PPt_4face_021208.jpg
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
SWITCH v7 Chapter 4
‹#›
Cisco_NewLogo
Kapitola 4:
Spanning Tree Protocol
CCNP  SWITCH: Implementing Cisco IP Switched Networks

Cíle kapitoly 4
§Přehled, operace, historie STP
§Implementace Rapid STP (RSTP)
§Popis následujících vlastností STP: PortFast, UplinkFast, BackboneFast, BPDU Guard, BPDU Filter,
Root Guard, Loop Guard, Unidirectional Link Detection a FlexLinks
§Konfigurace Multiple Spanning Tree (MST)
§Troubleshooting STP

Chapter 1 Objectives

Chapter 4
‹#›
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
Rev08_Cisco_BrandBar10_060408.png ss1
Přehled Spanning Tree Protocolu

Přehled Spanning Tree Protokolu
§Cíle:
§Proč STP
§Rozdílné standardy STP
§Popis základních operací STP
§Popis BPDU (bridge protocol data units)
§Volba kořene
§Volba root portu
§Volba designatted portu
§Stavy portů STP
§Vysvětlení PVST+
§Vysvětlení změn topologických změn STP

STP Need
§Redundantní topologie vede ke smyčkám.
§

Problémy redundantní topologie
§Záplava broadcastů (broadcast storms)
•Každý přepínač na redundantní síti zaplavuje nekonečným vysíláním rámců. Tyto rámce pak cestují po
smyčce ve všech směrech.
§Přenos více rámců (multiple frame transmission)
•K cílovým stanicím může být doručeno více kopií stejných unicast rámců, což může způsobit problémy
s přijímacím protokolem. Vícenásobné kopie stejného rámce mohou způsobit neodstranitelné chyby.
§Nestabilita databáze MAC (MAC database instability)
•Pokud dojde k smyčce, stejná zdrojová MAC adresa může být viděna na více rozhraních způsobujících
nestabilitu. Přepínání dat může být narušeno, pokud přepínač spotřebuje prostředky, které se
vyrovnávají s nestabilitou v tabulce MAC adres.

Řešení
§STP umožňuje redundanci fyzické cesty a zároveň zabraňuje nežádoucím účinkům aktivních smyček v
síti.
§STP vynucuje některé porty do pohotovostního (standby) stavu, aby nemohly naslouchat, forwardovat
ani zaplavovat rámci.
§Existuje pouze jedna aktivní cesta ke každému segmentu sítě.
§Pokud se vyskytne problém s připojením k některému segmentu, protokol STP obnoví připojení tím, že
automaticky aktivuje dříve neaktivní cestu.
§STP používá pro své operace Bridge Protocol Data Units (BPDU).

•BPDUs are messages that STP uses to determine current topology information and how to react if any
devices added or removed or changed in the topology. By default they are sent out every 2 seconds
on all switch ports. BDPUs are discussed later in detail.

Cayleyho věta
nn-2


Radia Perlman 1984
Navrhla algoritmus spanning stromu (DEC 1984), protokol IS-IS a TRILL (TRansparent Interconnection
of Lots of Links). Je také spoluautorkou učebnice  Network Security. Vyučuje kurzy na University of
Washington, Harvard University a MIT.
Výsledek obrázku pro Radia Perlman Network Security

Řešené problémy
§Smyčky v síti
§Záplavy broadcastů
§Opakované přenosy rámců
§Nestabilita tabulek MAC adres

Standardy STP

•■ STP itself is the original IEEE 802.1D version, which provides a loop-free topology in a network
with redundant links. STP was created for a bridged network, so it supports only a single LAN or
one VLAN.
•■ Common Spanning Tree (CST) assumes one spanning-tree instance for the entire network. Unlike
802.1D, it supports more than one VLAN.
•■ PVST and PVST+ are Cisco proprietary protocols that provide a separate spanningtree instance for
each VLAN configured in the network. PVST protocol is obsolete.
•■ MST maps multiple VLANs into the same spanning-tree instance. MST was defined based on the Cisco
prestandard MST. Cisco switches now use the standard implementation.
•■ RSTP is standard, described in IEEE 802.1w. It is an evolution of STP that provides faster
convergence of STP.
•■ RPVST+ is a Cisco implementation of RSTP that is based on PVST+.

Operace STP
§Služba STP odstraňuje smyčky spravováním fyzické cesty k danému segmentu sítě pomocí následujících
tří kroků:
§1. Volí se jeden kořenový most
•Pouze jeden most může působit jako kořenový most. Kořenový most je referenčním bodem; všechny toky
dat v síti jsou z pohledu tohoto přepínače. Všechny porty na kořenovém můstku předávají (forward)
přenos.
§2. Vybírá se root port (port ke kořenu) na nerootovém můstku
•Jeden port na každém neřízeném mostu je kořenový port. Je to port s nejlevnější cestou od
nerootického mostu přes root mostu. Ve výchozím nastavení se cena cesty STP vypočte z šířky pásma
propojení. Můžete také nastavit náklady na cestu STP ručně.
§3. Vybírá se designated  port na každém segmentu
•Na každém segmentu je jeden určený (designated) port. Vybírá se na mostě s nejlevnější cestou ku
kořenovému mostu.

Operace STP



Role portů STP
Role
Popis
Root port:
Existuje pouze na non-root mostech a je to switch port s nejlepší cestou ke kořenovému mostu. Každý
most může mít jediný root port.
Designated port
(označený)
Tento port existuje na root o neroot mostech. Na rootu jsou všechny porty designated. Na nonroot
mostech je designated port ten, který, pokud je třeba, přijímá a posílá rámce směrem k root mostu.
Na jednom segmentu může být pouze jeden designated port. Je-li na stejném segmentu více přepínačů,
provede se výběr designated portu.
Nondesignated port
(neoznačený)
Port nepřeposílá (blokuje) rámce.
Disabled port
Vypnuto.

Bridge Protocol Data Units (BPDU)
§STP používá pakety BPDU pro výměnu informací STP, speciálně pro volbu root bridge a pro
identifikaci smyček.
§Defaultně, pakety BPDU jsou posílány každé 2 sekundy.
§BPDU jsou všeobecně kategorizovány do dvou typů:
•Konfigurační BDPU
•Použité pro konfiguraci STP
•TCN (topology change notification) BPDU
•Použity pro informování o změnách v síťové topologii

Rámec BPDU
§Protocol ID: Identifies the STP
§Version: Identifies the current version of the protocol
§Message Type: Identifies the type of BPDU (configuration or TCN BPDU)
§Flags: Used in response to a TCN BPDU
§Root Bridge ID: Identifies the bridge ID (BID) of the root bridge
§Root Path Cost: Identifies the cost from the transmitting switch to the root
§Sender Bridge ID: Identifies the BID of the transmitting switch
§Port ID: Identifies the transmitting port
§Message Age: Indicates the age of the current BPDU
§Max Age: Indicates the timeout value
§Hello Time: Identifies the time interval between generations of configuration BPDUs by the root
§Forward Delay: Defines the time a switch port must wait in the listening and learning state




Výřez obrazovky



Volba Root Bridge
§In STP, každý switch má jednotný BID, který má dvě části:
•Bridge priority (0 až 65,535, defaultní hodnota je 32,768)
•MAC addresa
•
•
§
§
§Root bridge se vybírá na základě nejnižší BID.
§Při stejné prioritě rozhoduje MAC adresa.

Volba Root Portu
§Po výběru kořenového mostu musí každý neroot most zjistit, kde je ve vztahu k kořenovému mostu.
§Root port je port s nejlepší cestou k kořenovému mostu.
§K určení kořenových portů na neroot mostech se používá cena.
§Cesta nákladů je kumulativní cena všech odkazů na kořenový most.
§Kořenový port označuje nejnižší cenu kořenového mostu.

•Note Bandwidth of the EtherChannel is calculated as the sum of all the links that are bundled into
the EtherChannel. The cost of the EtherChannel link is calculated based on the summed bandwidth.
•When two ports have the same cost, arbitration can be done using the advertised port ID (from the
neighboring switch).
•Note Remember that the port ID’s selection is based on the port ID of the advertised neighboring
switch.

Závislost ceny na šíři pásma
Výřez obrazovky


Volba Designated Portu
§Po volbě kořenového mostu a kořenových portů na neroot mostech, aby se zabránilo smyčkám, musí STP
určit, který port v segmentu bude předávat (forwardovat) provoz.
§Pouze jeden z odkazů na segmentu by měl přenášet provoz do tohoto segmentu a z něj.
§Určený port, který předává provoz, je také vybrán na základě nejnižších nákladů na cestu ke
kořenovému mostu.
§Na kořenovém můstku jsou označeny všechny porty.
§Pokud existují dvě cesty se stejnou cenou ku kořenovému mostu, STP používá pro určení nejlepší
cesty a následně pro určení určených a neurčených portů na segmentu:
•Nejnižší root BID
•Nejnižší cenu cesty k root mostu
•Nejnižší číslo BID odesilatele
•Nejnižší ID portu odesilatele
§PROČ?

Proces STP
§

•Explain everything

Stavy portu STP

•■ Blocking: In this state, the port ensures that no bridging loops occur. A port in this state
cannot receive or transmit data, but it receives BPDUs, so the switch can hear from its neighbor
switches and determine the location, and root ID, of the root switch and port roles of each switch.
A port in this state is a nondesignated port, and therefore it does not participate in active
topology.
•■ Listening: A port is moved from blocking to listening state if there is a possibility to be
selected as the root or designated port. The port in this state still cannot send or receive data
frames. But it is allowed to send and receive BPDUs, so it is participating in active topology.
•■ Learning: After a period of time (forward delay) in listening state, the port is moved to
learning state. The port still sends and receives BPDUs; in addition, it can learn and add new MAC
addresses to its table. A port in this state cannot send any data frames.
•■ Forwarding: After another period of time (forward delay) in learning state, the port is moved to
forwarding state. It is considered as part of the active topology. It sends and receives frames and
also sends and receives BPDUs.
•■ Disabled: In this state, a port is administratively shut down. It does not participate in
spanning tree, and it does not forward frames.

Změny stavu portů



Příklad: Volba kořene stromu
Výřez obrazovky


Chapter 4
‹#›
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
Rev08_Cisco_BrandBar10_060408.png
Příklad: Ohodnocení cest
Výřez obrazovky

Chapter 4
‹#›
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
Rev08_Cisco_BrandBar10_060408.png
Příklad: Vytvoření stromu
Výřez obrazovky

Per-VLAN STP Plus (PVST+)
§Per-VLAN STP Plus (PVST+) je Cisco implementace STP který poskytuje spanning-tree instance pro
každou konfigurovanou VLAN v síti.

•Note PVSTP+ is usually the default STP on Cisco switches.

Per-VLAN STP Plus (PVST+)
§Spanning-tree operace požadují, aby každý switch měl unikátní BID.
§Pro přenos BID informace je používáno rozšířené ID.
§Původní16bitové prioritní pole má dvě části BID:
§Bridge priority
•4 bity. Defaultní hodnota je 32,768, což je střední hodnota. Inkrementace je po 4096.
§Extended system ID
•12bitové pole přenášející  VLAN ID

Změny topologie STP
§


ss3
Protokol Rapid Spanning Tree Protocol (RSTP)


Rapid Spanning Tree Protocol
§V rámci dokončení této části:
§Seznamte se s rolemi  portu RSTP a vysvětlete je
§Porovnejte stavy portů RSTP a STP
§Vysvětlete, jak STP zpracovává změny topologie
§Popište typy odkazů RSTP
§Nakonfigurujte a upravte chování STP
§Vysvětlete, jak RSTP reagují na změny topologie

Role portu RSTP
§RSTP definuje následující role portů:
§Root
•Root port je switch port na každém neroot můstku, který je zvolenou cestou k root mostu.
•Na každém přepínači může být pouze jeden kořenový port.
•Kořenový port je považován za součást aktivní topologie.
•Posílá, odesílá a přijímá BPDU (datové zprávy).
§Designated
•Každý switch má alespoň jeden switch port jako designated port segmentu.
•V aktivní topologii přepínač s určeným portem přijímá rámce na segmentu, který je určen pro root
bridge.
•Na jednom segmentu může být pouze jeden designated port.

Role portů RSTP
§RSTP definuje následující role portů:
§Alternate
•Alternativní port je port, který nabízí alternativní cestu směrem k kořenovému můstku.
•V aktivní topologii se předpokládá stav vyřazení.
•Alternativní port provede přechod na určený port, pokud selže aktuální určená cesta.
§Disabled
•Port bez role.
§Backup
•Záložní port je další přepínací port na určeném přepínači s redundantním spojením ke sdílenému
segmentu, pro který je přepínač určen.
•Záložní port má v aktivní topologii stav vyřazení.

Role portů RSTP



Porovnání stavů portů RSTP a STP
Výřez obrazovky


Stavy portů RSTP
Není Listening


Příklad CAM tabulky
Výřez obrazovky


Změny topologie RSTP
§S RSTP je nyní šíření TC jednocestný proces. Ve skutečnosti iniciátor změny topologie zaplavuje
síť svými informacemi, což je v rozporu s normou 802.1D, kde to dělá pouze root.
§Mechanismus je mnohem rychlejší, než je tomu u 802.1D.
§Během několika sekund či malého násobku hello intervalu, most of the entries in the CAM tables of
the entire network (VLAN) flush.
§Proč RSTP nezvažuje výpadky linek v důsledku změn topologie?
•Ztráta připojení neposkytuje nové cesty v topologii. Pokud přepínač ztratí spojení s downstream
switchem, downstream switch má buď alternativní cestu k kořenovému mostu, nebo ne.
•Není-li downstream switch, nemá alternativní cestou, neprovede se žádná akce, která by zlepšila
konvergenci.
•Pokud má přepínač proudu alternativní cestu, přepínač následného odběru odblokuje a následně
generuje vlastní BPDU se sadou bitů TC.
§A stejně jako STP nevytváří změny topologie, nevytváří je ani nastavení portů PortFast.

•When a switch receives a BPDU with TC bit set from a neighbor, it clears the MAC addresses learned
on all its ports except the one that receives the topology change.
•The switch also receives BPDUs with the TC bit set on all designated ports and the root port.
•RSTP no longer uses the specific TCN BPDUs unless a legacy bridge needs to be notified.

Konfigurace a modifikace chování STP



Změny priorit STP Priorit
§Nedoporučuje se, aby síť sama zvolila kořenový most. Pokud mají všechny přepínače výchozí priority
STP, přepínač s nejnižší MAC adresou se stane kořenovým mostem.
§Nejstarší přepínač bude mít nejnižší MAC adresu!!!, protože výrobci nejprve dávali nižší MAC
adresy.
§Chcete-li ručně nastavit kořenový most, můžete změnit prioritu přepínače.
§
§Poznámka
•Kořen by měl být na distribuční vrstvě!

Změny priorit STP
§Prioritou může být hodnota mezi 0 a 65 535 v přírůstcích 4096. Výchozí hodnota je 32 768.
§Lepším řešením je použití příkazu spanning-tree vlan vlan-id root { primary | secondary } Tento
příkaz je vlastně makro, které snižuje prioritní číslo přepínače, aby se stal kořenovým mostem.
§Chcete-li konfigurovat přepínač, aby se stal kořenem pro určitý VLAN, použijte klíčové slovo
primary.
§Pomocí klíčového slova secondary můžete nakonfigurovat sekundární kořenový most.
§Příkaz spanning-tree root vypočítá prioritu zjištěním aktuální kořenové priority a snížením
hodnoty o 4096.

•Note If the priority of the root bridge is set to 0, configuring another switch with the root
primary command will yield no results. The command will fail because it cannot make a local switch
priority for 4096 lower than that of the root bridge.

Manipulace s cestou STP



Manipulace s cestou STP
§Cenu portu můžete upravit pomocí příkazu
§spanning-tree vlan vlan-list cost cost-value.
§Hodnota ceny může být mezi 1 a 65 535.
§
§
§Prioritu portu lze upravit pomocí příkazu
§spanning-tree vlan vlan-list port-priority port-priorit
§Hodnota priority portu může být mezi 0 a 255; výchozí hodnota je 128.
§Nižší priorita portu znamená upřednostňovanou cestu ku kořenovému mostu.

Časovače STP
§STP používá tři různé časovače, aby zajistila správnou konvergenci bez smyček. Tři klíčové
časovače STP a jejich výchozí hodnoty jsou následující:
§Hello time
•Čas mezi výměnami BPDU je nastaven na portu. Defaultně je 2 secondy.
§Forward delay
•Čas, který je stráven mezi stavy listening and learning. Defaultně je 15 sekund.
§Max (maximum) age
•Řídí maximální délku času, který předchází, než most port uloží informace o konfiguraci BPDU.
Defaultně je 20 sekund.

Časovače STP
§Přenos mezi porty trvá 30 až 50 sekund v závislosti na změnách topologie.
§Nastavit lze STP časovače. Čas STP hello time může být nastaven mezi 1 až 10 sekundou, dopředné
zpoždění 4 až 30 sekundy, and maximální stáří 6 až 40 sekund.
§Pro ruční konfiguraci časovačů použijte
§
§ spanning-tree [ vlan vlan-id ] { hello-time | forward-time | max-age } seconds command.

Změna módu STP na RSTP
§
§
§
§
§
§
§Doba konvergence je pro RSTP mnohem kratší, než pro STP. Úplná konvergence se uskuteční na úrovni
rychlosti BPDU přenosu.
§To může zabrat do 1 sekundy.

ss2
Implementace mechanismu stability STP


Sada nástrojů Cisca pro Spanning Tree
§Poskytuje nástroje pro lepší správu STP.
§Klíčové rysy jsou následující:
•UplinkFast: Umožňuje rychlou reakci na chybu po uplink cestě na přístupovém přepínači (redukce
času pod 5 s)
•BackboneFast: Umožňuje rychlou konvergenci distribuční nebo core vrstvy při změně STP, Ostatní
přepínače si zjišťují, zda nespadlo spojení na root. Posílá Root Link Queries (RLQ).
•PortFast: Konfiguruje access port k přechodu přímo do stavu forwarding

Problém, který řeší Uplink Fast
Výřez obrazovky


Protokolová sada Cisco Spanning Tree
•Klíčové vlastnosti nástroje Cisco STP Toolkit, které zajišťují stabilitu STP, jsou následující:
•
BPDU Guard
Zakáže port PortFast, pokud je přijata BPDU
•
BPDU Filter
Potlačí BPDU na portech
•
Root Guard
Zabraňuje tomu, aby se externí přepínače staly rooty
•
Loop Guard
Zabraňuje tomu, aby se alternativní port stal designated portem, pokud nebudou přijaty žádné BPDU

Použití UplinkFast
§Pokud se přenos po uplinku nezdaří, bude trvat 30 až 50 sekund, než  funkci uplink převezme jiný
port.
§UplinkFast je řešení společnosti Cisco, které výrazně snižuje čas konvergence.
§Funkce UplinkFast je založena na definici seskupení uplink (uplink group). Na daném přepínači se
skupina uplink skládá z kořenového portu a všech portů, které poskytují alternativní spojení s
kořenovým switchem. Pokud selže kořenový port, což znamená i selhání primárního uplinku, je vybrán
port s nejnižší cenou z uplinkové skupiny, který jej okamžitě nahradí.
§Celková doba obnovení selhání primárního propojení bude obvykle kratší než 1 sekunda.

Use UplinkFast
§UplinkFast je proprietární vlastnost Cisco
§Ve výchozím nastavení je UplinkFast zakázán.
§Chcete-li povolit UplinkFast, použijte následující příkaz:
§
   ASW (config) # spanning-tree uplinkfast
§
§S nástrojem RSTP je mechanismus UplinkFast integrován do protokolu standardně.
§

Použití BackboneFast
§Pokud dojde k selhání nepřímého odkazu, BackboneFast zkontroluje, zda existuje alternativní cesta
k kořenovému mostu.
Nepřímé selhání je v případě selhání propojení, které není přímo připojeno k přepínači

•As shown in Figure 4-19 , DSW3 is the root bridge, and DSW2 is the one blocking DSW3’s alternate
path to DSW1. When DSW1’s root port fails, DSW1 declares itself the root bridge and starts sending
BPDUs to all switches it is connected to (in this case, only DSW2). These BPDUs are inferior. When
a switch receives an inferior BPDU on a blocked port, it runs a procedure to validate that it still
has an active path to the currently known root bridge.

BackboneFast na obrázku
§Jak je vidět, DSW3 je kořen a DSW2 je jediná blokující alternativní cesta DSW3 k DSW1. Při selhání
kořenového portu DSW1 se DSW1 deklaruje jako kořenový most a začne odesílat BPDUs všem přepínačům,
ke kterým je připojen (v tomto případě pouze DSW2). Pokud přepínač obdrží podřízený BPDU na
zablokovaném portu, spustí proceduru ověření, že má stále aktivní cestu k aktuálně známému
kořenovému můstku.

Použití BackboneFast
§Normálně musí přepínač čekat na vypršení časového limitu maximální doby, než reaguje na nižší
BPDU.
Služba BackboneFast však vyhledá alternativní cestu:
§Pokud podřízený BPDU přichází na zablokovaný port, přepínač předpokládá, že kořenový port a
všechny ostatní blokované porty jsou alternativní cestou.
§Pokud podřízený BPDU přichází na port, který je kořenový, přepínač předpokládá, že všechny
blokované jsou alternativní cestou.
§Pokud nejsou blokovány žádné porty, přepínač předpokládá, že ztratil propojení s kořenovým můstkem
a považuje se za kořenový můstek.
§Poté, co přepínač identifikuje potenciální alternativní porty, začne odesílat zprávy RLQ (Root
Link Query). Odesíláním těchto dotazů zjišťuje, zda upstream přepínače mají cestu k kořenovému
můstku.
§

•When a switch, which is either the root bridge or has a connection to the root bridge, receives an
RLQ, the switch sends back an RLQ reply. Otherwise, an RLQ gets forwarded until it gets to a switch
that is the root bridge or has a connection to the root bridge.
•If exchange of RLQ messages results in validation that the root bridge (DSW3) is still accessible,
the switch (DSW2) starts sending existing root bridge information to the bridge that lost
connectivity through its root port (DSW1). If this validation fails, DSW2 can start the root bridge
election process. In either of these cases, if validation is successful or not, maximum age time is
shortened.

BackboneFast na obrázku
§Vraťme se k obrázku: Pokud výměna zpráv RLQ (Root Link Query) vede k ověření, že kořenový most
(DSW3) je stále přístupný, switch (DSW2) začne odesílat existující informace o kořenovém můstku
mostu, který ztratil připojení přes kořenový port (DSW1). Pokud toto ověření selže, DSW2 může
spustit volební proces kořenového mostu. V každém z těchto případů, pokud je validace úspěšná nebo
ne, je zkrácena maximální doba reakce na výpadek.
§

Použití BackboneFast
§Chcete-li konfigurovat BackboneFast, použijte následující příkaz:
•    DSW1 (config) # spanning-tree backbonefast
§Ve výchozím nastavení je funkce BackboneFast zakázána.
§Chcete-li ověřit aktuální stav BackboneFast, zadejte následující příkaz:
DSW1 # show spanning-tree backbonefast
BackboneFast is enabled
§Funkce BackboneFast byla implementována do RSTP. Implementace v RSTP se ale od BackboneFastu liší.
Zatímco BackboneFast u STP spoléhá na zprávy RLQ k ověření aktuálního kořenového můstku, RSTP
spoléhá na informace uložené v mezipaměti.

Použití PortFast
§Pokud je povoleno rozhraní PortFast, port se okamžitě přepne z blokování na forwarding.
§PortFast by měl být povolen v přepínačích přístupové vrstvy (Access) na Access porty.
§Další výhodou použití PortFastu je to, že BPDU TCN (Topology Change Notification) nejsou odeslány,
když přepínač portu v režimu PortFast se vypíná či nastavuje.
§Ve výchozím nastavení je PortFast zakázán na všech portech přepínačů.
§PortFast lze konfigurovat dvěma způsoby: na port a globálně.
•Pokud konfigurujete PortFast globálně, všechny porty, které jsou nakonfigurovány jako přístupové
porty, se automaticky nastaví na PortFast povoleno a porty okamžitě přecházejí na forwarding.
•Pokud port obdrží BPDU, tento port přejde do režimu blokování.
•Pokud konfigurujete PortFast na jeden port
•Port bude nastaven jako PortFast, i když bude přijímat BPDU
§

Použití PortFast



Konfigurace PortFast na trunku
§Nikdy nepoužívejte funkci PortFast na portech přepínačů, které se připojují k jiným přepínačům,
rozbočovačům nebo směrovačům.
§PortFast můžete také povolit na portech trunků, což je užitečné, pokud máte trunk připojený k
serveru, který potřebuje více VLAN.
Chcete-li povolit port PortFast na rozhraní, které se připojuje k tomuto serveru, použijte
následující příkazy konfigurace rozhraní:

•These connections can cause physical loops, and spanning tree must go through the full
initialization procedure in these situations. A spanning-tree loop can bring your network down. If
you turn on PortFast for a port that is part of a physical loop, there can be a window of time when
packets are continuously forwarded (and can even multiply) in such a way that the network cannot
recover.

Chapter 4
‹#›
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
Rev08_Cisco_BrandBar10_060408.png
Problémy konfigurace PortFast na trunku
§Tato spojení mohou způsobit fyzické smyčky a v těchto situacích musí procházet strom přes úplnou
inicializační proceduru. Smyčka může u Spanning tree způsobit, že vám síť spadne.
§
§Pokud zapnete PortFast pro port, který je součástí fyzické smyčky, může vzniknout časové okno, kdy
jsou pakety nepřetržitě předávány (a mohou se dokonce množit) takovým způsobem, že síť ani nelze
obnovit.
§

Zabezpečení rozhraní PortFastu pomocí BPDU Guard
§BPDU Guard chrání integritu portů s nastaveným PortFast.
§Pokud je na portu s nastaveným PortFast přijat paket BPDU, tento port je uveden do chybového stavu
(err-disabled).
§
§
§
§
§To znamená, že port je vypnut a musí být ručně znovu aktivován nebo automaticky obnoven pomocí
funkce error-disabled timeout.
§
§Důrazně doporučujeme na všech portů s podporou PortFast vždy nastavit BPDU Guard.

Zabezpečení rozhraní PortFastu pomocí BPDU Guard
§Ve výchozím nastavení je funkce BPDU Guard vypnuta na všech portech přepínače.
BPDU Guard lze konfigurovat dvěma způsoby, globálně a na jeden port.
§
§
§
§
§
§Globální konfigurace je podmíněna: Pokud není pro port povolen PortFast, nebude BPDU Guard
aktivován.

Vypnutí STP pomocí funkce BPDU Filter
§BPDU jsou odesílány na všechny porty, dokonce i když jsou povoleny PortFast.
§Měl byste vždy spustit STP, abyste zabránili smyčkám.
§Ve zvláštních případech je však třeba zabránit tomu, aby byly BPDU odesílány.
§To můžete dosáhnout použitím filtru BPDU.

•Configuring BPDU Filter so that all configuration BPDUs received on a port are dropped can be
useful for service provider environments, where a service provider provides Layer 2 Ethernet access
for customers. Ideally, the service provider does not want to share any spanning-tree information
with customers, because such sharing might jeopardize the stability of the service provider’s
internal spanning-tree topology. By configuring PortFast and BPDU Filter on each customer access
port, the service provider will not send any configuration BPDUs to customers and will ignore any
configuration BPDUs sent from customers

Chapter 4
‹#›
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
Rev08_Cisco_BrandBar10_060408.png
Co je to za zvláštní případy?
§Konfigurace filtru BPDU tak, aby došlo k upuštění od všech konfiguračních BPDU přijatých na portu,
může být užitečná pro prostředí poskytovatelů služeb, kde poskytovatel služeb poskytuje zákazníkům
vrstvy L2 Ethernet.
§V ideálním případě by poskytovatel služeb nechtěl sdílet se zákazníky informace o spanning stromu,
protože takové sdílení by mohlo ohrozit stabilitu topologie vnitřního spanningového stromu
poskytovatele služby.
§Odblokování poskytovatele od zákazníka: Konfigurací filtrů PortFast a BPDU na každém portu pro
přístup k zákazníkům nebude poskytovatel služeb odesílat žádné konfigurační BPDU a bude ignorovat
všechny konfigurační BPDU odeslané od zákazníků.

Vypnutí STP pomocí funkce BPDU Filter
§Filtr BPDU se chová jinak, pokud je aplikován globálně nebo na bázi portu.
•Pokud je aktivován globálně, má BPDU Filter tyto atributy:
•Ovlivňuje všechny provozní porty PortFast na přepínačích, které nemají na jednotlivých portů
konfiguraci filtru BPDU.
•Pokud jsou detekovány BPDU, port ztratí svůj stav PortFast, filtr BPDU je deaktivován a STP posílá
a přijímá BPDU na portu stejně jako u jiných portů STP na přepínači.
•Po spuštění port odešle deset BPDU. Pokud přijme během této doby nějaké BPDU, jsou vypnuty funkce
PortFast and PortFast BPDU Filter.
§Na individuálním portu, BPDU Filter má tyto atributy:
•Ignoruje všechny posílané BPDU.
•Neposílá žádná BPDU.

Použití Root Guard
§Funkce Root Guard nutí rozhraní, aby se stalo designated portem, aby se okolní přepínače nemohly
stát kořenovým přepínačem.
§Jinými slovy, Root Guard poskytuje způsob, jak vynutit umístění (spíše neumístění) kořenového
mostu v síti.
§Pokud most obdrží superior STP BPDU na portu s nastaveným Root Guard, port se přesune do stavu
root-inconsistent STP a přepínač neodesílá (neforwarduje) přenos z tohoto portu.
§Aplikujte na všechny porty, na kterých by se neměl vyskytovat root.
§

Použití Root Guard
§Doporučuje se nastavit Root Guard u všech přístupových portů tak, aby nebylo možné přes tyto porty
vytvořit kořenový most.

Konfigurace a verifikace funkce Root Guard
§


 Popis funkce Loop Guard
§STP závisí na nepřetržitém příjmu nebo přenosu BPDU na základě role portu.
§Designated (určený) port vysílá jednotky BPDU a nondesignated port tyto přijímá.
§Když jeden z portů ve fyzicky redundantní topologii již vyslané BPDU neobdrží, STP předpokládá, že
topologie je bez smyčky.
§Může se stát, že se blokovaný port z alternativního nebo zálohovacího portu stane designated a
přesune do stavu forwarding. Tato situace vytváří smyčku.
§Funkce Loop Guard provádí další dodatečné kontroly. Pokud nejsou BPDU přijaty na nedesignated
portu a funkce Loop Guard je nastavena, tento port je přesunut do blokovacího stavu STP
loopinconsistent, který nahradí některý ze stavů listening / learning / forwarding.
§

LoopGuard blokuje cyklení



Přehled funkce Loop Guard
§Když funkce Loop Guard blokuje nekonzistentní port, je logována zpráva:
§
§
§Pokud je paket BPDU přijat na portu, který je ve stavu loop-inconsistent STP, port se mění do
jiného STP stavu. Po obnově je v logu zpráva:

Umístění Loop Guard
§Funkce Loop Guard je nastavena na bázi per-port.
§Nicméně, pokud zablokujete port na úrovni STP, Loop Guard zablokuje nekonzistentní porty na bázi
VLAN
§V defaultním nastavení je Loop Guard zakázán. Loop Guard můžete konfigurovat globálně nebo  na
bázi port-per-port.
§Pokud povolíte službu Loop Guard globálně, pak je nastavena point-to-point na všech linkách.

Loop Guard vs Root Guard
§Root Guard se Loop Guard se vzájemně vylučují.
§Root Guard je použit na designated porty, a nedovoluje jim, aby se staly nondesignated.
§Loop Guard pracuje na nondesignated portech a nedovoluje jim, aby se staly designated v důsledku
vypršení maximálního expiračního času.
§Root Guard nemůže být nastaven na stejném portu jako Loop Guard.
§Pokud je Loop Guard konfigurován na portu, vypne Root Guard konfigurovaný na stejném portu.

Použití UDLD
§Unidirectional (jednosměrné) linky mohou způsobit smyčky STP.
§Jednosměrná detekce spojení (Unidirectional Link Detection – UDLD) umožňuje zařízením rozpoznat,
zda existuje jednosměrné propojení, a dotčené rozhraní vypnout.
§UDLD je užitečné na portu s optickými vlákny, aby se zabránilo problémům se sítí, které by vedly k
chybnému propojení na panelu patchů, což způsobuje, že se spojení nachází ve stavu up / up, ale
jsou ztraceny BPDU.

Příklad UDLD
§


UDLD testuje linku na optice

•Both UDLD peers discover each other by exchanging special frames that are sent to well-known MAC
address 01:00:0C:CC:CC:CC
•In an EtherChannel bundle, UDLD will error-disable only the physical link that has failed.

Přehled UDLD
§UDLD je protokol vrstvy 2, který pracuje s mechanismy vrstvy 1 k určení fyzického stavu propojení.
§Obě strany v rámci UDLD spustí výměnu speciálních rámců, které jsou posílány na známou MAC adresu
01: 00: 0C: CC: CC: CC
§Ve svazku EtherChannel zablokuje UDLD chybu pouze při fyzickém výpadku.
§UDLD zprávy jsou odesílány v pravidelných intervalech. Tento časovač lze měnit. Výchozí nastavení
se liší mezi platformami. Typická hodnota je 15 sekund.
§UDLD je protokol Cisco, který je také definován v RFC 5171.

Operace UDLD
§Po zjištění jednosměrného propojení UDLD může v závislosti na konfigurovaném režimu učinit dva
kroky odlišné v závislosti na režimu (módu):
§Normal mode
•Pokud je zjištěn jednosměrný odkaz, port může pokračovat v jeho provozu. UDLD pouze označuje port
jako neurčený. Vygeneruje se syslog zpráva.
§Aggressive mode
•Pokud je zjištěn jednosměrný odkaz, switch se pokusí obnovit spojení. Zasílá jednu zprávu za
sekundu po dobu 8 sekund. Pokud žádná z těchto zpráv není odeslána zpět, port je nastaven do stavu
error-disabled.

Konfigurace UDLD
§Opět lze nastavit na bázi portu či globálně.
§Podporováno pouze na optice.
§
§
§
§
§
§
§Pro reset na rozhraních, která se stala shutdown díky UDLD, použijte udld reset.

Porovnání Loop Guard with UDLD



Doporučená praxe pro UDLD
§Typicky je nasazen na jakémkoli optickém propojení.
§Pro nejlepší ochranu použijte agresivní režim UDLD.
§Zapněte globální konfiguraci, abyste se vyhnuli provozním chybám a chybám.

Použití FlexLinks
§FlexLinks je pár rozhraní na úrovni 2, kde jedno rozhraní je konfigurováno jako backup k tomu
druhému.
§FlexLinks poskytuje redundanci na úrovni linky, která je alternativou k STP.
§STP je automaticky vypnut na rozhraních s FlexLinks.

Konfigurace a verifikace pro FlexLinks



Pokyny (Guidelines) FlexLinks
§Pro jakoukoliv aktivní linku lze nakonfigurovat pouze jeden backup odkaz.
§Rozhraní může patřit pouze jednomu páru FlexLinks.
§Žádný z těchto odkazů nemůže být port, který patří k EtherChannelu. Můžete však nakonfigurovat dva
kanály jako jeden FlexLinks.
§Backup linka nemusí být stejného typu (Fast Ethernet, Gigabit Ethernet či portový kanál) jako
aktivní linka.
§STP je na portech s porty FlexLinks vypnut.

Doporučení pro stabilitu STP



Doporučení pro stabilitu STP
§PortFast: Aplikujte na všechny access porty. Pro jejich bezpečnost nastavte na porty funkci BPDU
Guard, neboli vždy kombinujte PortFast s BPDU Guard.
§Root Guard: Aplikujte na všechny porty, na kterých by se neměl vyskytovat root.
§Loop Guard: Aplikujte na všechny porty, které jsou nebo mohou být nondesignated.
§UDLD: Nastavte na optické kabely.
§V závislosti na bezpečnostních požadavcích organizace může být funkce zabezpečení portů omezena na
vstupním portu omezením MAC adres, které mohou odesílat komunikaci do portu.

•The use of Root Guard and Loop Guard is mutually exclusive.
•Examples where you will need to implement BPDU Filters are rare. Under no circumstances should you
use BPDU Filter and BPDU Guard on the same interface.

ss1
Konfigurace protokolu MST (Multiple Spanning Tree)


Protokol Multiple Spanning Tree 802.1s
§Hlavním účelem MST je snížit celkový počet instancí spanning-tree tak, aby odpovídaly fyzické
topologii sítě a tím snížily procesorové cykly přepínačů.
§MST je koncept mapování jedné nebo více VLAN do jedné instance STP.
§Počet instancí spanning stromu je zredukován na počet dostupných linek.

Vyrovnávání zátěže v sítích s VLANy
§1000 VLAN mapujeme na dvě instance MST. Spíše než udržovat 1000 větví stromů, každý přepínač bude
udržovat pouze dvě větve, což snižuje náklady na zdroje.
§

Úvod do MST
§MST snižuje počet větví stromů přes trunky seskupením a přidružováním VLAN k instancím spanning
tree.
§Každá instance může mít topologii nezávislou na jiných spanning-tree instancích.
§Tato architektura poskytuje více cest pro předávání dat a umožňuje vyvažování zátěže.
§Selhání jedné cesty pro předávání neovlivňuje jiné instance s různými cestami pro forwarding;
proto tato architektura zlepšuje reakce na poruchy v síti.
§MST konverguje rychleji než PVRST + a je zpětně kompatibilní s 802.1D STP, 802.1w (RSTP) a
architekturou Cisco PVST +.
§

MST
§Výhody
•Vyrovnávání zatěže je stále možné a efektivní.
•Nízká zátěž na přepínač, protože musí zpracovávat pouze dvě instance.
§Nevýhody
•Protokol je složitější než obvyklý SPT, a proto vyžaduje další školení lidí.
Interakce se staršími přepínači je někdy náročná.

Regiony MST
§MST se liší od ostatních spanning-tree implementací při sloučení některých, ale ne nutně všech
VLAN, do logických spanning stromových instancí.
§Vzniká zde problém s určením, která VLAN má být přiřazen ke které instanci.
§Přiřazení VLAN k instanci je oznámeno v rámci BPDU tak, aby přijímající zařízení mohlo
identifikovat instance a VLANy, na které se vztahují.
§Pro zajištění logického přiřazení VLAN k překlenutí stromů má každý switch, který běží MST v síti,
jednu konfiguraci MST sestávající z následujících tří údajů
•alfanumerické konfigurační jméno (32 bytes)
•číslo revize (2 bytes)
•tabulka 4096 prvků, která spojuje každou z potenciálních 4096 VLANů s danou instancí

Regiony MST
§Chcete-li být součástí společného regionu MST, skupina přepínačů musí sdílet stejné konfigurační
atributy.
§Je na odpovědnosti správce sítě správně propagovat konfiguraci v celém regionu.

Regiony MST
§Přesné mapování VLAN na instanci není propagováno v BPDU, protože přepínače musí vědět pouze to,
zda jsou ve stejném regionu jako soused.
§Proto je odeslán pouze digest (hash) tabulky mapování VLAN-to-instance spolu s číslem revize a
názvem.
§Poté, co přepínač obdrží BPDU, extrahuje digest a porovná jej s vlastním výpočtem.
§Pokud se digesty liší, mapování musí být jiné, takže port, na kterém byl BPDU přijat, je na
hranici regionu.

•Digest (a numeric value derived from the VLAN-to-instance mapping table through a mathematical
•function)

Revize konfigurace MST
§Číslo revize konfigurace vám poskytuje metodu sledování změn provedených v oblasti MST.
§Při každé změně konfigurace MST se revize nezvyšuje automaticky.
§Pokaždé, když provedete změnu, zvyšte číslo revize o jednu.

Instance STP s MST
§MST podporuje více instancí.
§Instance 0 je interní spanning tree (IST).

•MST does not send BPDUs for every active STP instance separately. A special instance (instance 0)
is designed to carry all STP-related information. BPDUs carry all the usual STP information, in
addition to configuration name, revision number, and hash value that is calculated over
VLAN-to-instance mapping tables. If hash values do not match, an MST misconfiguration exists
between the two switches.
•Figure 4-36 shows how different MST instances (MSTIs) exist within a single MST region. MSTI1 and
MSTI2 are mapped to different VLANs. Their topologies converge differently because root bridges are
configured differently. Within the MST region, there are three independent STP instances: MSTI0
(IST), MSTI1, and MSTI2.

Instance STP s MST
§Všech šest instancí VLAN na předchozím obrázku původně patřilo do MSTI0 (Multiple Spanning Tree
Instance). Toto je výchozí (defaultní) chování.
§Pak zkopírujte polovinu instancí VLAN (11, 22 a 33) do MSTI1 a druhou polovinu (44, 55 a 66)
mapujte na MSTI2.
§Pokud jsou pro MSTI1 a MSTI2 nakonfigurovány různé kořenové mosty, jejich topologie budou
konvergovat odlišně.
§´Protože mezi instancemi MST jsou různé trasy 2. vrstvy, odkazy jsou rovnoměrněji využívány.

Instance STP s MST
§V topologii, kde se používají více variací STP, topologie Common Spanning Tree (CST) považuje
oblast MST za jeden black box.
§CST udržuje topologii loopfree s linkami, které spojují regiony navzájem, a s přepínači, které
nejsou spuštěny s MST.
§

•Within the MST region, the IST instance maintains a loop-free topology. IST presents the whole MST
region as a single virtual bridge to the outside STP. BPDUs between the MST’s STP instance and the
CST’s STP instance are exchanged over the native VLAN, as if a single CST were used.

Rozšíření systémového ID pro MST
§12-bit pole Extended System ID PVST zůstává i u MST.
§U MST je v tom poli číslo instance.

Překlopení z PVST+ na MST



Konfigurace MST s regionem CCNP



Konfigurace instance 1 a 2 MST
§MST je konfigurován s třemi instancemi.
§VLAN 2 a 3 patřící do instance 1.
§VLAN 4 a 5 patřící do instance 2.
§Všechny ostatní instance VLANů mezi 1 a 4094, které nejsou v instanci 1 či 2, patří do instance 0.

•Using the end or exit command will apply configuration. If you want to abort the change use the
abort keyword.

Příklad s prioritami



Konfigurace Root Bridge SPT

•In this example, you have changed the MST switch priority using spanning-tree mst instance-id root
{primary | secondary}. This command is actually a macro that sets the switch’s MST priority, which
is a number. If you issue a show running-config, you will see switch priority as a number, not the
primary or secondary keyword
•Changing STP mode to MST before doing the actual VLAN-to-instance mappings is not advisable. Every
change in the mapping will result in recalculation of the STP tree.
•A switch cannot run MST and PVST+ at the same time.

Verifikace MST
§Chcete-li ověřit aktuálně použitou konfiguraci MST, použijte show current v konfiguračním režimu
MST. Chcete-li ověřit nevyřízenou (pending)  konfiguraci MST, použijte show pending v konfiguračním
módu MST. Po zadání příkazu exit nebo end se nevyřízená (pending) konfigurace stává aktuální,
příkazy show current a show pending pak budu produkovat stejné výstupy.

•To verify currently applied MST configuration, use show current under MST configuration mode. To
verify pending MST configuration, use show pending under MST configuration mode. When you type exit
or end, pending configuration will become current. So, show current and show pending will produce
the same outputs.

Ověření podpisu (digest) MST
§Pre-std Digest se týká starší implementaci MST (byla dříve než norma).

•The Pre-std Digest refers to Cisco’s legacy prestandard implementation of MST. Cisco developed a
proprietary version of MST before MST was released called MISTP , which has similar principles as
MST.

Verifying namapování instancí MST



Konfigurace cen cest MST
§Ceny cest fungují stejně jako u jiných STP, s výjimkou případů, kdy jsou ceny portů MST
konfigurovány po instanci.

Konfigurace priorit portů MST
§Priorita portů funguje stejně jako u jiných STP, s výjimkou případů, kdy jsou  priority portu MST
konfigurovány na instance.

Migrace na protocol MST
§Ujistěte se, že všechny linky typu switch-to-switch, u nichž je požadován rychlý přechod, jsou
plně duplexní.
§Okrajové porty jsou definovány jako PortFast.
§Pečlivě rozhodněte, kolik instancí je zapotřebí v přepínané síti, a nezapomeňte, že instance
převede na logickou topologii.
§Určete, které VLAN mapovat na tyto instance, a pečlivě vyberte root a backup root pro každou
instanci.
§Zvolte název konfigurace a číslo revize, které bude společné všem přepínačům v síti.
•Cisco doporučuje umístit co nejvíce přepínačů do jednoho regionu; není výhodné segmentovat síť do
oddělených regionů

Migrace protokolu MST
§Vyhněte se mapování VLAN do instance 0.
§Nejdříve migrujte jádro sítě. Změňte typ STP na MST a pak změňte přístupové přepínače.
§Konfigurace funkcí jako PortFast, BPDU Guard, BPDUF Filter, Root Guard a Loop Guard jsou v režimu
MST rovněž použitelné.
§Pokud jste již tyto funkce povolili v režimu PVST +, zůstanou po přechodu do režimu MST aktivní.

Understanding MSTP



Přehled vývoje
STP history


Shorted Path Bridging (SPB)



Bridging, Provider Bridging, Provider Backbone a Shortest Path Bridging
bridging,provider bridging,provider backbone bridging
QinQ

PBB Frame format



SPBM-Frame Format



SPB-V vs SPB-M
2012


16 equal cost multi tree (ECMT)
F:\CCNP Switching\802d1aqECMP16_(cropped).gif


Equal Cost Shortest Path: přiřazení ke službám
F:\CCNP Switching\802.1ah\802d1aq_Wiki_Example_4.png


Chapter 4 Summary
§Spanning Tree Protocol (STP) – přehled, operace, historie
§Implementace Rapid Spanning Tree Protocol (RSTP)
§Konfigurace následujících vlastností: PortFast, UplinkFast, BackboneFast, BPDU Guard, BPDU Filter,
Root Guard, Loop Guard, Unidirectional Link Detection, and FlexLinks
§Konfigurace Multiple Spanning Tree (MST)
§Troubleshooting STP

§CCNPv7.1 SWITCH Lab4.1 STP
§CCNPv7.1 SWITCH Lab4.2 MST
Chapter 4 Labs

https://www.cisco.com/c/en/us/tech/lan-switching/spanning-tree-protocol/index.html
Výřez obrazovky


Příklady
Výřez obrazovky


Chapter 4
‹#›
© 2007 – 2016, Cisco Systems, Inc. All rights reserved.
Cisco Public
Rev08_Cisco_BrandBar10_060408.png
CNA_largo-onwhite