이 페이지의 내용
스패닝 트리 프로토콜에 대한 BPDU 보호
스패닝 트리 인스턴스 인터페이스에 대한 BPDU 보호 이해
ACX 시리즈 라우터, MX 시리즈 라우터, PTX 시리즈 라우터, EX 시리즈 스위치 및 QFX 시리즈 스위치는 전체 브리징 네트워크의 트리 토폴로지(스패닝 트리)를 생성하여 네트워크의 루프를 방지하는 스패닝 트리 프로토콜을 지원합니다. 모든 스패닝 트리 프로토콜은 브리지 프로토콜 데이터 유닛(BPDU)이라는 특수한 유형의 프레임을 사용하여 서로 통신합니다.
스패닝 트리 프로토콜(STP) 패밀리는 레이어 2 브리징 네트워크에서 가능한 루프를 끊도록 설계되었습니다. 루프 방지는 잠재적으로 네트워크를 쓸모 없게 만들 수 있는 브로드캐스트 스톰의 손상을 방지합니다. 브리지의 STP 프로세스는 BPDU를 교환하여 LAN 토폴로지를 결정하고, 루트 브리지를 결정하고, 일부 포트에서 전달을 중지하는 등의 작업을 수행합니다. 그러나 오작동하는 사용자 애플리케이션 또는 디바이스는 STP 프로토콜의 작동을 방해하고 네트워크 문제를 일으킬 수 있습니다.
BPDU-block은 오작동하는 사용자 애플리케이션이나 디바이스 또는 위협으로부터 STP 토폴로지를 방어하는 기능입니다. BPDU를 수신하지 않아야 하는 인터페이스에서 BPDU 가드를 활성화해야 합니다.
인터페이스가 에지 포트로 구성된 경우 바로 포워딩 상태로 전환됩니다. 이러한 포트는 엔드 디바이스에 연결되며 BPDU를 수신하지 않을 것으로 예상됩니다. 따라서 루프를 방지하려면 bpdu-block-on-edge를 활성화하여 에지 포트를 보호해야 합니다.
STP를 지원하는 라우터 및 스위치에서 예상되지 않아야 하는 인터페이스(예: 다른 브리지가 없는 네트워크 에지의 LAN 인터페이스)에서 수신된 BPDU를 무시하도록 BPDU 보호를 구성할 수 있습니다. 보호된 인터페이스에서 BPDU가 수신되면 인터페이스가 비활성화되고 프레임 전달이 중지됩니다. 기본적으로 모든 BPDU는 모든 인터페이스에서 수락되고 처리됩니다.
여러 가지 방법으로 BPDU 보호를 달성할 수 있습니다. 기본적으로 인터페이스에서 bpdu-block이 활성화된 경우 BPDU를 수신하면 인터페이스가 비활성화되고 인터페이스에서 모든 트래픽 전달이 중지됩니다. 그러나 인터페이스를 비활성화하지 않고 해당 인터페이스가 STP 계산에 참여하지 않도록 하려면 작업 삭제를 구성할 수 있습니다. 작업 삭제를 구성하면 인터페이스가 계속 실행되고 트래픽이 계속 흐릅니다. 그러나 BPDU는 삭제됩니다.
Edge 포트는 작업 삭제를 지원하지 않습니다. BPDU-block-on-edge는 에지 포트가 BPDU를 수신하는 경우 인터페이스를 비활성화합니다. 인터페이스를 다시 가동하려면 오류를 해결해야 합니다.
다음과 같은 캡슐화 유형의 인터페이스에서 BPDU 보호를 구성할 수 있습니다.
-
이더넷 브리지
-
이더넷-VPLS
-
확장 VLAN 브리지
-
vlan-vpls
-
vlan-브리지
-
확장 vlan-vpls
개별 인터페이스 또는 브리지의 모든 에지 포트에서 BPDU 보호를 구성할 수 있습니다.
계층 아래에서 set protocols (mstp|rstp|vstp) 명령을 사용하여 bpdu-block-on-edge 에지 포트로 구성된 인터페이스에서 BPDU 보호를 사용하도록 설정합니다. 포트를 에지 포트로 구성하지 않은 경우에도 계층 아래의 명령을 사용하여 bpdu-block 인터페이스에서 BPDU 보호를 구성할 수 있습니다set protocols layer2-control. 또한 명령을 사용하여 bpdu-block 스패닝 트리에 대해 구성된 인터페이스에서 BPDU 보호를 구성할 수 있습니다.
또한보십시오
STP, RSTP 및 MSTP에 대한 BPDU 보호 이해
네트워크는 서로 다른 목표를 달성하기 위해 여러 프로토콜을 동시에 사용하는 경우가 많으며, 경우에 따라 이러한 프로토콜이 서로 충돌할 수 있습니다. 한 가지 경우는 스패닝 트리 프로토콜이 네트워크에서 활성 상태일 때로, BPDU(Bridge Protocol Data Unit)라고 하는 특수한 유형의 스위칭 프레임이 PC와 같은 다른 디바이스에서 생성된 BPDU와 충돌할 수 있습니다. 다른 종류의 BPDU는 호환되지 않지만 BPDU를 사용하고 네트워크 중단을 일으키는 다른 디바이스에서 여전히 인식할 수 있습니다. BPDU를 인식하는 모든 디바이스가 호환되지 않는 BPDU를 선택하지 않도록 보호해야 합니다.
다양한 유형의 BPDU
STP(스패닝 트리 프로토콜), RSTP(Rapid Spanning Tree Protocol), VSTP(VLAN Spanning Tree Protocol) 및 MSTP(Multiple Spanning Tree Protocol)와 같은 스패닝 트리 프로토콜은 자체 BPDU를 생성합니다. 이러한 피어 STP 애플리케이션은 BPDU를 사용하여 통신하며, 궁극적으로 BPDU의 교환은 트래픽을 차단하는 인터페이스와 루트 포트가 되는 인터페이스를 결정합니다. 루트 포트와 지정된 포트는 트래픽을 포워딩합니다. 대체 및 백업 포트는 트래픽을 차단합니다.
개별 스패닝 트리 인스턴스 인터페이스에 대한 BPDU 보호 구성
하나 이상의 스패닝 트리 인스턴스 인터페이스에서 BPDU 보호를 구성하려면 문을 포함합니다.bpdu-block
bpdu-block { interface interface-name; disable-timeout seconds; }
선택적 disable-timeout seconds 명령문을 포함하는 경우, 간격이 0이 아닌 한 보호된 인터페이스는 지정된 시간 간격 후에 자동으로 지워집니다.
브리지 간 정보 교환에 사용되는 BPDU 이해
레이어 2 브리지 환경에서 스패닝 트리 프로토콜은 브리지 간에 정보를 교환하기 위해 BPDU(Bridge Protocol Data Unit)라는 데이터 프레임을 사용합니다.
피어 시스템의 스패닝 트리 프로토콜은 포트 역할, 브리지 ID 및 루트 경로 비용에 대한 정보가 포함된 BPDU를 교환합니다. 각 라우터 또는 스위치에서 스패닝 트리 프로토콜은 이 정보를 사용하여 루트 브리지를 선택하고, 각 스위치의 루트 포트를 식별하고, 각 물리적 LAN 세그먼트에 대해 지정된 포트를 식별하고, 특정 중복 링크를 정리하여 루프 없는 트리 토폴로지를 만듭니다. 결과 트리 토폴로지는 두 엔드 스테이션 사이에 단일 활성 레이어 2 데이터 경로를 제공합니다.
스패닝 트리 프로토콜에 대한 논의에서 및 switch 용어는 bridge 종종 같은 의미로 사용됩니다.
BPDU의 전송은 MX 시리즈 5G 유니버설 라우팅 플랫폼에서 레이어 2 제어 프로토콜 프로세스(l2cpd)에 의해 제어됩니다.
l2cpd 프로세스를 대신한 주기적 패킷 전송은 기본적으로 패킷 전달 엔진에서 실행되도록 구성된 PPM(Periodic Packet Management)에 의해 수행됩니다. 패킷 전달 엔진의 ppmd 프로세스는 l2cpd를 사용할 수 없는 경우에도 BPDU가 전송되도록 보장하고 통합 ISSU(In-Service Software Upgrade) 중에 원격 인접성을 활성 상태로 유지합니다. 그러나 패킷 전달 엔진 대신 라우팅 엔진에서 분산 PPM(ppmd) 프로세스를 실행하려면 패킷 전달 엔진에서 ppmd 프로세스를 비활성화할 수 있습니다.
중복 라우팅 엔진(동일한 라우터에 설치된 두 개의 라우팅 엔진)이 있는 라우터 및 스위치에서 논스톱 브리징을 구성할 수 있습니다. 논스톱 브리징을 통해 라우터는 L2CP(Layer 2 Control Protocol) 정보 손실 없이 기본 라우팅 엔진에서 백업 라우팅 엔진으로 전환할 수 있습니다. 논스톱 브리징은 GRES(Graceful Routing Engine Switchover)와 동일한 인프라를 사용하여 인터페이스 및 커널 정보를 보존합니다. 그러나 논스톱 브리징은 백업 라우팅 엔진에서 l2cpd 프로세스를 실행하여 L2CP 정보도 저장합니다.
논스톱 브리징을 사용하려면 먼저 GRES를 활성화해야 합니다.
논스톱 브리징은 다음 레이어 2 제어 프로토콜에 대해 지원됩니다.
스패닝 트리 프로토콜(STP)
RSTP(Rapid Spanning-Tree Protocol)
MSTP(Multiple Spanning-Tree Protocol)
EVPN-VXLAN을 위한 BPDU 보호 이해
EVPN-VXLAN 데이터센터 패브릭에는 스플릿 호라이즌(split-horizon), 지정 포워더(designated forwarder), 비지정 포워더(non-designated forwarder) 선택 등 다양한 이더넷 루프 방지 메커니즘이 내장되어 있습니다. 새 IP EVPN 패브릭이 구축되는 일부 기존 데이터센터 환경에서는 xSTP 계산 오류로 인한 네트워크 중단을 방지하기 위해 리프-서버 인터페이스에서 BPDU 보호를 구성해야 할 수 있습니다. 서버와 리프 인터페이스 간의 잘못된 케이블 연결 또는 두 개 이상의 ESI-LAG 인터페이스 간의 백도어 레이어 2 링크는 계산 착오를 일으켜 이더넷 루프를 초래할 수 있습니다. BPDU 보호가 없으면 BPDU가 인식되지 않을 수 있으며 VXLAN 인터페이스에서 알 수 없는 레이어 2 패킷으로 플러딩됩니다. BPDU 보호를 사용하면 EVPN-VXLAN 환경의 에지 포트에서 BPDU가 수신되면 에지 포트가 비활성화되고 모든 트래픽 전달이 중지됩니다. 또한 BPDU 트래픽을 삭제하도록 BPDU 보호를 구성할 수 있지만 스패닝 트리 프로토콜을 구성할 필요 없이 인터페이스에서 다른 모든 트래픽을 전달할 수 있습니다.
포트 셧다운 모드로 BPDU 보호를 위한 인터페이스 구성
스위치의 에지 인터페이스에서 BPDU 보호를 구성하려면,
스위치가 최종 디바이스에 연결되어 있는지 확인합니다.
BPDU 드롭 모드로 BPDU 보호를 위한 인터페이스 구성
특정 액세스 스위치의 경우, 호환되지 않는 BPDU 패킷이 발생할 때 스위치의 인터페이스가 종료되지 않도록 할 수 있습니다. 대신 호환되지 않는 BPDU 패킷만 삭제하고 나머지 트래픽은 통과시킵니다. 이러한 인터페이스에는 스패닝 트리 프로토콜이 구성되어 있지 않아야 인터페이스를 통과하는 패킷으로 인해 STP가 잘못 구성되어 네트워크 중단이 발생하지 않습니다.
호환되지 않는 BPDU 패킷만 삭제하고 나머지 트래픽은 통과하도록 허용하면서 인터페이스 상태를 업으로 유지하도록 인터페이스에 대한 BPDU 보호를 구성하려면 다음을 수행합니다.
BPDU 보호를 구성하는 스위치가 피어 디바이스에 연결되어 있는지 확인합니다.
에지 인터페이스에 대한 BPDU 보호 구성
스패닝 트리 토폴로지에서 스위치가 액세스 스위치인 경우 해당 스위치의 인터페이스는 다른 스위치에 연결되지 않은 PC, 서버, 라우터 또는 허브와 같은 최종 디바이스에 연결됩니다. 이러한 인터페이스는 최종 디바이스에 직접 연결되므로 에지 인터페이스로 구성합니다.
에지 인터페이스로 구성된 인터페이스는 네트워크 루프를 생성할 수 없으므로 즉시 전달 상태로 전환될 수 있습니다. 스위치는 엔드 스테이션과의 통신 부재를 감지하여 에지 포트를 감지합니다. 에지 포트가 최종 디바이스에 연결되므로 루프를 피하기 위해 에지 포트에 BPDU 보호를 구성해야 합니다. 에지 인터페이스에서 BPDU 보호가 활성화된 경우 ae BPDU가 발생할 때 인터페이스가 종료되어 트래픽이 인터페이스를 통과하지 못하게 됩니다. 작동 모드 명령을 실행하여 clear error bpdu interface interface-name 인터페이스를 다시 활성화할 수 있습니다. 명령은 clear error bpdu interface interface-name 인터페이스만 다시 활성화하지만 BPDU 컨피그레이션을 명시적으로 제거하지 않는 한 인터페이스에 대한 BPDU 컨피그레이션은 계속 존재합니다.
스위치의 에지 인터페이스에서 BPDU 보호를 구성하려면,
스위치가 최종 디바이스에 연결되어 있는지 확인합니다.
예: 600초 동안 인터페이스에서 BPDU 차단
다음 예는 어그리게이션 이더넷과 함께 풀 브리지 구성과 함께 사용될 경우 인터페이스를 다시 활성화하기 전에 인터페이스 ae0 에서 10분(600초) 동안 BPDU를 차단합니다.
[edit protocols layer2-control]
bpdu-block {
interface ae0;
disable-timeout 600;
}
또한보십시오
예: 인터페이스에서 BPDU 보호 구성
이 예에서는 ELS(Enhanced Layer 2 Software) 구성 스타일을 지원하지 않는 EX 시리즈 스위치용 Junos OS를 사용합니다. ELS에 대한 자세한 내용은 Enhanced Layer 2 Software CLI 사용을 참조하십시오.
BPDU 보호가 활성화되면 호환되지 않는 BPDU가 발견될 때 인터페이스가 BPDU 패킷을 종료하거나 삭제하여 스패닝 트리 프로토콜에 의해 생성된 BPDU가 스위치에 도달하지 못하게 합니다. 인터페이스가 BPDU 패킷을 삭제하도록 구성된 경우 호환되지 않는 BPDU를 제외한 모든 트래픽이 인터페이스를 통과할 수 있습니다.
BPDU 드롭 기능은 스패닝 트리 프로토콜이 구성되지 않은 인터페이스에서만 지정할 수 있습니다.
이 예에서는 두 대의 PC에 연결되는 STP 스위치 다운스트림 인터페이스에서 BPDU 보호를 구성합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
RSTP 토폴로지의 EX 시리즈 스위치 1개
-
스패닝 트리 토폴로지에 없는 EX 시리즈 스위치 1개
-
EX 시리즈 스위치용 Junos OS 릴리스 9.1 이상
BPDU 보호를 위해 스위치 2에서 인터페이스를 구성하기 전에 다음을 확인하십시오.
-
RSTP가 스위치 1에서 작동하는지 확인했습니다.
-
스위치 2에서 RSTP 비활성화 또는 활성화(구현하려는 구성에 따라 다름)
BPDU 종료 기능을 활성화하려면 인터페이스에서 스패닝 트리 프로토콜을 비활성화하는 것이 선택 사항입니다.
기본적으로 RSTP는 모든 EX 시리즈 스위치에서 활성화됩니다.
개요 및 토폴로지
이 예에서는 인터페이스에서 BPDU 보호를 구성하는 방법을 설명합니다.
그림 1 은 이 예의 토폴로지를 보여줍니다. 스위치 1과 스위치 2는 트렁크 인터페이스를 통해 연결됩니다. 스위치 1은 RSTP에 대해 구성되는 반면, 스위치 2는 첫 번째 시나리오에 대해 구성된 스패닝 트리 프로토콜을 가지고 있으며, 두 번째 시나리오에 대한 스패닝 트리 프로토콜이 구성되어 있지 않습니다.
첫 번째 시나리오에서 이 예는 스위치 2 인터페이스 ge-0/0/5.0 및 ge-0/0/6.0 에서 기본 스패닝 트리 프로토콜(RSTP)이 비활성화되지 않은 경우 다운스트림 BPDU 보호를 구성합니다. BPDU 보호가 활성화되면 명령문이 기본적으로 활성화되며, shutdown 노트북에서 생성된 BPDU가 스위치 2에 액세스하려고 하면 스위치 인터페이스가 종료됩니다.
두 번째 시나리오에서, 이 예에서는 스위치 2 인터페이스 ge-0/0/5.0 및 ge-0/0/6.0 인터페이스에 스패닝 트리 프로토콜이 구성되지 않은 경우 다운스트림 BPDU 보호를 구성합니다. 명령문으로 BPDU 보호가 drop 활성화되면 스위치 인터페이스는 BPDU만 삭제하지만 나머지 트래픽은 통과하도록 허용하고 랩톱에서 생성된 BPDU가 스위치 2에 액세스하려고 시도하는 경우 상태를 작동 상태로 유지합니다.
스패닝 트리가 있는 스위치에 연결된 스패닝 트리가 없는 인터페이스에서 BPDU 보호를 구성할 때 모든 인터페이스에서 BPDU 보호를 구성하지 않도록 주의하십시오. 이렇게 하면 스패닝 트리가 있는 스위치에서 BPDU를 수신하려는 스위치 인터페이스(예: 트렁크 인터페이스)에서 BPDU가 수신되는 것을 방지할 수 있습니다.
위상수학
표 1 에는 BPDU 보호를 위해 구성될 구성 요소가 표시되어 있습니다.
| 재산 |
설정 |
|---|---|
| 스위치 1(배포 레이어) |
스위치 1은 트렁크 인터페이스를 통해 스위치 2에 연결됩니다. 스위치 1은 RSTP용으로 구성됩니다. |
| 스위치 2(액세스 레이어) |
스위치 2에는 노트북에 연결된 두 개의 다운스트림 액세스 포트가 있습니다.
|
구성
인터페이스에서 BPDU 보호를 구성하려면 다음을 수행합니다.
절차
CLI 빠른 구성
기본 BPDU 블록의 컨피그레이션을 설명하는 첫 번째 시나리오입니다(작업: shutdown). 스위치 2에서 BPDU 보호를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.
[edit] user@switch# set protocols layer2-control bpdu-block interface ge-0/0/5 [edit] user@switch# set protocols layer2-control bpdu-block interface ge-0/0/6
단계별 절차
문에 대한 BPDU 보호를 구성하려면 다음을 수행합니다.shutdown
-
스위치 2의 다운스트림 인터페이스 ge-0/0/5에서 BPDU 블록(작업:
shutdown)을 구성합니다.[edit protocols] user@switch# set layer2-control bpdu-block interface ge-0/0/5
-
스위치 2의 다운스트림 인터페이스 ge-0/0/6에서 BPDU 블록(작업:
shutdown)을 구성합니다.[edit protocols] user@switch# set layer2-control bpdu-block interface ge-0/0/6
결과
구성 결과를 확인합니다.
user@switch> show protocols layer2-control
bpdu-block {
interface ge-0/0/5;
interface ge-0/0/6;
}
절차
CLI 빠른 구성
명령문의 구성을 설명하는 두 번째 시나리오입니다 drop . 문에 대해 drop 스위치 2에서 BPDU 보호를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit] user@switch# set protocols layer2-control bpdu-block interface ge-0/0/5 drop user@switch# set protocols layer2-control bpdu-block interface ge-0/0/6 drop
인터페이스에서 xSTP가 활성화된 경우 BPDU 삭제 작업: 블록을 구성하기 전에 이를 비활성화해야 합니다. , 또는 명령을 사용하여 delete protocols rstpRSTP를 set protocols rstp disable전역적으로 비활성화할 수 있습니다 set protocols rstp interface all disable .
단계별 절차
문에 대한 BPDU 보호를 구성하려면 다음을 수행합니다.drop
-
스위치 2의 다운스트림 인터페이스 ge-0/0/5에서 BPDU
drop문을 구성합니다.[edit protocols layer2-control] user@switch# set bpdu-block interface ge-0/0/50 drop
-
스위치 2의 다운스트림 인터페이스 ge-0/0/6에서 BPDU
drop문을 구성합니다.[edit protocols layer2-control] user@switch# set bpdu-block interface ge-0/0/6 drop
결과
구성 결과를 확인합니다.
user@switch> show configuration protocols layer2-control
bpdu-block {
interface ge-0/0/5;
interface ge-0/0/6;
}