ทำความรู้จัก Spanning Tree ตอนที่ 5

STP

สวัสดีครับบทความตอนที่ 5 นี้ผมจะมาแนะนำวิธีการตัั้งค่าสวิตซ์เพื่อใช้งาน RSTP เนื่องจากว่าสวิตซ์แตะละยี่ห้อจะมีคำสั่งที่ใช้ในการตั้งค่าที่แตกต่างกัน ในบทความนี้ผมขอยกตัวอย่างเป็นยี่ห้อ Cisco เนื่องจากว่ามีการใช้งานอย่างแพร่หลาย มาเริ่มกันเลยครับ อันดับแรกผมจะใช้ topology ดังรูปด้านล่างครับ

เรามาดูสถานะ STP ของแต่ละสวิตซ์กันก่อนครับ พิมพ์คำสั่ง show spanning-tree vlan 1

SW1 ได้ผลลัพธ์ดังรูปครับ

จากในรูปจะเห็นว่าค่า priority ของ Root Bridge และของตัวสวิตซ์เองมีค่าเท่ากับ 32769 ( 32768 + 1 ) เพราะฉะนั้นเราจะดูค่า MAC Address กันต่อ ที่ Root Bridge มีค่าเป็น 0001.426D.E0C9 ซึ่งมีค่าน้อยกว่า MAC Address ของ SW1 คือ 000A.F33B.0678

SW2 ได้ผลลัพธ์ดังรูปครับ

เราจะเห็นว่า SW2 เป็น Root Bridge จากข้อความ This bridge is the root และเราจะเห็นว่าพอร์ตทุกพอร์ตของ SW2 จะเป็น Designated port ( Desg ) มีสถานะเป็น Forwarding ( FWD ) ค่า Cost เป็น 19 เนื่องจากเป็นพอร์ต fast

SW3 ได้ผลลัพธ์ดังรูปครับ

ที่ SW3 จะมีพอร์ต Fa0/2 เป็น Root port และมีค่า root path cost เท่ากับ 38 นั่นคือจาก Fa0/2 ของ SW3 ไป Fa0/2 SW1 ค่า Cost เท่ากับ 19 และจาก Fa0/1 SW1 ไป Fa0/1 SW2 มีค่า cost เท่ากับ 19 รวมทั้ง 2 hop เท่ากับ 38

SW4 ได้ผลลัพธ์ดังรูปครับ

ที่ SW4 จะมีพอร์ต Fa0/2 เป็น root port ที่ต่อไปยัง SW2 ซึ่งเป็น Root Bridge

ต่อไปเราจะกำหนดโหมดการทำงานของสวิตซ์ใหม่ ซึ่งโหมดเริ่มต้นของสวิตซ์ในตัวอย่างจะเป็น PVST ซึ่งจะเทียบเท่ากับ STP 802.1D แต่ Cisco นำมาพัฒนาต่อยอดเป็น PVST ( Per VLAN Spanning Tree ) เราจะเปลี่ยนจาก PVST เป็น Rapid PVST ซึ่งจะเทียบเท่า RSTP นั่นเองครับโดยใช้คำสั่ง spanning-tree mode rapid-pvst

เริ่มที่ SW1 ครับ

ต่อกันที่ SW2

และ SW3 ครับ

จบที่ SW4 ครับ

จะเห็นว่าพอร์ต role และ port state ไม่ได้เปลี่ยนไปเลยใช่มั้ยครับ

เราจะกำหนดให้ SW 1 เป็น Root Bridge จากการกำหนดค่า bridge priority เสียใหม่ และกำหนดให้ SW2 เป็น Backup Root Bridge

ที่ SW1 ใช้คำสั่ง spanning-tree vlan 1 root primary และดูผลจากการเปลี่ยนค่า bridge priority ดังรูป

จะเห็นว่า Priority ของ SW1 เปลี่ยนเป็น 24577 ( 24576 + 1 ) และตอนนีี้ SW1 ก็ทำหน้าที่เป็น Root Bridge ดังจะเห็นได้จากในรูป

ที่ SW2 ใช้คำสั่ง spanning-tree vlan 1 root secondary และดูผลจากการเปลี่ยนค่า bridge priority ดังรูป

จะเห็นว่า Priority ของ SW2 เปลี่ยนเป็น 28673 ( 28672 + 1 ) ซึ่งมีค่ามากกว่า priority ของ Root Bridge แต่ก็ยังน้อยกว่าค่าเริ่มต้น 32768 ดังนั้นถ้า Root Bridge เกิดไม่สามารถทำงานได้ SW2 ก็จะทำหน้าที่เป็น Root Bridge แทน

การตั้งค่า portfast เพื่อให้พอร์ตที่ต่อกับอุปกรณ์ของผู้ใช้สามารถเข้าสู่สถานะ forwarding ได้อย่างรวดเร็วด้วยคำสั่ง spanning-tree portfast ดังรูป

จากในรูปเราจะเห็นข้อมูลระบุว่า The port is in the portfast mode เพื่อป้องกันไม่ให้มีผู้ไม่หวังดีนำสวิตซ์ที่คอนฟิกค่า Bridge ID ที่ดีกว่าในระบบของเราเพื่อมายึดตำแหน่ง Root Bridge ของเราไป เราจะใช้การปกป้อง spanning tree portfast โดยการเปิด BPDU guard ด้วยคำสั่ง spanning-tree portfast bpduguard default แล้วทดลองนำสวิตซ์อีกตัวมาต่อเพิ่มที่ fa0/3 ของ SW3 เพื่อดูว่า SW3 สามารถป้องกันการถูกโจมตีได้หรือไม่ ดังรูป

เราจะเห็นข้อความแจ้งเตือนว่า fa0/3 ได้รับ BPDU เข้า ซึ่ง SW3 มี BPDU guard คอยช่วยป้องกันอยู่จึงเปลี่ยนสถานะของพอร์ต fa0/3 เป็น err-disable

ซึ่งวิธีการแก้ไขคือต้องไปถอดสวิตซ์ที่เพิ่มเข้ามาใหม่ออก หรือจะปิดไม่ให้สวิตซ์ตัวใหม่ส่ง BPDU ออกมาแล้วทำการ shutdown พอร์ต แล้ว no shutdown เพื่อให้พอร์ตกลับมาทำงานตามปกติครับ

สำหรับบทความในตอนที่ 5 คงต้องสิ้นสุดไว้เพียงเท่านี้ครับ หวังว่าบทความนี้คงเป็นประโยชน์กับผู้อ่านบ้างไม่มากก็น้อย แล้วเจอกันใหม่ในบทความตอนหน้า ขอลาไปก่อน สวัสดีครับ