STP 조정 - 2

루프방지 및 STP 네트워크 보호 기술

포트패스트 기술을 사용하거나 케이블이 불량일때 루프가 발생할수 있음

루프발생 방지 기술

- BPDU 가드

- 루프 가드

- BPDU 필터링

- UDLD

 

BPDU 가드

해당포트를 통해 BPDU를 수신했을때 포트를 자동으로 셧다운 시키는 기능

관리자가 반드시 no shutdown을 해줘야만 포트가 살아남.

 

BPDU의 주요용도

- Access-port에 다른 스위치를 접속한후 STP를 이용하여 네트워크에 영향을 주는것을 미리 차단

- BPDU가드 기능이 설정된 포트에 다른 스위치를 접속하면 해당포트가 다운되기 때문에 보안성을 높일수 있음. 또한 Portfast가 설정된 인터페이스를 통하여 일시적으로 Layer 2 루프가 발생하는것을 막아줌

Q. 루프발생의 원리 주로 PC나 서버의 종단 장비를 스위치에 연결시킬때 STP의 Forwarding time 을 생략하고자 만든것 만약 portfast가 설정된 포트에 스위치를 연결하게되면 바로 Forwarding 상태가 되면서 기존의 loopless topology가 흔들리게 됨. 그래서 다시 Root Bridge를 선출해서 다시 loopless 스위치를 만들때까지 루프가 발생할수 있음. 그래서 Portfast 걸어놓은 포트에 BPDU가드를 설정함

 

설정방법

(config)# spanning-tree portfast bpduguard default

portfast가 설정된 포트가 BPDU를 수신했을때만 shutdown 됨

(config-if)# spanning-tree bpduguard enable

portfast 설정 여부와 상관없이 해당 인터페이스로 BPDU를 수신하면 shutdown됨

설정확인

# show spanning-tree summary

 

BPDU 필터링

특정포트로 BPDU를 보내거나 받지 않게 하는 기능

포트에 접속된 종단 장치에 불필요한 부하가 걸리는 것을 방지

설정방법

(config)# spanning-tree portfast bpdufilter default

portfast가 설정된 포트에만 BPDU 필터링 기능 적용

(config-if)# spanning-tree bpdufilter enable

해당 인터페이스에서만 BPDU 필터기능 적용

※ 위의 명령어 설정시 이 기능은 해당 포트에서 STP가 동작하지 않는것고 같아서 Layer 2 루프가 발생할 수 있으므로 주의

 

루프가드

대체포트가 BPDU를 수신하지 못해도 차단상태를 전송상태로 변경하지 못하게 함

차단 상태의 포트는 루프 비일관(inconsistent)(일종의 차단상태) 상태로 바뀜

 

① 스위치가 정상작동하거나 스위치 SW2에 과도한 부하가 걸리거나 Access-list 설정의 잘못으로 인해 SW3로 설정 BPDU를 전송하지 못하는 경우가 발생

② 50초 동안 BPDU를 수신하지 못하면 대체 포트를 전송상태로 변경

③ SW2에 문제가 없음에도 불구하고 SW3가 SW2로 프레임을 전송하기 시작한다

이때 루프가 발생!

설정방법

(config)# spanning-tree loopguard default

(config-if)# spanning-tree guard loop

 

UDLD

스위치에 단방향 링크가 생겼을때 해당포트를 shutdown 시키는 기능

단방향 링크

- Layer 2 루프가 발생하거나 송신한 프레임이 사라지는 블랙홀이 생김

UDLD와 루프가드의 공통점과 차이점

유사점

- 단방향 링크 발생시 STP가 제대로 동작하지 않는 것을 방지

차이점

- UDLD는 케이블링 문제를 감지 하지만 루프가드는 상대 스위치가 혼잡등의 소프트웨어 적인 상황때문에 BPDU를 송신하지 못할 때 동작

- UDLD는 포트 단위로 동작, 루프가드는 포트 내에서 VLAN별로 동작

◎ UDLD와 루프가드는 동시에 사용하는 것이 좋다

설정방법

(config)# udld enable

광케이블을 사용하는 포트들의 UDLD기능 활성

(config-if)# udld port

인터페이스에서 케이블 상관없이 모든 케이블의 UDLD 기능을 활성화

 

루트가드

- 특정포트에 접속되는 네트워크에 있는 스위치를 루트 스위치가 될 수 없게 하는 기능

- 루트가드 설정된 포트로 루트스위치임을 주장하는 BPDU를 수신하면 해당포트를 다운

설정방법

(config-if)# spanning-tree guard root

설정확인

# show spanning-tree inconsistentports