المقدمة
يصف هذا المستند ميزة حماية الجذر لبروتوكول الشجرة المتفرعة (STP) التي تحسن من موثوقية الشبكة المحولة وقابلية إدارتها.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
وصف الميزة
لا يوفر بروتوكول STP القياسي أي وسيلة لمسؤول الشبكة لفرض هيكل شبكة الطبقة الثانية المُبدلة (L2) بشكل آمن. يمكن لوسائل فرض الهيكل أن تكون مهمة، خاصةً في الشبكات ذات التحكم الإداري المشترك، حيث تتحكم الكيانات الإدارية المختلفة أو الشركات المُبدلة في شبكة واحدة.
يتم حساب هيكل إعادة التوجيه للشبكة المُبدلة. يعتمد الحساب على موضع الجسر الرئيسي، من بين معلمات أخرى. يمكن أن يكون أي مُبدل هو الجسر الرئيسي في أي شبكة. ولكن هيكل إعادة التوجيه الأمثل يضع الجسر الرئيسي في موقع مُحدد مسبقًا. مع بروتوكول STP القياسي، فإن أي جسر في الشبكة يحمل مُعرّف جسر أقل قيمة يأخذ دور الجسر الرئيسي. لا يستطيع المسؤول فرض موضع الجسر الرئيسي.
ملاحظة: يمكن أن يقوم المسؤول بتعيين أولوية الجسر الرئيسي على 0 في محاولة لتأمين موضع الجسر الرئيسي. ولكن الجسر الذي يحمل أولوية قيمتها 0 وعنوان MAC أقل قيمة يُعتبر غير مضمون.
تُوفر ميزة Root Guard طريقة لفرض إدخال الجسر الرئيسي في الشبكة.
تضمن ميزة Root Guard أن المنفذ الذي تم تمكين Root Guard عليه هو المنفذ المُعين. عادةً ما تكون جميع منافذ الجسر الرئيسي عبارة عن منافذ مُعينة، ما لم يتم توصيل منفذين أو أكثر للجسر الرئيسي معًا. إذا كان الجسر يستقبل وحدات بيانات بروتوكول جسر STP الفائقة (BPDU) على منفذ مُمكَّن عليه ميزة Root Guard، فسيحول Root Guard هذا المنفذ إلى حالة STP غير المتسقة مع الجذر (Root-inconsistent STP State). إن حالة عدم اتساق الجذر هذه تساوي فعليًا حالة الاستماع (Listening State). لا تتم إعادة توجيه حركة المرور عبر هذا المنفذ. وبهذه الطريقة، يفرض Root Guard موضع الجسر الرئيسي.
يوضح المثال الموجود في هذا القسم كيف يمكن أن يتسبب الجسر الرئيسي المخادع في حدوث مشكلات على الشبكة وكيف يمكن أن تساعد ميزة Root Guard.
في الصورة 1، يشكل المحولان A و B مركز الشبكة، والجسر الرئيسي لشبكة VLAN. المُبدل (ج) عبارة عن مُبدل طبقة وصول. تم حظر الارتباط بين B و C على الجانب C. تعرض الأسهم تدفق وحدات STP BPDU.
الصورة 1
المحول A هو الجسر الرئيسي
في الصورة 2، يبدأ الجهاز D في المشاركة في بروتوكول الشجرة المتفرعة (STP). على سبيل المثال، يتم تشغيل تطبيقات الجسر المستندة إلى البرامج على أجهزة الكمبيوتر أو محولات أخرى تقوم بتوصيلها بشبكة مزود الخدمة. إذا كانت أولوية الجسر (د) تساوي 0 أو أي قيمة أقل من أولوية الجسر الرئيسي، فسيتم اختيار الجهاز (د) كجسر رئيسي لشبكة VLAN المعنية. إذا كان الارتباط بين الجهاز (أ) و(ب) هو 1 جيجابت والروابط بين (أ) و(ج) بالإضافة إلى (ب) و(ج) تساوي 100 ميجابت في الثانية، فإن اختيار (د) كجذر يتسبب في سد ارتباط الإيثرنت بسرعة 1 جيجابت.
يتسبب هذا السد في تدفق جميع البيانات الموجودة في شبكة VLAN هذه عبر ارتباط بسرعة 100 ميجابت في الثانية عبر طبقة الوصول. إن يتدفق كثير معطيات عن طريق لب في أن VLAN من أن هذا خطوة يستطيع إستيعابه، الإسقاط من بعض إطار يقع. يؤدي سقوط الإطارات إلى فقد الأداء أو انقطاع الاتصال.
الصورة 2
المحول D هو جسر رئيسي جديد
تعمل ميزة Root Guard على حماية الشبكة من مثل هذه المشكلات.
يتم تكوين Root Guard على أساس كل منفذ. لا تسمح ميزة Root Guard بأن يصبح المنفذ منفذًا رئيسيًا لبروتوكول STP، لذا يكون المنفذ مخصصًا لبروتوكول STP دائمًا. إذا وصلت وحدة BPDU أفضل على هذا المنفذ، فلن تضع ميزة Root Guard وحدة BPDU في الحسبان وستختار جذر STP جديد. بدلاً من ذلك، تضع ميزة Root Guard المنفذ في حالة عدم اتساق STP مع الجذر (Root-inconsistent STP State). يجب تمكين حماية الجذر على جميع المنافذ التي يجب ألا يظهر فيها الجسر الرئيسي. بطريقة ما، يمكنك فرض طوق حول جزء الشبكة الذي يمكن أن يوجد به جذر بروتوكول STP.
في الصورة 2، قم بتمكين واقي الجذر على منفذ المحول C الذي يتصل بالمحول D.
يقوم المحول C في الصورة 2 بحظر المنفذ الذي يتصل بالمحول D، بعد أن يستقبل المحول وحدة بيانات بروتوكول الجسر (BPDU) فائقة. تضع ميزة Root guard المنفذ في حالة عدم اتساق STP مع الجذر (Root-inconsistent STP State). لا تمر حركة المرور عبر المنفذ في هذه الحالة. بعد أن يتوقف الجهاز (د) عن إرسال وحدات BPDU الفائقة، يصبح المنفذ غير مسدود مجددًا. عبر STP، ينتقل المنفذ من حالة الاستماع (Listening State) إلى حالة التعلّم (Learning State)، وفي النهاية ينتقل إلى حالة إعادة التوجيه (Forwarding State). الاسترداد تلقائي؛ لا يلزم التدخل البشري.
تظهر هذه الرسالة بعد أن تقوم Root Guard بحظر منفذ:
%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77.
Moved to root-inconsistent state
التوفر
يتوفر حماية الجذر في مادة حفازة 6500/6000 التي تعمل ببرنامج Cisco IOS® System. تم إدخال هذه الميزة لأول مرة في برنامج Cisco IOS الإصدار 12.0(7)XE. بالنسبة إلى Catalyst 4500/4000 الذي يعمل ببرنامج نظام Cisco IOS، تتوفر هذه الميزة في جميع الإصدارات.
بالنسبة لمُبدلات Catalyst 2900XL و3500XL، تتوفر Root Guard في إصدار برنامج Cisco IOS Software (5) XU والإصدارات الأحدث. تدعم مُبدلات سلسلة Catalyst 2950 ميزة Root Guard في برنامج Cisco IOS Software الإصدار 12.0(5.2)WC(1) والإصدارات الأحدث. تدعم مُبدلات سلسلة Catalyst 3550 ميزة Root Guard في برنامج Cisco IOS Software الإصدار 12.1(4)EA1 والإصدارات الأحدث.
كما تتوفر هذه الميزة على محولات Cisco Catalyst Series Switches الأحدث.
التكوين
تكوين برامج Cisco IOS لـ Catalyst 6500/6000 وCatalyst 4500/4000
على مُبدلات Catalyst 6500/6000 أو Catalyst 4500/4000 التي تعمل ببرنامج نظام Cisco IOS، قم بإصدار هذه المجموعة من الأوامر لتكوين ميزة Root Guard لبروتوكول STP:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
!
Switch#(config)#interface fastethernet 3/1
Switch#(config-if)#spanning-tree guard root
!
ملاحظة: قام برنامج Cisco IOS الإصدار 12.1(3a)E3 ل the Catalyst 6500/6000 التي تعمل ببرنامج Cisco IOS System بتغيير هذا الأمر من arbreGuard إلى جذر حماية الشجرة المتفرعة . يستخدم Catalyst 4500/4000 الذي يعمل ببرنامج نظام Cisco IOS الأمر spanning-tree guard root في جميع الإصدارات
تكوين برنامج Cisco IOS Software لـ Catalyst 2900XL / 3500XL و2950 و3550
في Catalyst 2900XL و3500XL و2950 و3550، قم بتكوين المُبدلات التي تدعم ميزة Root Guard في وضع تكوين الواجهة، كما يوضح هذا المثال:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface fastethernet 0/8
Switch(config-if)# spanning-tree rootguard
Switch(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on
port FastEthernet0/8 VLAN 1.
Switch#
ما هو الفرق بين حماية وحدة بيانات بروتوكول الشجرة المتفرعة (STP) وواقي جذر بروتوكول الشجرة المتفرعة (STP)
BPDU Guard وRoot Guard متشابهتان، لكن تأثيرهما مختلف. تقوم BPDU Guard بتعطيل المنفذ عند استقبال وحدات BPDU إذا تم تمكين PortFast على المنفذ. يمنع التعطيل فعليًا الأجهزة الموجودة خلف هذه المنافذ من المشاركة في بروتوكول STP. يجب أن تقوم يدويًا بتمكين المنفذ الذي تم وضعه في حالة (errdisable) أو تكوين errdisable-timeout.
تسمح Root Guard للجهاز بالمشاركة في بروتوكول STP طالما أن الجهاز لا يحاول أن يصبح الجهاز الرئيسي. إذا قامت ميزة Root Guard بحظر المنفذ، فإن الاسترداد اللاحق يكون تلقائيًا. يحدث إستعادة بمجرد توقف الجهاز المنحرف عن إرسال وحدات بيانات بروتوكول الجسر (BPDUs) فائقة.
رأيت ل كثير معلومة حول BPDU حارس، يجسر - شجرة PortFast BPDU حارس تعزيز.
هل تساعد حماية الجذر في حل مشكلة الجزأين
يمكن أن يكون هناك فشل في الارتباط أحادي الاتجاه بين جسرين في الشبكة. وبسبب الفشل، لا يتلقى أحد الجسور وحدات BPDU من الجسر الرئيسي. مع مثل هذا الفشل، يستقبل المُبدل الأساسي الإطارات التي ترسلها المُبدلات الأخرى، لكن المُبدلات الأخرى لا تتلقى وحدات BPDU التي يرسلها المُبدل الرئيسي. وهذا يمكن أن يؤدي إلى خلق حلقة STP (STP loop). ونظرًا لأن المُبدلات الأخرى لا تستقبل أي وحدات BPDU من المصدر الرئيسي، فإن هذه المُبدلات تعتقد أنها المصدر الرئيسي وتبدأ في إرسال وحدات BPDU.
عندما يبدأ الجسر الرئيسي الحقيقي في استقبال وحدات BPDU، يتجاهل الجذر وحدات BPDU لأنها ليست فائقة. لا يتغير الجسر الرئيسي. لذلك، لا تساعد ميزة Root Guard في حل هذه المشكلة. تعالج ميزات اكتشاف الارتباط أحادي الاتجاه (UDLD) وLoop Guard هذه المشكلة.
للحصول على مزيد من المعلومات حول سيناريوهات فشل بروتوكول الشجرة المتفرعة (STP) وكيفية أستكشاف أخطائها وإصلاحها، راجع مشاكل بروتوكول الشجرة المتفرعة واعتبارات التصميم ذات الصلة.
معلومات ذات صلة