“Konfiguriere immer root guard am designiert Port – hast du gesagt. Alles wird gut… hast du gesagt.”
Mit diesen Worten hat mich neulich ein etwas zu gut gelaunter Kollege begrüßt. Ja, das stimmt… und eigentlich habe ich auch angenommen, dass der über beide Ohren grinsende Kollege auch etwas bei mir in Sachen Spanning Tree Protokoll (STP) gelernt hat, aber mal wieder Käsekuchen essen. Aus diesem Anlass:
Was macht Root-Guard eigentlich?
Erklärung
Zunächst einmal folgender wichtiger Hinweis – Die Primäre Root-Bridge und die Sekundäre Root-Bridge eines STP sollten sich immer in der gleichen Multiple Spanning Tree Instances (MSTI) befinden und die Uplinks Ports zwischen diesen Switchen sollten auch niemals mit Root-Guard konfiguiert werden.
Speziell für den Common and Internal Spanning Tree (CST/CIST) werden die Primäre Root-Bridge und die Sekundäre Root-Bridge beim Netzwerkdesign in einem breitbandigen Core-Layer gelegt.
Aufgrund möglicher Konfigurationsfehler seitens des Techniker (“Ich habe nur diesen Switch angeschlossen”) oder bösartiger Angriffe von Junior Bastard Operator from Hell (JBOfH) im Netzwerk kann es jedoch vorkommen, dass die eigentliche Root-Bridge ein Konfiguration Bridge Protocol Data Unit (BPDU) mit höherer Priorität erhält.
“Hm, gar nicht mal so gut”
Nehmen wir einfach mal an: Ein anderes Netzwerk-Gerät ersetzt die aktuelle reguläre Root-Bridge. Dies führt somit zu einer unerwünschten Änderung der Netzwerktopologie einem Topology Change (TC) . Der Datenverkehr, der zuletzt noch über eine Hochgeschwindigkeitsverbindungen lief, wird nun auf einen langsamen Baumarkt Switch oder schlimmer – über ein VoIP Telefon-Switch umgestellt, was meist zu einer Netzwerküberlastung führt.
Um dies zu verhindern, bietet das Multiple Spanning Tree Protocol (MSTP) die Root-Guard-Funktion an. Wenn Root-Guard auf einem Uplink-Port einer Root-Bridge im Core-Layer aktiviert ist, spielt dieser Port die Rolle des Designated Port auf allen MSTI. Nachdem dieser Port von einem MSTI eine Konfiguration BPDU mit höherer Priorität erhält, führt er die folgenden Operationen durch:
- Setzt diesen Port sofort in den Hörzustand im MSTI
- Leitet die empfangene Konfiguration BPDU nicht weiter
Dies entspricht dem logischen Trennen der an diesen Port angeschlossenen Verbindung im MSTI.
You shall not pass!
Empfängt der Port innerhalb der doppelten Weiterleitungsverzögerung keine BPDUs mit höherer Priorität, kehrt er in seinen Ursprungszustand zurück.
Aus diesem einfachen Grund solltet Ihr natürlich nur die Ports mit Root-Guard konfiguieren, die von der Root-Bridge zur Designated Bridge im Distribution Layer oder Access Layer gehen. NICHT umgekehrt lieber Kollege.
Konfiguration
Immer von NORTH nach SOUTH konfigurieren.
ArubaOS / HPE ProVision
spanning-tree <PORT> root-guard
H3C Comware
interface <PORT>
stp root-protection
Cisco IOS
interface <PORT> spanning-tree guard root
FYI: weitere Hersteller folgen