Thomas Moegli, profile picture
Téléchargé parThomas Moegli
PDF, PPTX3,699 vues

Spanning-Tree

Le document explique le fonctionnement du protocole Spanning Tree (STP) qui évite les boucles de réseau en désactivant des liens redondants. Il décrit les états des ports, les rôles attribués à chaque port, et l'algorithme de désignation d'un root bridge pour optimiser la topologie réseau. Les conséquences de l'absence de STP, telles que la surcharge des commutateurs et les dénis de service, sont également abordées.

Intégrer la présentation

Télécharger en tant que PDF, PPTX
1 / 111
2 / 111
Plus lue
3 / 111
4 / 111
5 / 111
Plus lue
6 / 111
7 / 111
Plus lue
8 / 111
9 / 111
10 / 111
11 / 111
12 / 111
13 / 111
14 / 111
15 / 111
16 / 111
17 / 111
18 / 111
19 / 111
20 / 111
21 / 111
22 / 111
23 / 111
24 / 111
25 / 111
26 / 111
27 / 111
28 / 111
29 / 111
30 / 111
31 / 111
32 / 111
33 / 111
34 / 111
35 / 111
36 / 111
37 / 111
38 / 111
39 / 111
40 / 111
41 / 111
42 / 111
43 / 111
44 / 111
45 / 111
46 / 111
47 / 111
48 / 111
49 / 111
50 / 111
51 / 111
52 / 111
53 / 111
54 / 111
55 / 111
56 / 111
57 / 111
58 / 111
59 / 111
60 / 111
61 / 111
62 / 111
63 / 111
64 / 111
65 / 111
66 / 111
67 / 111
68 / 111
69 / 111
70 / 111
71 / 111
72 / 111
73 / 111
74 / 111
75 / 111
76 / 111
77 / 111
78 / 111
79 / 111
80 / 111
81 / 111
82 / 111
83 / 111
84 / 111
85 / 111
86 / 111
87 / 111
88 / 111
89 / 111
90 / 111
91 / 111
92 / 111
93 / 111
94 / 111
95 / 111
96 / 111
97 / 111
98 / 111
99 / 111
100 / 111
101 / 111
102 / 111
103 / 111
104 / 111
105 / 111
106 / 111
107 / 111
108 / 111
109 / 111
110 / 111
111 / 111
Thomas Moegli Ing. HES Télécommunications - Réseaux et Sécurité IT Protocole Spanning-Tree 1 Cisco - Spanning-Tree - 11 novembre 2017
Protocole Spanning-Tree Fonctionnement 2 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Dans une topologie réseau, la présence de boucles engendre de nombreux problèmes Fonctionnement de Spanning-Tree Problématique 3 Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A PC-B 3 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Conséquences ๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le processeur. Les trames provenant d’interfaces différentes pour la même entité source fait que la table CAM est modifiée constamment Fonctionnement de Spanning-Tree Problématique 4 Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A via Gi1/0 PC-A PC-B Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A via Gi0/0 PC-A PC-B 4 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Soit une topologie de routeurs avec présence d’une boucle ๏ Lorsqu’un paquet circule, une valeur nommée TTL (Time To Live) est associée au paquet ๏ Cette valeur diminue d’une unité à chaque passage sur une interface d’un routeur ๏ Si un paquet est pris dans une boucle, le mécanisme de TTL permettra de supprimer ce paquet Fonctionnement de Spanning-Tree Problématique 5 TTL = 2 TTL = 1 5 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Toutefois, dans un environnement Layer 2, les trames ne disposent pas de TTL Conséquences ๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent le réseau Fonctionnement de Spanning-Tree Problématique 6 Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A PC-B 6 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Conséquences ๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent ๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le processeur ๏ Déni de service : Vu que le switch change constamment de port entre les liens redondants (ports Fa0/2 et Fa0/3), il ne choisit jamais le bon port de destination (dans notre exemple, Fa0/1) et les paquets ne peuvent jamais arriver sur le client final. ๏ Trames dupliquées : Le fait que les paquets de diffusion soient diffusées sur l’ensemble des liens fait que le client reçoit plusieurs copies de la même trame. Il y a une surcharge sur le client à cause de la réception de trames multiples. Fonctionnement de Spanning-Tree Problématique 7 7 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Algorithme original décrit par Radia Perlman et appelé DEC STP ๏ 1990 : Publication du standard 802.1D ๏ 1998 et 2004 : Nouvelles versions ๏ DEC STP et 802.1D sont incompatibles entre eux ๏ Avec les variantes, le protocole original est souvent appelé CST (Common Spanning Tree) Fonctionnement de Spanning-Tree Spanning-Tree 802.1d 8 8 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Empêcher les boucles de réseau entre switchs (liens redondants) ๏ Couche OSI 2 ๏ Création d’une topologie avec l’algorithme Spanning- Tree (STA) ๏ Désactivation des liens redondants ๏ Lors d’une défaillance d’un lien actif, réactivation automatique du lien de secours Fonctionnement de Spanning-Tree Spanning-Tree 802.1d 9 S2 S3 S1 Boucle S2 S3 S1 Pas de boucle Sans
 Spanning-Tree Avec
 Spanning-Tree 9 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Désignation d’un switch « Maître » ou Root Bridge ๏ Tous les calculs se feront sur la base du Root Bridge ๏ Echange de messages entre switchs (trames BPDU) ๏ Pour chaque switch, calcul du meilleur chemin vers le Root Bridge ๏ Chaque interface possède un coût ๏ Coût du chemin : Somme du coût de chaque interface traversée ๏ Chaque switch place ses interfaces dans un mode STP ๏ Certains modes autorisent la transmission de données, d’autres bloquent Fonctionnement de Spanning-Tree Etapes principales 10 Election du Root Bridge Calcul de l’arbre STP Définition de l’état STP par interface 10 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Chaque switch possède un identifiant appelé Bridge ID (BID) de 64 bits ๏ Composé de la priorité définie et de l’adresse MAC ๏ Priorité possible : 0-65’535 ๏ Par défaut, tous les switchs ont une priorité de 32’768 (65535 ÷ 2) ๏ Déterminer le Root Bridge ๏ Combinaison de la priorité de chaque switch et de l’adresse MAC ๏ Sélection du switch ayant la valeur de priorité la plus basse ๏ Si priorité équivalente, sélection d’après l’adresse MAC ayant la plus petite valeur ๏ Attention à privilégier un switch relativement performant comme Root Bridge (en modifiant manuellement la priorité) Fonctionnement de Spanning-Tree Désignation du Root Bridge 11 A B Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s Bridge Priority 0-65535 MAC Address Unique 2 octets Bridge Priority 6 octets Adresse MAC Bridge ID 11 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Root Bridge Switch/Pont ayant le Bridge ID le plus bas (meilleur priorité). Dans une topologie réseau, les switchs communiquent entre eux et désignent un Root Bridge. Toutes les décisions (placer le port en mode Blocked ou Forward par ex.) se font en fonction du Root Bridge. L’interface (ou port) ayant le coût le plus faible vers le Root Bridge est appelé Root Port Non-Root Bridge Tous les switchs qui ne sont pas Root Bridge. Ils échangent des informations entre eux et mettent à jour leur topologie STP en fonction des évenements survenus. Bridge ID Chaque switch possède un Bridge ID qui est une combinaison du Bridge Priority (configuré par défaut à 32768) et l’adresse MAC. Le switch ayant le Bridge ID le plus petit devient le Root Bridge du réseau. Pour forcer un switch en particulier à devenir Root Switch, il faut configurer manuellement une valeur de priorité basse. Port Cost Détermine le chemin à utiliser lorsque plusieurs liens sont présents entre deux switchs. Le coût d’un port est déterminé par la bande passante. Path Cost Il s’agit toujours de calculer le chemin le plus court vers le Root Bridge afin de déterminer quels ports doivent être désactivés dans le cas de chemins multiples. Le coût d’un lien est déterminé par la somme des coûts de port de chaque switch. Fonctionnement de Spanning-Tree Terminologie Spanning-Tree 12 12 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Bridge Protocol Data Unit ๏ Messages échangés entre switchs pour STP ๏ Requis pour déterminer et maintenir la topologie STP ๏ Types de BPDU ๏ Configuration BPDUs : utilisé pour l’algorithme STP ๏ TCN BPDUs - (Topology Change Notification BPDU) : utilisé pour informer les équipements d’un changement réseau Fonctionnement de Spanning-Tree BPDU 13 Protocol Identifier Version Msg Type Flags Root ID Root Path Cost Bridge ID Port ID Msg Age Max Age Hello Time Forward Delay 2 1 1 1 8 4 8 2 2 2 2 2 13 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ STP attribue un rôle à chaque port d’un switch ๏ 3 rôles possibles Fonctionnement de Spanning-Tree Ports d’un switch : Rôles 14 Root Port Port sur lequel se trouve le lien le plus direct vers le Root Bridge Si plusieurs liens sont connectés avec le Root Bridge, élection du Root Port en sélectionnant le port avec le coût le plus bas. Designated Port Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un Designated Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul Forwarding port par segment réseau. Non-Designated Port
 / Blocked Port Un port Non-Designated est un port ayant un coût plus élevé qu’un Designated Port. Ils sont également marqués comme Blocked Port et sont par conséquent désactivés. RP DP BP 14 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Chaque port d’un switch passe par plusieurs états STP avant d’être opérationnel ๏ Sur un switch Cisco, lumière orange sur le port (Transition STP) puis, si le port est en mode Forwarding, lumière devient verte Fonctionnement de Spanning-Tree Etats d’un port Spanning-Tree 15 Disabled n’est pas un état de transition Port qui a été désactivé de manière administrative (commande shutdown) Ne participe pas à l’algorithme STP Blocking Ne transmet pas les trames de données, uniquement réception des BPDU (pas d’envoi) Blocage pour prévenir des boucles de réseau.
 Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état
 (Exception des protocoles de couche 2 tels que DTP, VTP, CDP) Tous les ports sont à l’état Blocking par défaut au démarrage du switch Listening Ecoute et envoie des trames BPDU pour être sûr qu’il n’y ait pas de boucles
 Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état Learning Apprentissage de tous les chemins du réseau. Ecoute et envoie des trames BPDU Remplissage de la table CAM mais ne transmet pas encore de données
 Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état Forwarding Envoi ou réception de données utilisateurs sur le port DI B F LE LI 15 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Fonctionnement de Spanning-Tree Etats d’un port Spanning-Tree 16 Etat du port STP Reçoit des BPDUs Envoie des BPDUs Apprend les MAC Reçoit des données Envoi de données Durée de l’état Blocking Non défini (si présence d’une boucle) Listening Délai (env 15 secondes) Learning Délai (env 15 secondes) Forwarding Non défini (tant qu’aucune boucle détecté) Disabled Non défini (tant que l’admin ne l’active pas)DI B F LE LI 16 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Fonctionnement de Spanning-Tree Timers STP 17 Timer Description Hello ๏ Temps entre chaque BPDU envoyé sur le port ๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes Forward Delay ๏ Temps passé à l’état Listening et Learning ๏ Par défaut : 15 secondes, peut être configuré entre 4 à 30 secondes Max Age ๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU ๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes F LE LI Forward Delay Forward Delay BPDU BPDU Hello BPDU M ax Age 17 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Fonctionnement de Spanning-Tree Etats d’un port Spanning-Tree 18 Etat Blocking Initialisation Démarrage Etat Listening Etat Learning Etat Disabled Etat Learning Etat
 Forwarding Etat Transitoire Etat Transitoire DI B F LE LI Après 20 secondes Après 15 secondes Après 15 secondes 18 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Terme utilisé lorsque les ports passent d’un état STP à un autre ๏ Convergence complète : Lorsque les ports ont atteint l’état Forwarding ou Blocking (état final) ๏ Aucune donnée ne transite tant que la convergence n’est pas complète ๏ Convergence doit s’effectuer rapidement pour qu’un réseau soit efficace ๏ Possibilité (déconseillé) de modifier les timers STP ๏ Plusieurs variantes STP disponibles Fonctionnement de Spanning-Tree Convergence STP 19 19 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PC A Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Soit la topologie ci-contre ๏ A l’état stable, SW B est désigné comme Root Bridge ๏ Fa1/0/2 de SW A est le port à l’état Blocking Fonctionnement de Spanning-Tree Convergence STP 20 19 100 RP DPBP DP 20 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PC A Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Durant une intervention, le lien 100 Mbps tombe ๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien défectueux ๏ Au delà de 20 secondes, SW A décide que le port Blocking (Fa 1/0/2) passe à l’état Listening ๏ Le port reçoit et envoie les BPDU Fonctionnement de Spanning-Tree Convergence STP 21 19 100 DPBP DP LI 15 sec Blocking (20 sec) Listening (15 sec) 21 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Blocking (20 sec) Listening (15 sec) Learning (15 sec) Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PC A Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Durant une intervention, le lien 100 Mbps tombe ๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien défectueux ๏ Au delà de 15 secondes, SW A décide que le port Blocking (Fa 1/0/2) passe à l’état Learning ๏ Le port commence à apprendre les adresses MAC Fonctionnement de Spanning-Tree Convergence STP 22 19 100 DPBP DP LI 15 sec LE 22 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PC A Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Durant une intervention, le lien 100 Mbps tombe ๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien défectueux ๏ Finalement, après 15 secondes, le port passe finalement à l’état Forwarding ๏ Au total, le passage du port de l’état Blocking à l’état Forwarding a duré :
 20 + 15 + 15 = 50 secondes Fonctionnement de Spanning-Tree Convergence STP 23 19 100 DPBP DP 15 sec F Blocking (20 sec) Listening (15 sec) Learning (15 sec) Forwarding 23 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Lorsqu’un utilisateur connecte un laptop sur l’un des ports, la convergence STP fonctionne de manière similaire ๏ Le port passe également par les états Listening, Learning puis Forwarding ๏ Du fait que le port n’était pas à l’état Blocking, il entre directement à l’état Listening sans attendre 20 secondes ๏ Pour éviter une attente de 30 secondes, Cisco propose l’option Spanning-Tree Portfast Fonctionnement de Spanning-Tree Convergence STP 24 Blocking (20 sec) Listening (15 sec) Learning (15 sec) Forwarding 24 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Standard IEEE ๏ Utilisé dans les calculs STP Fonctionnement de Spanning-Tree Coût d’un lien 25 Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 25 Cisco - Spanning-Tree - 11 novembre 2017
Protocole Spanning-Tree
 Opérations 26 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Election du Root Bridge ๏ Au départ, chaque switch se croît Root Bridge ๏ Echange de BPDU entre eux contenant leur Bridge ID et le Root ID (eux-mêmes) ๏ Priorité identique pour tous les switchs ๏ Utilisation de l’adresse MAC pour sélectionner Root Bridge ๏ S1 a l’adresse MAC avec valeur la plus basse : est élu RB Opérations Spanning Tree 27 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s Root Bridge 27 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Calcul des coûts vers le Root Bridge ๏ S2 et S3 utilisent leur lien direct (coût : 4) ๏ Si S3 utilise le lien transitant par S2 pour aller vers S1 : 
 Coût = 4 + 4 = 8 (coût supérieur au lien direct) ๏ Chaque port du Root Bridge est considéré comme Designated Port ๏ Sur S2 et S3, le port sur lequel est connecté le lien avec le coût le plus faible vers S1 est considéré comme Root Port Opérations Spanning Tree 28 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s DP DP RP Cost : 4 Cost : 4 Cost : 4 RPRP DP Root Bridge DP RP 4 4 4 28 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Lien S2 – S3 : Désignation des ports Blocking et Designated ๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire) ๏ S2 place son port en mode Designated et S3 le place en Blocked ๏ Convergence STP terminée ๏ Tous les ports sont en mode Forwarding ou Blocking Opérations Spanning Tree 29 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s DP DP RP Cost : 4 Cost : 4 Cost : 4 RP DP 4 4 4 RP DPDP RP BP DP 29 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Lien S2 – S3 : Désignation des ports Blocking et Designated ๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire) ๏ S2 place son port en mode Designated et S3 le place en Blocked ๏ Convergence STP terminée ๏ Tous les ports sont en mode Forwarding ou Blocking Opérations Spanning Tree 30 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s DP DP RP Cost : 4 Cost : 4 Cost : 4 RP DP 4 4 4 RP DPDP RP DP BF F F F F 30 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 1 : Sélection du Root Bridge ๏ Parmi les 4 switchs de la topologie ci-contre, 
 SW A et SW B ont une priorité plus faible (16384) par rapport aux switchs SW C et SW D (32768) ๏ SW A ou SW B sera élu Root Bridge par rapport à SW C et SW D selon la priorité ๏ SW A finalement sera élu Root Bridge car son adresse MAC est inférieure à l’adresse MAC de SW B Fonctionnement de Spanning-Tree Exemple pratique 31 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 31 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 2 : Calcul des coûts vers le Root Bridge Pour SW A ๏ Comme SW A est le Root Bridge, toutes ses interfaces ont le rôle Designated Port Fonctionnement de Spanning-Tree Exemple pratique 32 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 2 4 4 RP DP DP DP DP 32 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 2 : Calcul des coûts vers le Root Bridge Pour SW B ๏ Sur SW B, calcul du chemin le plus court vers le Root Bridge ๏ Le plus court chemin passe par Te1/0/1 ๏ Interface 10Gbps ๏ Le coût d’une interface est de 2 ๏ L’interface Te1/0/1 est donc un Root Port Fonctionnement de Spanning-Tree Exemple pratique 33 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 2 4 4 RP DP DP DP DP 33 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 2 : Calcul des coûts vers le Root Bridge Pour SW D ๏ Sur SW D, calcul du chemin le plus court vers le Root Bridge ๏ Le plus court chemin passe par Gi1/0/1 ๏ Interface 1Gbps ๏ Le coût d’une interface est de 4 ๏ Le coût du chemin passant par Gi1/0/2 serait de 4 + 2 = 6 ๏ L’interface Gi1/0/1 est donc un Root Port Fonctionnement de Spanning-Tree Exemple pratique 34 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP 34 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 2 : Calcul des coûts vers le Root Bridge Pour SW C ๏ Sur SW C, le coût du chemin le plus court est de 4 ๏ Le chemin par Gi1/0/10 et Gi1/0/11 ont le même coût de 4 ๏ Pour choisir le chemin entre ces deux possibilités, STP utilise le Port ID le plus faible depuis l’émetteur ๏ Dans ce cas, l’émetteur est SW A, on prend donc le Port ID le plus faible de SW A ๏ Le Port ID le plus faible est Gi1/0/3 ๏ De ce fait, le port Gi1/0/10 est désigné comme RP Fonctionnement de Spanning-Tree Exemple pratique 35 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP RP 35 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 2 : Calcul des coûts vers le Root Bridge Pour SW C ๏ Chaque port dispose d’une priorité ๏ Par défaut, la priorité est de 128 ๏ Cette priorité peut être modifiée par la commande :
 ๏ L’identifiant du port sous STP est majoré de 2 ๏ Autrement dit, le port Gi1/0/3 a l’ID 3 + 2 = 5
 Le port Gi1/0/4 a l’ID 4 + 2 = 6 ๏ Sous la commande show spanning-tree, le port est désigné par Priorité.ID ๏ Port Gi1/0/3 : 128.5 ๏ Port Gi1/0/4 : 128.6 ๏ SW C peut connaitre les informations du port de SW A via les BPDU ๏ Finalement, SW C peut décider ainsi de sélectionner le port ayant la priorité + l’ID le plus petit Fonctionnement de Spanning-Tree Exemple pratique 36 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP RP Switch(config-if)# spanning-tree vlan vlan-id port-priority value 36 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 3 : Détermination des rôles pour chaque segment réseau Segment SW A - SW C ๏ Les ports de chaque segment ont déjà un rôle attribué Fonctionnement de Spanning-Tree Exemple pratique 37 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP RP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 RPDP 37 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 3 : Détermination des rôles pour chaque segment réseau Segment SW B - SW D ๏ Aucun de ces ports n’est RP ๏ Il est nécessaire de désigner un port comme étant Designated Port (chaque segment réseau doit disposer d’un port DP ou RP) ๏ Pour connaitre quel port sera désigné DP, il faut regarder le coût vers le Root Bridge depuis chaque interface ๏ Depuis SW B Gi1/0/5, le coût vers le RB est de 2 ๏ Depuis SW D Gi1/0/2, le coût vers le RB est de 4 
 (passe par Gi1/0/1 de SW D) ๏ Le port SW B - Gi1/0/5 ayant un coût plus faible sur le segment SW B - SW D, il a comme rôle DP ๏ Le port SW D Gi1/0/2 a le rôle BP Fonctionnement de Spanning-Tree Exemple pratique 38 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 4 4 RP DP DP DP DP RP RP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 RPDP DP BP 38 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 3 : Détermination des rôles pour chaque segment réseau Segment SW B - SW C ๏ Aucun de ces ports n’est RP ๏ Il est nécessaire de désigner un port comme étant Designated Port (chaque segment réseau doit disposer d’un port DP ou RP) ๏ Coût vers le RB depuis chaque interface ๏ Depuis SW B Gi1/0/7, le coût vers le RB est de 2 
 (passe par SW B - Te1/0/1) ๏ Depuis SW C Gi1/0/2, le coût vers le RB est de 4 
 (passe par Gi1/0/10 de SW D) ๏ Le port SW B - Gi1/0/7 ayant un coût plus faible sur le segment SW B - SW C, il a comme rôle DP ๏ Le port SW C Gi1/0/2 a le rôle BP Fonctionnement de Spanning-Tree Exemple pratique 39 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 4 4 RP DP DP DP DP RP RP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 RPDP DP BP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 DP BP 39 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 3 : Détermination des rôles pour chaque segment réseau Segment SW A - SW C ๏ Le port Gi1/0/4 de SW A a été désigné comme DP ๏ SW C dispose déjà d’un RP. Il s’agit de Gi1/0/10 ๏ Le port SW A - Gi1/0/4 a comme rôle DP ๏ Le port SW C Gi1/0/11 a le rôle BP Fonctionnement de Spanning-Tree Exemple pratique 40 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 4 4 RP DP DP DP DP RP RP RPDP DP BP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 DP BP DP BP 40 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 3 : Détermination des rôles pour chaque segment réseau Topologie finale Fonctionnement de Spanning-Tree Exemple pratique 41 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge RP DP DP DP DP RP RP RPDP DP BP DP BP DP BP 41 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Etape 4 : Détermination des états de chaque port Durant la phase de détermination des ports RP, DP et BP, les ports sont à l’état Listening puis Learning Une fois la topologie terminée : ๏ Les ports désignés comme RP ou DP sont mises à l’état Forwarding ๏ Les ports désignés comme BP sont mises à l’état Blocking Fonctionnement de Spanning-Tree Exemple pratique 42 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge RP DP DP DP DP RP RP RPDP DP BP DP BP DP BP 42 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Changement de topologie ๏ Lors d’un changement de topologie, le switch l’annonce au Root Bridge via un BPDU TCN (Topologie Change Notification) ๏ Le Root Bridge répond par un BPDU TCA (Topology Change Ack) ๏ Le Root Bridge signale ensuite à l’ensemble des switchs un BPDU TC (Topology Change) qu’ils doivent effectuer un recalcul de l’algorithme STP Fonctionnement de Spanning-Tree Changement de topologie 43 SW1 SW2 SW3 SW4 SW5 TCNTCN Root Bridge TCATCA SW1 SW2 SW3 SW4 SW5 Root Bridge TCTC TC TC SW4 détecte et annonce un changement dans sa topologie. Il le signale au Root Bridge Le Root Bridge signale le changement aux autres switchs 43 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Changement de topologie ๏ Il peut arrive également ce qu’on appelle une erreur indirecte ๏ Une interface avec une connectivité partielle ou une ACL appliquée sur l’interface qui filtre certaines trames ๏ L’erreur indirecte peut être détectée si les BPDUs ne sont plus reçus par le switch ๏ Le recalcul STP peut être déclenché également après l’échéance d’un timer lié à la réception des BPDUs ๏ Il peut également arriver des changements de topologie non liées à STP ๏ Exemple : Une interface en mode Access qui modifie de status ๏ Le switch annonce le changement au Root Bridge ๏ Le Root Bridge informe les autres switchs, mais aucun recalcul STP n’est effectué Opérations Spanning Tree 44 44 Cisco - Spanning-Tree - 11 novembre 2017
Protocole Spanning-Tree
 Variantes 45 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Variantes Spanning-Tree 46 Spanning-Tree PVST Per VLAN Spanning-Tree Prop. Cisco PVST+ Per VLAN+ Spanning-Tree Prop. Cisco CST Common Spanning-Tree 802.1d RSTP Rapid Spanning-Tree 802.1w Rapid PVST+ Rapid PVST+ Spanning-Tree Prop. Cisco MST Multiple Spanning-Tree 802.1s ๏ Une instance STP pour l’ensemble du réseau ๏ Lent mais requiert peu de ressources ๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge ๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL) ๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge ๏ Le « + » désigne le support des trunks 802.1Q ๏ Une instance STP pour l’ensemble du réseau ๏ Convergence plus rapide, un seul Root Bridge, 
 charge plus importante que CST ๏ Implémentation Cisco de RSTP basé sur PVST+ ๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge ๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST ๏ Plusieurs instance STP pour des groupe de VLANs 46 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ CST (Common Spanning Tree) : Protocole original - Standard IEEE 802.1d ๏ Une instance STP pour l’ensemble du réseau ๏ Lent mais requiert peu de ressources ๏ PVST, PVST+ (Per VLAN Spanning Tree) : Protocole propriétaire Cisco ๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge ๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL) ๏ Le « + » désigne le support des trunks 802.1Q ๏ MSTP (Multiple Spanning Tree ou RSTP) ๏ Plusieurs VLANs peuvent partager une même instance ๏ RSTP (Rapid Spanning Tree) : Standard IEEE 802.1w ๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST ๏ Rapid PVST+ : Protocole propriétaire Cisco, identique à PVST+ mais avec RSTP ๏ Implémentation Cisco de RSTP basé sur PVST+ ๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge Variantes Spanning-Tree 47 47 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Variantes Spanning-Tree 48 Standard Ressources nécessaires Convergence Nombre d’instances STP CST 802.1D Peu de ressources Lente Une instance pour tous les VLANs PVST Cisco Importante Lente Une instance par VLAN PVST+ Cisco Importante Lente Une instance par VLAN RSTP 802.1W Moyenne Rapide Une instance pour tous les VLANs Rapid PVST+ Cisco Très élevé Rapide Une instance par VLAN MSTP 802.1S Moyenne à élevé Rapide Une instance pour plusieurs VLANs 48 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Avec CST, l’élection d’un seul Root Bridge pour tout le réseau n’optimise pas tout le trafic ๏ Exemple : Supposons que SW-A soit Root Bridge. Depuis les clients situés sur les VLAN Management, Engineering, CAD, il est possible que les trames à destination des serveurs correspondants passent par SW-A pour accéder aux serveurs connectés à SW-C (alors qu’un chemin plus court existe) Variantes Spanning-Tree Per VLAN Spanning Tree+ 49 MarketingCAD Engineering Finance Management SW-A SW-B SW-C Serveurs pour : Serveurs pour : - Finance - Marketing - Management - Engineering - CAD Root Bridge 49 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Avantage d’un Root Bridge par VLAN ๏ Pour les VLAN Management, Engineering, CAD, élire SW-C comme Root Bridge optimise le trafic réseau Variantes Spanning-Tree Per VLAN Spanning Tree+ 50 MarketingCAD Engineering Finance Management SW-A SW-B SW-C Serveurs pour : Serveurs pour : - Finance - Marketing - Management - Engineering - CAD Root Bridge pour - VLAN Finance - VLAN Maketing Root Bridge pour - VLAN Management - VLAN Engineering - VLAN CAD 50 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ PVST+ autorise la sélection d’un Root Bridge différent par VLAN ๏ Dans l’exemple : ๏ SW1 est configuré comme Root Bridge pour le VLAN1 ๏ SW3 est configuré comme Root Bridge pour le VLAN2 ๏ Permet l’équilibrage de charge sur des liens différents Variantes Spanning-Tree Per VLAN Spanning Tree+ 51 SW1 SW3 SW2 Root Bridge : VLAN1 Root Bridge : VLAN2 51 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Structure ๏ Champ supplémentaire Extended System ID pour gérer les multiples instances ๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address) ๏ La valeur de la priorité par défaut (32768) dépend du numéro de Vlan ๏ Comme le champ Extended System ID désigne l’identifiant du Vlan ou de l’instance, cette valeur est à ajouté à la priorité ๏ Exemple : La valeur par défaut pour le Vlan 100 est 32768 + 100 (Vlan ID) = 32868 Variantes Spanning-Tree Per VLAN Spanning Tree+ 52 Bridge Priority 0-65535 MAC Address Unique Sys-ID-Ext 4 bits 12 bits 6 bytes 52 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Nouveau standard IEEE 802.1w ๏ Evolution de STP pour convergence plus rapide ๏ Améliorations ๏ Accélération du recalcul du Spanning Tree en cas de changement de topologie réseau ๏ Redéfinit les rôles des ports, états et BPDU de STP ๏ Proactif et très rapide, ne nécessite pas de timers ๏ Rétro-compatibilité avec 802.1d ๏ Transitions entre états accéléré ๏ 3 états au lieu de 5 (Discarding ➔ Learning ➔ Forwarding) Variantes Spanning-Tree Rapid Spanning Tree Protocol 802.1w 53 53 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Variantes Spanning-Tree Rapid Spanning Tree Protocol 802.1w 54 Rôle du port STP Etat possible du port STP dans ce rôle Root Port Forwarding Designated Port Forwarding NonDesignated Port Blocking Disabled - En transition Listening
 Learning Rôle du port RSTP Etat possible du port RSTP dans ce rôle Root Port Forwarding Designated Port Forwarding Alternative / Backup Port Discarding Disabled Discarding En transition Learning 54 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ RSTP définit les rôles suivants :
 Rapid Spanning Tree Protocol 802.1w Rôles d’un port Rapid Spanning-Tree 55 Root Port Port sur lequel se trouve le lien le plus direct vers le Root Bridge Si plusieurs liens sont connectés avec le Root Bridge, élection Root Port en sélectionnant le port avec le coût le plus bas. Designated Port Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un Designated Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul Forwarding port par segment réseau. Alternate Port Port actuellement désactivé pour les trames de données mais permet de proposer un chemin alternatif vers le Root Bridge (Alternatif au Root Port) Backup Port Port actuellement désactivé pour les trames de données.
 Peut être un chemin alternatif vers le Root Bridge mais sert également comme chemin redondant sur un segment partagé RP DP AP BaP 55 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Un Backup Port n’est présent uniquement lorsqu’une boucle est formé entre un switch et un hub (liens redondants) ๏ Les deux liens reliant le hub sont considérés comme un seul et même segment réseau ๏ L’une des extrémités du segment prend le rôle de DP ๏ L’autre extrémité reçoit le rôle Backup Port Rapid Spanning Tree Protocol 802.1w Rôles d’un port Rapid Spanning-Tree 56 SW 1 Gi1/0 SW 2 SW 3 Hub Gi1/1 Gi1/1 Gi1/1 Gi1/0 Gi1/2 Gi1/3 Gi1/0 RP DP AP BaP Root Bridge DP RP DP DP 56 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Rapid Spanning Tree Protocol 802.1w Etats d’un port Rapid Spanning-Tree 57 Discarding Etat possible dans une topologie stable ou lors d’un changement de topologie. L’état Discarding ne permet pas la transmission de trames. Cet état permet de bloquer le port pour prévenir de la formation de boucles réseaux Learning Etat possible dans une topologie stable ou lors d’un changement de topologie. L’état Learning autorise la transmission de trames uniquement pour remplir la table MAC des switchs Forwarding Etat possible uniquement dans une topologie stable L’état Forwarding autorise la transmission de trames de données. DIS F LE 57 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ RSTP utilise une terminologie différente pour les liens d’interconnexion entre équipements ๏ Ils sont automatiquement déterminés par l’algorithme RSTP Rapid Spanning-Tree Protocol 802.1w Types de liens RSTP 58 Lien Edge Lien p2p Lien p2p Lien p2p Lien p2p Lien EdgeLien SharedPoint-to- Point (P2P) Lien sur lequel le port fonctionne en Full Duplex
 Lien qui connecte généralement un switch à un autre switch Shared Lien sur lequel le port fonctionne en Half Duplex
 Lien qui connecte généralement un switch à un média partagé (par exemple un hub) Edge Lien sur lequel un équipement de terminaison (PC) est connecté (pas de switch, pas de hub) 58 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Rapid Spanning-Tree Protocol 802.1w Types de liens RSTP 59 SW 1 Gi1/0 SW 2 SW 3 Hub Gi1/1 Gi1/1 Gi1/1 Gi1/0 Gi1/2 Gi1/3 Gi1/0 Point-to-Point Point-to-Point Point-to-Point Shared Edge 59 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Changement de topologie ๏ Contrairement à STP, tous les switchs participent à l’échange de BPDU TC ๏ Le temps de convergence est nettement réduit Rapid Spanning-Tree Protocol 802.1w Opérations RSTP 60 SW1 SW2 SW3 SW4 SW5 Root Bridge TCTC TC TC 60 Cisco - Spanning-Tree - 11 novembre 2017
Protocole Spanning-Tree
 Configuration 61 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Forcer à ce que le switch sera Root Bridge pour un VLAN particulier :
 ๏ Définir que le switch sera Root Bridge secondaire :
 ๏ Définir la priorité du switch : ๏ Nécessaire que la priorité soit un multiple de 4096 :
 Configuration Spanning-Tree Configuration : Priorité 62 Switch(config)# spanning-tree vlan vlan-id root primary Switch(config)# spanning-tree vlan vlan-id root secondary Switch(config)# spanning-tree vlan vlan-id priority value 62 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ ๏ ๏ Configuration Spanning-Tree Configuration : Timers STP 63 Timer Description Hello ๏ Temps entre chaque BPDU envoyé sur le port ๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes Forward Delay ๏ Temps passé à l’état Listening et Learning ๏ Par défaut : 15 secondes, peut être configuré entre 4 à 30 secondes Max Age ๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU ๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes Switch(config)# spanning-tree vlan vlan-id hello-time value Switch(config)# spanning-tree vlan vlan-id forward-time value Switch(config)# spanning-tree vlan vlan-id max-age value 63 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ SW3 possède le Bridge Priority par défaut : 32769 ๏ Configuration en mode Rapid PVST+ ๏ Priorité = 32768 (valeur par défaut) + 1 (VLAN ID 1) = 32769 Configuration Spanning-Tree Vérification : STP Root Bridge 64 SW3# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address aabb.cc00.4500 Cost 100 Port 4 (Ethernet0/3) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address aabb.cc00.5000 … 64 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Configuration de SW2 avec la commande : Configuration Spanning-Tree Vérification : STP Root Bridge 65 SW2(config)# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 28673 Address aabb.cc00.4600 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 28673 (priority 28672 sys-id-ext 1) Address aabb.cc00.4600 … SW2(config)# spanning-tree vlan 1 root primary 65 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Configuration Spanning-Tree Vérification : STP Root Bridge 66 SW1# show spanning-tree … Interface Role Sts Cost Prio.Nbr Type ———————————————————— ———— ——- ——————— ———————— ———————————————————————————————————— … Et0/0 Root FWD 100 128.1 Shr Et0/1 Desg FWD 100 128.2 Shr … 66 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Définir le mode Rapid PVST+ :
 ๏ Configurer le switch pour être Root Bridge pour un Vlan particulier :
 Configuration Spanning-Tree Configuration Rapid PVST+ 67 Switch(config)# spanning-tree mode rapid-pvst Switch(config)# spanning-tree vlan vlan-id root primary 67 Cisco - Spanning-Tree - 11 novembre 2017
Protocole Spanning-Tree
 MST 68 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Dans certains scénarios, plusieurs VLANs disposent d’une même topologie Spanning Tree ๏ Le regroupement de plusieurs instances STP identiques permettent de simplifier l’administration ๏ MST est rétro-compatible avec les autres variantes STP MST Introduction 69 69 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli Deux switchs sont dans la même région MST si les éléments suivants sont identiques : ๏ Nom ๏ Numéro de révision ๏ Table d’association VLAN MST Régions 70 MST Region A MST Region B 70 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Mapping de VLANs sur plusieurs instances ๏ Par défaut, tous les VLANS sont mappés sur l’instance 0, également appelé IST (Internal Spanning Tree) ๏ On définit des instances supplémentaires et on associe ces instances aux VLANs MST Introduction 71 IST MSTI 1 MSTI 2 IST VLAN 11, 22, 33 44, 55, 66 VLAN 11, 22, 33 VLAN 44, 55, 66 MST 1 MST 2 71 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ MST peut fonctionner avec des variantes STP ๏ Pour les variantes qui ne supportent pas MST, les switchs ne verront pas les instances MST mais ne voient simplement qu’un seul switch logique représentant toute la topologie MST ๏ C’est l’instance 0 qui communique avec les switchs non MST MST Cohabitation MST et switchs non MST 72 IST CST CST IST 72 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Seule l’instance IST envoie les BPDUs ๏ Les messages BPDUs distribués par l’instance IST contiennent les informations des autres instances MST ๏ Seuls les switchs d’une même région MST reçoivent les BPDUs avec les informations des autres instances ๏ Par compatibilité, les BPDUs envoyés sur des switchs non MST ne contiennent pas les informations des MST MST Communication 73 Région MST To CST Information IST Enregistrements MST BPDU 73 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Structure ๏ Champ supplémentaire Extended System ID pour gérer les multiples instances ๏ Le champ Extended System ID contient le numéro de l’instance MST ๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address) MST Extended System ID 74 Bridge Priority 0-65535 MAC Address Unique Sys-ID-Ext 4 bits 12 bits 6 bytes 74 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Sous PVST+, on observe qu’une instance STP est définie pour chaque VLAN ๏ Dans l’exemple, 5 VLANs ont été définis MST Configuration MST 75 SW1# show spanning-tree summary Switch is in past mode Root bridge for: none … Name Blocking Listening Learning Forwarding STP Active ———————————————————— ———————- ————————— ————————— —————————- —————————— VLAN0001 1 0 0 23 24 VLAN0002 1 0 0 23 2 VLAN0003 1 0 0 23 2 VLAN0004 1 0 0 23 2 VLAN0005 1 0 0 23 2 ———————————————————— ———————- ————————— ————————— —————————- —————————— 5 vlans … 75 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Topologie d’exemple :
 
 MST Configuration MST 76 Gi0/0 Gi0/2 Gi0/1Gi0/3 GI0/2 Gi0/1 SW1 SW3 SW2 76 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Modifie le mode STP pour la variante MST MST Configuration MST : Activation de MST 77 SW1(config)# spanning-tree mode mst SW2(config)# spanning-tree mode mst SW3(config)# spanning-tree mode mst IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP Root Br. SW1 SW3 SW2 SW1 SW3 SW2 Root Br. 77 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP SW1 SW3 SW2 SW1 SW3 SW2 ๏ Configuration des régions MST :
 MST Configuration MST : Régions 78 SW1(config)# spanning-tree mst configuration SW1(config-mst)# name CCNP SW1(config-mst)# revision 1 SW2(config)# spanning-tree mst configuration SW2(config-mst)# name CCNP SW2(config-mst)# revision 1 SW3(config)# spanning-tree mst configuration SW3(config-mst)# name CCNP SW3(config-mst)# revision 1 78 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli MST Configuration MST : Mapping VLAN aux instances 79 ๏ Mapping de VLANs aux instances MST : SW1(config)# spanning-tree mst configuration SW1(config-mst)# instance 1 vlan 2,3 SW1(config-mst)# instance 2 vlan 4,5 SW2(config)# spanning-tree mst configuration SW2(config-mst)# instance 1 vlan 2,3 SW2(config-mst)# instance 2 vlan 4,5 SW3(config)# spanning-tree mst configuration SW3(config-mst)# instance 1 vlan 2,3 SW3(config-mst)# instance 2 vlan 4,5 IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP SW1 SW3 SW2 SW1 SW3 SW2 79 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Sur l’instance 1, SW1 est configuré comme Root Bridge ๏ Sur l’instance 2, SW2 est configuré comme Root Bridge MST Configuration MST : Priorité du switch 80 SW1(config)# spanning-tree mst 1 root primary SW1(config)# spanning-tree mst 2 root secondary SW2(config)# spanning-tree mst 1 root secondary SW2(config)# spanning-tree mst 2 root primary IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP Root Br. SW1 SW3 SW2 SW1 SW3 SW2 Root Br. 80 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Application de la configuration MST MST Configuration MST : Activation de MST 81 SW1(config-mst)# exit SW2(config-mst)# exit SW3(config-mst)# exit IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP Root Br. SW1 SW3 SW2 SW1 SW3 SW2 Root Br. ๏ Si la configuration ne doit pas être appliquée, utiliser la commande : Switch(config-mst)# abort 81 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli MST Vérification : MST 82 SW1# show spanning-tree summary Switch is in mst mode (IEEE Standard) … Name Blocking Listening Learning Forwarding STP Active ———————————————————— ———————- ————————— ————————— —————————- —————————— MST0 0 0 0 24 24 MST1 0 0 0 4 4 MST2 0 0 0 4 4 ———————————————————— ———————- ————————— ————————— —————————- —————————— 3 msts 0 0 0 32 32 … ๏ Vérifier les instances MST configurés 82 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli MST Vérification : MST 83 SW1(config)# spanning-tree mst configuration SW1(config-mst)# show current Current MST configuration Name [CCNP] Revision 1 Instances configured 3 Instance Vlans mapped ———————— ———————-———————————————————————————-—————————— 0 1,6-4094 1 2-3 2 4-5 ———————————————————————————-———————————————————————————-—————————— ๏ Vérifier l’association des VLANs aux instances MST 83 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli MST Vérification : MST 84 SW1# show spanning-tree mst configuration digest Name [CCNP] Revision 1 Instances configured 2 Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9 ๏ Vérifier la cohérence de configuration MST entre switchs (les Digests doivent correspondre) SW2# show spanning-tree mst configuration digest Name [CCNP] Revision 1 Instances configured 2 Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9 SW3# show spanning-tree mst configuration digest Name [CCNP] Revision 1 Instances configured 2 Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9 84 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Vérification des rôles d’interface par MST : MST Vérification : MST 85 SW1# show spanning-tree mst 1 ##### MST1 vlans mapped: 2-3 … Gi0/2 Altn BLK 2000000 128.3 Shr Gi0/3 Root FWD 2000000 128.4 Shr … SW3# show spanning-tree mst 1 ##### MST2 vlans mapped: 4-5 … Gi0/2 Root FWD 2000000 128.3 Shr Gi0/3 Altn BLK 2000000 128.4 Shr … 85 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli MST Vérification : MST 86 Gi0/0 Gi0/2 Gi0/1Gi0/3 GI0/2 Gi0/1 SW1 SW3 SW2 R D B Root Port Designated Port Blocked Port D D Root Br. MST 1 MST 2 D R B R Gi0/0 Gi0/2 Gi0/1Gi0/3 GI0/2 Gi0/1 SW1 SW3 SW2 R D B Root Port Designated Port Blocked Port D D Root Br. D R B R 86 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ MST, comme tout autre variante STP, utilise cette séquence de 4 critère pour sélectionner le meilleur chemin : ๏ Plus petit BID ๏ Plus petit coût vers le switch Root ๏ Plus petit Sender BID ๏ Plus petit Sender Port ID ๏ Seule différence : ce calcul est effectué pour chaque instance MST ๏ CST utilise une instance unique pour tous les VLANs ๏ PVST utilise une instance par VLAN MST Fonctionnement : Sélection meilleur chemin 87 87 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Il est de définir la priorité du port qui sera envoyé dans les BPDU MST Configuration : Priorité du port 88 SW1(config)# interface GigabitEthernet0/2 SW1(config-if)# spanning-tree mst 1 port-priority 32 SW3# show spanning-tree mst 1 … Gi0/2 Altn BLK 2000000 32.3 Shr Gi0/3 Root FWD 2000000 128.4 Shr … 88 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Il est de définir le coût du port qui sera envoyé dans les BPDU MST Configuration : Coût du port 89 SW1(config)# interface GigabitEthernet0/2 SW1(config-if)# spanning-tree mst 1 cost 1000000 SW3# show spanning-tree mst 1 … Gi0/2 Altn BLK 1000000 32.3 Shr Gi0/3 Root FWD 2000000 128.4 Shr … 89 Cisco - Spanning-Tree - 11 novembre 2017
Protocole Spanning-Tree
 Mécanismes de stabilité 90 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Mécanismes permettant d’améliorer les performances STP : ๏ **UplinkFast : Active un failover rapide des liens d’uplink sur les switchs d’accès ๏ **BackboneFast : Permet la reconvergence rapide lors d’une défaillance indirecte d’un lien ๏ PortFast : Configure les ports d’accès pour qu’ils soient directement à l’état Forwarding, sans passer par des états intermédiaires ๏ Mécanismes permettant d’assurer la stabilité STP : ๏ BPDU Guard : Configuré sur un port d’accès, il permet de désactiver ce port immédiatement si un BPDU est détecté sur l’interface ๏ BPDU Filter : Suppression de BPDUs sur certains ports ๏ Root Guard : Empêche d’autres switchs externes de devenir Root Bridge ๏ Loop Guard : Empêche un port Alternate de devenir Designated Port si aucun BPDU n’est reçu ** : Ces mécanismes ne sont pas nécessaires si l’administrateur utilise RSTP Protocole STP Mécanismes de stabilité 91 91 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli SW 2 SW 3 SW 1 SW 4 Gi1/0 Gi1/1 ๏ UplinkFast ne doit être activé que sur les switchs d’accès et non sur les switchs de distribution ou de coeur ๏ UplinkFast réagit suite à la défaillance d’un lien directement attaché. ๏ UplinkFast s’applique de manière globale sur le switch ๏ Mécanisme désactivé par défaut ๏ Sur la topologie ci-contre, lorsque l’interface Gi1/0 est défaillant, le mécanisme STP s’enclenche pour faire transiter le port Gi1/1 de l’état Blocked à l’état Root ๏ Cette transition peut prendre jusqu’à 50 secondes, l’arbre STP devant être recalculé à nouveau ๏ Pour un switch d’accès, le long temps de convergence cause un impact majeur aux équipements connectées Mécanismes d’optimisation STP UplinkFast 92 Root Bridge B F PC A PC B 92 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli SW 2 SW 3 SW 1 SW 4 Gi1/0 Gi1/1 ๏ Le problème est que les terminaux connectés à SW4 sont impactés durant la phase de transition ๏ De plus, la table CAM de SW2 indique que les terminaux PCA et PCB sont joignables via l’interface Gi1/0 de SW4 ๏ Il est nécessaire d’attendre que les entrées expirent (Aging Time) avant que SW2 se décide à effectuer un broadcast et trouver le lien passant par SW3 Mécanismes d’optimisation STP UplinkFast 93 Root Bridge B F PC A PC B PC A PC A PC A LI LE F B 93 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli SW 2 SW 3 SW 1 SW 4 Gi1/0 Gi1/1 ๏ UplinkFast permet d’activer immédiatement le port Blocked à l’état Forwarding ๏ Uplink envoie également depuis SW4 des messages Multicast dont l’adresse source MAC est celui de PC A ou PC B ๏ Ces adresses sont diffusés sur l’ensemble du domaine et parviennent ainsi à SW2 via SW3 ๏ La table CAM de SW2 est ainsi automatiquement modifiée pour transiter immédiatement par SW3 pour atteindre PCA ou PCB Mécanismes d’optimisation STP UplinkFast 94 Root Bridge B F PC A PC B F B Trame Multicast Src MAC: PC A Trame Multicast Src MAC: PC A 94 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ UplinkFast s’active de manière globale sur le switch ๏ Commande : Switch(config) spanning-tree uplinkfast ๏ Par défaut, UplinkFast est désactivé ๏ Vérification : Switch# show spanning-tree uplink fast ๏ Ne configurer UplinkFast que sur les switchs qui ne sont pas situés entre le Root Bridge et un autre switch ๏ En résumé, ne configurer UplinkFast que sur les switchs d’accès ๏ UplinkFast ne peut être configuré lorsque RSTP est mis en oeuvre ๏ Si l’administrateur utilise RSTP, ce mécanisme est déjà inclus dans le protocole lui-même Mécanismes d’optimisation STP UplinkFast 95 Switch(config)# spanning-tree uplinkfast Switch# show spanning-tree uplinkfast 95 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ BackBoneFast est configuré sur tous les switchs ๏ BackBoneFast est configuré de manière globale ๏ Permet de réagir à une défaillance indirecte d’un lien Mécanismes d’optimisation STP BackboneFast 96 SW 2 SW 3 SW 1 Gi1/1 Gi1/0 Gi1/1 Gi1/1 Gi1/0Gi1/0 RP DP BP RP DP DP 96 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Supposons que le lien entre SW2 et SW1 soit défaillant ๏ Lorsque ce lien est rompu, SW2 va croire qu’il sera le Root Bridge ๏ SW2 va envoyer un BPDU à SW3 indiquant qu’il est le Root Bridge ๏ Le Bridge ID de ce BPDU est inférieur au BID envoyé par le vrai Root Bridge (SW1) ๏ Le BPDU envoyé par SW2 est appelé un Inferior BPDU Mécanismes d’optimisation STP BackboneFast 97 SW 2 SW 3 SW 1 Gi1/1 Gi1/0 Gi1/1 Gi1/1 Gi1/0Gi1/0 RP DP BP RP DP DP Root Bridge BPDU SW2 est le Root Bridge (Inferior BPDU) 97 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Si SW3 n’est pas configuré avec BackboneFast, le BPDU reçu va simplement être ignoré (car BID inférieur) et le port Gi1/0 va rester en mode Blocking ๏ Attente de 20sec + 2x15 secondes avant que le port Gi1/0 passe à l’état Forwarding ๏ Si SW3 est configuré avec BackboneFast, il va vérifier s’il contient toujours un lien vers le Root Bridge SW1 ๏ Permet d’éviter le délai de 20 secondes ๏ Envoi sur tous les ports non DP (dans ce cas, le port RP Gi1/1) d’un RLQ (Root Link Query) Mécanismes d’optimisation STP BackboneFast 98 SW 2 SW 3 SW 1 Gi1/1 Gi1/0 Gi1/1 Gi1/1 Gi1/0Gi1/0 RP DP BP RP DP DP Root Bridge RLQ Est-ce que j’ai encore un chemin vers le RB ? RLQ 1 2 Oui. Ce chemin est le 
 chemin vers le RB RLQ Reply RLQ Request SW1 est le Root Bridge
 (BPDU) RLQ 3 RP 4 98 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Configurer BackboneFast sur l’ensemble des switchs du réseau
 Seuls les switchs sur lesquels BackboneFast est actif peuvent comprendre et traiter les requêtes RLQ ๏ BackboneFast se configure de manière globale sur le switch ๏ Activation de BackboneFast :
 ๏ Par défaut, BackboneFast est désactivé ๏ Vérification du fonctionnement :
 ๏ BackboneFast ne s’applique qu’aux topologies avec STP. Avec RSTP, ce mécanisme est intégré nativement dans le protocole Mécanismes d’optimisation STP BackboneFast : Configuration 99 SW1(config)# spanning-tree backbonefast SW1# show spanning-tree backbonefast 99 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ PortFast est une fonctionnalité qui permet de faire transiter les ports d’accès (ceux connectés aux clients) directement à l’état Forwarding ๏ Le port ne transite pas notamment par les états Learning et Listening ๏ Le port peut être utilisable dès le démarrage du switch ๏ Permet à certains clients qui démarrent en PXE de recevoir une configuration IP Mécanismes d’optimisation STP PortFast 100 F LE LI 100 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Ne configurer PortFast que sur des interfaces d’accès, sur lesquelles sont connectés les équipements clients ๏ Activer PortFast sur une interface particulière :
 
 ๏ Activer PortFast sur l’ensemble des interfaces d’accès (pas sur les interfaces de trunk) :
 ๏ Vérification configuration PortFast :
 
 Mécanismes d’optimisation STP PortFast : Configuration 101 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree portfast SW1(config)# spanning-tree portfast default SW1# show spanning-tree interface FastEthernet 0/0 portfast 101 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ BPDU Guard est un mécanisme de protection qui empêche tout intrus de connecter un switch et tenter de s’intégrer à la topologie STP. ๏ Un risque potentiel est qu’un intrus connecte un switch externe et tente de communiquer et s’intégrer à l’algorithme STP par le biais d’échanges BPDUs ๏ Sur un port d’accès, seuls des équipements terminaux sont autorisés ๏ Aucune trame BPDU ne devrait circuler sur ces ports ๏ BPDU Guard se configure sur les ports d’accès ๏ Dès qu’un port configuré avec BPDU Guard détecte des trames BPDU qui y circulent, le mécanisme bloque immédiatement le port ๏ Le port est mis à l’état err-disable Mécanismes de sécurité BPDU Guard 102 BPDU BPDU 102 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Configurer BPDU Guard sur un port particulier :
 
 ๏ Configurer BPDU Guard sur l’ensemble des ports ou PortFast est actif :
 
 ๏ Vérifier la configuration de BPDU Guard :
 Mécanismes de sécurité BPDU Guard : Configuration 103 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree bpduguard enable SW1(config)# spanning-tree portfast bpduguard default SW1# show spanning-tree summary totals 103 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ BPDU Filter permet d’empêcher de transmettre les messages BPDUs sur un port particulier ๏ Prudence lors de la configuration car ce mécanisme peut empêcher le fonctionnement de STP si mal configuré ๏ Ne pas utiliser BPDU Filter sauf si cela est absolument nécessaire ๏ Exemple : Deux topologies STP distinctes mais connectées peuvent fonctionner ๏ BPDU Filter empêche que les messages BPDU d’une instance STP soient transmis à l’autre instance STP Mécanismes de sécurité BPDU Filter 104 BPDU BPDU BPDU BPDU BPDU BPDU BPDUBPDU BPDU Filter 104 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Activer BPDU sur un port spécifique :
 
 ๏ Activer BPDU Filter sur l’ensemble des ports ayant PortFast activé :
 ๏ Vérifier la configuration globale de BPDU Filter :
 ๏ Vérifier la configuration de BPDU Filter pour un port particulier :
 Mécanismes de sécurité BPDU Filter : Configuration 105 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree bpdufilter enable SW1(config)# spanning-tree pordtfast bpdufilter default SW1# show spanning-tree summary totals SW1# show spanning-tree interface Ethernet 0/0 detail 105 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Root Guard est une fonctionnalité qui permet de garantir certains switchs (généralement les switchs Core et Distribution) d’être Root Bridge et d’éviter qu’un switch d’accès ne devienne par mégarde Root Bridge ๏ Les switchs d’accès sont généralement moins performants et disposent de moins de ressources CPU et mémoire.
 Si ils deviennent Root Bridge, la charge processeur et mémoire liée aux calculs STP risquent de rendre ces switchs instables et défaillants. ๏ Ils risquent également de devenir un noeud principal pour le trafic de données entre VLANs ๏ Le chemin n’est pas optimal ๏ Le switch ne dispose pas des ressources pour gérer ce volume de trafic. Un goulet d’étranglement risque de se produire ๏ Un risque de sécurité est présent si un attaquant tente volontairement d’élire son switch en Root Bridge Mécanismes de sécurité Root Guard 106 SW3 Configurer RootGuard uniquement sur ces interfaces SW1 SW2 106 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 ๏ RootGuard ne doit être configuré que sur les ports qui ne seront pas connectés à un Root Bridge ๏ Les ports sur lesquels RootGuard est configuré se mettent en err-disable (Root Inconsistent) s’ils reçoivent un BPDU supérieur (BID plus haut). ๏ Ils ignorent donc les BPDU reçus sur cette interface Mécanismes de sécurité Root Guard 107 Primary Root Bridge Secondary Root Bridge Rootguard Rootguard 107 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Configurer Root Guard sur un port particulier :
 
 ๏ Vérifier si un port est à l’état err-disable (Root Inconsistent) :
 Mécanismes de sécurité Root Guard : Configuration 108 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree guard root SW1# show spanning-tree inconsistentports 108 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Permet de placer un Designated Port à l’état Err-disable (Loop Inconsistent) s’il ne reçoit plus de BPDU ๏ Peut être activé individuellement par port ๏ Se configure généralement sur tous les liens non configurés pour RootGuard ๏ Peut être activé de manière globale ๏ S’active sur tous les liens Point-to-Point Mécanismes de sécurité Loop Guard 109 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 Root Bridge Rootguard Rootguard Loopguard Loopguard Loopguard Loopguard RP BP DP DP RP DP 109 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Dans l’exemple ci-contre, le lien entre SW2 et SW3 est endommagé. SW3 ne reçoit plus les informations de SW2 ๏ Il peut s’agir d’un libre fibre optique, le lien RX ayant pu être endommagé physiquement ๏ SW3 ne reçoit plus les BPDU de SW2 ๏ Si SW3 Gi1/0/2 est configuré avec Loop Guard, le port se met à l’état Err-Disable (Loop Inconsistent) Mécanismes de sécurité Loop Guard 110 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 Root Bridge Rootguard Rootguard Loopguard Loopguard Loopguard Loopguard RP BP DP DP RP DP 110 Cisco - Spanning-Tree - 11 novembre 2017
Thomas Moegli ๏ Configurer Loop Guard sur un port particulier :
 
 ๏ Configurer Loop Guard sur l’ensemble des interfaces connectés à des liens Point-to-Point :
 ๏ Vérifier si la fonction LoopGuard est activée :
 Mécanismes de sécurité Loop Guard : Configuration 111 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree guard loop SW1# show spanning-tree summary SW1(config)# spanning-tree loopguard default 111 Cisco - Spanning-Tree - 11 novembre 2017

Contenu connexe

PDF
Protocole OSPF
parThomas Moegli
 
PDF
CCNP Route - OSPF
parmdyabi
 
PDF
Virtuals LAN
parThomas Moegli
 
PDF
Cours3 ospf-eigrp
parBadr Guennoun
 
PDF
cours ospf
parEL AMRI El Hassan
 
PDF
Cours routage dynamique (ri pv1,ripv2,ripng)
parEL AMRI El Hassan
 
PPTX
Routage
parSirine Ibrahim
 
PDF
Routage statique
parInes Kechiche
 
Protocole OSPF
parThomas Moegli
 
CCNP Route - OSPF
parmdyabi
 
Virtuals LAN
parThomas Moegli
 
Cours3 ospf-eigrp
parBadr Guennoun
 
cours ospf
parEL AMRI El Hassan
 
Cours routage dynamique (ri pv1,ripv2,ripng)
parEL AMRI El Hassan
 
Routage
parSirine Ibrahim
 
Routage statique
parInes Kechiche
 

Tendances

PDF
EtherChannel
parThomas Moegli
 
PPTX
IPv6
parmedalaa
 
PDF
Résumé vlsm et cidr
parBoubaker KHERFALLAH
 
PDF
Les commandes CISCO (routeur)
parEL AMRI El Hassan
 
PPTX
CCNA 2 Routing and Switching v5.0 Chapter 4
parNil Menon
 
PDF
Le protocole stp
parEL AMRI El Hassan
 
PDF
Concepts et configuration de base de la commutation
parEL AMRI El Hassan
 
PDF
Mise en place d'un vpn site à site avec pfsense
parPape Moussa SONKO
 
PDF
Adressage ip l_adresse_ip_2
parfinder0000
 
PPT
Etude et mise en place d’un VPN
parCharif Khrichfa
 
PDF
VPN site-to-site.pdf
pargorguindiaye
 
PDF
Cours Vlan
parEL AMRI El Hassan
 
PDF
Cours ACL IPv4 et IPv6
parEL AMRI El Hassan
 
PDF
Support cours : Vos premiers pas avec le pare feu CISCO ASA
parSmartnSkilled
 
PDF
Cours etherchannel
parEL AMRI El Hassan
 
PDF
Installation et Configuration de Pfsense
parIsmail Rachdaoui
 
PDF
cours DHCP IPv4 et IPv6
parEL AMRI El Hassan
 
PDF
L’ Administration des Réseaux en Pratique
parAmadou Dia
 
PPT
IPsec
parIvandro Ismael
 
PDF
Cours routage inter-vlan
parEL AMRI El Hassan
 
EtherChannel
parThomas Moegli
 
IPv6
parmedalaa
 
Résumé vlsm et cidr
parBoubaker KHERFALLAH
 
Les commandes CISCO (routeur)
parEL AMRI El Hassan
 
CCNA 2 Routing and Switching v5.0 Chapter 4
parNil Menon
 
Le protocole stp
parEL AMRI El Hassan
 
Concepts et configuration de base de la commutation
parEL AMRI El Hassan
 
Mise en place d'un vpn site à site avec pfsense
parPape Moussa SONKO
 
Adressage ip l_adresse_ip_2
parfinder0000
 
Etude et mise en place d’un VPN
parCharif Khrichfa
 
VPN site-to-site.pdf
pargorguindiaye
 
Cours Vlan
parEL AMRI El Hassan
 
Cours ACL IPv4 et IPv6
parEL AMRI El Hassan
 
Support cours : Vos premiers pas avec le pare feu CISCO ASA
parSmartnSkilled
 
Cours etherchannel
parEL AMRI El Hassan
 
Installation et Configuration de Pfsense
parIsmail Rachdaoui
 
cours DHCP IPv4 et IPv6
parEL AMRI El Hassan
 
L’ Administration des Réseaux en Pratique
parAmadou Dia
 
IPsec
parIvandro Ismael
 
Cours routage inter-vlan
parEL AMRI El Hassan
 

Similaire à Spanning-Tree

PDF
Chapter2_ScalingNetworks.pdf
parBARKAAMINEAHAMAT
 
PPTX
stp presentation with packet tracer cisco cic
parjimsgide
 
DOCX
Résultats exam chap 1-5------------------
parcomptesarr
 
PDF
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
parAlphorm
 
PPTX
Redondance Réseau avec les protocols STP et VRRP.pptx
parOmarMaarouf6
 
PPTX
SRWE_Module_5 networking cisco tessssssssss
paramar719595
 
PDF
CCNA 3.pdf
parIlyassBoutafrout
 
DOCX
ccnp brouillon quiz......................
parcomptesarr
 
PPTX
ITN_Module_6.pptx
parserieux1
 
PPTX
routage statiqnnnnjjjjjjjjjjjjjjjue.pptx
parEveAm
 
Chapter2_ScalingNetworks.pdf
parBARKAAMINEAHAMAT
 
stp presentation with packet tracer cisco cic
parjimsgide
 
Résultats exam chap 1-5------------------
parcomptesarr
 
Alphorm.com Formation CCNP ENCOR 350-401 (1of8) : Commutation
parAlphorm
 
Redondance Réseau avec les protocols STP et VRRP.pptx
parOmarMaarouf6
 
SRWE_Module_5 networking cisco tessssssssss
paramar719595
 
CCNA 3.pdf
parIlyassBoutafrout
 
ccnp brouillon quiz......................
parcomptesarr
 
ITN_Module_6.pptx
parserieux1
 
routage statiqnnnnjjjjjjjjjjjjjjjue.pptx
parEveAm
 

Plus de Thomas Moegli

PDF
Services IP
parThomas Moegli
 
PDF
Protocole IKE/IPsec
parThomas Moegli
 
PDF
Protocoles SSL/TLS
parThomas Moegli
 
PDF
SSL/TLS : Faille Heartbleed
parThomas Moegli
 
PDF
Authentification des protocoles de routage
parThomas Moegli
 
PDF
JunOS - Fondamentaux
parThomas Moegli
 
PDF
IPv6
parThomas Moegli
 
PDF
Cisco ASA
parThomas Moegli
 
PDF
Protocole EIGRP
parThomas Moegli
 
Services IP
parThomas Moegli
 
Protocole IKE/IPsec
parThomas Moegli
 
Protocoles SSL/TLS
parThomas Moegli
 
SSL/TLS : Faille Heartbleed
parThomas Moegli
 
Authentification des protocoles de routage
parThomas Moegli
 
JunOS - Fondamentaux
parThomas Moegli
 
IPv6
parThomas Moegli
 
Cisco ASA
parThomas Moegli
 
Protocole EIGRP
parThomas Moegli
 

Spanning-Tree

  • 1.
    Thomas Moegli Ing. HESTélécommunications - Réseaux et Sécurité IT Protocole Spanning-Tree 1 Cisco - Spanning-Tree - 11 novembre 2017
  • 2.
    Protocole Spanning-Tree Fonctionnement 2 Cisco- Spanning-Tree - 11 novembre 2017
  • 3.
    Thomas Moegli ๏ Dansune topologie réseau, la présence de boucles engendre de nombreux problèmes Fonctionnement de Spanning-Tree Problématique 3 Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A PC-B 3 Cisco - Spanning-Tree - 11 novembre 2017
  • 4.
    Thomas Moegli Conséquences ๏ Surchargedu processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le processeur. Les trames provenant d’interfaces différentes pour la même entité source fait que la table CAM est modifiée constamment Fonctionnement de Spanning-Tree Problématique 4 Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A via Gi1/0 PC-A PC-B Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A via Gi0/0 PC-A PC-B 4 Cisco - Spanning-Tree - 11 novembre 2017
  • 5.
    Thomas Moegli ๏ Soitune topologie de routeurs avec présence d’une boucle ๏ Lorsqu’un paquet circule, une valeur nommée TTL (Time To Live) est associée au paquet ๏ Cette valeur diminue d’une unité à chaque passage sur une interface d’un routeur ๏ Si un paquet est pris dans une boucle, le mécanisme de TTL permettra de supprimer ce paquet Fonctionnement de Spanning-Tree Problématique 5 TTL = 2 TTL = 1 5 Cisco - Spanning-Tree - 11 novembre 2017
  • 6.
    Thomas Moegli ๏ Toutefois,dans un environnement Layer 2, les trames ne disposent pas de TTL Conséquences ๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent le réseau Fonctionnement de Spanning-Tree Problématique 6 Fa0/0 SW1 SW2 Fa0/0 Gi0/0Gi1/0 PC-A PC-B 6 Cisco - Spanning-Tree - 11 novembre 2017
  • 7.
    Thomas Moegli Conséquences ๏ Chargeimportante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent ๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le processeur ๏ Déni de service : Vu que le switch change constamment de port entre les liens redondants (ports Fa0/2 et Fa0/3), il ne choisit jamais le bon port de destination (dans notre exemple, Fa0/1) et les paquets ne peuvent jamais arriver sur le client final. ๏ Trames dupliquées : Le fait que les paquets de diffusion soient diffusées sur l’ensemble des liens fait que le client reçoit plusieurs copies de la même trame. Il y a une surcharge sur le client à cause de la réception de trames multiples. Fonctionnement de Spanning-Tree Problématique 7 7 Cisco - Spanning-Tree - 11 novembre 2017
  • 8.
    Thomas Moegli ๏ Algorithmeoriginal décrit par Radia Perlman et appelé DEC STP ๏ 1990 : Publication du standard 802.1D ๏ 1998 et 2004 : Nouvelles versions ๏ DEC STP et 802.1D sont incompatibles entre eux ๏ Avec les variantes, le protocole original est souvent appelé CST (Common Spanning Tree) Fonctionnement de Spanning-Tree Spanning-Tree 802.1d 8 8 Cisco - Spanning-Tree - 11 novembre 2017
  • 9.
    Thomas Moegli ๏ Empêcherles boucles de réseau entre switchs (liens redondants) ๏ Couche OSI 2 ๏ Création d’une topologie avec l’algorithme Spanning- Tree (STA) ๏ Désactivation des liens redondants ๏ Lors d’une défaillance d’un lien actif, réactivation automatique du lien de secours Fonctionnement de Spanning-Tree Spanning-Tree 802.1d 9 S2 S3 S1 Boucle S2 S3 S1 Pas de boucle Sans
 Spanning-Tree Avec
 Spanning-Tree 9 Cisco - Spanning-Tree - 11 novembre 2017
  • 10.
    Thomas Moegli ๏ Désignationd’un switch « Maître » ou Root Bridge ๏ Tous les calculs se feront sur la base du Root Bridge ๏ Echange de messages entre switchs (trames BPDU) ๏ Pour chaque switch, calcul du meilleur chemin vers le Root Bridge ๏ Chaque interface possède un coût ๏ Coût du chemin : Somme du coût de chaque interface traversée ๏ Chaque switch place ses interfaces dans un mode STP ๏ Certains modes autorisent la transmission de données, d’autres bloquent Fonctionnement de Spanning-Tree Etapes principales 10 Election du Root Bridge Calcul de l’arbre STP Définition de l’état STP par interface 10 Cisco - Spanning-Tree - 11 novembre 2017
  • 11.
    Thomas Moegli ๏ Chaqueswitch possède un identifiant appelé Bridge ID (BID) de 64 bits ๏ Composé de la priorité définie et de l’adresse MAC ๏ Priorité possible : 0-65’535 ๏ Par défaut, tous les switchs ont une priorité de 32’768 (65535 ÷ 2) ๏ Déterminer le Root Bridge ๏ Combinaison de la priorité de chaque switch et de l’adresse MAC ๏ Sélection du switch ayant la valeur de priorité la plus basse ๏ Si priorité équivalente, sélection d’après l’adresse MAC ayant la plus petite valeur ๏ Attention à privilégier un switch relativement performant comme Root Bridge (en modifiant manuellement la priorité) Fonctionnement de Spanning-Tree Désignation du Root Bridge 11 A B Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s Bridge Priority 0-65535 MAC Address Unique 2 octets Bridge Priority 6 octets Adresse MAC Bridge ID 11 Cisco - Spanning-Tree - 11 novembre 2017
  • 12.
    Thomas Moegli Root Bridge Switch/Pontayant le Bridge ID le plus bas (meilleur priorité). Dans une topologie réseau, les switchs communiquent entre eux et désignent un Root Bridge. Toutes les décisions (placer le port en mode Blocked ou Forward par ex.) se font en fonction du Root Bridge. L’interface (ou port) ayant le coût le plus faible vers le Root Bridge est appelé Root Port Non-Root Bridge Tous les switchs qui ne sont pas Root Bridge. Ils échangent des informations entre eux et mettent à jour leur topologie STP en fonction des évenements survenus. Bridge ID Chaque switch possède un Bridge ID qui est une combinaison du Bridge Priority (configuré par défaut à 32768) et l’adresse MAC. Le switch ayant le Bridge ID le plus petit devient le Root Bridge du réseau. Pour forcer un switch en particulier à devenir Root Switch, il faut configurer manuellement une valeur de priorité basse. Port Cost Détermine le chemin à utiliser lorsque plusieurs liens sont présents entre deux switchs. Le coût d’un port est déterminé par la bande passante. Path Cost Il s’agit toujours de calculer le chemin le plus court vers le Root Bridge afin de déterminer quels ports doivent être désactivés dans le cas de chemins multiples. Le coût d’un lien est déterminé par la somme des coûts de port de chaque switch. Fonctionnement de Spanning-Tree Terminologie Spanning-Tree 12 12 Cisco - Spanning-Tree - 11 novembre 2017
  • 13.
    Thomas Moegli ๏ BridgeProtocol Data Unit ๏ Messages échangés entre switchs pour STP ๏ Requis pour déterminer et maintenir la topologie STP ๏ Types de BPDU ๏ Configuration BPDUs : utilisé pour l’algorithme STP ๏ TCN BPDUs - (Topology Change Notification BPDU) : utilisé pour informer les équipements d’un changement réseau Fonctionnement de Spanning-Tree BPDU 13 Protocol Identifier Version Msg Type Flags Root ID Root Path Cost Bridge ID Port ID Msg Age Max Age Hello Time Forward Delay 2 1 1 1 8 4 8 2 2 2 2 2 13 Cisco - Spanning-Tree - 11 novembre 2017
  • 14.
    Thomas Moegli ๏ STPattribue un rôle à chaque port d’un switch ๏ 3 rôles possibles Fonctionnement de Spanning-Tree Ports d’un switch : Rôles 14 Root Port Port sur lequel se trouve le lien le plus direct vers le Root Bridge Si plusieurs liens sont connectés avec le Root Bridge, élection du Root Port en sélectionnant le port avec le coût le plus bas. Designated Port Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un Designated Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul Forwarding port par segment réseau. Non-Designated Port
 / Blocked Port Un port Non-Designated est un port ayant un coût plus élevé qu’un Designated Port. Ils sont également marqués comme Blocked Port et sont par conséquent désactivés. RP DP BP 14 Cisco - Spanning-Tree - 11 novembre 2017
  • 15.
    Thomas Moegli ๏ Chaqueport d’un switch passe par plusieurs états STP avant d’être opérationnel ๏ Sur un switch Cisco, lumière orange sur le port (Transition STP) puis, si le port est en mode Forwarding, lumière devient verte Fonctionnement de Spanning-Tree Etats d’un port Spanning-Tree 15 Disabled n’est pas un état de transition Port qui a été désactivé de manière administrative (commande shutdown) Ne participe pas à l’algorithme STP Blocking Ne transmet pas les trames de données, uniquement réception des BPDU (pas d’envoi) Blocage pour prévenir des boucles de réseau.
 Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état
 (Exception des protocoles de couche 2 tels que DTP, VTP, CDP) Tous les ports sont à l’état Blocking par défaut au démarrage du switch Listening Ecoute et envoie des trames BPDU pour être sûr qu’il n’y ait pas de boucles
 Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état Learning Apprentissage de tous les chemins du réseau. Ecoute et envoie des trames BPDU Remplissage de la table CAM mais ne transmet pas encore de données
 Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état Forwarding Envoi ou réception de données utilisateurs sur le port DI B F LE LI 15 Cisco - Spanning-Tree - 11 novembre 2017
  • 16.
    Thomas Moegli Fonctionnement deSpanning-Tree Etats d’un port Spanning-Tree 16 Etat du port STP Reçoit des BPDUs Envoie des BPDUs Apprend les MAC Reçoit des données Envoi de données Durée de l’état Blocking Non défini (si présence d’une boucle) Listening Délai (env 15 secondes) Learning Délai (env 15 secondes) Forwarding Non défini (tant qu’aucune boucle détecté) Disabled Non défini (tant que l’admin ne l’active pas)DI B F LE LI 16 Cisco - Spanning-Tree - 11 novembre 2017
  • 17.
    Thomas Moegli Fonctionnement deSpanning-Tree Timers STP 17 Timer Description Hello ๏ Temps entre chaque BPDU envoyé sur le port ๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes Forward Delay ๏ Temps passé à l’état Listening et Learning ๏ Par défaut : 15 secondes, peut être configuré entre 4 à 30 secondes Max Age ๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU ๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes F LE LI Forward Delay Forward Delay BPDU BPDU Hello BPDU M ax Age 17 Cisco - Spanning-Tree - 11 novembre 2017
  • 18.
    Thomas Moegli Fonctionnement deSpanning-Tree Etats d’un port Spanning-Tree 18 Etat Blocking Initialisation Démarrage Etat Listening Etat Learning Etat Disabled Etat Learning Etat
 Forwarding Etat Transitoire Etat Transitoire DI B F LE LI Après 20 secondes Après 15 secondes Après 15 secondes 18 Cisco - Spanning-Tree - 11 novembre 2017
  • 19.
    Thomas Moegli ๏ Termeutilisé lorsque les ports passent d’un état STP à un autre ๏ Convergence complète : Lorsque les ports ont atteint l’état Forwarding ou Blocking (état final) ๏ Aucune donnée ne transite tant que la convergence n’est pas complète ๏ Convergence doit s’effectuer rapidement pour qu’un réseau soit efficace ๏ Possibilité (déconseillé) de modifier les timers STP ๏ Plusieurs variantes STP disponibles Fonctionnement de Spanning-Tree Convergence STP 19 19 Cisco - Spanning-Tree - 11 novembre 2017
  • 20.
    Thomas Moegli Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PCA Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Soit la topologie ci-contre ๏ A l’état stable, SW B est désigné comme Root Bridge ๏ Fa1/0/2 de SW A est le port à l’état Blocking Fonctionnement de Spanning-Tree Convergence STP 20 19 100 RP DPBP DP 20 Cisco - Spanning-Tree - 11 novembre 2017
  • 21.
    Thomas Moegli Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PCA Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Durant une intervention, le lien 100 Mbps tombe ๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien défectueux ๏ Au delà de 20 secondes, SW A décide que le port Blocking (Fa 1/0/2) passe à l’état Listening ๏ Le port reçoit et envoie les BPDU Fonctionnement de Spanning-Tree Convergence STP 21 19 100 DPBP DP LI 15 sec Blocking (20 sec) Listening (15 sec) 21 Cisco - Spanning-Tree - 11 novembre 2017
  • 22.
    Thomas Moegli Blocking (20sec) Listening (15 sec) Learning (15 sec) Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PC A Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Durant une intervention, le lien 100 Mbps tombe ๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien défectueux ๏ Au delà de 15 secondes, SW A décide que le port Blocking (Fa 1/0/2) passe à l’état Learning ๏ Le port commence à apprendre les adresses MAC Fonctionnement de Spanning-Tree Convergence STP 22 19 100 DPBP DP LI 15 sec LE 22 Cisco - Spanning-Tree - 11 novembre 2017
  • 23.
    Thomas Moegli Fa1/0/2Fa1/0/1 Gi0/10Gi0/9 PC B PCA Root Bridge MAC Addr: 000d.28e4.7c80 Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 32768 100Mbps 10Mbps SW A SW B ๏ Durant une intervention, le lien 100 Mbps tombe ๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien défectueux ๏ Finalement, après 15 secondes, le port passe finalement à l’état Forwarding ๏ Au total, le passage du port de l’état Blocking à l’état Forwarding a duré :
 20 + 15 + 15 = 50 secondes Fonctionnement de Spanning-Tree Convergence STP 23 19 100 DPBP DP 15 sec F Blocking (20 sec) Listening (15 sec) Learning (15 sec) Forwarding 23 Cisco - Spanning-Tree - 11 novembre 2017
  • 24.
    Thomas Moegli ๏ Lorsqu’unutilisateur connecte un laptop sur l’un des ports, la convergence STP fonctionne de manière similaire ๏ Le port passe également par les états Listening, Learning puis Forwarding ๏ Du fait que le port n’était pas à l’état Blocking, il entre directement à l’état Listening sans attendre 20 secondes ๏ Pour éviter une attente de 30 secondes, Cisco propose l’option Spanning-Tree Portfast Fonctionnement de Spanning-Tree Convergence STP 24 Blocking (20 sec) Listening (15 sec) Learning (15 sec) Forwarding 24 Cisco - Spanning-Tree - 11 novembre 2017
  • 25.
    Thomas Moegli ๏ StandardIEEE ๏ Utilisé dans les calculs STP Fonctionnement de Spanning-Tree Coût d’un lien 25 Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 25 Cisco - Spanning-Tree - 11 novembre 2017
  • 26.
    Protocole Spanning-Tree
 Opérations 26 Cisco- Spanning-Tree - 11 novembre 2017
  • 27.
    Thomas Moegli Election duRoot Bridge ๏ Au départ, chaque switch se croît Root Bridge ๏ Echange de BPDU entre eux contenant leur Bridge ID et le Root ID (eux-mêmes) ๏ Priorité identique pour tous les switchs ๏ Utilisation de l’adresse MAC pour sélectionner Root Bridge ๏ S1 a l’adresse MAC avec valeur la plus basse : est élu RB Opérations Spanning Tree 27 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s Root Bridge 27 Cisco - Spanning-Tree - 11 novembre 2017
  • 28.
    Thomas Moegli Calcul descoûts vers le Root Bridge ๏ S2 et S3 utilisent leur lien direct (coût : 4) ๏ Si S3 utilise le lien transitant par S2 pour aller vers S1 : 
 Coût = 4 + 4 = 8 (coût supérieur au lien direct) ๏ Chaque port du Root Bridge est considéré comme Designated Port ๏ Sur S2 et S3, le port sur lequel est connecté le lien avec le coût le plus faible vers S1 est considéré comme Root Port Opérations Spanning Tree 28 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s DP DP RP Cost : 4 Cost : 4 Cost : 4 RPRP DP Root Bridge DP RP 4 4 4 28 Cisco - Spanning-Tree - 11 novembre 2017
  • 29.
    Thomas Moegli ๏ LienS2 – S3 : Désignation des ports Blocking et Designated ๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire) ๏ S2 place son port en mode Designated et S3 le place en Blocked ๏ Convergence STP terminée ๏ Tous les ports sont en mode Forwarding ou Blocking Opérations Spanning Tree 29 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s DP DP RP Cost : 4 Cost : 4 Cost : 4 RP DP 4 4 4 RP DPDP RP BP DP 29 Cisco - Spanning-Tree - 11 novembre 2017
  • 30.
    Thomas Moegli ๏ LienS2 – S3 : Désignation des ports Blocking et Designated ๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire) ๏ S2 place son port en mode Designated et S3 le place en Blocked ๏ Convergence STP terminée ๏ Tous les ports sont en mode Forwarding ou Blocking Opérations Spanning Tree 30 S2 S3 S1 Priority : 32768 0000.0CA7.A603 Root Bridge Priority : 32768 000A.41D5.7937 Priority : 32768 0030.F222.2794 1 Gb/s 1 Gb/s 1 Gb/s DP DP RP Cost : 4 Cost : 4 Cost : 4 RP DP 4 4 4 RP DPDP RP DP BF F F F F 30 Cisco - Spanning-Tree - 11 novembre 2017
  • 31.
    Thomas Moegli Etape 1: Sélection du Root Bridge ๏ Parmi les 4 switchs de la topologie ci-contre, 
 SW A et SW B ont une priorité plus faible (16384) par rapport aux switchs SW C et SW D (32768) ๏ SW A ou SW B sera élu Root Bridge par rapport à SW C et SW D selon la priorité ๏ SW A finalement sera élu Root Bridge car son adresse MAC est inférieure à l’adresse MAC de SW B Fonctionnement de Spanning-Tree Exemple pratique 31 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 31 Cisco - Spanning-Tree - 11 novembre 2017
  • 32.
    Thomas Moegli Etape 2: Calcul des coûts vers le Root Bridge Pour SW A ๏ Comme SW A est le Root Bridge, toutes ses interfaces ont le rôle Designated Port Fonctionnement de Spanning-Tree Exemple pratique 32 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 2 4 4 RP DP DP DP DP 32 Cisco - Spanning-Tree - 11 novembre 2017
  • 33.
    Thomas Moegli Etape 2: Calcul des coûts vers le Root Bridge Pour SW B ๏ Sur SW B, calcul du chemin le plus court vers le Root Bridge ๏ Le plus court chemin passe par Te1/0/1 ๏ Interface 10Gbps ๏ Le coût d’une interface est de 2 ๏ L’interface Te1/0/1 est donc un Root Port Fonctionnement de Spanning-Tree Exemple pratique 33 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 2 4 4 RP DP DP DP DP 33 Cisco - Spanning-Tree - 11 novembre 2017
  • 34.
    Thomas Moegli Etape 2: Calcul des coûts vers le Root Bridge Pour SW D ๏ Sur SW D, calcul du chemin le plus court vers le Root Bridge ๏ Le plus court chemin passe par Gi1/0/1 ๏ Interface 1Gbps ๏ Le coût d’une interface est de 4 ๏ Le coût du chemin passant par Gi1/0/2 serait de 4 + 2 = 6 ๏ L’interface Gi1/0/1 est donc un Root Port Fonctionnement de Spanning-Tree Exemple pratique 34 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP 34 Cisco - Spanning-Tree - 11 novembre 2017
  • 35.
    Thomas Moegli Etape 2: Calcul des coûts vers le Root Bridge Pour SW C ๏ Sur SW C, le coût du chemin le plus court est de 4 ๏ Le chemin par Gi1/0/10 et Gi1/0/11 ont le même coût de 4 ๏ Pour choisir le chemin entre ces deux possibilités, STP utilise le Port ID le plus faible depuis l’émetteur ๏ Dans ce cas, l’émetteur est SW A, on prend donc le Port ID le plus faible de SW A ๏ Le Port ID le plus faible est Gi1/0/3 ๏ De ce fait, le port Gi1/0/10 est désigné comme RP Fonctionnement de Spanning-Tree Exemple pratique 35 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP RP 35 Cisco - Spanning-Tree - 11 novembre 2017
  • 36.
    Thomas Moegli Etape 2: Calcul des coûts vers le Root Bridge Pour SW C ๏ Chaque port dispose d’une priorité ๏ Par défaut, la priorité est de 128 ๏ Cette priorité peut être modifiée par la commande :
 ๏ L’identifiant du port sous STP est majoré de 2 ๏ Autrement dit, le port Gi1/0/3 a l’ID 3 + 2 = 5
 Le port Gi1/0/4 a l’ID 4 + 2 = 6 ๏ Sous la commande show spanning-tree, le port est désigné par Priorité.ID ๏ Port Gi1/0/3 : 128.5 ๏ Port Gi1/0/4 : 128.6 ๏ SW C peut connaitre les informations du port de SW A via les BPDU ๏ Finalement, SW C peut décider ainsi de sélectionner le port ayant la priorité + l’ID le plus petit Fonctionnement de Spanning-Tree Exemple pratique 36 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP RP Switch(config-if)# spanning-tree vlan vlan-id port-priority value 36 Cisco - Spanning-Tree - 11 novembre 2017
  • 37.
    Thomas Moegli Etape 3: Détermination des rôles pour chaque segment réseau Segment SW A - SW C ๏ Les ports de chaque segment ont déjà un rôle attribué Fonctionnement de Spanning-Tree Exemple pratique 37 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge Vitesse Coût 10 Mb/s 100 100 Mb/s 19 1000 Mb/s 4 10’000 Mb/s 2 4 4 RP DP DP DP DP RP RP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 RPDP 37 Cisco - Spanning-Tree - 11 novembre 2017
  • 38.
    Thomas Moegli Etape 3: Détermination des rôles pour chaque segment réseau Segment SW B - SW D ๏ Aucun de ces ports n’est RP ๏ Il est nécessaire de désigner un port comme étant Designated Port (chaque segment réseau doit disposer d’un port DP ou RP) ๏ Pour connaitre quel port sera désigné DP, il faut regarder le coût vers le Root Bridge depuis chaque interface ๏ Depuis SW B Gi1/0/5, le coût vers le RB est de 2 ๏ Depuis SW D Gi1/0/2, le coût vers le RB est de 4 
 (passe par Gi1/0/1 de SW D) ๏ Le port SW B - Gi1/0/5 ayant un coût plus faible sur le segment SW B - SW D, il a comme rôle DP ๏ Le port SW D Gi1/0/2 a le rôle BP Fonctionnement de Spanning-Tree Exemple pratique 38 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 4 4 RP DP DP DP DP RP RP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 RPDP DP BP 38 Cisco - Spanning-Tree - 11 novembre 2017
  • 39.
    Thomas Moegli Etape 3: Détermination des rôles pour chaque segment réseau Segment SW B - SW C ๏ Aucun de ces ports n’est RP ๏ Il est nécessaire de désigner un port comme étant Designated Port (chaque segment réseau doit disposer d’un port DP ou RP) ๏ Coût vers le RB depuis chaque interface ๏ Depuis SW B Gi1/0/7, le coût vers le RB est de 2 
 (passe par SW B - Te1/0/1) ๏ Depuis SW C Gi1/0/2, le coût vers le RB est de 4 
 (passe par Gi1/0/10 de SW D) ๏ Le port SW B - Gi1/0/7 ayant un coût plus faible sur le segment SW B - SW C, il a comme rôle DP ๏ Le port SW C Gi1/0/2 a le rôle BP Fonctionnement de Spanning-Tree Exemple pratique 39 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 4 4 RP DP DP DP DP RP RP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 RPDP DP BP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 DP BP 39 Cisco - Spanning-Tree - 11 novembre 2017
  • 40.
    Thomas Moegli Etape 3: Détermination des rôles pour chaque segment réseau Segment SW A - SW C ๏ Le port Gi1/0/4 de SW A a été désigné comme DP ๏ SW C dispose déjà d’un RP. Il s’agit de Gi1/0/10 ๏ Le port SW A - Gi1/0/4 a comme rôle DP ๏ Le port SW C Gi1/0/11 a le rôle BP Fonctionnement de Spanning-Tree Exemple pratique 40 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge 4 4 RP DP DP DP DP RP RP RPDP DP BP Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 DP BP DP BP 40 Cisco - Spanning-Tree - 11 novembre 2017
  • 41.
    Thomas Moegli Etape 3: Détermination des rôles pour chaque segment réseau Topologie finale Fonctionnement de Spanning-Tree Exemple pratique 41 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge RP DP DP DP DP RP RP RPDP DP BP DP BP DP BP 41 Cisco - Spanning-Tree - 11 novembre 2017
  • 42.
    Thomas Moegli Etape 4: Détermination des états de chaque port Durant la phase de détermination des ports RP, DP et BP, les ports sont à l’état Listening puis Learning Une fois la topologie terminée : ๏ Les ports désignés comme RP ou DP sont mises à l’état Forwarding ๏ Les ports désignés comme BP sont mises à l’état Blocking Fonctionnement de Spanning-Tree Exemple pratique 42 Gi1/0/3 Gi1/0/4 Gi1/0/10 Gi1/0/11 Gi1/0/2 Gi1/0/7 Te1/0/1 Te1/0/1 Gi1/0/5Gi1/0/2 Gi1/0/10 Gi1/0/1 SW A SW B SW C SW D MAC Addr: 0018.c894.1a04 Priorité: 32768 MAC Addr: 000d.4c11.570c Priorité: 32768 MAC Addr: 0018.b9ad.2d00 Priorité: 16384 MAC Addr: 000d.28c4.7c80 Priorité: 16384 Root Bridge RP DP DP DP DP RP RP RPDP DP BP DP BP DP BP 42 Cisco - Spanning-Tree - 11 novembre 2017
  • 43.
    Thomas Moegli Changement detopologie ๏ Lors d’un changement de topologie, le switch l’annonce au Root Bridge via un BPDU TCN (Topologie Change Notification) ๏ Le Root Bridge répond par un BPDU TCA (Topology Change Ack) ๏ Le Root Bridge signale ensuite à l’ensemble des switchs un BPDU TC (Topology Change) qu’ils doivent effectuer un recalcul de l’algorithme STP Fonctionnement de Spanning-Tree Changement de topologie 43 SW1 SW2 SW3 SW4 SW5 TCNTCN Root Bridge TCATCA SW1 SW2 SW3 SW4 SW5 Root Bridge TCTC TC TC SW4 détecte et annonce un changement dans sa topologie. Il le signale au Root Bridge Le Root Bridge signale le changement aux autres switchs 43 Cisco - Spanning-Tree - 11 novembre 2017
  • 44.
    Thomas Moegli Changement detopologie ๏ Il peut arrive également ce qu’on appelle une erreur indirecte ๏ Une interface avec une connectivité partielle ou une ACL appliquée sur l’interface qui filtre certaines trames ๏ L’erreur indirecte peut être détectée si les BPDUs ne sont plus reçus par le switch ๏ Le recalcul STP peut être déclenché également après l’échéance d’un timer lié à la réception des BPDUs ๏ Il peut également arriver des changements de topologie non liées à STP ๏ Exemple : Une interface en mode Access qui modifie de status ๏ Le switch annonce le changement au Root Bridge ๏ Le Root Bridge informe les autres switchs, mais aucun recalcul STP n’est effectué Opérations Spanning Tree 44 44 Cisco - Spanning-Tree - 11 novembre 2017
  • 45.
    Protocole Spanning-Tree
 Variantes 45 Cisco- Spanning-Tree - 11 novembre 2017
  • 46.
    Thomas Moegli Variantes Spanning-Tree 46 Spanning-Tree PVST PerVLAN Spanning-Tree Prop. Cisco PVST+ Per VLAN+ Spanning-Tree Prop. Cisco CST Common Spanning-Tree 802.1d RSTP Rapid Spanning-Tree 802.1w Rapid PVST+ Rapid PVST+ Spanning-Tree Prop. Cisco MST Multiple Spanning-Tree 802.1s ๏ Une instance STP pour l’ensemble du réseau ๏ Lent mais requiert peu de ressources ๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge ๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL) ๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge ๏ Le « + » désigne le support des trunks 802.1Q ๏ Une instance STP pour l’ensemble du réseau ๏ Convergence plus rapide, un seul Root Bridge, 
 charge plus importante que CST ๏ Implémentation Cisco de RSTP basé sur PVST+ ๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge ๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST ๏ Plusieurs instance STP pour des groupe de VLANs 46 Cisco - Spanning-Tree - 11 novembre 2017
  • 47.
    Thomas Moegli ๏ CST(Common Spanning Tree) : Protocole original - Standard IEEE 802.1d ๏ Une instance STP pour l’ensemble du réseau ๏ Lent mais requiert peu de ressources ๏ PVST, PVST+ (Per VLAN Spanning Tree) : Protocole propriétaire Cisco ๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge ๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL) ๏ Le « + » désigne le support des trunks 802.1Q ๏ MSTP (Multiple Spanning Tree ou RSTP) ๏ Plusieurs VLANs peuvent partager une même instance ๏ RSTP (Rapid Spanning Tree) : Standard IEEE 802.1w ๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST ๏ Rapid PVST+ : Protocole propriétaire Cisco, identique à PVST+ mais avec RSTP ๏ Implémentation Cisco de RSTP basé sur PVST+ ๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge Variantes Spanning-Tree 47 47 Cisco - Spanning-Tree - 11 novembre 2017
  • 48.
    Thomas Moegli Variantes Spanning-Tree 48 StandardRessources nécessaires Convergence Nombre d’instances STP CST 802.1D Peu de ressources Lente Une instance pour tous les VLANs PVST Cisco Importante Lente Une instance par VLAN PVST+ Cisco Importante Lente Une instance par VLAN RSTP 802.1W Moyenne Rapide Une instance pour tous les VLANs Rapid PVST+ Cisco Très élevé Rapide Une instance par VLAN MSTP 802.1S Moyenne à élevé Rapide Une instance pour plusieurs VLANs 48 Cisco - Spanning-Tree - 11 novembre 2017
  • 49.
    Thomas Moegli ๏ AvecCST, l’élection d’un seul Root Bridge pour tout le réseau n’optimise pas tout le trafic ๏ Exemple : Supposons que SW-A soit Root Bridge. Depuis les clients situés sur les VLAN Management, Engineering, CAD, il est possible que les trames à destination des serveurs correspondants passent par SW-A pour accéder aux serveurs connectés à SW-C (alors qu’un chemin plus court existe) Variantes Spanning-Tree Per VLAN Spanning Tree+ 49 MarketingCAD Engineering Finance Management SW-A SW-B SW-C Serveurs pour : Serveurs pour : - Finance - Marketing - Management - Engineering - CAD Root Bridge 49 Cisco - Spanning-Tree - 11 novembre 2017
  • 50.
    Thomas Moegli ๏ Avantaged’un Root Bridge par VLAN ๏ Pour les VLAN Management, Engineering, CAD, élire SW-C comme Root Bridge optimise le trafic réseau Variantes Spanning-Tree Per VLAN Spanning Tree+ 50 MarketingCAD Engineering Finance Management SW-A SW-B SW-C Serveurs pour : Serveurs pour : - Finance - Marketing - Management - Engineering - CAD Root Bridge pour - VLAN Finance - VLAN Maketing Root Bridge pour - VLAN Management - VLAN Engineering - VLAN CAD 50 Cisco - Spanning-Tree - 11 novembre 2017
  • 51.
    Thomas Moegli ๏ PVST+autorise la sélection d’un Root Bridge différent par VLAN ๏ Dans l’exemple : ๏ SW1 est configuré comme Root Bridge pour le VLAN1 ๏ SW3 est configuré comme Root Bridge pour le VLAN2 ๏ Permet l’équilibrage de charge sur des liens différents Variantes Spanning-Tree Per VLAN Spanning Tree+ 51 SW1 SW3 SW2 Root Bridge : VLAN1 Root Bridge : VLAN2 51 Cisco - Spanning-Tree - 11 novembre 2017
  • 52.
    Thomas Moegli ๏ Structure ๏Champ supplémentaire Extended System ID pour gérer les multiples instances ๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address) ๏ La valeur de la priorité par défaut (32768) dépend du numéro de Vlan ๏ Comme le champ Extended System ID désigne l’identifiant du Vlan ou de l’instance, cette valeur est à ajouté à la priorité ๏ Exemple : La valeur par défaut pour le Vlan 100 est 32768 + 100 (Vlan ID) = 32868 Variantes Spanning-Tree Per VLAN Spanning Tree+ 52 Bridge Priority 0-65535 MAC Address Unique Sys-ID-Ext 4 bits 12 bits 6 bytes 52 Cisco - Spanning-Tree - 11 novembre 2017
  • 53.
    Thomas Moegli ๏ Nouveaustandard IEEE 802.1w ๏ Evolution de STP pour convergence plus rapide ๏ Améliorations ๏ Accélération du recalcul du Spanning Tree en cas de changement de topologie réseau ๏ Redéfinit les rôles des ports, états et BPDU de STP ๏ Proactif et très rapide, ne nécessite pas de timers ๏ Rétro-compatibilité avec 802.1d ๏ Transitions entre états accéléré ๏ 3 états au lieu de 5 (Discarding ➔ Learning ➔ Forwarding) Variantes Spanning-Tree Rapid Spanning Tree Protocol 802.1w 53 53 Cisco - Spanning-Tree - 11 novembre 2017
  • 54.
    Thomas Moegli Variantes Spanning-Tree RapidSpanning Tree Protocol 802.1w 54 Rôle du port STP Etat possible du port STP dans ce rôle Root Port Forwarding Designated Port Forwarding NonDesignated Port Blocking Disabled - En transition Listening
 Learning Rôle du port RSTP Etat possible du port RSTP dans ce rôle Root Port Forwarding Designated Port Forwarding Alternative / Backup Port Discarding Disabled Discarding En transition Learning 54 Cisco - Spanning-Tree - 11 novembre 2017
  • 55.
    Thomas Moegli ๏ RSTPdéfinit les rôles suivants :
 Rapid Spanning Tree Protocol 802.1w Rôles d’un port Rapid Spanning-Tree 55 Root Port Port sur lequel se trouve le lien le plus direct vers le Root Bridge Si plusieurs liens sont connectés avec le Root Bridge, élection Root Port en sélectionnant le port avec le coût le plus bas. Designated Port Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un Designated Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul Forwarding port par segment réseau. Alternate Port Port actuellement désactivé pour les trames de données mais permet de proposer un chemin alternatif vers le Root Bridge (Alternatif au Root Port) Backup Port Port actuellement désactivé pour les trames de données.
 Peut être un chemin alternatif vers le Root Bridge mais sert également comme chemin redondant sur un segment partagé RP DP AP BaP 55 Cisco - Spanning-Tree - 11 novembre 2017
  • 56.
    Thomas Moegli ๏ UnBackup Port n’est présent uniquement lorsqu’une boucle est formé entre un switch et un hub (liens redondants) ๏ Les deux liens reliant le hub sont considérés comme un seul et même segment réseau ๏ L’une des extrémités du segment prend le rôle de DP ๏ L’autre extrémité reçoit le rôle Backup Port Rapid Spanning Tree Protocol 802.1w Rôles d’un port Rapid Spanning-Tree 56 SW 1 Gi1/0 SW 2 SW 3 Hub Gi1/1 Gi1/1 Gi1/1 Gi1/0 Gi1/2 Gi1/3 Gi1/0 RP DP AP BaP Root Bridge DP RP DP DP 56 Cisco - Spanning-Tree - 11 novembre 2017
  • 57.
    Thomas Moegli Rapid SpanningTree Protocol 802.1w Etats d’un port Rapid Spanning-Tree 57 Discarding Etat possible dans une topologie stable ou lors d’un changement de topologie. L’état Discarding ne permet pas la transmission de trames. Cet état permet de bloquer le port pour prévenir de la formation de boucles réseaux Learning Etat possible dans une topologie stable ou lors d’un changement de topologie. L’état Learning autorise la transmission de trames uniquement pour remplir la table MAC des switchs Forwarding Etat possible uniquement dans une topologie stable L’état Forwarding autorise la transmission de trames de données. DIS F LE 57 Cisco - Spanning-Tree - 11 novembre 2017
  • 58.
    Thomas Moegli ๏ RSTPutilise une terminologie différente pour les liens d’interconnexion entre équipements ๏ Ils sont automatiquement déterminés par l’algorithme RSTP Rapid Spanning-Tree Protocol 802.1w Types de liens RSTP 58 Lien Edge Lien p2p Lien p2p Lien p2p Lien p2p Lien EdgeLien SharedPoint-to- Point (P2P) Lien sur lequel le port fonctionne en Full Duplex
 Lien qui connecte généralement un switch à un autre switch Shared Lien sur lequel le port fonctionne en Half Duplex
 Lien qui connecte généralement un switch à un média partagé (par exemple un hub) Edge Lien sur lequel un équipement de terminaison (PC) est connecté (pas de switch, pas de hub) 58 Cisco - Spanning-Tree - 11 novembre 2017
  • 59.
    Thomas Moegli Rapid Spanning-TreeProtocol 802.1w Types de liens RSTP 59 SW 1 Gi1/0 SW 2 SW 3 Hub Gi1/1 Gi1/1 Gi1/1 Gi1/0 Gi1/2 Gi1/3 Gi1/0 Point-to-Point Point-to-Point Point-to-Point Shared Edge 59 Cisco - Spanning-Tree - 11 novembre 2017
  • 60.
    Thomas Moegli Changement detopologie ๏ Contrairement à STP, tous les switchs participent à l’échange de BPDU TC ๏ Le temps de convergence est nettement réduit Rapid Spanning-Tree Protocol 802.1w Opérations RSTP 60 SW1 SW2 SW3 SW4 SW5 Root Bridge TCTC TC TC 60 Cisco - Spanning-Tree - 11 novembre 2017
  • 61.
    Protocole Spanning-Tree
 Configuration 61 Cisco- Spanning-Tree - 11 novembre 2017
  • 62.
    Thomas Moegli ๏ Forcerà ce que le switch sera Root Bridge pour un VLAN particulier :
 ๏ Définir que le switch sera Root Bridge secondaire :
 ๏ Définir la priorité du switch : ๏ Nécessaire que la priorité soit un multiple de 4096 :
 Configuration Spanning-Tree Configuration : Priorité 62 Switch(config)# spanning-tree vlan vlan-id root primary Switch(config)# spanning-tree vlan vlan-id root secondary Switch(config)# spanning-tree vlan vlan-id priority value 62 Cisco - Spanning-Tree - 11 novembre 2017
  • 63.
    Thomas Moegli ๏ ๏ ๏ Configuration Spanning-Tree Configuration: Timers STP 63 Timer Description Hello ๏ Temps entre chaque BPDU envoyé sur le port ๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes Forward Delay ๏ Temps passé à l’état Listening et Learning ๏ Par défaut : 15 secondes, peut être configuré entre 4 à 30 secondes Max Age ๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU ๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes Switch(config)# spanning-tree vlan vlan-id hello-time value Switch(config)# spanning-tree vlan vlan-id forward-time value Switch(config)# spanning-tree vlan vlan-id max-age value 63 Cisco - Spanning-Tree - 11 novembre 2017
  • 64.
    Thomas Moegli ๏ SW3possède le Bridge Priority par défaut : 32769 ๏ Configuration en mode Rapid PVST+ ๏ Priorité = 32768 (valeur par défaut) + 1 (VLAN ID 1) = 32769 Configuration Spanning-Tree Vérification : STP Root Bridge 64 SW3# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address aabb.cc00.4500 Cost 100 Port 4 (Ethernet0/3) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address aabb.cc00.5000 … 64 Cisco - Spanning-Tree - 11 novembre 2017
  • 65.
    Thomas Moegli ๏ Configurationde SW2 avec la commande : Configuration Spanning-Tree Vérification : STP Root Bridge 65 SW2(config)# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 28673 Address aabb.cc00.4600 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 28673 (priority 28672 sys-id-ext 1) Address aabb.cc00.4600 … SW2(config)# spanning-tree vlan 1 root primary 65 Cisco - Spanning-Tree - 11 novembre 2017
  • 66.
    Thomas Moegli Configuration Spanning-Tree Vérification: STP Root Bridge 66 SW1# show spanning-tree … Interface Role Sts Cost Prio.Nbr Type ———————————————————— ———— ——- ——————— ———————— ———————————————————————————————————— … Et0/0 Root FWD 100 128.1 Shr Et0/1 Desg FWD 100 128.2 Shr … 66 Cisco - Spanning-Tree - 11 novembre 2017
  • 67.
    Thomas Moegli ๏ Définirle mode Rapid PVST+ :
 ๏ Configurer le switch pour être Root Bridge pour un Vlan particulier :
 Configuration Spanning-Tree Configuration Rapid PVST+ 67 Switch(config)# spanning-tree mode rapid-pvst Switch(config)# spanning-tree vlan vlan-id root primary 67 Cisco - Spanning-Tree - 11 novembre 2017
  • 68.
    Protocole Spanning-Tree
 MST 68 Cisco- Spanning-Tree - 11 novembre 2017
  • 69.
    Thomas Moegli ๏ Danscertains scénarios, plusieurs VLANs disposent d’une même topologie Spanning Tree ๏ Le regroupement de plusieurs instances STP identiques permettent de simplifier l’administration ๏ MST est rétro-compatible avec les autres variantes STP MST Introduction 69 69 Cisco - Spanning-Tree - 11 novembre 2017
  • 70.
    Thomas Moegli Deux switchssont dans la même région MST si les éléments suivants sont identiques : ๏ Nom ๏ Numéro de révision ๏ Table d’association VLAN MST Régions 70 MST Region A MST Region B 70 Cisco - Spanning-Tree - 11 novembre 2017
  • 71.
    Thomas Moegli ๏ Mappingde VLANs sur plusieurs instances ๏ Par défaut, tous les VLANS sont mappés sur l’instance 0, également appelé IST (Internal Spanning Tree) ๏ On définit des instances supplémentaires et on associe ces instances aux VLANs MST Introduction 71 IST MSTI 1 MSTI 2 IST VLAN 11, 22, 33 44, 55, 66 VLAN 11, 22, 33 VLAN 44, 55, 66 MST 1 MST 2 71 Cisco - Spanning-Tree - 11 novembre 2017
  • 72.
    Thomas Moegli ๏ MSTpeut fonctionner avec des variantes STP ๏ Pour les variantes qui ne supportent pas MST, les switchs ne verront pas les instances MST mais ne voient simplement qu’un seul switch logique représentant toute la topologie MST ๏ C’est l’instance 0 qui communique avec les switchs non MST MST Cohabitation MST et switchs non MST 72 IST CST CST IST 72 Cisco - Spanning-Tree - 11 novembre 2017
  • 73.
    Thomas Moegli ๏ Seulel’instance IST envoie les BPDUs ๏ Les messages BPDUs distribués par l’instance IST contiennent les informations des autres instances MST ๏ Seuls les switchs d’une même région MST reçoivent les BPDUs avec les informations des autres instances ๏ Par compatibilité, les BPDUs envoyés sur des switchs non MST ne contiennent pas les informations des MST MST Communication 73 Région MST To CST Information IST Enregistrements MST BPDU 73 Cisco - Spanning-Tree - 11 novembre 2017
  • 74.
    Thomas Moegli ๏ Structure ๏Champ supplémentaire Extended System ID pour gérer les multiples instances ๏ Le champ Extended System ID contient le numéro de l’instance MST ๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address) MST Extended System ID 74 Bridge Priority 0-65535 MAC Address Unique Sys-ID-Ext 4 bits 12 bits 6 bytes 74 Cisco - Spanning-Tree - 11 novembre 2017
  • 75.
    Thomas Moegli ๏ SousPVST+, on observe qu’une instance STP est définie pour chaque VLAN ๏ Dans l’exemple, 5 VLANs ont été définis MST Configuration MST 75 SW1# show spanning-tree summary Switch is in past mode Root bridge for: none … Name Blocking Listening Learning Forwarding STP Active ———————————————————— ———————- ————————— ————————— —————————- —————————— VLAN0001 1 0 0 23 24 VLAN0002 1 0 0 23 2 VLAN0003 1 0 0 23 2 VLAN0004 1 0 0 23 2 VLAN0005 1 0 0 23 2 ———————————————————— ———————- ————————— ————————— —————————- —————————— 5 vlans … 75 Cisco - Spanning-Tree - 11 novembre 2017
  • 76.
    Thomas Moegli ๏ Topologied’exemple :
 
 MST Configuration MST 76 Gi0/0 Gi0/2 Gi0/1Gi0/3 GI0/2 Gi0/1 SW1 SW3 SW2 76 Cisco - Spanning-Tree - 11 novembre 2017
  • 77.
    Thomas Moegli ๏ Modifiele mode STP pour la variante MST MST Configuration MST : Activation de MST 77 SW1(config)# spanning-tree mode mst SW2(config)# spanning-tree mode mst SW3(config)# spanning-tree mode mst IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP Root Br. SW1 SW3 SW2 SW1 SW3 SW2 Root Br. 77 Cisco - Spanning-Tree - 11 novembre 2017
  • 78.
    Thomas Moegli IST MST 1 MST2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP SW1 SW3 SW2 SW1 SW3 SW2 ๏ Configuration des régions MST :
 MST Configuration MST : Régions 78 SW1(config)# spanning-tree mst configuration SW1(config-mst)# name CCNP SW1(config-mst)# revision 1 SW2(config)# spanning-tree mst configuration SW2(config-mst)# name CCNP SW2(config-mst)# revision 1 SW3(config)# spanning-tree mst configuration SW3(config-mst)# name CCNP SW3(config-mst)# revision 1 78 Cisco - Spanning-Tree - 11 novembre 2017
  • 79.
    Thomas Moegli MST Configuration MST: Mapping VLAN aux instances 79 ๏ Mapping de VLANs aux instances MST : SW1(config)# spanning-tree mst configuration SW1(config-mst)# instance 1 vlan 2,3 SW1(config-mst)# instance 2 vlan 4,5 SW2(config)# spanning-tree mst configuration SW2(config-mst)# instance 1 vlan 2,3 SW2(config-mst)# instance 2 vlan 4,5 SW3(config)# spanning-tree mst configuration SW3(config-mst)# instance 1 vlan 2,3 SW3(config-mst)# instance 2 vlan 4,5 IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP SW1 SW3 SW2 SW1 SW3 SW2 79 Cisco - Spanning-Tree - 11 novembre 2017
  • 80.
    Thomas Moegli ๏ Surl’instance 1, SW1 est configuré comme Root Bridge ๏ Sur l’instance 2, SW2 est configuré comme Root Bridge MST Configuration MST : Priorité du switch 80 SW1(config)# spanning-tree mst 1 root primary SW1(config)# spanning-tree mst 2 root secondary SW2(config)# spanning-tree mst 1 root secondary SW2(config)# spanning-tree mst 2 root primary IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP Root Br. SW1 SW3 SW2 SW1 SW3 SW2 Root Br. 80 Cisco - Spanning-Tree - 11 novembre 2017
  • 81.
    Thomas Moegli ๏ Applicationde la configuration MST MST Configuration MST : Activation de MST 81 SW1(config-mst)# exit SW2(config-mst)# exit SW3(config-mst)# exit IST MST 1 MST 2 IST VLAN 1 VLAN 2, 3 VLAN 4, 5 SW1 SW3 SW2 Région CCNP Root Br. SW1 SW3 SW2 SW1 SW3 SW2 Root Br. ๏ Si la configuration ne doit pas être appliquée, utiliser la commande : Switch(config-mst)# abort 81 Cisco - Spanning-Tree - 11 novembre 2017
  • 82.
    Thomas Moegli MST Vérification :MST 82 SW1# show spanning-tree summary Switch is in mst mode (IEEE Standard) … Name Blocking Listening Learning Forwarding STP Active ———————————————————— ———————- ————————— ————————— —————————- —————————— MST0 0 0 0 24 24 MST1 0 0 0 4 4 MST2 0 0 0 4 4 ———————————————————— ———————- ————————— ————————— —————————- —————————— 3 msts 0 0 0 32 32 … ๏ Vérifier les instances MST configurés 82 Cisco - Spanning-Tree - 11 novembre 2017
  • 83.
    Thomas Moegli MST Vérification :MST 83 SW1(config)# spanning-tree mst configuration SW1(config-mst)# show current Current MST configuration Name [CCNP] Revision 1 Instances configured 3 Instance Vlans mapped ———————— ———————-———————————————————————————-—————————— 0 1,6-4094 1 2-3 2 4-5 ———————————————————————————-———————————————————————————-—————————— ๏ Vérifier l’association des VLANs aux instances MST 83 Cisco - Spanning-Tree - 11 novembre 2017
  • 84.
    Thomas Moegli MST Vérification :MST 84 SW1# show spanning-tree mst configuration digest Name [CCNP] Revision 1 Instances configured 2 Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9 ๏ Vérifier la cohérence de configuration MST entre switchs (les Digests doivent correspondre) SW2# show spanning-tree mst configuration digest Name [CCNP] Revision 1 Instances configured 2 Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9 SW3# show spanning-tree mst configuration digest Name [CCNP] Revision 1 Instances configured 2 Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9 84 Cisco - Spanning-Tree - 11 novembre 2017
  • 85.
    Thomas Moegli ๏ Vérificationdes rôles d’interface par MST : MST Vérification : MST 85 SW1# show spanning-tree mst 1 ##### MST1 vlans mapped: 2-3 … Gi0/2 Altn BLK 2000000 128.3 Shr Gi0/3 Root FWD 2000000 128.4 Shr … SW3# show spanning-tree mst 1 ##### MST2 vlans mapped: 4-5 … Gi0/2 Root FWD 2000000 128.3 Shr Gi0/3 Altn BLK 2000000 128.4 Shr … 85 Cisco - Spanning-Tree - 11 novembre 2017
  • 86.
    Thomas Moegli MST Vérification :MST 86 Gi0/0 Gi0/2 Gi0/1Gi0/3 GI0/2 Gi0/1 SW1 SW3 SW2 R D B Root Port Designated Port Blocked Port D D Root Br. MST 1 MST 2 D R B R Gi0/0 Gi0/2 Gi0/1Gi0/3 GI0/2 Gi0/1 SW1 SW3 SW2 R D B Root Port Designated Port Blocked Port D D Root Br. D R B R 86 Cisco - Spanning-Tree - 11 novembre 2017
  • 87.
    Thomas Moegli ๏ MST,comme tout autre variante STP, utilise cette séquence de 4 critère pour sélectionner le meilleur chemin : ๏ Plus petit BID ๏ Plus petit coût vers le switch Root ๏ Plus petit Sender BID ๏ Plus petit Sender Port ID ๏ Seule différence : ce calcul est effectué pour chaque instance MST ๏ CST utilise une instance unique pour tous les VLANs ๏ PVST utilise une instance par VLAN MST Fonctionnement : Sélection meilleur chemin 87 87 Cisco - Spanning-Tree - 11 novembre 2017
  • 88.
    Thomas Moegli ๏ Ilest de définir la priorité du port qui sera envoyé dans les BPDU MST Configuration : Priorité du port 88 SW1(config)# interface GigabitEthernet0/2 SW1(config-if)# spanning-tree mst 1 port-priority 32 SW3# show spanning-tree mst 1 … Gi0/2 Altn BLK 2000000 32.3 Shr Gi0/3 Root FWD 2000000 128.4 Shr … 88 Cisco - Spanning-Tree - 11 novembre 2017
  • 89.
    Thomas Moegli ๏ Ilest de définir le coût du port qui sera envoyé dans les BPDU MST Configuration : Coût du port 89 SW1(config)# interface GigabitEthernet0/2 SW1(config-if)# spanning-tree mst 1 cost 1000000 SW3# show spanning-tree mst 1 … Gi0/2 Altn BLK 1000000 32.3 Shr Gi0/3 Root FWD 2000000 128.4 Shr … 89 Cisco - Spanning-Tree - 11 novembre 2017
  • 90.
    Protocole Spanning-Tree
 Mécanismes destabilité 90 Cisco - Spanning-Tree - 11 novembre 2017
  • 91.
    Thomas Moegli ๏ Mécanismespermettant d’améliorer les performances STP : ๏ **UplinkFast : Active un failover rapide des liens d’uplink sur les switchs d’accès ๏ **BackboneFast : Permet la reconvergence rapide lors d’une défaillance indirecte d’un lien ๏ PortFast : Configure les ports d’accès pour qu’ils soient directement à l’état Forwarding, sans passer par des états intermédiaires ๏ Mécanismes permettant d’assurer la stabilité STP : ๏ BPDU Guard : Configuré sur un port d’accès, il permet de désactiver ce port immédiatement si un BPDU est détecté sur l’interface ๏ BPDU Filter : Suppression de BPDUs sur certains ports ๏ Root Guard : Empêche d’autres switchs externes de devenir Root Bridge ๏ Loop Guard : Empêche un port Alternate de devenir Designated Port si aucun BPDU n’est reçu ** : Ces mécanismes ne sont pas nécessaires si l’administrateur utilise RSTP Protocole STP Mécanismes de stabilité 91 91 Cisco - Spanning-Tree - 11 novembre 2017
  • 92.
    Thomas Moegli SW 2SW 3 SW 1 SW 4 Gi1/0 Gi1/1 ๏ UplinkFast ne doit être activé que sur les switchs d’accès et non sur les switchs de distribution ou de coeur ๏ UplinkFast réagit suite à la défaillance d’un lien directement attaché. ๏ UplinkFast s’applique de manière globale sur le switch ๏ Mécanisme désactivé par défaut ๏ Sur la topologie ci-contre, lorsque l’interface Gi1/0 est défaillant, le mécanisme STP s’enclenche pour faire transiter le port Gi1/1 de l’état Blocked à l’état Root ๏ Cette transition peut prendre jusqu’à 50 secondes, l’arbre STP devant être recalculé à nouveau ๏ Pour un switch d’accès, le long temps de convergence cause un impact majeur aux équipements connectées Mécanismes d’optimisation STP UplinkFast 92 Root Bridge B F PC A PC B 92 Cisco - Spanning-Tree - 11 novembre 2017
  • 93.
    Thomas Moegli SW 2SW 3 SW 1 SW 4 Gi1/0 Gi1/1 ๏ Le problème est que les terminaux connectés à SW4 sont impactés durant la phase de transition ๏ De plus, la table CAM de SW2 indique que les terminaux PCA et PCB sont joignables via l’interface Gi1/0 de SW4 ๏ Il est nécessaire d’attendre que les entrées expirent (Aging Time) avant que SW2 se décide à effectuer un broadcast et trouver le lien passant par SW3 Mécanismes d’optimisation STP UplinkFast 93 Root Bridge B F PC A PC B PC A PC A PC A LI LE F B 93 Cisco - Spanning-Tree - 11 novembre 2017
  • 94.
    Thomas Moegli SW 2SW 3 SW 1 SW 4 Gi1/0 Gi1/1 ๏ UplinkFast permet d’activer immédiatement le port Blocked à l’état Forwarding ๏ Uplink envoie également depuis SW4 des messages Multicast dont l’adresse source MAC est celui de PC A ou PC B ๏ Ces adresses sont diffusés sur l’ensemble du domaine et parviennent ainsi à SW2 via SW3 ๏ La table CAM de SW2 est ainsi automatiquement modifiée pour transiter immédiatement par SW3 pour atteindre PCA ou PCB Mécanismes d’optimisation STP UplinkFast 94 Root Bridge B F PC A PC B F B Trame Multicast Src MAC: PC A Trame Multicast Src MAC: PC A 94 Cisco - Spanning-Tree - 11 novembre 2017
  • 95.
    Thomas Moegli ๏ UplinkFasts’active de manière globale sur le switch ๏ Commande : Switch(config) spanning-tree uplinkfast ๏ Par défaut, UplinkFast est désactivé ๏ Vérification : Switch# show spanning-tree uplink fast ๏ Ne configurer UplinkFast que sur les switchs qui ne sont pas situés entre le Root Bridge et un autre switch ๏ En résumé, ne configurer UplinkFast que sur les switchs d’accès ๏ UplinkFast ne peut être configuré lorsque RSTP est mis en oeuvre ๏ Si l’administrateur utilise RSTP, ce mécanisme est déjà inclus dans le protocole lui-même Mécanismes d’optimisation STP UplinkFast 95 Switch(config)# spanning-tree uplinkfast Switch# show spanning-tree uplinkfast 95 Cisco - Spanning-Tree - 11 novembre 2017
  • 96.
    Thomas Moegli ๏ BackBoneFastest configuré sur tous les switchs ๏ BackBoneFast est configuré de manière globale ๏ Permet de réagir à une défaillance indirecte d’un lien Mécanismes d’optimisation STP BackboneFast 96 SW 2 SW 3 SW 1 Gi1/1 Gi1/0 Gi1/1 Gi1/1 Gi1/0Gi1/0 RP DP BP RP DP DP 96 Cisco - Spanning-Tree - 11 novembre 2017
  • 97.
    Thomas Moegli ๏ Supposonsque le lien entre SW2 et SW1 soit défaillant ๏ Lorsque ce lien est rompu, SW2 va croire qu’il sera le Root Bridge ๏ SW2 va envoyer un BPDU à SW3 indiquant qu’il est le Root Bridge ๏ Le Bridge ID de ce BPDU est inférieur au BID envoyé par le vrai Root Bridge (SW1) ๏ Le BPDU envoyé par SW2 est appelé un Inferior BPDU Mécanismes d’optimisation STP BackboneFast 97 SW 2 SW 3 SW 1 Gi1/1 Gi1/0 Gi1/1 Gi1/1 Gi1/0Gi1/0 RP DP BP RP DP DP Root Bridge BPDU SW2 est le Root Bridge (Inferior BPDU) 97 Cisco - Spanning-Tree - 11 novembre 2017
  • 98.
    Thomas Moegli ๏ SiSW3 n’est pas configuré avec BackboneFast, le BPDU reçu va simplement être ignoré (car BID inférieur) et le port Gi1/0 va rester en mode Blocking ๏ Attente de 20sec + 2x15 secondes avant que le port Gi1/0 passe à l’état Forwarding ๏ Si SW3 est configuré avec BackboneFast, il va vérifier s’il contient toujours un lien vers le Root Bridge SW1 ๏ Permet d’éviter le délai de 20 secondes ๏ Envoi sur tous les ports non DP (dans ce cas, le port RP Gi1/1) d’un RLQ (Root Link Query) Mécanismes d’optimisation STP BackboneFast 98 SW 2 SW 3 SW 1 Gi1/1 Gi1/0 Gi1/1 Gi1/1 Gi1/0Gi1/0 RP DP BP RP DP DP Root Bridge RLQ Est-ce que j’ai encore un chemin vers le RB ? RLQ 1 2 Oui. Ce chemin est le 
 chemin vers le RB RLQ Reply RLQ Request SW1 est le Root Bridge
 (BPDU) RLQ 3 RP 4 98 Cisco - Spanning-Tree - 11 novembre 2017
  • 99.
    Thomas Moegli ๏ ConfigurerBackboneFast sur l’ensemble des switchs du réseau
 Seuls les switchs sur lesquels BackboneFast est actif peuvent comprendre et traiter les requêtes RLQ ๏ BackboneFast se configure de manière globale sur le switch ๏ Activation de BackboneFast :
 ๏ Par défaut, BackboneFast est désactivé ๏ Vérification du fonctionnement :
 ๏ BackboneFast ne s’applique qu’aux topologies avec STP. Avec RSTP, ce mécanisme est intégré nativement dans le protocole Mécanismes d’optimisation STP BackboneFast : Configuration 99 SW1(config)# spanning-tree backbonefast SW1# show spanning-tree backbonefast 99 Cisco - Spanning-Tree - 11 novembre 2017
  • 100.
    Thomas Moegli ๏ PortFastest une fonctionnalité qui permet de faire transiter les ports d’accès (ceux connectés aux clients) directement à l’état Forwarding ๏ Le port ne transite pas notamment par les états Learning et Listening ๏ Le port peut être utilisable dès le démarrage du switch ๏ Permet à certains clients qui démarrent en PXE de recevoir une configuration IP Mécanismes d’optimisation STP PortFast 100 F LE LI 100 Cisco - Spanning-Tree - 11 novembre 2017
  • 101.
    Thomas Moegli ๏ Neconfigurer PortFast que sur des interfaces d’accès, sur lesquelles sont connectés les équipements clients ๏ Activer PortFast sur une interface particulière :
 
 ๏ Activer PortFast sur l’ensemble des interfaces d’accès (pas sur les interfaces de trunk) :
 ๏ Vérification configuration PortFast :
 
 Mécanismes d’optimisation STP PortFast : Configuration 101 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree portfast SW1(config)# spanning-tree portfast default SW1# show spanning-tree interface FastEthernet 0/0 portfast 101 Cisco - Spanning-Tree - 11 novembre 2017
  • 102.
    Thomas Moegli ๏ BPDUGuard est un mécanisme de protection qui empêche tout intrus de connecter un switch et tenter de s’intégrer à la topologie STP. ๏ Un risque potentiel est qu’un intrus connecte un switch externe et tente de communiquer et s’intégrer à l’algorithme STP par le biais d’échanges BPDUs ๏ Sur un port d’accès, seuls des équipements terminaux sont autorisés ๏ Aucune trame BPDU ne devrait circuler sur ces ports ๏ BPDU Guard se configure sur les ports d’accès ๏ Dès qu’un port configuré avec BPDU Guard détecte des trames BPDU qui y circulent, le mécanisme bloque immédiatement le port ๏ Le port est mis à l’état err-disable Mécanismes de sécurité BPDU Guard 102 BPDU BPDU 102 Cisco - Spanning-Tree - 11 novembre 2017
  • 103.
    Thomas Moegli ๏ ConfigurerBPDU Guard sur un port particulier :
 
 ๏ Configurer BPDU Guard sur l’ensemble des ports ou PortFast est actif :
 
 ๏ Vérifier la configuration de BPDU Guard :
 Mécanismes de sécurité BPDU Guard : Configuration 103 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree bpduguard enable SW1(config)# spanning-tree portfast bpduguard default SW1# show spanning-tree summary totals 103 Cisco - Spanning-Tree - 11 novembre 2017
  • 104.
    Thomas Moegli ๏ BPDUFilter permet d’empêcher de transmettre les messages BPDUs sur un port particulier ๏ Prudence lors de la configuration car ce mécanisme peut empêcher le fonctionnement de STP si mal configuré ๏ Ne pas utiliser BPDU Filter sauf si cela est absolument nécessaire ๏ Exemple : Deux topologies STP distinctes mais connectées peuvent fonctionner ๏ BPDU Filter empêche que les messages BPDU d’une instance STP soient transmis à l’autre instance STP Mécanismes de sécurité BPDU Filter 104 BPDU BPDU BPDU BPDU BPDU BPDU BPDUBPDU BPDU Filter 104 Cisco - Spanning-Tree - 11 novembre 2017
  • 105.
    Thomas Moegli ๏ ActiverBPDU sur un port spécifique :
 
 ๏ Activer BPDU Filter sur l’ensemble des ports ayant PortFast activé :
 ๏ Vérifier la configuration globale de BPDU Filter :
 ๏ Vérifier la configuration de BPDU Filter pour un port particulier :
 Mécanismes de sécurité BPDU Filter : Configuration 105 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree bpdufilter enable SW1(config)# spanning-tree pordtfast bpdufilter default SW1# show spanning-tree summary totals SW1# show spanning-tree interface Ethernet 0/0 detail 105 Cisco - Spanning-Tree - 11 novembre 2017
  • 106.
    Thomas Moegli ๏ RootGuard est une fonctionnalité qui permet de garantir certains switchs (généralement les switchs Core et Distribution) d’être Root Bridge et d’éviter qu’un switch d’accès ne devienne par mégarde Root Bridge ๏ Les switchs d’accès sont généralement moins performants et disposent de moins de ressources CPU et mémoire.
 Si ils deviennent Root Bridge, la charge processeur et mémoire liée aux calculs STP risquent de rendre ces switchs instables et défaillants. ๏ Ils risquent également de devenir un noeud principal pour le trafic de données entre VLANs ๏ Le chemin n’est pas optimal ๏ Le switch ne dispose pas des ressources pour gérer ce volume de trafic. Un goulet d’étranglement risque de se produire ๏ Un risque de sécurité est présent si un attaquant tente volontairement d’élire son switch en Root Bridge Mécanismes de sécurité Root Guard 106 SW3 Configurer RootGuard uniquement sur ces interfaces SW1 SW2 106 Cisco - Spanning-Tree - 11 novembre 2017
  • 107.
    Thomas Moegli SW 1SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 ๏ RootGuard ne doit être configuré que sur les ports qui ne seront pas connectés à un Root Bridge ๏ Les ports sur lesquels RootGuard est configuré se mettent en err-disable (Root Inconsistent) s’ils reçoivent un BPDU supérieur (BID plus haut). ๏ Ils ignorent donc les BPDU reçus sur cette interface Mécanismes de sécurité Root Guard 107 Primary Root Bridge Secondary Root Bridge Rootguard Rootguard 107 Cisco - Spanning-Tree - 11 novembre 2017
  • 108.
    Thomas Moegli ๏ ConfigurerRoot Guard sur un port particulier :
 
 ๏ Vérifier si un port est à l’état err-disable (Root Inconsistent) :
 Mécanismes de sécurité Root Guard : Configuration 108 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree guard root SW1# show spanning-tree inconsistentports 108 Cisco - Spanning-Tree - 11 novembre 2017
  • 109.
    Thomas Moegli ๏ Permetde placer un Designated Port à l’état Err-disable (Loop Inconsistent) s’il ne reçoit plus de BPDU ๏ Peut être activé individuellement par port ๏ Se configure généralement sur tous les liens non configurés pour RootGuard ๏ Peut être activé de manière globale ๏ S’active sur tous les liens Point-to-Point Mécanismes de sécurité Loop Guard 109 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 Root Bridge Rootguard Rootguard Loopguard Loopguard Loopguard Loopguard RP BP DP DP RP DP 109 Cisco - Spanning-Tree - 11 novembre 2017
  • 110.
    Thomas Moegli ๏ Dansl’exemple ci-contre, le lien entre SW2 et SW3 est endommagé. SW3 ne reçoit plus les informations de SW2 ๏ Il peut s’agir d’un libre fibre optique, le lien RX ayant pu être endommagé physiquement ๏ SW3 ne reçoit plus les BPDU de SW2 ๏ Si SW3 Gi1/0/2 est configuré avec Loop Guard, le port se met à l’état Err-Disable (Loop Inconsistent) Mécanismes de sécurité Loop Guard 110 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 SW 1 SW 2 SW 3Gi1/0/2 Gi1/0/1 Gi1/0/2 Gi1/0/2 Gi1/0/1Gi1/0/1 Root Bridge Rootguard Rootguard Loopguard Loopguard Loopguard Loopguard RP BP DP DP RP DP 110 Cisco - Spanning-Tree - 11 novembre 2017
  • 111.
    Thomas Moegli ๏ ConfigurerLoop Guard sur un port particulier :
 
 ๏ Configurer Loop Guard sur l’ensemble des interfaces connectés à des liens Point-to-Point :
 ๏ Vérifier si la fonction LoopGuard est activée :
 Mécanismes de sécurité Loop Guard : Configuration 111 SW1(config)# interface FastEthernet0/1 SW1(config-if)# spanning-tree guard loop SW1# show spanning-tree summary SW1(config)# spanning-tree loopguard default 111 Cisco - Spanning-Tree - 11 novembre 2017