Bu bölümde STP (Spanning tree protocol) konfigürasyonları sildikten sonra RSTP ( Rapid Spanning Tree Protocol) konfigürasyonu yapmayı göreceğiz.
1. Eski konfigurasyonları silme
Konfigure edilmiş STP priority değerlerini CLIGURU-S1 ve CLIGURU-S2 üzerinden silelim ve STP cost değerini kaldıralım.
[CLIGURU-S1]undo stp priority[CLIGURU-S1]interface GigabitEthernet 0/0/9[CLIGURU-S1-GigabitEthernet0/0/9]undo stp cost |
[CLIGURU-S2]undo stp priority |
2. RSTP konfigure etme ve konfigurasyonu görüntüleme
CLIGURU-S1 ve CLIGURU-S2 üzerinde Spanning Tree Protocol’u olarak RSTP seçelim.
[CLIGURU-S1]stp mode rstp |
[CLIGURU-S2]stp mode rstp |
RSTP hakkında bilgileri görüntülemek için display stp komutunu kullanalım.
[CLIGURU-S1]display stp——-[CIST Global Info][Mode RSTP]——-CIST Bridge :4096 .80fb-06ae-2c2eBridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20CIST Root/ERPC :0 .80fb-06e8-d3c0 / 20000CIST RegRoot/IRPC :4096 .80fb-06ae-2c2e / 0CIST RootPortId :128.9BPDU-Protection :disabledCIST Root Type :SECONDARY rootTC or TCN received :34TC count per hello :0STP Converge Mode :NormalTime since last TC :0 days 0h:10m:50s—-[Port1(GigabitEthernet0/0/1)][DOWN]—-Port Protocol :enabledPort Role :Disabled PortPort Priority :128Port Cost(Dot1T ) :Config=auto / Active=200000000Desg. Bridge/Port :4096.80fb-06ae-2c2e / 128.1Port Edged :Config=default / Active=disabledPoint-to-point :Config=auto / Active=falseTransit Limit :147 packets/hello-timeProtection Type :NonePort Stp Mode :MSTP—- More —- |
[CLIGURU-S2]display stp——-[CIST Global Info][Mode RSTP]——-CIST Bridge :0 .80fb-06e8-d3c0Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20CIST Root/ERPC :0 .80fb-06e8-d3c0 / 0CIST RegRoot/IRPC :0 .80fb-06e8-d3c0 / 0CIST RootPortId :0.0BPDU-Protection :disabledCIST Root Type :PRIMARY rootTC or TCN received :0TC count per hello :0STP Converge Mode :NormalTime since last TC :0 days 0h:23m:57s—-[Port1(GigabitEthernet0/0/1)][DOWN]—-Port Protocol :enabledPort Role :Disabled PortPort Priority :128Port Cost(Dot1T ) :Config=auto / Active=200000000Desg. Bridge/Port :0.80fb-06e8-d3c0 / 128.1Port Edged :Config=default / Active=disabledPoint-to-point :Config=auto / Active=falseTransit Limit :147 packets/hello-timeProtection Type :NonePort Stp Mode :MSTP—- More —- |
3.Edge port’ların konfigurasyonu
Edge portları RSTP hesaplamalarına katılmadan forwarding durumundadır, directly connected olarak switch üzerinde bağlantılardır; loop oluşumuna neden olması beklenmeyen portlardır.
[CLIGURU-S1]interface GigabitEthernet 0/0/4[CLIGURU-S1-GigabitEthernet0/0/4]stp edged-port enable |
[CLIGURU-S2]interface GigabitEthernet 0/0/4[CLIGURU-S2-GigabitEthernet0/0/4]stp edged-port enable |
4. BPDU Protection konfigurasyonu
Edge portları direcly connected olarak terminal’de görünürler ve BPDU’ları almazlar. Saldırganlar bu port üzerinden BPDU paketleri ile saldırıda bulunabilir, eğer edge portları bpdu paketlerini alırlarsa switch bu portu non-edge durumuna geçirecek ve RSTP algoritmasını yeniden başlatacaktır. BPDU protection ardarda gelen kötü niyetli BPDU paketlerinin önüne geçecektir.
[CLIGURU-S1]stp bpdu-protection |
[CLIGURU-S2]stp bpdu-protection |
Port protection bilgilerini görüntülemek için display stp brief komutunu kullanalım.
<CLIGURU-S1>display stp briefMSTID Port Role STP State Protection0 GigabitEthernet0/0/4 DESI FORWARDING BPDU0 GigabitEthernet0/0/9 ROOT FORWARDING NONE0 GigabitEthernet0/0/10 ALTE DISCARDING NONE |
<CLIGURU-S2>display stp briefMSTID Port Role STP State Protection0 GigabitEthernet0/0/4 DESI FORWARDING BPDU0 GigabitEthernet0/0/9 DESI FORWARDING NONE0 GigabitEthernet0/0/10 DESI FORWARDING NONE |
Konfigurasyondan sonra, CLIGURU-S1 üzerinde G0/0/4 portu ve CLIGURU-S2 üzerinde G0/0/4 ‘ün protection durumları BPDU olarak değişti.
5. Loop Protection konfigurasyonu
RSTP çalışan networklerde trafik yoğunluğu sırasında geciken bir paket nedeni ile veya unidirectional-link(iki tarafında up olması fakat sadece bir taraftan paket gelmesi) gibi durumlar oluşması halinde, switch BPDU paketlerini almaz ise root port’u tekrar berlirleyecektir; root port olan designated, discarding port modunda olanlar ise forwarding durumuna geçecektir. Böyle bir durumda looplar oluşacaktır.
Loop protection’ı hem root port hem alternate port için aktif hale getiririz.
[CLIGURU-S1]display stp briefMSTID Port Role STP State Protection0 GigabitEthernet0/0/4 DESI FORWARDING BPDU0 GigabitEthernet0/0/9 ROOT FORWARDING NONE0 GigabitEthernet0/0/10 ALTE DISCARDING NONE |
CLIGURU-S1 üzerinde G0/0/9 ve G0/0/10 için loop protection’ı aktif hale getirelim.
[CLIGURU-S1]interface GigabitEthernet 0/0/9[CLIGURU-S1-GigabitEthernet0/0/9]stp loop-protection[CLIGURU-S1-GigabitEthernet0/0/9]quit[CLIGURU-S1]interface GigabitEthernet 0/0/10[CLIGURU-S1-GigabitEthernet0/0/10]stp loop-protection |
Port protection bilgilerini görüntülemek için display stp brief komutunu kullanalım.
<CLIGURU-S1>display stp briefMSTID Port Role STP State Protection0 GigabitEthernet0/0/4 DESI FORWARDING BPDU0 GigabitEthernet0/0/9 ROOT FORWARDING LOOP0 GigabitEthernet0/0/10 ALTE DISCARDING LOOP |
CLIGURU-S2 root olduğu ve üzerindeki tüm portlar designated port olduğu için loop protection uygulamamıza gerek yoktur. Eğer CLIGURU-S1’i root olarak kullanmak istiyorsak, ayni işlemi CLIGURU-S2 üzerinde yaparız; root port ve alternate port’u üzerinde loop protection uygularız.
Final:
<CLIGURU-S1>display current-configuration#!Software VersionV100R005C01SPC100sysname CLIGURU-S1#stp mode rstpstp bpdu-protectionstp enable#interface GigabitEthernet0/0/4stp edged-port enable#interface GigabitEthernet0/0/9stp loop-protectionbpdu enable#interface GigabitEthernet0/0/10stp loop-protectionbpdu enable#user-interface con 0user-interface vty 0 4#return |
<CLIGURU-S2>display current-configuration#!Software Version V100R005C01SPC100sysname CLIGURU-S2#stp mode rstpstp bpdu-protectioninterface GigabitEthernet0/0/4stp edged-port enable#interface GigabitEthernet0/0/9bpdu enable#interface GigabitEthernet0/0/10bpdu enable#user-interface con 0user-interface vty 0 4#return |