1. Spanning Tree Protocol
STP (Spanning-Tree Protocol) PVST( Per Vlan Spanning Tree )
• PVST 환경에서 Root Bridge가 여러 개 있으면 LB 가능
STP (Spanning-Tree Protocol) RPVST
• EIGRP 와 OSPF 와 같은 라우팅 프로토콜은 네트워크 변화를 처리 할 때 STP Convergence 보다 빠름
• 라우팅 프로토콜의 속도를 따라잡기 위해 Rapid PVST 개발
• RPVST는 STP 의 진화형 으로 구성 측면에서는 PVST와 동일
STP (Spanning-Tree Protocol) RPVST Configuration
STP (Spanning-Tree Protocol) Tuning - Portfast
• 시스코 독점 기술
• 활성화된 인터페이스는 즉시 Forwarding 전환 (Listening , Learning 생략)
• 활성화된 인터페이스에 대한 토폴로지 변경 알림 생성 하지 않음
• 호스트 연결 인터페이스에 사용 권장
STP (Spanning-Tree Protocol) Tuning - RootGuard
• 특정 스위치를 Root Bridge로 받아 들이지 않도록 해서 STP 토폴로지를 보호하는 기술
✓ 현재 Root Bridge 보다 상위 BID를 갖는 BPDU를 전달 받게 되면 해당 Port를 차단
STP (Spanning-Tree Protocol) Tuning - BPDU Guard
=> portfast와 같이 사용 rootguard보다 타이트하게 관리
=> root guard 논리적 block / bpdu guard 물리적 down
• 원하지 않는 포트로 BPDU 수신을 했을 때 STP 토폴로지를 보호하는 기술
✓ BPDU가 수신되면 해당 포트 차단
STP (Spanning-Tree Protocol) Tuning - BPDU Filter
• BPDU Guard와 유사한 동작으로 BPDU를 필터링해 STP 토폴로지를 보호하는 기술
✓ Global 설정 : Portfast 활성화된 인터페이스에 동작 (BPDU를 수신하면 Portfast 해제 및 Filter 비활성화)
✓ Interface 설정 : 해당 인터페이스의 BPDU 송/수신 중지 (SW 연결 포트에 설정 시 Loop 발생 주의)
STP (Spanning-Tree Protocol) Tuning - LoopGuard => H/W 오동작
• 케이블 장애로 단방향 이슈가 발생 했을 때 , 또는 H/W 오동작으로 인해 SW가 BPDU를 정상적으로 처리 하지 못하는
경우에 STP 토폴로지를 보호하는 기술
PVST 장점
VLAN 마다 STP를 다르게 가져감
VLAN 마다 Root Bridge가 다름
VLAN 마다 BLK Port가 다름
→ VLAN 마다 Flow를 다르게 가져갈 수 있음 (부하분산)
STP 조정 필요
PVST 단점
표준 STP 동작 (IEEE)
계산 시간이 오래 걸림
직접링크 장애 발생 : ALT / BLK ⇒ Rp,Dp / FWD (30sec)
간접링크 장애 발생 : ALT / BLK ⇒ Rp,Dp / FWD (50sec)
RSTP (RPVST) ★★★
동작은 PVST 동일
STP 토폴로지 장애 발생시 : ALT / BLK ⇒ Rp,Dp / FWD (1sec)
Portfast (보조)
최초 케이블이 연결시 FWD 상태로 전환 되는 시간 30sec
만약 연결되는 장비가 PC, Svr 등의 End-Point 경우 STP 계산을 위한 30sec 불필요
케이블 연결 즉시 jump > FWD , 단말은 즉시 통신 가능
End-Point 연결되는 모든 인터페이스에 설정 권장
Root Bridge가 2초마다 전송하는 BPDU는 전달
단. STP가 동작 하는 Network 장비가 연결되면 Loop 발생 가능
configure
(config)# interface [x/x]
(config-if)# spanning-tree portfast
BPDUFilter (보호)
해당 인터페이스로 BPDU 송/수신 하지 않음
단말이 연결되는 인터페이스에 설정 권장 (Portfast 와 같이 사용 권장 , BPDUguard 와 같이 사용 권장)
네트워크의 STP 동작에 필수적인 포트에서 BPDUFilter를 잘못 설정하면 네트워크 안정성에 심각한 문제가 발생
특정 상황에서 유용할 수 있지만, 대부분의 네트워크 환경에서는 그다지 필요하지 않은 기능
configure
(config)# int [x/x]
(config-if)# spanning-tree bpdufilter enable
Bpduguard (보호) => 물리적 다운
해당 인터페이스로 BPDU 수신 즉시 err-disable
허가받지 않은 스위치가 인프라에 연결되는 것을 초기에 차단
단말이 연결 될 인터페이스에 설정 권장 (portfast와 같이 사용)
configure
(config)# interface [x/x]
(config-if)# spanning-tree bpduguard enable
확인.
show interface status err-disable
인터페이스 복구
(config)# interface [x/x]
(config-if)# shutdown
(config-if)# no shutdown
RootGuard (보호)
BPDUGuard와 유사 동작
해당 인터페이스에서 자신이 학습하고 있는 RootBridge의 BID보다
우선순위 BID를 갖은 BPDU를 수신하게 되면 BLK
만약 자신이 학습하고 있는 RootBridge의 BID보다 후순위 경우 연결 허용
configure
(config)# interface [x/x]
(config-if)# spanning-tree guard root
LoopGuard (보호)
HW 오동작(BPDU 정상 처리 불가) / 단방향 링크(BPDU 정상 수신 불가)
이슈로 BLK가 FWD로 전환되는 것을 미연에 방지
BLK 포트 구간에 동작
configure
(config)# interface [x/x] => BLK 인터페이스
(config-if)# spanning-tree guard loop
PNET Capture 방법
메모장 관리자 권한 실행
열기 ⇒ C:\Program Files\EVE-NG\wireshark_wrapper.bat
‘SET PASSWORD’ 수정
@ECHO OFF
SET USERNAME="root"
SET PASSWORD="pnet"
putty 실행
PNET ssh 접속 (공개키 학습)
PNET LAB
Capture 원하는 장비 우클릭
Capture ⇒ 인터페이스 선택
Wireshark 실행 확인
STP (Spanning-Tree Protocol) MST (Multiple Spanning Tree)
• PVST 또는 RPVST 환경에서 20개의 VLAN이 운영될 경우 STP 인스턴스가 20 있음을 의미
• 만약 VLAN이 200개 이상이 동작 하고 있을 경우 이를 위해 많은 리소스(CPU/RAM) 필요
• MST는 이러한 리소스 낭비를 문제를 해결하기 위해 STP 계산을 Per VLAN 이 아닌 인스턴스 단위로 계산
✓ 인스턴스1 : VLAN 100 ~ 200
✓ 인스턴스2 : VLAN 201~300
• MST를 사용하도록 구성된 스위치의 인접 디바이스는 MST 동작 필수 (인스턴스 인식 필요)
STP MST Configuration
• STP Mode 변경
• 기본 MST Instance 0 확인
• Trunk 구성 및 VLAN 생성
• MST Instance 구성
• MST Instance 1 조정
• MST Instance 2 조정
Etherchannel
• 여러 개의 물리적 링크를 하나의 논리적 링크로 묶을 수 있는 기술
EtherChannel then we have three options :
• PAgP (Cisco 전용) (Port Aggregation Protocol)
• LACP (IEEE standard)
• Manual (Static)
All interfaces have the same configuration :
• Duplex
• Speed
• Native and allowed VLANs
• Switchport mode (Access or Trunk)
Etherchannel - PAGP Configuration #1
Etherchannel - PAGP Configuration #2
Etherchannel - LACP(Link Aggregation[집합] Control Protocol)
LACP(Link Aggregation Control Protocol)
Etherchannel - LACP Configuration #1
Etherchannel - LACP Configuration #2
Etherchannel - Manual Configuration #1
Etherchannel - Manual Configuration #2
Layer-3 Etherchannel
• 여러 개의 물리적 링크를 하나의 논리적 링크로 묶어 IP를 할당 (Etherchannel + IP address)
• 라우터의 인터페이스와 유사 동작
• 물리적 인터페이스에 no switchport 설정 (생략 시 L2 동작)
Layer-3 Etherchannel Configuration
| SW1 | SW2 |
| SW8#sh etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 12 Po12(RU) - Et0/0(P) Et0/1(P) |
SW9#sh etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 12 Po12(RU) - Et0/0(P) Et0/1(P) |
Gateway Redundancy
Gateway Redundancy - HSRP (Host Standby Routing Protocol)
• Cisco 전용 Gateway Redundancy 기술
• HSRP 동작을 위해선 최소 두 개의 장비 필요
• 한 대의 장비가 Active 역할을 하고 다른 장비는 Standby 역할
• Active 역할을 하는 장비가 가상 게이트웨이의 IP 와 vMAC을 갖고 패킷을 처리
• Multicast UDP 기반의 Hello 메시지를 송수신 하며 장애 탐지
✓ 장애 발생 시 Standby 장비가 가상 게이트웨이 IP 와 vMAC을 갖고 패킷을 처리
Gateway Redundancy - HSRP Configuration
• 높은 Priority 값을 가진 장비가 초기 협상에서 Active 선점
✓ Priority 동일한 경우 가장 높은 IP를 갖는 장비가 Active 선점
• HSRP 운영 중 Priority 값에 의해 Active 전환을 위해서는 Preempt 설정 필요
• HSRP에는 두 가지 버전이 있으며 라우터 또는 스위치 모델에 따라 HSRP Version 2 사용 가능
Gateway Redundancy - VRRP (Virtual Router Redundancy Protocol)
• HSRP와 유사하게 동작하는 표준 Gateway Redundancy 기술
Gateway Redundancy - VRRP Configuration
HSRP 와 STP 관계
- HSRP는 GW 이중화를 위해서 IT 인프라에 필수적으로 운영
- 사용자는 외부 통신을 위해 반드시 GW 통해 통신
- 최적의 경로를 갖기 위해 STP 조정은 필수
- 빠른 GW 도달을 위해서는 BLK 위치 조정