Protection racine pour les environnements VPLS multi-résidents
Comprendre le multihébergement VPLS
La redondance est intégrée à de nombreux réseaux grâce à l’utilisation de liens et de chemins alternatifs, qui prennent souvent la forme d’anneaux. Lorsque plusieurs hôtes sont attachés à des routeurs CE (Customer Edge) et PE (Provider Edge) pour sécuriser le service VPLS (Virtual Private LAN Service), cette technique est souvent appelée multihébergement.
La figure 1 montre des hôtes connectés à des routeurs CE et à un réseau VPLS via deux routeurs PE. Les routeurs CE sont également connectés, formant une sorte de structure en anneau.
- Avantages du multihébergement
- Comment fonctionne le multihébergement ?
- Temps d’attente du multihébergement VPLS avant de passer à la priorité principale
- Pont multihébergement VPLS vidage du cache MAC lors d’un changement de topologie
- Identificateurs de système de multihébergement VPLS pour les ponts dans l’anneau
- Priorité de multihébergement VPLS du pont de secours
Avantages du multihébergement
Le multihébergement consiste essentiellement à donner à votre équipement informatique ou à votre réseau une présence sur plusieurs réseaux. Lorsque les deux liaisons sont actives, elles sont pleinement utilisées, ce qui augmente le débit global. Si l’une des liaisons tombe en panne, l’autre transporte toujours le trafic.
Le multihébergement est utilisé dans les ponts réseau, les répéteurs, les prolongateurs de portée, les pare-feu, les serveurs proxy, les passerelles et, lors de l’utilisation d’une machine virtuelle, configuré pour utiliser la traduction d’adresses réseau (NAT).
Comment fonctionne le multihébergement ?
Les deux routeurs PE ont leurs propres liens vers un service réseau VPLS, comme illustré sur la Figure 1, mais ne sont pas directement connectés l’un à l’autre. Les quatre routeurs de périphérie exécutent un certain type de protocole Spanning-Tree avec la protection racine activée, et une seule interface PE sera dans l’état de transfert, l’autre étant bloquée.
Supposons que cette interface de transfert passe par PE1. Si la liaison entre CE1 et CE2 échoue, l’interface PE2 bloquante doit détecter un commutateur de protection racine et passer à l’état de transfert. Toutes les adresses MAC apprises par CE2 qui se connectent au service réseau VPLS via PE1 doivent être vidées. De la même manière, lorsque la liaison entre CE1 et CE2 est rétablie, PE2 détecte à nouveau le commutateur de protection racine et recommence à bloquer. Maintenant, toutes les adresses MAC apprises par CE2 qui se connectent via PE2 doivent être vidées. Tout cela est contrôlé par la configuration des actions de changement de topologie de protection racine VPLS sur les routeurs CE.
L’anneau de couche 2 se connecte à l’infrastructure MPLS (Multiprotocol Link Switching) via deux routeurs PE. Les ruptures de liaison sur l’anneau sont protégées en exécutant une version du protocole spanning-tree avec l’option root-protect activée.
Les protocoles de réseau privé virtuel (VPN) de la couche 3, cependant, ne sont pas conscients de l’état de blocage qui résulte de cette configuration de protection racine (les anneaux ou les boucles ne sont pas autorisés à la couche 2 car les protocoles de couche 2 ne fonctionneront pas correctement).
Plusieurs hôtes se connectent aux routeurs CE, qui sont connectés les uns aux autres, ainsi quaux routeurs PE qui accèdent au cloud du réseau VPLS. Toute liaison entre les routeurs de périphérie peut échouer sans affecter l’accès des hôtes aux services VPLS.
Temps d’attente du multihébergement VPLS avant de passer à la priorité principale
À l’échelle mondiale, un temps d’attente prioritaire est associé à chaque type de protocole Spanning Tree. Il s’agit du nombre de secondes, compris entre 1 et 255 secondes, pendant lesquelles le système attend pour passer à la priorité principale lorsque le premier domaine principal apparaît. La valeur par défaut est de 2 secondes. Cela permet d’obtenir un maximum de domaines principaux, et certains peuvent être plus lents que d’autres.
Le nombre de secondes par défaut à maintenir avant de passer à la priorité principale lorsque le premier domaine principal apparaît est de 2 secondes.
Lorsqu’un routeur MX Series ou un commutateur EX Series dans un anneau de couche 2 multihébergement VPLS exécute un protocole Spanning Tree avec la protection racine activée, vous pouvez modifier les actions par défaut effectuées par le routeur ou le commutateur lorsque la topologie change. Pour ce faire, configurez les actions de modification de la topologie de protection racine VPLS.
Vous pouvez inclure l’instruction au niveau de la hiérarchie (pour contrôler le [edit protocols (mstp | rstp | vstp)] comportement global du protocole Spanning Tree) ou au niveau de la [edit protocols vstp vlan vlan-id] hiérarchie (pour contrôler un VLAN particulier).
Les actions de modification de la topologie racine VPLS sont configurées indépendamment de VPLS, du protocole spanning-tree ou de l’option de protection racine du protocole spanning-tree.
Pont multihébergement VPLS vidage du cache MAC lors d’un changement de topologie
Par défaut, si la protection racine est activée et que la topologie change, les ponts ne vident pas le cache d’adresses MAC des adresses MAC apprises lorsque d’autres ports d’interface ont été bloqués.
Pour modifier le comportement par défaut, vous pouvez utiliser l’instruction vpls-flush-on-topology-change.
Vous pouvez inclure l’instruction au niveau de la hiérarchie (pour contrôler le [edit protocols (mstp | rstp | vstp)] comportement global du protocole Spanning Tree) ou au niveau de la [edit protocols vstp vlan vlan-id] hiérarchie (pour contrôler un VLAN particulier).
Plus précisément, les messages de vidage MAC sont envoyés du PE bloqué aux homologues LDP en fonction du mappage de l’identificateur système aux adresses IP, comme spécifié à l’aide de l’instruction system-id .
Les actions de modification de la topologie racine VPLS sont configurées indépendamment de VPLS, du protocole spanning-tree ou de l’option de protection racine du protocole spanning-tree.
Toutefois, pour que l’anneau de couche 2 continue de fonctionner dans un environnement multirésident avec des défaillances de liaison, le protocole spanning-tree exécuté sur les routeurs MX Series nécessite la configuration supplémentaire suivante :
Les protocoles VPN doivent agir sur le blocage et le déblocage des interfaces par le protocole spanning-tree. Plus précisément, les messages de vidage MAC (Media Access Control) doivent être envoyés par le routeur PE bloquant aux homologues LDP afin de vider les adresses MAC apprises lorsque d’autres ports d’interface ont été bloqués.
De plus, si un routeur PE actif sur lequel le pontage de protection racine VPLS est activé perd la connectivité VPLS, la protection racine nécessite que le pont bascule vers l’autre routeur PE pour maintenir la connectivité. Le protocole Spanning Tree doit connaître l’état de la connectivité VPLS sur le routeur PE. Si le cache de l’adresse MAC n’est pas vidé lorsque la topologie change, les trames peuvent être envoyées au mauvais périphérique.
Vous pouvez contrôler les actions effectuées par le routeur MX Series lorsque la topologie change dans un environnement VPLS en anneau de couche 2 multihébergé à l’aide de la protection racine VPLS.
Identificateurs de système de multihébergement VPLS pour les ponts dans l’anneau
Lorsqu’un routeur MX Series ou un commutateur EX Series dans un anneau de couche 2 multihébergement VPLS exécute un protocole Spanning Tree avec la protection racine activée, vous pouvez modifier les actions par défaut effectuées par le routeur ou le commutateur lorsque la topologie change. Pour ce faire, configurez les actions de modification de la topologie de protection racine VPLS.
L’identificateur système des ponts de l’anneau n’est pas configuré par défaut.
Vous pouvez inclure l’instruction au niveau de la hiérarchie (pour contrôler le [edit protocols (mstp | rstp | vstp)] comportement global du protocole Spanning Tree) ou au niveau de la [edit protocols vstp vlan vlan-id] hiérarchie (pour contrôler un VLAN particulier).
Les actions de modification de la topologie racine VPLS sont configurées indépendamment de VPLS, du protocole spanning-tree ou de l’option de protection racine du protocole spanning-tree.
Priorité de multihébergement VPLS du pont de secours
Lorsqu’un routeur MX Series ou un commutateur EX Series dans un anneau de couche 2 multihébergement VPLS exécute un protocole Spanning Tree avec la protection racine activée, vous pouvez modifier les actions par défaut du routeur ou du commutateur lorsque la topologie change. Pour ce faire, configurez les actions de modification de la topologie de protection racine VPLS.
La valeur par défaut du pont de secours est 32 768. Vous pouvez définir la priorité du pont de sauvegarde sur une valeur comprise entre 0 et 61440, par incréments de 4096.
Pour modifier la valeur par défaut, vous pouvez utiliser l’instruction suivante backup-bridge-priority vpls-ring-backup-bridge-priority
Vous pouvez inclure l’instruction au niveau de la hiérarchie (pour contrôler le [edit protocols (mstp | rstp | vstp)] comportement global du protocole Spanning Tree) ou au niveau de la [edit protocols vstp vlan vlan-id] hiérarchie (pour contrôler un VLAN particulier).
Les actions de modification de la topologie racine VPLS sont configurées indépendamment de VPLS, du protocole spanning-tree ou de l’option de protection racine du protocole spanning-tree.
Comprendre la priorité du pont pour l’élection du pont racine et du pont désigné
Utilisez la priorité du pont pour contrôler quel pont est choisi comme pont racine et également pour contrôler quel pont est élu pont racine lorsque le pont racine initial échoue.
Le pont racine de chaque instance de protocole spanning-tree est déterminé par l’ID de pont. L’ID de pont se compose d’une priorité de pont configurable et de l’adresse MAC du pont. Le pont dont l’ID de pont est le plus bas est choisi comme pont racine. Si les priorités du pont sont égales ou si la priorité du pont n’est pas configurée, le pont avec l’adresse MAC la plus basse est élu pont racine.
La priorité de pont peut également être utilisée pour déterminer quel pont devient le pont désigné pour un segment LAN. Si deux ponts ont le même coût de chemin pour le pont racine, le pont dont l’ID de pont est le plus faible devient le pont désigné.
La priorité du pont ne peut être définie que par incréments de 4096.
Prenons un exemple de scénario dans lequel un routeur CE est connecté à deux autres routeurs PE, qui fonctionnent comme des routeurs VPLS PE, avec MSTP activé sur tous ces routeurs et le routeur CE faisant office de pont racine. L’interface IRB (Integrated Routing and Bridging) est configurée pour les instances de routage VPLS sur les routeurs. Dans un tel réseau, les adresses MAC apprises dans le domaine VPLS se déplacent en permanence entre les interfaces LSI ou VT (Virtual Tunnel) et les interfaces VPLS sur les deux routeurs PE. Pour éviter le déplacement continu des adresses MAC, vous devez configurer la protection racine en incluant l’instruction no-root-port au niveau de la [edit routing-instances routing-instance-name protocols mstp interface interface-name] hiérarchie et configurer la priorité du pont sur zéro en incluant l’instruction au niveau de la bridge priority 0 [edit routing-instances routing-instance-name protocols mstp] hiérarchie sur les routeurs PE. Cette configuration sur les routeurs PE est nécessaire pour éviter que les interfaces orientées CE ne deviennent le pont racine.
Comprendre la protection racine pour les interfaces d’instance Spanning-Tree dans un réseau commuté de couche 2
Les applications homologues STP exécutées sur des interfaces utilisent des BPDU pour communiquer. En fin de compte, l’échange de BPDU détermine quelles interfaces bloquent le trafic et quelles interfaces deviennent des ports racine et transfèrent le trafic.
Un port racine élu par ce processus a la possibilité d’être mal élu. Une application de pont utilisateur s’exécutant sur un PC peut également générer des BPDU et interférer avec l’élection du port racine. C’est à ce moment-là que la protection racine est utile.
- Avantages de la protection racine du protocole Spanning Tree
- Fonctionnement de la protection racine
- Où dois-je activer la protection racine ?
Avantages de la protection racine du protocole Spanning Tree
La protection racine permet aux administrateurs réseau d’appliquer manuellement le placement du pont racine dans un réseau commuté de couche 2.
Fonctionnement de la protection racine
Lorsque la protection racine est activée sur une interface, elle est activée pour toutes les instances STP de cette interface. Si le pont reçoit des BPDU supérieures sur un port sur lequel la protection racine est activée, ce port passe à un état STP empêché par la racine et l’interface est bloquée. Cela empêche qu’un pont qui ne devrait pas être le pont racine soit élu pont racine. L’interface est bloquée uniquement pour les instances pour lesquelles elle reçoit des BPDU supérieurs. Dans le cas contraire, il participe à la topologie spanning-tree.
Une fois que le pont cesse de recevoir des BPDU supérieurs sur le port avec la protection racine activée et que les BPDU reçus expirent, ce port revient à l’état de port désigné par STP.
Par défaut, la protection racine est désactivée.
Une interface peut être configurée pour la protection racine ou la protection de boucle, mais pas pour les deux.
Où dois-je activer la protection racine ?
Activez la protection racine sur les interfaces qui ne doivent pas recevoir d’unités de données de protocole de pont (BPDU) supérieures du pont racine et qui ne doivent pas être choisies comme port racine.
Les interfaces qui deviennent des ports désignés sont généralement situées sur une limite administrative. Si le pont reçoit des BPDU STP supérieurs sur un port sur lequel la protection racine est activée, ce port passe à un état STP empêché par la racine (état d’incohérence) et l’interface est bloquée. Ce blocage empêche un pont qui ne devrait pas être le pont racine d’être élu pont racine. Une fois que le pont cesse de recevoir des BPDU STP supérieurs sur l’interface avec protection racine, l’interface revient à un état d’écoute, suivi d’un état d’apprentissage, et finalement à un état de transfert. Le retour à l’état de transfert est automatique.
Exemple : Configuration des actions de modification de la topologie racine VPLS
Cet exemple configure une priorité de pont de 36k, une priorité de pont de secours de 44k, une valeur de temps de maintien de priorité de 60 secondes, un identificateur système de 000203:040506 pour l’adresse IP 10.1.1.1/32 et définit le pont pour vider le cache MAC lors d’un changement de topologie pour MSTP uniquement.
[edit]
protocols {
mstp {
bridge-priority 36k;
backup-bridge-priority 44k;
priority-hold-time 60;
system-id 000203:040506 {
10.1.1.1/32;
}
vpls-flush-on-topology-change;
}
}
Il ne s’agit pas d’une configuration complète.
Activation de la protection racine pour une interface d’instance Spanning-Tree
Pour activer la protection racine pour une interface d’instance Spanning Tree :
Configuration des actions de modification de la topologie de protection racine VPLS pour contrôler le comportement individuel de l’arborescence VLAN
Pour configurer les actions de modification de la topologie de protection racine VPLS afin de contrôler un VLAN particulier :
Exemple : configuration de la protection racine pour appliquer le placement du pont racine dans Spanning Trees sur des commutateurs EX Series non-ELS
Les commutateurs EX Series fournissent une prévention des boucles de couche 2 via les protocoles STP (Spanning Tree Protocol), RSTP (Rapid Spanning Tree Protocol) et MSTP (Multiple Spanning Tree Protocol). La protection racine augmente l’efficacité des protocoles STP, RSTP et MSTP en permettant aux administrateurs réseau d’appliquer manuellement le placement du pont racine dans le réseau.
Cet exemple décrit comment configurer la protection racine sur une interface sur un commutateur EX Series :
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series
Quatre commutateurs EX Series dans une topologie RSTP
Avant de configurer l’interface pour la protection racine, assurez-vous d’avoir :
RSTP fonctionnant sur les commutateurs.
Par défaut, RSTP est activé sur tous les commutateurs EX Series.
Vue d’ensemble et topologie
Les applications homologues STP exécutées sur des interfaces de commutation échangent un type spécial de trame appelé unité de données de protocole de pont (BPDU). Les commutateurs communiquent les informations d’interface à l’aide de BPDU pour créer une topologie sans boucle qui détermine finalement le pont racine et les interfaces qui bloquent ou transfèrent le trafic dans le Spanning Tree.
Cependant, un port racine élu par ce processus a la possibilité d’être mal élu. Une application de pont utilisateur s’exécutant sur un PC peut également générer des BPDU et interférer avec l’élection du port racine.
Pour éviter que cela ne se produise, activez la protection racine sur les interfaces qui ne doivent pas recevoir de BPDU supérieures du pont racine et qui ne doivent pas être choisies comme port racine. Ces interfaces sont généralement situées sur une limite administrative et sont des ports désignés.
Lorsque la protection racine est activée sur une interface :
L’interface ne peut pas devenir le port racine.
La protection racine est activée pour toutes les instances STP de cette interface.
L’interface est bloquée uniquement pour les instances pour lesquelles elle reçoit des BPDU supérieurs. Dans le cas contraire, il participe à la topologie spanning-tree.
Une interface peut être configurée pour la protection racine ou la protection de boucle, mais pas pour les deux.
Quatre commutateurs EX Series sont illustrés à la Figure 2. Dans cet exemple, ils sont configurés pour RSTP et créent une topologie sans boucle. L’interface ge-0/0/7 sur le commutateur 1 est un port désigné sur une limite administrative. Il se connecte au commutateur 4. Le commutateur 3 est le pont racine. L’interface ge-0/0/6 sur le commutateur 1 est le port racine.
Cet exemple montre comment configurer la protection racine sur l’interface ge-0/0/7 pour l’empêcher de devenir le port racine.
racine
Le tableau 1 indique les composants qui seront configurés pour la protection racine.
Propriété |
Paramètres |
|---|---|
Commutateur 1 |
Le commutateur 1 est connecté au commutateur 4 via l’interface ge-0/0/7. |
Commutateur 2 |
L’interrupteur 2 est connecté aux commutateurs 1 et 3. L’interface ge-0/0/4 est le port alternatif dans la topologie RSTP. |
Commutateur 3 |
Le commutateur 3 est le pont racine et est connecté aux commutateurs 1 et 2. |
Commutateur 4 |
L’interrupteur 4 est connecté au commutateur 1. Une fois la protection racine configurée sur l’interface ge-0/0/7, le commutateur 4 enverra des BPDU supérieurs qui déclencheront la protection racine sur l’interface ge-0/0/7. |
Une topologie Spanning Tree contient des ports qui ont des rôles spécifiques :
Le port racine est responsable du transfert des données vers le pont racine.
Le port alternatif est un port de secours pour le port racine. Lorsqu’un port racine tombe en panne, le port alternatif devient le port racine actif.
Le port désigné transfère les données au segment de réseau ou à l’équipement en aval.
Cet exemple de configuration utilise une topologie RSTP. Cependant, vous pouvez également configurer la protection racine pour les topologies STP ou MSTP dans les protocoles d’édition (mstp | stp)] niveau hiérarchique.
Topologie
Configuration
Pour configurer la protection racine sur une interface :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la protection racine sur l’interface ge-0/0/7, copiez la commande suivante et collez-la dans la fenêtre du terminal du commutateur :
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Procédure étape par étape
Pour configurer la protection racine :
Configurer l’interface ge-0/0/7 :
[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration protocols rstp
interface ge-0/0/7.0 {
no-root-port;
}
Vérification
Pour vérifier que la configuration fonctionne correctement :
- Affichage de l’état de l’interface avant le déclenchement de la protection racine
- Vérification du bon fonctionnement de la protection racine sur l’interface
Affichage de l’état de l’interface avant le déclenchement de la protection racine
But
Avant que la protection root ne soit déclenchée sur l’interface ge-0/0/7, confirmez l’état de l’interface.
Action
Utilisez la commande du mode opérationnel :
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Signification
La sortie de la commande show spanning-tree interface en mode opérationnel indique que ge-0/0/7.0 est un port désigné dans un état de transfert.
Vérification du bon fonctionnement de la protection racine sur l’interface
But
Un changement de configuration a lieu sur le commutateur 4. Une priorité de pont plus petite sur le Switch 4 lui permet d’envoyer des BPDU supérieurs à l’interface ge-0/0/7. La réception de BPDU supérieurs sur l’interface ge-0/0/7 déclenchera la protection racine. Vérifiez que la protection racine fonctionne sur l’interface ge-0/0/7.
Action
Utilisez la commande du mode opérationnel :
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Signification
La commande operating mode show spanning-tree interface indique que l’interface ge-0/0/7.0 est passée à un état racine incohérent. L’état racine incohérent provoque le blocage de l’interface, ce qui élimine les BPDU reçus et empêche l’interface de devenir un candidat pour le port racine. Lorsque le pont racine ne reçoit plus de BPDU STP supérieurs de l’interface, l’interface se rétablit et revient à un état de transfert. La récupération est automatique.
Exemple : configuration de la protection racine pour appliquer le placement du pont racine dans Spanning Trees sur des commutateurs EX Series avec ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Les commutateurs EX Series fournissent une prévention des boucles de couche 2 via les protocoles STP (Spanning Tree Protocol), RSTP (Rapid Spanning Tree Protocol) et MSTP (Multiple Spanning Tree Protocol). La protection racine augmente l’efficacité des protocoles STP, RSTP et MSTP en permettant aux administrateurs réseau d’appliquer manuellement le placement du pont racine dans le réseau.
Cet exemple décrit comment configurer la protection racine sur une interface sur un commutateur EX Series :
Exigences
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS version 13.2X50-D10 ou ultérieure ou ultérieure pour les commutateurs EX Series
Quatre commutateurs EX Series dans une topologie RSTP
Avant de configurer l’interface pour la protection racine, assurez-vous d’avoir :
RSTP fonctionnant sur les commutateurs.
Par défaut, RSTP est activé sur tous les commutateurs EX Series.
Vue d’ensemble et topologie
Les applications homologues STP exécutées sur des interfaces de commutation échangent un type spécial de trame appelé unité de données de protocole de pont (BPDU). Les commutateurs communiquent les informations d’interface à l’aide de BPDU pour créer une topologie sans boucle qui détermine finalement le pont racine et les interfaces qui bloquent ou transfèrent le trafic dans le Spanning Tree.
Cependant, un port racine élu par ce processus a la possibilité d’être mal élu. Une application de pont utilisateur s’exécutant sur un PC peut également générer des BPDU et interférer avec l’élection du port racine.
Pour éviter que cela ne se produise, activez la protection racine sur les interfaces qui ne doivent pas recevoir de BPDU supérieures du pont racine et qui ne doivent pas être choisies comme port racine. Ces interfaces sont généralement situées sur une limite administrative et sont des ports désignés.
Lorsque la protection racine est activée sur une interface :
L’interface ne peut pas devenir le port racine.
La protection racine est activée pour toutes les instances STP de cette interface.
L’interface est bloquée uniquement pour les instances pour lesquelles elle reçoit des BPDU supérieurs. Dans le cas contraire, il participe à la topologie spanning-tree.
Une interface peut être configurée pour la protection racine ou la protection de boucle, mais pas pour les deux.
Quatre commutateurs EX Series sont illustrés à la Figure 3. Dans cet exemple, ils sont configurés pour RSTP et créent une topologie sans boucle. L’interface ge-0/0/7 du commutateur 1 est un port désigné sur une limite administrative. Il se connecte au commutateur 4. Le commutateur 3 est le pont racine. L’interface ge-0/0/6 du commutateur 1 est le port racine.
Cet exemple montre comment configurer la protection racine sur l’interface ge-0/0/7 pour l’empêcher de devenir le port racine.
racine
Le Tableau 2 indique les composants qui seront configurés pour la protection racine.
Propriété |
Paramètres |
|---|---|
Commutateur 1 |
Le commutateur 1 est connecté au commutateur 4 via l’interface |
Commutateur 2 |
L’interrupteur 2 est connecté aux commutateurs 1 et 3. L’interface |
Commutateur 3 |
Le commutateur 3 est le pont racine et est connecté aux commutateurs 1 et 2. |
Commutateur 4 |
L’interrupteur 4 est connecté au commutateur 1. Une fois la protection racine configurée sur l’interface |
Une topologie Spanning Tree contient des ports qui ont des rôles spécifiques :
Le port racine est responsable du transfert des données vers le pont racine.
Le port alternatif est un port de secours pour le port racine. Lorsqu’un port racine tombe en panne, le port alternatif devient le port racine actif.
Le port désigné transfère les données au segment de réseau ou à l’équipement en aval.
Cet exemple de configuration utilise une topologie RSTP. Toutefois, vous pouvez également configurer la protection racine pour les topologies STP ou MSTP au niveau de la hiérarchie [edit protocols mstp ].
Topologie
Configuration
Pour configurer la protection racine sur une interface :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement la protection racine sur l’interface ge-0/0/7, copiez la commande suivante et collez-la dans la fenêtre du terminal du commutateur :
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Procédure étape par étape
Pour configurer la protection racine :
Configurer l’interface
ge-0/0/7:[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration protocols rstp
interface ge-0/0/7 {
no-root-port;
}
Vérification
Pour vérifier que la configuration fonctionne correctement :
- Affichage de l’état de l’interface avant le déclenchement de la protection racine
- Vérification du bon fonctionnement de la protection racine sur l’interface
Affichage de l’état de l’interface avant le déclenchement de la protection racine
But
Avant que la protection root ne soit déclenchée sur l’interface ge-0/0/7, vérifiez l’état de l’interface.
Action
Utilisez la commande du mode opérationnel :
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Signification
La sortie de la commande show spanning-tree interface de mode opérationnel indique qu’il s’agit ge-0/0/7 d’un port désigné dans un état de transfert.
Vérification du bon fonctionnement de la protection racine sur l’interface
But
Un changement de configuration a lieu sur le commutateur 4. Une priorité de pont plus petite sur le Switch 4 lui permet d’envoyer des BPDU supérieurs à l’interface ge-0/0/7. La réception de BPDU supérieurs sur l’interface ge-0/0/7 déclenchera la protection racine. Vérifiez que la protection racine fonctionne sur l’interface ge-0/0/7.
Action
Utilisez la commande du mode opérationnel :
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Signification
La commande show spanning-tree interface du mode opérationnel indique que l’interface ge-0/0/7 est passée à un état racine incohérent. L’état racine incohérent provoque le blocage de l’interface, ce qui élimine les BPDU reçus et empêche l’interface de devenir un candidat pour le port racine. Lorsque le pont racine ne reçoit plus de BPDU STP supérieurs de l’interface, l’interface se rétablit et revient à un état de transfert. La récupération est automatique.