Semestrální Projekt SPS

Transkript

1 Semestrální Projekt SPS Téma: Interoperabilita částí přepínaní sítě provozujízích různé verze protokolu Spanning Tree (legacy 802.1d, 802.1q Common Spanning Tree, Cisco PVST+, RSTP 802.1w, 802.1s/MST s více regiony) Vypracoval: Jan Benbenek BEN341 Datum:

2 Funkce spanning tree protokolu Redundance zvyšuje dostupnost síťové topologie, tím že chrání síť proti výpadku jediného bodu, jako je například vadný síťový kabel nebo přepínač. Pokud zavedeme redundanci na druhé vrstvě modelu OSI, pak může docházet ke vzniku smyček nebo duplikátních rámců. Smyčky a duplikátní rámce mohou mít závažné následky na celou funkci sítě. Spanning Tree Protocol (STP) byl vyvinut, aby zabránil těmto problémům. STP zajišťuje existenci pouze jediné logické cesty mezi všemi cílovými sítěmi, tím že dočasně blokuje redundantní cesty, které by mohly způsobit smyčku. Port je považován za zablokovaný, jestliže je zabráněno síťovému provozu, vstupu nebo výstupu z tohoto portu. Toto opatření nezahrnuje BPDU (bridge protocol data unit) rámce, které jsou využívány STP k prevenci smyček. Blokování redundantních cest má zásadní význam pro prevenci smyček v síti. Fyzické cesty stále existují (aby zajistili redundanci), ale jsou zablokovány z důvodu zamezení vzniku smyček. Pokud je zablokovaná cesta někdy potřebná (např. v případě výpadku přepínače nebo poničeného kabelu), STP přepočítá cesty znovu a odblokuje nezbytné redundantní porty umožňující komunikaci.(1) STA (Spanning Tree Algorithm) STP vyžívá STA (spanning tree algorithm) k určování toho, které porty přepínače v síti musí být nakonfigurovány pro blokování (zabránění výskytu smyčky). STA určí jeden přepínač jako root bridge (kořenový) a využívá ho jako referenční bod pro všechny výpočty cest. Př. Na obrázku 1 je vybrán ve výběrovém procesu jako root bridge přepínač SW1. Všechny přepínače, které se účastní v STP procesu si vyměňují BPDU rámce, aby určili, který přepínač má nejnižší BID (bridge ID) v síti. Přepínač s nejnižším BID se automaticky stává root bridge.(1) BPDU (Bridge Protocol Data Unit) BPDU je zpráva, která se vyměňuje mezi přepínači. Každý BPDU rámec obsahuje BID, které jednoznačně identifikuje přepínač. BID obsahuje hodnotu priority (priorita), MAC adresu odesílajícího přepínače a volitelně také ID rozšířeného systému (extended system ID). Nejnižší hodnota BID je právě určena kombinací těchto tří polí. Poté co byl určen root bridge, STA vypočítává nejkratší cestu k tomuto přepínači. Každý přepínač využívá STA k určování toho, které porty má blokovat. Zatímco STA určuje nejlepší cesty pro všechny cílové sítě 2

3 v broadcastové doméně (směrem k root bridge), veškerému provozu je bráněno vysílání prostřednictvím sítě. Při určování, kterou cestu nechat odblokovanou, STA zvažuje obojí (cenu portu i cesty). Cena cesty (path cost) je vypočítávaná pomocí hodnoty cena portu (port cost) spolu s rychlostí portů přepínače pro danou cestu. Součet všech cen portů určuje celkovou cenu cesty (path cost) ke kořenovému mostu (root bridge). Jestliže existuje více cest ke stejnému cíli, STA si vybere cestu s nejnižší cenou.(1) Jakmile STA algoritmus určil, kterou cestu nechat dostupnou, nakonfiguruje ostatní porty přepínače do různých rolí. Role jednotlivých portů popisuje jejich vztah v síti vzhledem k root bridge a zda jsou poveleny směrovat síťový provoz.(1) Root ports (kořenové porty) porty přepínače nejblíže ke kořenovému přepínači (root bridge). V příkladu na obrázku jsou kořenovým porty na přepínači S2 F0/1 (konfigurovaná trunk linka mezi přepínačem S2 a S1. Kořenovým portem na S3 je F0/1 (trunk linka mezi S3 a S1).(1) Designated ports (vyhrazené porty) všechny porty, které nesměřují ke kořenovému přepínači (root bridge), ale mají poveleny přeposílat síťový provoz. V příkladu na obrázku jsou to porty F0/1 a F0/2 přepínače S1. Dále také přepínač S2 má svůj port F0/2 nakonfigurovaný jako vyhrazený.(1) Non-designated ports (nevhrazené porty) všechny porty nakonfigurované do blokovacího stavu k prevenci vzniku smyček. Na obrázku 1 port f0/2 na přepínači S3 je Non-designated port (v blokovacím stavu).(1) Obr.1 3

4 Verze protokolu STP Cisco standarty Per VLAN Spanning Tree Protocol (PVST) Udržuje spanning-tree instanci pro každou nakonfigurovanou VLAN v síti. Využívá Cisco proprietárního ISL protokolu, který umožňuje, aby VLAN trunk přeposílal pouze určité VLAN, zatímco jiné blokuje. Protože PVST zachází s každou VLAN jako se separátní sítí, může vyrovnávat zatížení síťovým provozem na 2. Vrstvě. Umožňuje přeposílání některých VLAN na jednom trunk portu a dalších VLAN na druhém portu, bez možnosti vzniku smyčky. V rámci PVST vyvinulo Cisco několik proprietárních rozšíření původního standartu IEEE 802.1D STP (BackboneFast, UplinkFast a PortFast).(1) Per-VLAN spanning tree protocol plus (PVST+) Cisco vyvinulo PVST+, aby poskytlo podporu pro IEEE 802.1Q trunking protokol. PVST+ poskytuje stejnou funkcionalitu jako PVST, včetně Cisco STP rozšíření. PVST+ je podporován pouze na Cisco zařízeních. PVST+ zahrnuje vylepšení portfast nazvané BPDU guard a root guard.(1) Rapid per-vlan spanning tree protocol (rapid PVST+) Je založen na standartu IEEE 802.1w a má rychlejší průběh konvergence než STP (standart 802.1D). Rapid PVST+ zahrnuje taktéž (BackboneFast, UplinkFast a PortFast).(1) 4

5 IEEE standarty Rapid spanning tree protocol (RSTP) Poprvé byl představen v roce 1982 jako vývoj STP (802.1D standardu). Po změně topologie poskytuje rychlejší konvergenci spanning-tree protokolu. RSTP implementuje proprietární Cisco standarty (BackboneFast, UplinkFast, and PortFast) do veřejného standartu. V roce 2004 IEEE začlenila RSTP do 802.1D, a tuto specifikaci značí jako IEEE 802.1D (1) Multiple STP (MSTP) Umožňuje mapování více VLAN do stejné Spanning-tree instance. Snižuje počet instancí potřebných k podpoře většího počtu VLAN. MSTP bylo inspirováno Cisco proprietárním protokolem MISTP (Multiple Instances STP). Bylo představeno ve standartu IEEE 802.1s jako dodatek ke 802.1Q (vydaného v roce 1988). Standard IEEE 802.1Q nyní zahrnuje MSTP. MSTP poskytuje přeposílání více cest pro přenos dat, podporuje také load balancing.(1) MSTP Region Jak už bylo zmíněno, hlavním vylepšením MSTP je to, že několik VLAN může být mapováno pouze do jedné spanning-tree instance. Tato vlastnost ovšem vyvolává problém, jak určit, který z VLAN patří do dané spanning-tree instance. Přesněji, jak označit BPDU, tak aby přijímací zařízení mohlo identifikovat instanci a VLAN, ke které se vztahuje dané zařízení. Tento problém je nepodstatný v případě standartu 802.1q, kde jsou všechny instance mapovány do unikátní instance. V PVST+ implementaci je asociace následující:(3) Různé VLAN nesou BPDU v příslušné instanci. CISCO MISTP posílá BPDU pro každou instanci, včetně seznamu VLAN, za které je dané BPDU zodpovědné. Pokud by dva přepínače byly nesprávně nakonfigurovány a měly rozdílný rozsah VLAN přidruženou ke stejné instanci, bylo by obtížné pro samotný protokol se z takové situace zotavit. IEEE 802.1s výbor přijal mnohem snazší a jednodušší přístup, který představil prostřednictvím MST regionů. Myšlenka regionu je ekvivalentem autonomního systému u směrovacího protokolu BGP (Border Gateway Protocol), ve kterém je skupina přepínačů pod jednou správou.(3) Každý přepínač, na kterém je spuštěn MSTP má jednotnou MSTP konfiguraci, která se skládá z těchto tří atributů:(3) 5

6 a) Alfanumerický název konfigurace (32 bytů) b) Číslo revize (revision number 2 byty) c) Tabulka se 4096-ti elementy, která podporuje každý ze 4096 potenciálních VLAN, podporovanou danou šasi na danou instanci. Aby přepínač mohl být součástí společné oblasti MST, musí daná skupina přepínačů sdílet stejné konfigurační atributy. Hranice regionu Za účelem zajištění konzistentní VLAN-instance mapování, je nezbytné, aby protokol byl schopen přesně identifikovat hranice dané oblasti. Z tohoto důvodu jsou charakteristiky této oblasti zahrnuty do BPDU. Přesné mapování VLAN-instance není v BPDU propagováno, protože přepínače pouze potřebují vědět, zda jsou ve stejné oblasti jako sousední přepínač. Proto je zaslán pouze obsah mapovací tabulky VLANinstance, spolu s číslem revize a jménem. Jakmile přepínač přijme BPDU, tak přepínač vyjme obsah (numerická hodnota odvozená pomocí matematické funkce z mapovací tabulky VLAN-instance) a porovná tento obsah se svým vypočítaným obsahem. Jestliže se obsahy odlišují, tak port, na kterém bylo BPDU přijato, je na hranici dané oblasti. Obecně port je na hranici regionu, pokud určený bridge (designated bridge) ve svém segmentu, je v odlišné oblasti anebo přijímá legacy 802.1d BPDU. Na tomto obrázku, port přepínače B1 je na hranici oblasti A, zatímco porty přepínačů B2 a B3 jsou interní v oblasti B. (3) MSTP instance Podle IEEE 802.1s specifikace, MSTP bridge musí být schopen udržet nejméně tyto dvě instance: - Jednu interní Spanning-tree instanci - Jednu nebo více mnohonásobných Spanning-tree instancí (MSTI) Tato terminologie se stále vyvíjí, aktuálně je ve fázi před standardem. Je zcela možné, že se tyto názvy a pojmy změní v posledním vydání 802.1s. Cisco implementace podporuje 16 instancí: jednu IST instanci (0) a 15 MSTP instanci.(3) IST, CIST a CST instance 6

7 Aby bylo možné jasně pochopit roli IST instance, tak je nutné si zapamatovat, že původně pochází z IEEE. Z tohoto důvodu musí protokol MSPT být schopen spolupracovat s 802.1q sítěmi (802.1q je další IEEE standart). Pro 802.1q, platí, že přepínané sítě podporují pouze jednu spanning-tree instanci (CST common spanning-tree). IST instance je jednoduše RSTP instance, která rozšiřuje CST, uvnitř MSTP oblasti. IST instance přijímá a zasílá BPDU do CST. IST může reprezentovat celou MSTP oblast jako CST virtuální most vzhledem k vnějším sítím.(3) IST je pouze spanning-tree instance, která odesílá a přijímá BPDU. Všechny ostatní spanning-tree informace jsou obsaženy v záznamech M (M-records), které jsou zapouzdřeny do BPDU MSTP. Vzhledem k tomu, že MSTP BPDU nese informaci pro všechny instance, tak je počet BPDU, které musí být zpracovány pomocí přepínače, pro podporu více spanning-tree instancí výrazně snížena.(2) Na diagramu je znázorněno funkční zapojení. Všimněte si umístění jednotlivých blokovaných portů. V typicky přepínaných sítích, se běžně blokuje port mezi přepínačem M a B. Místo toho je blokován port na přepínači D (běžně byste očekávali druhý blokovaný port někde uprostřed MSTP oblasti). Nicméně díky IST se celá oblast zobrazí jako jeden virtuální bridge (most), který spouští jedinou spanning-tree instanci (CST). Díky tomu je možné si uvědomit, že virtuální most blokuje alternativní port B.(3) CIST(common and internal spanning tree), CST (common spanning tree) CIST instance je soubor: IST instancí v každé MST oblasti a common spanning tree (CST), která propojuje MST oblasti a jednotlivé STP. STP vypočítaný v dané oblasti se jeví jako podstrom v CST, který zahrnuje celou přepínanou doménu. CIST je vytvořena jako výsledek STP algoritmu, běžícího mezi přepínači podporující protokoly 802.1W, 7

8 802.1S, a 802.1D. CIST uvnitř MST oblasti je stejná jako CST mimo oblast.(2) CST Common Spanning-Tree (CST) předpokládá jednu spanning-tree instanci pro celou přepínanou síť, bez ohledu na počet VLAN. Toto provedení snižuje zatížení procesoru, protože je zachována pouze jedna STP instance pro celou síť.(2) MSTI (multiple spanning-tree instance) MSTI jsou jednoduché RSTP instance, které existují pouze uvnitř oblasti. Tyto instance spouští RSTP automaticky (výchozí nastavení), bez jakékoliv konfigurace. Na rozdíl od IST, MSTI nespolupracuje s okolními oblastmi. MSTP spouští pouze jednu spanning-tree instanci mimo oblast, takže kromě IST instance, nemají regulérní instance uvnitř oblasti žádnou analogii. Kromě toho, MSTI neposílá BPDU mimo oblast (pouze IST posílá BPDU mimo oblast).(3) MSTI neposílají individuální nezávislé BPDU. Uvnitř MSTP oblasti, si přepínače vyměňují MST BPDU, které můžeme vidět jako normální RSTP BPDU pro IST instanci, zatímco obsahují další informace pro každou MSTI instanci. Tento diagram znázorňuje výměnu BPDU mezi přepínači A a B uvnitř MST oblasti. Každý přepínač posílá pouze jeden BPDU rámec (každý rámec zahrnuje jeden Mrecord pro MSTI na všech portech).(3) První informační pole přenášené MST BPDU rámcem obsahuje informace o IST. To znamená, že IST (instance 0) je vždy přítomna kdekoli uvnitř MST oblasti. Na rozdíl od běžné konvergované spanning-tree topologie, mohou oba konce linky současně vysílat i přijímat BPDU rámce. To je proto, že (jak je znázorněno v tomto diagramu) každý přepínač může být určen pro jednu nebo více instancí a pro potřeby vysílaní BPDU. Jakmile se určí jedna MST instance na portu, tak je odeslán BPDU rámec, který obsahuje informace pro všechny instance (IST+MSTI). Diagram znázorňuje zasílání MST BPDU rámců uvnitř a mimo MST oblast.(3) 8

9 Mrecord (Mzáznam) obsahuje dostatek informací (většinou root bridge (kořenový přepínač) a prioritní parametry odesílajícího přepínače) k výpočtu konečné topologie pro danou instanci. Mrecord nepotřebuje žádné časově závislé parametry jako např. hello time, forward delay a max age, které se běžně nacházejí v rámcích BPDU IEEE 802.1d nebo 802.1q CST. Jediná instance v MST oblasti, která využívá tyto parametry je IST. Hello time určuje, jak často se mají zasílat BPDU rámce a parametr forward delay se hlavně využívá, pokud není možný rychlý přechod (rapid ). Protože MSTI instance závisí na IST instanci, tak tyto časovače nepotřebuje.(3) Spolupráce mezi MST oblastmi a okolím Díky přesunu k sítím využívajícím MST, bude muset administrátor pravděpodobně řešit problémy související s interoperabilitou mezi MST a staršími protokoly. MST bez problému spolupracuje se standardem 802.1q CST. Nicméně pouze zlomek sítí je založených na standardu 802.1q, právě díky omezení jedinou spanning-tree instanci. Cisco vydalo PVST+ ve stejné době jako byla oznámena podpora pro 802.1q. Cisco také poskytuje efektivní přesto jednoduchý mechanismus kompatibility mezi MST a PVST +. První vlastnost MST oblasti je, že na hraničních portech nejsou zasílány žádné MSTI BPDUs rámce (zasílány pouze IST BPDU rámce). Interní instance (MSTI) vždy automaticky sledují IST topologii na hraničních portech.(3) Předpokládejme (v tomto diagramu), že jsou VLAN 10 až 50 mapovány do zelené instance, která je pouze interní instancí MSTI. Červené linky reprezentují IST a proto také představují CST. VLAN 10 až 50 jsou povoleny kdekoli v topologii. BPDU rámce pro zelenou instanci nejsou posílány mimo MST oblast. To ale neznamená, že je zde smyčka v sítích VLAN 10 až 50. 9

10 MSTI instance sledují IST instanci na hraničních portech a hraniční port na přepínači B blokuje síťový provoz pro zelenou instanci. Přepínače, na kterých je MSTP dokážou automaticky detekovat v hraničních oblastech PVST+ souseda. Tyto přepínače jsou schopny detekovat to, že je přijímáno několik BPDU rámců pro různé VLAN sítě na trunk portu, pro danou instanci.(3) Diagram znázorňuje problém interoperability. MST oblast spolupracuje pouze s jednou spanning-tree (CST) instancí mimo oblast. Nicméně PVST+ přepínače spouští jeden spanning-tree algoritmus (STA) pro každou VLAN síť. Výsledek je ten, že přepínač posílá pouze každé 2 sekundy jeden BPDU rámec pro každou VLAN. Proto hraniční MST přepínač neočekává přijetí mnoha BPDU rámců. MST bridge očekává, že přijme nebo odešle pouze jeden BPDU rámec, v závislosti na tom, zda je most kořenem nebo ne.(3) Cisco vyvinulo mechanismus, který řeší tento problém. Možnost by spočívala v tunelování extra BPDU rámců zasílané PVST + mosty v celé oblasti MST. Nicméně, toto řešení se ukázalo jako příliš složité a potenciálně nebezpečné, když bylo poprvé implementováno v MISTP. Byl vytvořen jednodušší postup. MST oblast kopíruje IST BPDU rámce na všech VLAN, aby simulovala PVST+ souseda. (3) Kompatibilita RSTP s 802.1D RSTP protokol je schopen spolupracovat se staršími verzemi STP. Avšak je důležité si uvědomit, že podstatné výhody rychlé konvergence 802.1w budou ztraceny při spolupráci s těmito staršími verzemi STP. (4) Každý port si udržuje proměnnou, která definuje protokol, který má být spuštěn na daném segmentu. Časovač zpoždění přesunu ( migration delay timer - 3 sekundy) je spuštěn, při zapnutí portu. Jestliže běží tento druh časovače, tak současný STP nebo RST mód spojený s tímto portem, je blokován. Jakmile tento časovač vyprší, tak se port adaptuje na daný mód, který odpovídá příštímu přijatému BPDU rámci. Jestliže port změní svůj mód na základě přijatého BPDU, tak se časovač spustí znovu. To omezuje četnost možné změny módu.(4) 10

11 Předpokládejme například, že mosty A a B na obrázku mají spuštěné RSTP (přepínač A, který je určen pro daný segment). Starší STP bridge C je přidán do této linky. Jako zástupce 802.1d ignoruje RSTP BPDU rámce a zahazuje je. Tento přepínač C nedetekuje žádné jiné přepínače na segmentu, a proto začíná posílat podřízené 802.1d formáty BPDU rámců. Přepínač A přijímá tyto BPDU rámce a po dvou hello time maximech, mění svůj mód pouze na tomto portu na 802.1d. Celkový výsledek je ten, že přepínač C nyní rozumí BPDU rámcům od přepínače A a přijímá A jako (designated bridge) pro daný segment.(4) V tomto konkrétním případě, jestliže je přepínač C odstraněn, tak most A běží stále v STP módu na daném portu, dokonce ikdyž je schopen pracovat mnohem efektivněji v RSTP módu s jeho unikátním sousedem B. To protože, přepínač A neví, že byl přepínač C odstraněn ze segmentu. V tomto příkladu, je potřeba zásah uživatele, aby znovu manuálně obnovil detekci portu. Pokud je port v režimu kompatibility, je také schopen ovládat upozornění změny topologie (TCN Topology Change Notification) rámce BPDU a nastavení s bitem TC nebo TCA.(4) Spanning-Tree Interoperabilita a zpětná kompatibilita Tabulka uvádí interoperabilitu a kompatibilitu mezi podporovanými spanning-tree režimy v síti. PVST+ MSTP Rapid PVST+ PVST+ Ano Ano (s omezeními) Ano (vrátí k PVST+) MSTP Ano (s omezeními) Ano Ano (vrátí k PVST+) Rapid PVST+ Ano (vrátí k PVST+) Ano (vrátí k PVST+) Ano V kombinované MSTP a PVST+ síti, musí být CST (common spanning-tree) root uvnitř MST páteře a PVST+ přepínač se nemůže připojit k více MST regionům. Pokud síť obsahuje přepínače provozující rapid PVST + a přepínače provozující PVST+, tak se doporučuje, aby přepínače rapid PVST+ i PVST+ byly nakonfigurovány pro různé spanning-tree instance. V STP instancích rapid PVST+ musí být kořenovým přepínačem rapid PVST+. V PVST+ instancích musí být kořenový přepínač PVST+. PVST+ přepínače by měly být umístěny na okraji sítě.(5) STP a IEEE 802.1q trunk Standard IEEE 802.1q pro VLAN trunk zavádí některá omezení tykající se spanning-tree strategie. Standard vyžaduje pouze jednu spanning-tree instanci pro všechny nakonfigurované VLAN na trunk portech. Avšak v sítích skládajících se z Cisco přepínačů propojených přes 802.1q trunky, přepínače udržují pouze jednu spanning-tree instanci pro každou VLAN na trunku. (5) Když připojíte přepínač Cisco k jinému zařízení prostřednictvím trunku 802.1q, tak přepínač Cisco využije k poskytnutí interoperability PVST+. 11

12 Pokud je zapnuto rapid PVST+, tak přepínač využije právě rapid PVST+ místo PVST+. Přepínač kombinuje spanning-tree instanci IEEE 802.1q VLAN trunku se spanning-tree instanci non-cisco přepínače 802.1q. Nicméně všechny PVST+ nebo rapid PVST+ informace jsou udržovány přepínači Cisco separátně od všech 802.1q non-cisco přepínačů. Non-Cisco IEEE 802.1Q cloud oddělující Cisco přepínače, je považován jako jedna trunk linka mezi přepínači. PVST + je automaticky povoleno na trunk portech IEEE 802.1Q, není nutná žádná uživatelská konfigurace. Externí spanning-tree chování na přístupových portech a ISL trunk portech není ovlivňováno PVST+.(5) 12

13 Použité zdroje: 1) Curriculum CCNA - LAN Switching and Wireless. [online] [cit ]. Dostupné z: 2) Configuring MSTP. In: Cisco.com [online]. 05 May 2007 [cit ]. Dostupné z: /release/12.1_19_ea1/configuration/guide/swmstp.html#wp ) Understanding Multiple Spanning Tree Protocol (802.1s). In: Cisco.com [online]. Apr 17, 2007 [cit ]. Dostupné z: per09186a cfc.shtml 4) Understanding Rapid Spanning Tree Protocol (802.1w). In: Cisco.com [online]. Oct 24, 2006 [cit ]. Dostupné z: per09186a cfa.shtml?referring_site=smartnavrd 5) Configuring STP. In: Cisco Systems, Inc. Catalyst 2950 and Catalyst 2955 Switch Software Configuration Guide, 12.1(14)EA1 [online]. 05 May 2007 [cit ]. Dostupné z: /release/12.1_14_ea1/configuration/guide/swstp.html 13