CHƯƠNG 3 - GIAO THỨC CÂY MỞ RỘNG-STP (PHẦN 3)
V. GIAO THỨC NHIỀU CÂY MỞ RỘNG IEEE 802.1s
Giao thức nhiều cây mở rộng (Multiple Spanning Tree Protocol – MST) IEEE 802.1s định nghĩa cách thức dùng nhiều phiên bản của STP trên một hạ tầng mạng dùng 802.1q. Giống như PVST+, MST cho phép hiệu chỉnh các thông số của STP sao cho một vài cổng là bị khoá trong một VLAN nhưng nó có thể là chuyển tiếp trong VLAN khác. Luôn luôn dùng kết hợp với 802.1w để hội tụ nhanh hơn. Không yêu cầu từng phiên bản của STP cho từng VLAN. Thay vào đó, thiết kế tốt nhất thường dùng một phiên bản cây mở rộng cho các đường đi dự phòng. Nếu hệ thống mạng bao gồm tất cả các thiết bị có khả năng hỗ trợ MST, MST sẽ tương đối dễ hiểu. Một nhóm các switch dùng chung với nhau được gọi là vùng MST (MST region). Để tạo ra một MST region, các switch cần phải được cấu hình như sau:
Bật MST ở chế độ toàn cục: Router(config)# spanning-tree mode mst
Trong chế độ cấu hình của MST, tạo ra MST region (tối đa 32 ký tự) dùng lệnh name
Trong chế độ cấu hình của MST, tạo ra một chỉ số MST revision number bằng cách dùng lệnh revision.
Trong chế độ cấu hình của MST, chỉ định các VLAN nào vào phiên bản cây mở rộng nào bằng câu lệnh instance. Vấn đề chính cho việc cấu hình của MST là cấu hình tất cả các thông số giống nhau trên tất cả các switch của cùng region. Ví dụ nếu bạn cho phiên bản instance 1 của MST chạy trên VLAN 1 đến VLAN 4 và VLAN 5-8 đến cũng instance 1 trên switch khác, hai switch sẽ không xem như chúng cùng MST region, mặc dù cả tên region và chỉ số revision là tương tự nhau. Ví dụ, trong hình 3.7, một MST region đã được định nghĩa cùng với các kết nối đến các switch không chạy MST.
Phía bên trái của hình, bên trong một MST bạn chỉ cần hai phiên bản của STP. Mỗi phiên bản cho một nửa số VLAN. Nếu có hai phiên bản, các switch ở lớp truy cập sẽ truyền các khung tin trên các kết nối của nó cho tập hợp một số VLAN và truyền các khung tin của các VLAN còn lại trên kết nối kia. Một trong những đặc điểm chủ yếu của MST so với PVST+ là việc yêu cầu chỉ cần một phiên bản của STP cho một nhóm các VLAN. Nếu MST region này có hàng trăm VLAN và dùng PVST+, sẽ có tương ứng hàng trăm STP thông điệp sẽ được dùng. Khi kết nối một MST region đến một miền không chạy MST, MST sẽ làm cho cả một miền MST xuất hiện như là một switch duy nhất. Một MST sẽ đảm bảo tình trạng không bị lặp bên trong một MST region. Để ngăn ngừa vòng lặp trên kết nối CST từ miền MST đến miền phi MST, MST sẽ tham gia vào phiên bản STP đang chạy bên ngoài miền MST. Phiên bản thêm vào này gọi là cây mở rộng bên trong (IST). Khi tham gia trong STP với các switch bên ngoài, miền MST sẽ xuất hiện như một switch duy nhất.
VI. CÁC PHƯƠNG PHÁP BẢO VỆ STP
1. Bảo vệ gốc
Khi sơ đồ STP đã hội tụ và tạo thành một sơ đồ không bị lặp thì các cổng của switch sẽ đóng một số vai trò. Cổng gốc là cổng của switch có đường đi về switch gốc với chi phí thấp nhất. Cổng được chọn là cổng trên một phân đoạn mạng có đường đi ngắn nhất về switch gốc. Cổng này có nhiệm vụ truyền các BPDU xuống cho các switch ở nhánh dưới. Cổng bị khoá là những cổng không phải là gốc hay cổng được chọn. Cổng thay thế là những cổng ở trạng thái khoá, sẽ thay thế cổng gốc ngay lập tức nếu cổng gốc bị hỏng hóc hay sự cố. Cổng thay thế là khái niệm được dùng khi sử dụng tính năng chuyển cổng lên nhanh. Cổng chuyển tiếp là cổng bình thường của switch cho phép thiết bị đầu cuối kết nối vào. Sau khi switch gốc được tạo ra, nó sẽ gửi ra các BPDU xuống cho các switch ở nhánh dưới. Các switch nhánh dưới sẽ luôn luôn theo dõi các BPDU được gửi ra từ switch gốc nhằm xem xét xem switch gốc có còn hoạt động bình thường nữa không. Nếu BPDU không còn nhận được nữa, các switch ở nhánh dưới sẽ cho rằng switch gốc đã bị sự cố hoặc đường dẫn đến gốc không còn tồn tại nữa. Giải thuật STP được chạy lại và tạo lại một sơ đồ mạng khác.
Vị trí của switch gốc trong STP sơ đồ rất quan trọng. Nó quyết định đường đi của các switch nhánh dưới lên switch gốc là có tối ưu hay không. Do đặc điểm bầu chọn gốc là dựa vào các BPDU nên khi có một switch mới được thêm vào trong sơ đồ mạng STP thì sơ đồ mạng STP lúc này thay đổi. Các switch cần phải tính toán và bầu chọn lại switch gốc cũng như đường đi mới đến switch gốc. Trong BPDU có chứa Bridge ID, trong Bridge ID lại chứa độ ưu tiên của switch. Switch nào có độ ưu tiên nhỏ nhất sẽ trở thành switch gốc. Tuy nhiên, nếu có một switch lạ đã được cấu hình với độ ưu tiên thấp hơn cả độ ưu tiên của switch gốc hiện tại, switch này gắn vào mạng và sẽ trở thành switch gốc.
Tính năng bảo vệ gốc (Root Guard) ra đời cho phép người quản trị luôn giữ được vị trí switch gốc theo ý đã chọn mà không sợ bị bất kì một switch lạ nào gắn thêm vào làm thay đổi STP sơ đồ. Với tính năng này, nếu có một switch lạ quảng bá một gói tin BPDU tốt hơn (superior BPDU) cho switch gốc, switch gốc sẽ không cho phép switch lạ này trở thành switch gốc mới. Nó sẽ đưa cổng nhận gói tin BPDU tốt hơn trước đó trở về trạng thái gốc cần được giám sát. Dữ liệu sẽ không được gửi nhận ở trạng thái này. Khi gói tin BPDU tốt hơn không còn nhận được trên cổng này, cổng này sẽ trải qua các trạng thái của STP để đưa về sử dụng bình thường. Chỉ cấu hình tính năng RootGuard trên switch gốc hoặc các switch nào mà ta không muốn nhận BPDU của một switch lạ, không cấu hình RootGuard trên swich có tính năng UplinkFast. Vì khi cấu hình RootGuard trên switch này sẽ làm cho các cổng thay thế rơi vào trạng thái gốc cần giám sát. Điều này làm cho các cổng thay thế không thể chuyển sang trạng thái chuyển tiếp. Cấu hình RootGuard trên cổng nào muốn bảo vệ bằng câu lệnh:
Nếu áp đặt tính năng RootGuard lên cổng thì cho dù switch mới có Bridge ID ưu tiên hơn (về trị số sẽ là thấp hơn) thì vẫn không ảnh hưởng gì đến mạng. Tính năng này rất mạnh, nó cấm hoàn toàn switch lạ vào mạng không thực hiện được telnet, ping… Khi kiểm tra láng giềng trên switch mới này, bạn sẽ không thấy được switch trong mạng
Bảo vệ gốc và bảo vệ gói tin BPDU (BPDU Guard) là hai phương pháp nhằm ngăn chặn gói BPDU lạ đi vào mạng. Nói rõ hơn khi có switch lạ cắm vào mạng thì switch này không thể trao đổi với các switch khác trong mạng nếu như có bật tính năng này lên. Các tính năng này chỉ có tác dụng trên cổng, có nghĩa là bạn phải cấu hình trên từng cổng. Nếu bạn cấu hình trên cổng f0/1 mà lại đi cắm switch lạ vào cổng f0/2 thì switch mới này vẫn có thể trao đổi thông tin với mạng một cách bình thường.
2. Bảo vệ gói tin BPDU
Vấn đề lớn cần quan tâm là khi có switch lạ nối vào mạng, switch này sẽ truyền gói BPDU của nó vào mạng. Các switch sẽ đồng bộ với nhau về sơ đồ mạng thông qua các gói tin BPDU. BPDU được truyền đến cổng của các switch khác trong mạng, làm thay đổi quan điểm của những switch này về mạng mà nó đang hoạt động và điều này có thể dẫn đến vòng lặp có thể xảy ra. Khi BPDU bị mất, cổng cũng thay đổi trạng thái của nó làm ảnh hưởng đến mô hình mạng ban đầu. Cả hai trường hợp vừa nêu ra ở trên đều có thể gây ra trạng thái lặp vòng và điều làm chúng ta lo lắng đó là mô hình cũ của mạng bị thay đổi. Tính năng bảo vệ gói tin BPDU cũng tương tự như bảo vệ gốc. Tính năng BPDU Guard được khuyến cáo sử dụng ở cổng có tính năng PortFast. Tính năng PortFast cho phép cổng của switch có thể vào trạng thái chuyển tiếp ngay lập tức khi liên kết kết nối với cổng đó được bật lên. Tính năng PortFast được sử dụng khi kết nối với PC tại lớp truy cập. PortFast được bật lên khi chắc chắn rằng trên cổng đó không thể xảy ra vòng lặp. Ta bật PortFast lên không có nghĩa là đã tắt STP trên cổng đó. Nếu có một switch mới bị cắm nhầm vào cổng có tính năng PortFast thì lặp có thể xảy ra vì PortFast cho phép chuyển cổng sang trạng thái chuyển tiếp ngay lập tức. Trong khi đó để phát hiện ra vòng lặp thì phải trải qua một khoảng thời gian và các trạng thái khác nhau thì cổng mới đưa vào sử dụng bình thường được. BPDU Guard sẽ cấm không cho switch lạ trao đổi BPDU với mạng. Khi switch nhận được BPDU trên PortFast với tính năng BPDUGuard thì cổng sẽ bị đưa vào trạng thái bị tắt. Muốn sử dụng lại cổng này thì phải cho phép cổng lại bằng cách cấu hình thủ công hoặc đợi khoảng thời gian bị tắt hết hạn.
3. Giao thức phát hiện liên kết một hướng UDLD
Giao thức phát hiện liên kết một hướng (Unidirectional Link Detection - UDLD) cho phép các thiết bị đang kết nối với nhau bằng cáp quang hoặc cáp đồng có thể quan sát và phát hiện được các vấn đề về trạng thái kết nối vật lý của hệ thống cáp khi có hiện tượng kết nối theo một hướng duy nhất xảy ra. Khi hiện tượng này được phát hiện, UDLD sẽ tắt các cổng bị ảnh hưởng, và phát ra cảnh báo cho các người dùng biết được tình trạng hiện tại của cổng này. Hiện tượng kết nối theo một hướng duy nhất gây ra nhiều hệ quả khác nhau không có lợi cho môi trường LAN, bao gồm cả việc gây ảnh hưởng đến khả năng chống lặp trong giao thức cây mở rộng. UDLD là giao thức hoạt động tại lớp 2 nhưng lại làm việc với các thiết bị lớp 1 để có thể xác định trạng thái kết nối vật lý của một kết nối nào đó. Tại lớp 1, các phương thức tự động thương lượng đảm trách các tín hiệu vật lý và phát hiện lỗi. UDLD thực thi các tác vụ mà các phương thức tự động thương lượng không thể thực thi, ví dụ như phát hiện tình trạng hiện tại của các láng giềng và tắt các cổng kết nối sai. Khi ta bật lên đồng thời giao thức tự động thương lượng và UDLD, lớp 1 và 2 sẽ làm việc cùng nhau để ngăn ngừa các hiện tượng kết nối theo một hướng về mặt vật lý và lụân lý.
Hiện tượng liên kết theo một hướng duy nhất xảy ra khi có "thiết bị bên trong" nào đó phát ra các tín hiệu và được tiếp nhận bởi "láng giềng" nhưng "thiết bị bên trong" này lại không thể tiếp nhận các tín hiệu do "láng giềng" này trả về. Nếu một trong các mạch quang trong một cặp dây bị ngắt , khi mà giao thức tự động thương lượng đã được bật, kết nối không ở trạng thái liên kết một hướng duy nhất. Nếu cặp dây cáp quang này hoạt động bình thường ở lớp 1, thì giao thức UDLD tại lớp 2 sẽ xác định các cáp quang này có được kết nối đúng hay không và các lưu lượng có đang truyền theo cả hai hướng giữa các láng giềng hay không. Giao thức tự động thương lượng không thể thực thi khả năng này bởi vì negotiation hoạt động ở lớp 1. Switch truyền các gói UDLD tới các láng giềng theo chu kỳ thông qua các cổng khi giao thức UDLD đã được bật lên. Các thiết bị ở cả hai đầu kết nối phải hỗ trợ giao thức UDLD để giao thức này có thể định nghĩa và loại bỏ các hiện tượng kết nối một hướng duy nhất. Mặc định, giao thức UDLD được tắt trên giao diện kết nối bằng cáp đồng để tránh việc gửi các lưu lượng điều khiển không cần thiết.
Switch B có thể nhận được các lưu lượng từ Switch A trên cổng kết nối cụ thể. Tuy nhiên Switch A không thể nhận được lưu lượng từ Switch B trên cùng cổng tương tự. UDLD phát hiện ra vấn đề này và tắt cổng này. Các cấu hình mặc định trên switch của Cisco dòng 4500:
Trạng thái bật toàn cục UDLD: Tắt
Trạng thái bật UDLD ở mỗi cổng cho môi trường cáp quang: Bật
Trạng thái bật UDLD ở mỗi cổng cho môi trường cái đồng xoắn đôi: Tắt
Bật giao thức UDLD ở chế độ toàn cục:
Để bật giao thức UDLD toàn cục cho tất cả các cổng quang, gõ lệnh sau:
Switch(config)# [no] udld enable
Chú ý: dòng lệnh này chỉ cấu hình các cổng quang để chạy giao thức UDLD.
Bật giao thức UDLD trên cổng cụ thể:
Switch(config-if)# udld enable
Để xem lại cấu hình:
Switch# show udld interface
Tắt UDLD trên các cổng không phải là giao diện quang:
Switch(config-if)# no udld enable
Để xem lại cấu hình:
Switch# show udld interface
Chú ý: trên các cổng quang, dòng lệnh no udld enable sẽ tắt UDLD trên các cổng
Tắt UDLD trên các cổng quang:
Switch (config-if)# udld disable
Chú ý: dòng lệnh này không được hỗ trợ trên các cổng không phải là giao diện kết nối quang
Khởi động lại các cổng bị tắt bởi UDLD:
Switch# udld reset
