Introdução ao Multiple Spanning-Tree (802.1s)

O Protocolo Multiple Spanning-Tree 802.1s permite a criação de Instâncias independentes do Rapid Spanning-Tree para otimização de Links e Processamento, criando topologias únicas para cada Instância.

Por padrão, com a utilização “pura” do STP ou RSTP, todas as VLANs participam da mesma Instância, chamada de CST (Common Spanning-Tree), deixando todas as VLANs com o mesmo ponto de bloqueio na Topologia para os links Redundantes.

O MST permite o mapeamento de VLANs em Instâncias independentes para a mesma topologia, permitindo o balanceamento do tráfego pelos Links Redundantes.

 

Configurando
Para a utilização do MST devemos configurar o nome da região, o número da revisão e o mapeamento das VLANs para as Instâncias em todos os Switches.

[Switch] stp enable
! Habilitando o STP se estiver desabilitado
[Switch] stp mode mstp
! Configurando o STP no modo MST
[Switch] stp region-configuration
! Acessando a configuração do MST
[Switch-mst-region] region-name comutadores
! Configurando o nome da região como comutadores
[Switch-mst-region] revision-level 1
!Configurando a revisão como 1
[Switch-mst-region] instance 1 vlan 2 3
! Configurando as Vlans 2 e 3 para a Instância 1
[Switch-mst-region] instance 2 vlan 4 5
! Configurando as Vlans 4 e 5 para a Instância 2 
[Switch-mst-region] active region-configuration
!Ativando a configuração do MST
[Switch-mst-region] quit

Para a configuração de qual switch será o Root de sua Instância, configure em cada Switch Root o comando abaixo:

  • Switch Root da Instancia 1
stp instance 1 priority 4096
!Configurando a prioridade da Instância 1 para 4096
  • Switch Root da Instancia 2
stp instance 2 priority 4096
!Configurando a prioridade da Instância 2 para 4096

Obs: O protocolo 802.1s possui compatibilidade com as versões 802.1w e802.1 d mas sugerimos a implantação do MST em redes que TODOS os Switches possuam suporte ao protocolo.

Abraços a todos!

Protegendo o Spanning-Tree

O Protocolo Spanning-Tree possui algumas vulnerabilidades pela simplicidade de sua arquitetura, falta de mecanismos de autenticação, etc.

Imaginando que você configurou o Switch Core da Rede como Root com a prioridade 0 (zero) e outros Switches com prioridades inferiores ( vence a eleição o Switch com a prioridade com o menor valor) para estabilidade da rede, não impede que um novo Switch colocado na camada de acesso configurado erradamente com a prioridade 0 (zero) possa tomar o lugar do Switch Root, ocasionando toda a convergência da LAN para a topologia a partir do novo Switch Root.

Lembrando que em situações de empate na eleição do Switch Root, vence quem tiver o menor endereço MAC inserido no BPDU. Além do que, a eleição do Root para o Spanning-Tree está sujeita a substituição do Switch Raiz – por situações que envolvem desde falhas do Root até um equipamento com menor prioridade.

Programas como o Yersinia permitem a criação de “tráfego sintético” para ataques ao protocolo.

Há também cenários que envolvem a inserção de Switches não gerenciados e hubs por usuários que desejam prover mais pontos de rede em ambientes que deveriam ser controlados …

Segue abaixo alguns comandos que são bastante uteis em cenários para proteção do STP.

Hardening STP

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada na prevenção de recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente

Interface GigabitEthernet 1/0/1
stp root-protection

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Quando uma porta alternativa parar de receber BPDU ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento ( imaginando que a porta Root – melhor caminho para o Switch Raiz – continue recebendo BPDU’s) criando assim um Loop lógico em toda a LAN. Nesse caso a feature deixará a porta alternativa sem comunicação até voltar a receber BPDU’s do Switch Root

Interface GigabitEthernet 1/0/1
stp loop-protection

BPDU Guard + Edged-Port: A instalação de Switches em portas configuradas para hosts (edged-port) podem ocasionar pequenos Loops na rede devido a característica da interface. A configuração global do stp bpdu-protection permite o bloqueio da porta “edged” ao receber um BPDU (sendo mandatória a intervenção manual com o comando shutdown e undo shutdown para retorno da porta – após cessar o recebimento de BPDU’s). Caso queira o recovery automático configure o valor do shutdown-interval.

stp bpdu-protection
shutdown-interval 300

Interface GigabitEthernet 1/0/1
stp edged-port enable

Loopback Detection: Detecta se uma interface recebeu pacotes que ela mesma gerou, ocasionado provavelmente por Loop em hubs. Se o loop for detectado em uma interface a comunicação será bloqueada.

loopback-detection enable
loopback-detection interval-time 30

DLDP: Detecta falhas unidirecionais em links de fibra e/ou UTP cessando a comunicação da interface. Após a normalização do enlace o trafego a interface voltará a comunicar automaticamente.

dldp enable
Interface GigabitEthernet 1/0/1
dldp enable

Switches HPN A7500 – Verificando se a SFP está conectada ao Switch

O post abaixo foi encaminhado como dica pelo André Gomes e é  bem interessante para quem administra  equipamentos remotos e precisa saber quais equipamentos estão com uma SFP conectada ou se o espaço reservado para elas está vazio, ou mesmo verificar se o Switch reconheceu o modelo do transceiver.Para verificar se tem gbic no módulo de fibra de um equipamento, execute o comando display interface.
Por exemplo:
display interface GigabitEthernet3/1/3
GigabitEthernet3/1/3 current state: DOWN 
Line protocol current state: DOWN
Description: GigabitEthernet3/1/3 Interface
The Maximum Transmit Unit is 1500
Link delay is 1(sec)
Internet protocol processing : disabled
IP Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: 3ce5-a669-3333
IPv6 Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: 3ce5-a669-3333
Media type is optical fiber, Port hardware type is 1000_BASE_SX_SFP
(...saída omitida)
Reparem que mesmo que a interface esteja sem fibra, ou seja, com o status de “DOWN” aparece o tipo de GBIC: “1000_BASE_SX_SFP”.
Agora como comparativo, segue um output de porta que não possui gbic instalada:
display interface GigabitEthernet3/1/7
GigabitEthernet3/1/7 current state: DOWN 
Line protocol current state: DOWN
Description: GigabitEthernet3/1/7 Interface
The Maximum Transmit Unit is 1500
Link delay is 1(sec)
Internet protocol processing : disabled
IP Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: 3ce5-a669-7777
IPv6 Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: 3ce5-a669-7777
Media type is not sure, Port hardware type is No connector
(...saída omitida)
 Os comandos foram executados em um roteador A8808 e no switch A7510.

Switches HPN7500 – Configurando Filtros para BPDU’s (bpdu-filtering)

O protocolo Spanning-tree encaminha mensagens a cada 2 segundos para manter a estabilidade da LAN, protegendo o ambiente de loops fisicos (bloqueando o loop lógico) e provendo alta disponibilidade em caso de falhas nos Switches da rede.
Para que isso ocorra, os Switches trocam mensagens chamadas de BPDU’s que são indispensaveis  para o correto funcionamento de uma rede descrita com o cenario acima.
Existem cenarios que é preciso desativar o protocolo em uma interface especifica, com a utilização de outros protocolos/features de alta disponibilidade como o RRPP, Smart-Link, Monitor-Link, etc ou também quando o Switch necessita transportar a informação em forma de tunel (transparente), como no caso do QinQ.
Em ambientes compartilhados de clientes, não é desejavel que uma alteração na rede seja avisada para todos os Switches que não pertencem aquela rede e possuem o mesmo Switch em comum, como por exemplo Operadoras e Data Centers.

A principal questão nesse cenario de filtro de BPDUs é certificar que a rede não possui nenhum loop que possa ocasionar um desastre para o projeto do Engenheiro de rede.

Certificada essas questões os Switches HPN Serie-A possuem os seguintes comandos que podem auxiliar na solução:

Interface gigabitethernet 1/0/1
stp disable
! Desabilitando o STP somente na interface Giga1/0/1

Ou

stp ignored vlan 10
! Desabilitando o STP na vlan 10
Obs: Seja bem cuidadoso com a necessidade de desabilitar o recebimento/encaminhamento de BPDUs em uma Interface ou VLAN, principalmente pela similaridade dos comandos para desativar o Spanning-Tree globalmente em um Switch e/ou em uma porta. 

Até logo!