UPDOWN:
GigabitEthernet1/0/14: link status is UP
%Apr 26 12:07:44:398
2000 4800G MSTP/2/PFWD:Instance 0's GigabitEthernet1/0/14 h
as been set to forwarding state!

Obs: Para as portas de Uplink devemos remover o comando stp edged-port

[4800G-GigabitEthernet1/0/x]undo stp edge-port

Já para desativar o bpdu protection do Switch utilize o comando abaixo

[4500G]undo stp bpdu-protection

Até logo!

Troubleshooting STP

Publicado originalmente em 24 DE OUTUBRO DE 2010

A principal função do STP é proteger a rede de loops criados por links redundantes na LAN. Os loops criados na rede podem causar problemas na topologia Spanning-Tree quando não protegida de forma correta.

Situações como Spanning-tree desabilitado, erros de negociação de duplex, erros dos quadros durante a transmissão/recepção, problemas nos conectores, super-utilização de CPU e modificação dos temporizadores são alguns dos cenários que podem comprometer a estabilidade do algoritmo.

Um dos principais sintomas perceptíveis durante problemas de instabilidade do Spanning-Tree é a oscilação da conectividade dos serviços da rede local, flapping de endereços MAC nas interfaces (troca de aprendizado [constante]), troca simultânea do Root da rede (ocasionada pela utilização excessiva de recursos dos Switches que não conseguem processar ou encaminhar BPDU’s)

 

Restaurando a conectividade 

• Passo 1: Conheça a rede

Tenha sempre um diagrama atualizado da sua topologia de rede identificando o seu Switch Root, modo do STP ( STP, RSTP, MSTP, etc) e links redundantes.

• Passo 2: Identifique o Loop na rede

Em situações de problemas na Topologia Spanning-Tree identifique o UpLink que está ocasionando o problema desconectando cada uma das portas para localizar o ponto de loop na LAN.

• Passo 3: Restaure a conectividade

• Passo 4: Verifique o status das portas

Comandos como display stp e display stp brief podem informar status como o Spanning-tree desabilitado, Switch root da rede, portas bloqueadas e etc.

• Passo 5: Verifique os erros

Analise os eventos no servidor Syslog ou o logbuffer nos dispositivos ( tente identificar a partir de qual ação, ocasionou o problema na rede).

• Passo 6: Corrija o problema!

Desabilite ou habilite features que possam corrigir o problema

Features
Features como Edged-port (portfast), BPDU protection, Root Guard, Loop Protection, etc. Podem ser bastante úteis para a proteção de sua rede.

Referencia: Building Cisco Multilayer Switched Networks 4th Edition (Richard Froom, Balaji Sivasubramanian and Erum Frahim)

Vocês já passaram por problemas no STP da sua rede? O que ocasionou? O que fizeram para resolver? 😉

Abraço a todos

Elegendo o Switch Root do Spanning-Tree

Publicado originalmente em 6 DE SETEMBRO DE 2010

Protocolo Spanning-Tree ( STP) foi desenvolvido para evitar que loops físicos interfiram no desempenho da rede. O protocolo consegue detectar onde estão os loops na rede bloqueando os caminhos redundantes.

“Quando um Switch recebe um broadcast, ele o repete em cada porta (exceto naquela em que foi recebido). Em um ambiente com loop, os broadcasts podem ser repetidos infinitamente” Gary A. Donahue , Network Warrior, O’Reilly, 2007, p59)

Em caso de caminhos redundantes sem a utilização do Spanning-Tree, o processo de encaminhamento de broadcast só será interrompido quando o loop for desfeito, com a remoção de cabos ou o desligando o equipamento. Em diversas situações, uma tempestade de broadcast “derruba” a comunicação da rede.

O Switch Root

A utilização do STP é geralmente imperceptível na grande maioria das redes devido ao fato da convergência ocorrer sem a necessidade de configurações adicionais. Todo Switch da LAN , recebe informações sobre os outros Switches da rede através da troca de mensagens chamadas de BPDUs (Bridge Protocol Data Units).

Ao tirarmos um Switch da caixa ( preferencialmente gerenciável) e colocarmos em nossa rede, haverá a comunicação com todos os Switches da rede para convergência com o novo dispositivo.

A partir das mensagens trocadas pelos Switches, é efetuada uma eleição para escolha de um Switch Raiz (Root) que será o responsável por alimentar a topologia da Rede pela geração de BPDUs e todos os Switches não-Raiz bloquearão as portas com caminhos redundantes para o Raiz.

Os BPDUs são encaminhados pelo Root a cada 2 segundos em todas as portas para garantir a estabilidade da rede; e então os BPDUs re-encaminhados pelos outros Switches.

As mensagens BPDU contêm informações suficientes para que os Switches elejam quais portas encaminharão os dados, baseando-se em custo do caminho, informações do Switch e informações da porta.

Obs: a porta em estado de Bloqueio continuará a ouvir os BPDUs pois em caso de perda de comunicação do enlace principal, a porta bloqueada estará pronta para encaminhar os quadros! 

Elegendo o Switch Root

O primeiro processo para uma topologia livre de Loops utilizando o protocolo Spanning-Tree é a eleição do Switch Root. Vence a eleição o Switch quem possuir o menor Bridge ID.

O Bridge ID é composto dos campos Prioridade (Bridge Priority) e o endereço MAC do Switch. Por padrão a prioridade dos Switches é 32768 (o Switch com menor prioridade vence) e em caso de empate vence a eleição o Switch que possui o menor endereço MAC.

Após a eleição, se houver algum caminho redundante, o mesmo será bloqueado!

Escolhendo quem será o Root da rede

As melhores práticas sugerem configurarmos o Switch Core da rede como Root com o comando stp root primary pela posição privilegiada na rede, melhor arquitetura,processamento, etc. O comando nos Switches 3Com alterará a prioridade para o valor0 (zero) forçando o dispositivo a ser o Root.

Uma segunda maneira de alterar a prioridade Switch é utilizando o comando stp priority 4096 ( sempre escolha valores múltiplos de 4096)

Obs:Se houver mais de um Switch com a prioridade 0, vence a eleição quem possuir o menor endereço MAC. 

Display STP

O comando display stp exibe informações como o valor do Bridge ID (Bridge priority e endereço MAC) do Switch e do Root, timers,etc. O comando display stp brief exibe o estado das portas na Topologia.

 

display stp
-------[CIST Global Info][Mode STP]-------
CIST Bridge :32768.000f-cbb8-6329
! Lista a Prioridade do Switch como 32768 e o endereço MAC 000f-cbb8-6329
Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC :0.000f-cbb8-8f55/ 20000
! A linha exibe a prioridade do Switch Root da Topologia como 0
! (zero nesse caso) e o endereço MAC 000f-cbb8-8f55
CIST RegRoot/IRPC :32768.000f-cbb8-63c0 / 0
CIST RootPortId :128.28
BPDU-Protection :disabled
Bridge Config
Digest Snooping :disabled
TC or TCN received :7
Time since last TC :0 days 24h:20m:51s
! Contador exibindo a última vez que houve uma mudança na topologia STP 

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Publicado originalmente em 30 DE DEZEMBRO DE 2010

Olá amigos, para comemorar um ótimo ano profissional e para fechar 2010 com “chave de ouro”, hoje eu escrevo a continuação do Post mais popular desse ano. “Switches 3Com 5500 – Guia rápido de Configuração!!!”

Desejo a todos um Feliz 2011!!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!

 

 

Switches 3Com 5500 – Guia rápido de Configuração!!!

Publicado originalmente em 24 DE AGOSTO DE 2010

 Olá amigos, os scripts de hoje fazem parte de um manual muito bacana repassado pelo Fabinho e o Índio da Infraero. Os Scripts seguem como um manual rápido para instalação e/ou configuração de Switches 3Com do modelo 5500 ( parte dos comandos são aceitos na maioria dos Switches da 3Com); os scripts são simples e bastante úteis!

Configurando o nome do Switch
[5500G-EI]sysname SW_Core
[SW_Core]

Configuração de Vlans
Criando uma Vlan e colocando-a um nome
[Switch] vlan 3
[Switch-vlan] name

Criando uma Vlan e colocando-a uma descrição
[Switch] vlan 3
[Switch-vlan] description

Criando uma várias vlans ao mesmo tempo
[Switch] vlan to 2 to 5

Apagando uma vlan
[Switch] undo vlan 2

Mostrando quais as vlans que existem no switch
[Switch] display vlan

Mostrando as informações de uma determinada vlan (descrição, endereço IP se houver, portas tagged e untagged)
[Switch] display vlan  2

Definindo o IP para a VLAN 2 
[Switch]interface Vlan-interface 2
[Switch]-Vlan-Interface]ip address 192.168.100.1 255.255.255.0

Configurando o default gateway
[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 (ip do gateway)

Configurações de portas
Entrando no modo de configuração de uma porta
[Switch] interface gigabit-ethernet 1/0/4

Colocando uma descrição na porta
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] description

Adicionando porta a uma vlan 
Configurando o tipo de porta
Porta ACCESS: Porta de acesso, utilizada para ligar hosts (estações, servidores, etc)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port link-type access

Porta TRUNK: Porta que permitirá mais de uma vlan trafegar pela porta(utilizando TAG(802.1q). Utilizada como porta de uplink, nas ligações entre switches.
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port link-type trunk

Associando uma porta access a uma vlan.
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port access vlan 5

Removendo uma vlan de uma porta access. A porta voltará a pertencer a vlan 1 (default)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] undo port access vlan

Associando todas as vlans a porta trunk. Desse modo, todas as vlans passarão pela porta trunk
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port trunk permit vlan all

Copiando as configurações de uma porta para outra (vlan, spanningtree, velocidade etc). Não efetua a copia das configurações de controle de broadcast
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6

Copiando as configurações de uma porta para várias portas
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6 to gigabit-ethernet 1/0/12

Definindo a senha do usuário ADMIN como s3nha
local-user admin
service-type telnet terminal
level 3
password cipher s3nha

Removendo os usuários default MANAGER e MONITOR
[Switch]undo local-user manager
[Switch]undo local-user monitor

Configurando e habilitando o gerenciamento SNMP com as comunidades s1ro e s1rw
[Switch]snmp-agent community read s1ro
[Switch]snmp-agent community write s1rw

Removendo as comunidades default PUBLIC e PRIVATE
[Switch]undo snmp-agent community write private
[Switch]undo snmp-agent community read public

Habilitando o spanning tree protocol (já é habilitado por padrão)
[Switch] stp enable

Configurando a versão do  rapid spanning tree protocol
[Switch] stp mode rstp 

Configurando o switch como root bridge primário do spanning tree
 O comando stp root primary configura automaticamente o valor do Bridge Priority para 0 (zero)
[Switch] stp root primary
ou
[Switch] stp priority 0

Configurando o switch como root bridge secundário do spanning tree
O comando stp root secondary configura automaticamente o valor do Bridge Priority para 4096
[Switch] stp root secondary
ou
[Switch] stp priority 4096

Criando um LINK AGGREGATION entre dois Switches. Não esquecer de executar esses procedimentos em ambos os Switches. Neste exemplo estão sendo utilizadas as portas 1/0/25 e 1/0/26 dos dois Switches.
link-aggregation group 1 mode static
#
interface GigabitEthernet 1/0/25
undo shutdown
port link-aggregation group 1
#
interface GigabitEthernet 1/0/26
undo shutdown
port link-aggregation group 1

Salvando as configurações do Switch
save

Apagando todas as configurações do Switch
reset saved-configuration
reboot

Comandos Display

Informações de uma determinada porta (velocidade, duplex, etc)

display interface GigabitEthernet 1/0/3

Mostrando um resumo de TODAS as portas
display brief interface

Mostrando quais portas do Switch são do tipo TRUNK
display port trunk

Mostrando um sumário do LINK AGGREGATION. 
display link-aggregation summary
display link-aggregation verbose

Mostrando a configuração do Switch atual
display current-configuration

Mostrando informações do Spanning Tree, quais portas estão BLOQUEADAS e quais estão em FORWARDING 
display stp brief
display stp

E vocês, possuem mais alguma sugestão de comando para os Switches da linha 5500?
Sintam-se a vontade…

Um abração! 🙂

 

 

Introdução ao Multiple Spanning-Tree (802.1s)

O Protocolo Multiple Spanning-Tree 802.1s permite a criação de Instâncias independentes do Rapid Spanning-Tree para otimização de Links e Processamento, criando topologias únicas para cada Instância.

Por padrão, com a utilização “pura” do STP ou RSTP, todas as VLANs participam da mesma Instância, chamada de CST (Common Spanning-Tree), deixando todas as VLANs com o mesmo ponto de bloqueio na Topologia para os links Redundantes.

O MST permite o mapeamento de VLANs em Instâncias independentes para a mesma topologia, permitindo o balanceamento do tráfego pelos Links Redundantes.

 

Configurando
Para a utilização do MST devemos configurar o nome da região, o número da revisão e o mapeamento das VLANs para as Instâncias em todos os Switches.

[Switch] stp enable
! Habilitando o STP se estiver desabilitado
[Switch] stp mode mstp
! Configurando o STP no modo MST
[Switch] stp region-configuration
! Acessando a configuração do MST
[Switch-mst-region] region-name comutadores
! Configurando o nome da região como comutadores
[Switch-mst-region] revision-level 1
!Configurando a revisão como 1
[Switch-mst-region] instance 1 vlan 2 3
! Configurando as Vlans 2 e 3 para a Instância 1
[Switch-mst-region] instance 2 vlan 4 5
! Configurando as Vlans 4 e 5 para a Instância 2 
[Switch-mst-region] active region-configuration
!Ativando a configuração do MST
[Switch-mst-region] quit

Para a configuração de qual switch será o Root de sua Instância, configure em cada Switch Root o comando abaixo:

  • Switch Root da Instancia 1
stp instance 1 priority 4096
!Configurando a prioridade da Instância 1 para 4096
  • Switch Root da Instancia 2
stp instance 2 priority 4096
!Configurando a prioridade da Instância 2 para 4096

Obs: O protocolo 802.1s possui compatibilidade com as versões 802.1w e802.1 d mas sugerimos a implantação do MST em redes que TODOS os Switches possuam suporte ao protocolo.

Abraços a todos!

Protegendo o Spanning-Tree

O Protocolo Spanning-Tree possui algumas vulnerabilidades pela simplicidade de sua arquitetura, falta de mecanismos de autenticação, etc.

Imaginando que você configurou o Switch Core da Rede como Root com a prioridade 0 (zero) e outros Switches com prioridades inferiores ( vence a eleição o Switch com a prioridade com o menor valor) para estabilidade da rede, não impede que um novo Switch colocado na camada de acesso configurado erradamente com a prioridade 0 (zero) possa tomar o lugar do Switch Root, ocasionando toda a convergência da LAN para a topologia a partir do novo Switch Root.

Lembrando que em situações de empate na eleição do Switch Root, vence quem tiver o menor endereço MAC inserido no BPDU. Além do que, a eleição do Root para o Spanning-Tree está sujeita a substituição do Switch Raiz – por situações que envolvem desde falhas do Root até um equipamento com menor prioridade.

Programas como o Yersinia permitem a criação de “tráfego sintético” para ataques ao protocolo.

Há também cenários que envolvem a inserção de Switches não gerenciados e hubs por usuários que desejam prover mais pontos de rede em ambientes que deveriam ser controlados …

Segue abaixo alguns comandos que são bastante uteis em cenários para proteção do STP.

Hardening STP

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Interface GigabitEthernet 1/0/1
stp root-protection

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Quando uma porta alternativa parar de receber BPDU ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root – melhor caminho para o Switch Raiz – continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root

Interface GigabitEthernet 1/0/1
stp loop-protection

BPDU Guard + Edged-Port: A instalação de Switches em portas configuradas para hosts (edged-port) podem ocasionar pequenos Loops na rede devido a característica da interface. A configuração global do stp bpdu-protection permite o bloqueio da porta “edged” ao receber um BPDU (sendo mandatória a intervenção manual com o comando shutdown e undo shutdown para retorno da porta – após cessar o recebimento de BPDU’s). Caso queira o recovery automático configure o valor do shutdown-interval.

stp bpdu-protection
shutdown-interval 300

Interface GigabitEthernet 1/0/1
stp edged-port enable

Loopback Detection: Detecta se uma interface recebeu pacotes que ela mesma gerou, ocasionado provavelmente por Loop em hubs. Se o loop for detectado em uma interface a comunicação será bloqueada.

loopback-detection enable
loopback-detection interval-time 30

DLDP: Detecta falhas unidirecionais em links de fibra e/ou UTP cessando a comunicação da interface. Após a normalização do enlace o trafego a interface voltará a comunicar automaticamente.

dldp enable
Interface GigabitEthernet 1/0/1
dldp enable

Switches HPN7500 – Configurando Filtros para BPDU’s (bpdu-filtering)

O protocolo Spanning-tree encaminha mensagens a cada 2 segundos para manter a estabilidade da LAN, protegendo o ambiente de loops fisicos (bloqueando o loop lógico) e provendo alta disponibilidade em caso de falhas nos Switches da rede.
Para que isso ocorra, os Switches trocam mensagens chamadas de BPDU’s que são indispensaveis  para o correto funcionamento de uma rede descrita com o cenario acima.
Existem cenarios que é preciso desativar o protocolo em uma interface especifica, com a utilização de outros protocolos/features de alta disponibilidade como o RRPP, Smart-Link, Monitor-Link, etc ou também quando o Switch necessita transportar a informação em forma de tunel (transparente), como no caso do QinQ.
Em ambientes compartilhados de clientes, não é desejavel que uma alteração na rede seja avisada para todos os Switches que não pertencem aquela rede e possuem o mesmo Switch em comum, como por exemplo Operadoras e Data Centers.

A principal questão nesse cenario de filtro de BPDUs é certificar que a rede não possui nenhum loop que possa ocasionar um desastre para o projeto do Engenheiro de rede.

Certificada essas questões os Switches HPN Serie-A possuem os seguintes comandos que podem auxiliar na solução:

Interface gigabitethernet 1/0/1
stp disable
! Desabilitando o STP somente na interface Giga1/0/1

Ou

stp ignored vlan 10
! Desabilitando o STP na vlan 10
Obs: Seja bem cuidadoso com a necessidade de desabilitar o recebimento/encaminhamento de BPDUs em uma Interface ou VLAN, principalmente pela similaridade dos comandos para desativar o Spanning-Tree globalmente em um Switch e/ou em uma porta. 

Até logo!