Vous êtes sur la page 1sur 111

Protocole Spanning-Tree

Thomas Moegli
Ing. HES Télécommunications - Réseaux et Sécurité IT

1 Cisco - Spanning-Tree - 11 novembre 2017


Protocole Spanning-Tree

Fonctionnement

2 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Problématique

Gi1/0
Fa0/0 Fa0/0
SW1 SW2
PC-A PC-B

Gi0/0
๏ Dans une topologie réseau, la présence de boucles engendre de nombreux problèmes

Thomas Moegli 3

3 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Problématique
PC-A via Gi1/0

Gi1/0
Fa0/0 Fa0/0
SW1 SW2
PC-A PC-B

Gi0/0
PC-A via Gi0/0

Gi1/0
Fa0/0 Fa0/0
SW1 SW2
PC-A PC-B

Gi0/0
Conséquences
๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le
processeur. Les trames provenant d’interfaces différentes pour la même entité source fait que la table CAM est modifiée
constamment

Thomas Moegli 4

4 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Problématique
TTL = 2

๏ Soit une topologie de routeurs avec


présence d’une boucle
๏ Lorsqu’un paquet circule, une valeur
nommée TTL (Time To Live) est associée
au paquet
๏ Cette valeur diminue d’une unité à
chaque passage sur une interface d’un
routeur
๏ Si un paquet est pris dans une boucle, le
mécanisme de TTL permettra de
supprimer ce paquet

TTL = 1

Thomas Moegli 5

5 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Problématique

Gi1/0
Fa0/0 Fa0/0
SW1 SW2
PC-A PC-B

Gi0/0
๏ Toutefois, dans un environnement Layer 2, les trames ne disposent pas de TTL

Conséquences
๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent le réseau

Thomas Moegli 6

6 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Problématique

Conséquences
๏ Charge importante du réseau : Les paquets tournent indéfiniment (pas de TTL dans les trames) et surchargent
๏ Surcharge du processeur des switchs : Le fait de changer constamment la table CAM fait charger inutilement le
processeur
๏ Déni de service : Vu que le switch change constamment de port entre les liens redondants (ports Fa0/2 et Fa0/3), il ne
choisit jamais le bon port de destination (dans notre exemple, Fa0/1) et les paquets ne peuvent jamais arriver sur le
client final.
๏ Trames dupliquées : Le fait que les paquets de diffusion soient diffusées sur l’ensemble des liens fait que le client
reçoit plusieurs copies de la même trame. Il y a une surcharge sur le client à cause de la réception de trames multiples.

Thomas Moegli 7

7 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Spanning-Tree 802.1d

๏ Algorithme original décrit par Radia Perlman et appelé DEC STP


๏ 1990 : Publication du standard 802.1D
๏ 1998 et 2004 : Nouvelles versions
๏ DEC STP et 802.1D sont incompatibles entre eux
๏ Avec les variantes, le protocole original est souvent appelé CST (Common Spanning Tree)

Thomas Moegli 8

8 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Spanning-Tree 802.1d
S1

๏ Empêcher les boucles de réseau entre switchs (liens Boucle


Sans

redondants) S2 S3
Spanning-Tree
๏ Couche OSI 2
๏ Création d’une topologie avec l’algorithme Spanning-
Tree (STA)
S1
๏ Désactivation des liens redondants
๏ Lors d’une défaillance d’un lien actif, réactivation Avec

Spanning-Tree
automatique du lien de secours Pas de boucle

S2 S3

Thomas Moegli 9

9 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Etapes principales

Election du Root Bridge


๏ Désignation d’un switch « Maître » ou Root Bridge
๏ Tous les calculs se feront sur la base du Root Bridge
๏ Echange de messages entre switchs (trames BPDU)
๏ Pour chaque switch, calcul du meilleur chemin vers le Root Bridge
Calcul de l’arbre STP
๏ Chaque interface possède un coût
๏ Coût du chemin : Somme du coût de chaque interface traversée
๏ Chaque switch place ses interfaces dans un mode STP
๏ Certains modes autorisent la transmission de données, d’autres bloquent
Définition de l’état STP par interface

Thomas Moegli 10

10 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Désignation du Root Bridge
Priority : 32768 1 Gb/s Priority : 32768
000A.41D5.7937 A B 0030.F222.2794

2 octets
Bridge Priority 6 octets
MAC Address
Bridge Priority Adresse MAC
Bridge ID
0-65535 Unique

๏ Chaque switch possède un identifiant appelé Bridge ID (BID) de 64 bits


๏ Composé de la priorité définie et de l’adresse MAC
๏ Priorité possible : 0-65’535
๏ Par défaut, tous les switchs ont une priorité de 32’768 (65535 ÷ 2)
๏ Déterminer le Root Bridge
๏ Combinaison de la priorité de chaque switch et de l’adresse MAC
๏ Sélection du switch ayant la valeur de priorité la plus basse
๏ Si priorité équivalente, sélection d’après l’adresse MAC ayant la plus petite valeur
๏ Attention à privilégier un switch relativement performant comme Root Bridge (en modifiant manuellement la priorité)

Thomas Moegli 11

11 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Terminologie Spanning-Tree
Switch/Pont ayant le Bridge ID le plus bas (meilleur priorité). Dans une topologie réseau, les switchs communiquent
entre eux et désignent un Root Bridge.
Root Bridge
Toutes les décisions (placer le port en mode Blocked ou Forward par ex.) se font en fonction du Root Bridge.
L’interface (ou port) ayant le coût le plus faible vers le Root Bridge est appelé Root Port

Tous les switchs qui ne sont pas Root Bridge. Ils échangent des informations entre eux et mettent à jour leur
Non-Root Bridge
topologie STP en fonction des évenements survenus.

Chaque switch possède un Bridge ID qui est une combinaison du Bridge Priority (configuré par défaut à 32768) et
l’adresse MAC. Le switch ayant le Bridge ID le plus petit devient le Root Bridge du réseau.
Bridge ID
Pour forcer un switch en particulier à devenir Root Switch, il faut configurer manuellement une valeur de priorité
basse.

Détermine le chemin à utiliser lorsque plusieurs liens sont présents entre deux switchs.
Port Cost
Le coût d’un port est déterminé par la bande passante.

Il s’agit toujours de calculer le chemin le plus court vers le Root Bridge afin de déterminer quels ports doivent être
Path Cost désactivés dans le cas de chemins multiples.
Le coût d’un lien est déterminé par la somme des coûts de port de chaque switch.

Thomas Moegli 12

12 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
BPDU

๏ Bridge Protocol Data Unit


๏ Messages échangés entre switchs pour STP
๏ Requis pour déterminer et maintenir la topologie STP
๏ Types de BPDU
๏ Configuration BPDUs : utilisé pour l’algorithme STP
๏ TCN BPDUs - (Topology Change Notification BPDU) : utilisé pour informer les équipements d’un changement réseau

2 1 1 1 8 4 8 2 2 2 2 2
Root
Protocol Msg Bridge Hello Forward
Version Flags Root ID Path Port ID Msg Age Max Age
Identifier Type ID Time Delay
Cost

Thomas Moegli 13

13 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Ports d’un switch : Rôles
๏ STP attribue un rôle à chaque port d’un switch
๏ 3 rôles possibles

Port sur lequel se trouve le lien le plus direct vers le Root Bridge
RP Root Port Si plusieurs liens sont connectés avec le Root Bridge, élection du Root Port en sélectionnant le port avec
le coût le plus bas.

Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un
DP Designated Port Designated Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul
Forwarding port par segment réseau.

Non-Designated Port
 Un port Non-Designated est un port ayant un coût plus élevé qu’un Designated Port. Ils sont
BP
/ Blocked Port également marqués comme Blocked Port et sont par conséquent désactivés.

Thomas Moegli 14

14 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Etats d’un port Spanning-Tree
๏ Chaque port d’un switch passe par plusieurs états STP avant d’être opérationnel
๏ Sur un switch Cisco, lumière orange sur le port (Transition STP) puis, si le port est en mode Forwarding, lumière devient
verte

Disabled Port qui a été désactivé de manière administrative (commande shutdown)


DI
n’est pas un état de transition Ne participe pas à l’algorithme STP
Ne transmet pas les trames de données, uniquement réception des BPDU (pas d’envoi)
Blocage pour prévenir des boucles de réseau.

B Blocking Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état

(Exception des protocoles de couche 2 tels que DTP, VTP, CDP)
Tous les ports sont à l’état Blocking par défaut au démarrage du switch
Ecoute et envoie des trames BPDU pour être sûr qu’il n’y ait pas de boucles

LI Listening
Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état
Apprentissage de tous les chemins du réseau. Ecoute et envoie des trames BPDU
LE Learning Remplissage de la table CAM mais ne transmet pas encore de données

Aucune donnée utilisateur ne peut être envoyé ou reçu dans cet état
F Forwarding Envoi ou réception de données utilisateurs sur le port
Thomas Moegli 15

15 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Etats d’un port Spanning-Tree

Etat du port Reçoit des Envoie des Apprend les Reçoit des Envoi de
Durée de l’état
STP BPDUs BPDUs MAC données données
B Blocking Non défini (si présence d’une boucle)
LI Listening Délai (env 15 secondes)
LE Learning Délai (env 15 secondes)
F Forwarding Non défini (tant qu’aucune boucle détecté)
DI Disabled Non défini (tant que l’admin ne l’active pas)

Thomas Moegli 16

16 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Timers STP
LE

Forward Delay
llo
He

e
Ag
LI

ax
BPDU BPDU

M
Forward Delay
BPDU
F

Timer Description
๏ Temps entre chaque BPDU envoyé sur le port
Hello
๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes
๏ Temps passé à l’état Listening et Learning
Forward Delay
๏ Par défaut : 15 secondes, peut être configuré entre 4 à 30 secondes
๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU
Max Age
๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes

Thomas Moegli 17

17 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Etats d’un port Spanning-Tree
Initialisation
Démarrage

Etat
B
Blocking

Après 20 secondes

Etat Etat
LI DI
Listening Disabled
Etat Transitoire

Après 15 secondes

Etat
LE Learning
Etat Transitoire

Après 15 secondes

Etat
Etat

F
Forwarding
Learning

Thomas Moegli 18

18 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Convergence STP

๏ Terme utilisé lorsque les ports passent d’un état STP à un autre
๏ Convergence complète : Lorsque les ports ont atteint l’état Forwarding ou Blocking (état final)
๏ Aucune donnée ne transite tant que la convergence n’est pas complète
๏ Convergence doit s’effectuer rapidement pour qu’un réseau soit efficace
๏ Possibilité (déconseillé) de modifier les timers STP
๏ Plusieurs variantes STP disponibles

Thomas Moegli 19

19 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Convergence STP

PC A

100Mbps
19

๏ Soit la topologie ci-contre

Fa1/0/1

Gi0/9
RP DP
๏ A l’état stable, SW B est désigné comme Root MAC Addr: 0018.b9ad.2d00 MAC Addr: 000d.28e4.7c80
SW A SW B
Priorité: 32768 Priorité: 32768
Bridge Root Bridge

Gi0/10
Fa1/0/2
BP DP
๏ Fa1/0/2 de SW A est le port à l’état Blocking

100
10Mbps

PC B

Thomas Moegli 20

20 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Convergence STP

PC A

100Mbps
๏ Durant une intervention, le lien 100 Mbps 19

tombe

Fa1/0/1

Gi0/9
๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien DP

MAC Addr: 0018.b9ad.2d00 MAC Addr: 000d.28e4.7c80


défectueux Priorité: 32768
SW A SW B
Priorité: 32768
Root Bridge

Gi0/10
Fa1/0/2
๏ Au delà de 20 secondes, SW A décide que le LI
BP DP

port Blocking (Fa 1/0/2) passe à l’état Listening 15 sec

๏ Le port reçoit et envoie les BPDU 100


10Mbps

Blocking (20 sec)

Listening (15 sec)

PC B

Thomas Moegli 21

21 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Convergence STP

PC A

100Mbps
๏ Durant une intervention, le lien 100 Mbps 19

tombe

Fa1/0/1
Fa1/0/1 ne reçoit plus les BPDU à cause du lien

Gi0/9

DP

défectueux MAC Addr: 0018.b9ad.2d00 MAC Addr: 000d.28e4.7c80


SW A SW B
Priorité: 32768 Priorité: 32768
๏ Au delà de 15 secondes, SW A décide que le Root Bridge

Gi0/10
Fa1/0/2
LE
LI
BP DP

port Blocking (Fa 1/0/2) passe à l’état Learning 15 sec

๏ Le port commence à apprendre les adresses 100

MAC 10Mbps

Blocking (20 sec)

Listening (15 sec)

PC B Learning (15 sec)

Thomas Moegli 22

22 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Convergence STP

PC A

๏ Durant une intervention, le lien 100 Mbps 100Mbps


tombe 19

๏ Fa1/0/1 ne reçoit plus les BPDU à cause du lien

Fa1/0/1

Gi0/9
défectueux DP

MAC Addr: 0018.b9ad.2d00 MAC Addr: 000d.28e4.7c80


๏ Finalement, après 15 secondes, le port passe Priorité: 32768
SW A SW B
Priorité: 32768
finalement à l’état Forwarding Root Bridge

Gi0/10
Fa1/0/2
F
BP DP

๏ Au total, le passage du port de l’état Blocking 15 sec

à l’état Forwarding a duré :
 100


10Mbps
20 + 15 + 15 = 50 secondes
Blocking (20 sec)

Listening (15 sec)

PC B Learning (15 sec)

Forwarding
Thomas Moegli 23

23 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Convergence STP

๏ Lorsqu’un utilisateur connecte un laptop sur l’un des


ports, la convergence STP fonctionne de manière similaire Blocking (20 sec)
๏ Le port passe également par les états Listening, Learning
Listening (15 sec)
puis Forwarding
๏ Du fait que le port n’était pas à l’état Blocking, il entre Learning (15 sec)
directement à l’état Listening sans attendre 20 secondes
Forwarding

๏ Pour éviter une attente de 30 secondes, Cisco propose


l’option Spanning-Tree Portfast

Thomas Moegli 24

24 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Coût d’un lien

๏ Standard IEEE
๏ Utilisé dans les calculs STP

Vitesse Coût
10 Mb/s 100
100 Mb/s 19
1000 Mb/s 4
10’000 Mb/s 2

Thomas Moegli 25

25 Cisco - Spanning-Tree - 11 novembre 2017


Protocole Spanning-Tree

Opérations

26 Cisco - Spanning-Tree - 11 novembre 2017


Opérations Spanning Tree

Election du Root Bridge Priority : 32768


0000.0CA7.A603
๏ Au départ, chaque switch se croît Root Bridge Root Bridge
Root Bridge

๏ Echange de BPDU entre eux contenant leur Bridge ID S1

et le Root ID (eux-mêmes) 1 Gb/s


1 Gb/s
๏ Priorité identique pour tous les switchs
Priority : 32768 1 Gb/s Priority : 32768
๏ Utilisation de l’adresse MAC pour sélectionner Root 000A.41D5.7937 S2 S3 0030.F222.2794

Bridge
๏ S1 a l’adresse MAC avec valeur la plus basse : est élu
RB

Thomas Moegli 27

27 Cisco - Spanning-Tree - 11 novembre 2017


Opérations Spanning Tree

Priority : 32768
Calcul des coûts vers le Root Bridge 0000.0CA7.A603
Root Bridge
Root Bridge

๏ S2 et S3 utilisent leur lien direct (coût : 4)


S1
DP
DP DP
๏ Si S3 utilise le lien transitant par S2 pour aller vers S1 : 

44 Co 1 Gb/s
Coût = 4 + 4 = 8 (coût supérieur au lien direct) 1 Gb/s
st
: st
:4
Co 4
๏ Chaque port du Root Bridge est considéré comme Priority : 32768
RP
RP
1 Gb/s
RP
RP
Priority : 32768
Designated Port 000A.41D5.7937 S2 Cost : 4 4 S3 0030.F222.2794

๏ Sur S2 et S3, le port sur lequel est connecté le lien avec le


coût le plus faible vers S1 est considéré comme Root Port

Thomas Moegli 28

28 Cisco - Spanning-Tree - 11 novembre 2017


Opérations Spanning Tree

Priority : 32768
0000.0CA7.A603
Root Bridge

๏ Lien S2 – S3 : Désignation des ports Blocking et Designated DP


S1
DP
DP
๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire) Co 1 Gb/s
1 Gb/s : 44 st
st :4
๏ S2 place son port en mode Designated et S3 le place en Blocked Co 4
RP
RP RP
RP
Priority : 32768 Priority : 32768
๏ Convergence STP terminée 000A.41D5.7937
DP
DP 1 Gb/s
BP 0030.F222.2794
S2 Cost : 4 4 S3
๏ Tous les ports sont en mode Forwarding ou Blocking

Thomas Moegli 29

29 Cisco - Spanning-Tree - 11 novembre 2017


Opérations Spanning Tree

Priority : 32768
0000.0CA7.A603
Root Bridge

๏ Lien S2 – S3 : Désignation des ports Blocking et Designated DP


S1
DP
DP F F DP

๏ S3 possède un Bridge ID plus haut que S2 (donc moins prioritaire) Co 1 Gb/s


1 Gb/s : 44 st
st :4
๏ S2 place son port en mode Designated et S3 le place en Blocked Co 4
RP F
RP F RP
RP
Priority : 32768 Priority : 32768
๏ Convergence STP terminée 000A.41D5.7937
DP
DP
F
1 Gb/s
B 0030.F222.2794
S2 Cost : 4 4 S3
๏ Tous les ports sont en mode Forwarding ou Blocking

Thomas Moegli 30

30 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
Priorité: 16384 Priorité: 16384
SW A SW B
Te1/0/1 Te1/0/1
Root Bridge

7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/ Etape 1 : Sélection du Root Bridge


Gi
0/
10

๏ Parmi les 4 switchs de la topologie ci-contre, 



SW A et SW B ont une priorité plus faible (16384)
par rapport aux switchs SW C et SW D (32768)
๏ SW A ou SW B sera élu Root Bridge par rapport à
SW C et SW D selon la priorité
๏ SW A finalement sera élu Root Bridge car son
adresse MAC est inférieure à l’adresse MAC de
Gi1/0/10
Gi1/0/11

Gi1/0/2

0/
2 SW B
Gi

1/
1/

Gi
0/
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 31

31 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique Vitesse Coût
10 Mb/s 100
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
100 Mb/s 19
Priorité: 16384 Priorité: 16384
SW A
Te1/0/1 DP 2 Te1/0/1
SW B 1000 Mb/s 4
Root Bridge RP
10’000 Mb/s 2
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/
10

DP 4
DP 4
DP

Etape 2 : Calcul des coûts vers le Root Bridge


Pour SW A
๏ Comme SW A est le Root Bridge, toutes ses
interfaces ont le rôle Designated Port
Gi1/0/10
Gi1/0/11

Gi1/0/2

2
0/
Gi

1/
1/

Gi
0/
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 32

32 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique Vitesse Coût
10 Mb/s 100
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
100 Mb/s 19
Priorité: 16384 Priorité: 16384
SW A
Te1/0/1 DP 2 RP Te1/0/1
SW B 1000 Mb/s 4
Root Bridge
10’000 Mb/s 2
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/
10

DP 4
DP 4
Etape 2 : Calcul des coûts vers le Root Bridge
DP

Pour SW B
๏ Sur SW B, calcul du chemin le plus court vers le
Root Bridge
๏ Le plus court chemin passe par Te1/0/1
๏ Interface 10Gbps
Gi1/0/10
Gi1/0/11

Le coût d’une interface est de 2


Gi1/0/2


/2
Gi

0
i1/
1/
0/

G
๏ L’interface Te1/0/1 est donc un Root Port
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 33

33 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique Vitesse Coût
10 Mb/s 100
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
100 Mb/s 19
Priorité: 16384 Priorité: 16384
SW A
Te1/0/1 DP RP Te1/0/1
SW B 1000 Mb/s 4
Root Bridge
10’000 Mb/s 2
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/
10

DP
DP Etape 2 : Calcul des coûts vers le Root Bridge
DP
Pour SW D
๏ Sur SW D, calcul du chemin le plus court vers le
Root Bridge
๏ Le plus court chemin passe par Gi1/0/1
4 4
๏ Interface 1Gbps
RP ๏ Le coût d’une interface est de 4
Gi1/0/10
Gi1/0/11

Le coût du chemin passant par Gi1/0/2 serait de 4


Gi1/0/2

2 ๏
0/
Gi

1/
1/

Gi +2=6
0/
1

SW C SW D ๏ L’interface Gi1/0/1 est donc un Root Port


MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 34

34 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique Vitesse Coût
10 Mb/s 100
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
100 Mb/s 19
Priorité: 16384 Priorité: 16384
SW A
Te1/0/1 DP RP Te1/0/1
SW B 1000 Mb/s 4
Root Bridge
10’000 Mb/s 2
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/

Etape 2 : Calcul des coûts vers le Root Bridge


10

DP
DP
DP Pour SW C
๏ Sur SW C, le coût du chemin le plus court est de 4
4 ๏ Le chemin par Gi1/0/10 et Gi1/0/11 ont le même
4
coût de 4
๏ Pour choisir le chemin entre ces deux possibilités,
RP STP utilise le Port ID le plus faible depuis l’émetteur
RP
๏ Dans ce cas, l’émetteur est SW A, on prend donc le
Gi1/0/10
Gi1/0/11

Gi1/0/2

0/
2 Port ID le plus faible de SW A
Gi

1/
1/

Gi
0/
1

๏ Le Port ID le plus faible est Gi1/0/3


SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c ๏ De ce fait, le port Gi1/0/10 est désigné comme RP
Priorité: 32768 Priorité: 32768
Thomas Moegli 35

35 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique Vitesse Coût
10 Mb/s 100
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
100 Mb/s 19
Priorité: 16384 Priorité: 16384
SW A
Te1/0/1 DP RP Te1/0/1
SW B 1000 Mb/s 4
Root Bridge
10’000 Mb/s 2
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/

Etape 2 : Calcul des coûts vers le Root Bridge


10

DP
DP Pour SW C
DP
๏ Chaque port dispose d’une priorité
๏ Par défaut, la priorité est de 128
๏ Cette priorité peut être modifiée par la commande :

4 Switch(config-if)# spanning-tree vlan vlan-id port-priority value
4
๏ L’identifiant du port sous STP est majoré de 2
๏ Autrement dit, le port Gi1/0/3 a l’ID 3 + 2 = 5

Le port Gi1/0/4 a l’ID 4 + 2 = 6

RP ๏ Sous la commande show spanning-tree, le port est désigné par


RP Priorité.ID
Gi1/0/10

Port Gi1/0/3 : 128.5


Gi1/0/11


Gi1/0/2

/2
Gi

Port Gi1/0/4 : 128.6


1/0

1/

Gi
0/

๏ SW C peut connaitre les informations du port de SW A via les BPDU


1

SW C SW D ๏ Finalement, SW C peut décider ainsi de sélectionner le port ayant la priorité


MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c + l’ID le plus petit
Priorité: 32768 Priorité: 32768
Thomas Moegli 36

36 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique Vitesse Coût
10 Mb/s 100
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
100 Mb/s 19
Priorité: 16384 Priorité: 16384
SW A
Te1/0/1 DP RP Te1/0/1
SW B 1000 Mb/s 4
Root Bridge
10’000 Mb/s 2
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/
10

DP
DP
DP

4
Etape 3 : Détermination des rôles pour chaque
4
segment réseau
Segment SW A - SW C
RP ๏ Les ports de chaque segment ont déjà un rôle
RP
attribué
Gi1/0/10
Gi1/0/11

Gi1/0/2

2
0/
Gi

1/
1/

Gi
0/
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 37

37 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
Priorité: 16384 Priorité: 16384 Etape 3 : Détermination des rôles pour chaque segment
SW A SW B
Te1/0/1 DP RP Te1/0/1 réseau
Root Bridge

7 Segment SW B - SW D
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/

๏ Aucun de ces ports n’est RP


10

DP
DP
DP
DP ๏ Il est nécessaire de désigner un port comme étant
Designated Port (chaque segment réseau doit disposer
d’un port DP ou RP)
4
๏ Pour connaitre quel port sera désigné DP, il faut regarder
4
le coût vers le Root Bridge depuis chaque interface
๏ Depuis SW B Gi1/0/5, le coût vers le RB est de 2
RP ๏ Depuis SW D Gi1/0/2, le coût vers le RB est de 4 

BP
RP
(passe par Gi1/0/1 de SW D)
Gi1/0/10
Gi1/0/11

Gi1/0/2

0/
2 ๏ Le port SW B - Gi1/0/5 ayant un coût plus faible sur le
Gi

1/
1/

Gi segment SW B - SW D, il a comme rôle DP


0/
1

SW C SW D ๏ Le port SW D Gi1/0/2 a le rôle BP


MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 38

38 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00 Etape 3 : Détermination des rôles pour chaque
Priorité: 16384 Priorité: 16384
SW A SW B segment réseau
Te1/0/1 DP RP Te1/0/1
Root Bridge
Segment SW B - SW C
7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/ ๏ Aucun de ces ports n’est RP


Gi
0/
10

DP DP
DP
DP ๏ Il est nécessaire de désigner un port comme étant
DP
Designated Port (chaque segment réseau doit
disposer d’un port DP ou RP)
4
4
๏ Coût vers le RB depuis chaque interface
๏ Depuis SW B Gi1/0/7, le coût vers le RB est de 2 

(passe par SW B - Te1/0/1)
RP
BP
๏ Depuis SW C Gi1/0/2, le coût vers le RB est de 4 

RP
BP (passe par Gi1/0/10 de SW D)
Gi1/0/10
Gi1/0/11

Gi1/0/2

2
0/ ๏ Le port SW B - Gi1/0/7 ayant un coût plus faible sur le
Gi

1/
1/

Gi
0/
1

segment SW B - SW C, il a comme rôle DP


SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c ๏ Le port SW C Gi1/0/2 a le rôle BP
Priorité: 32768 Priorité: 32768
Thomas Moegli 39

39 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
Priorité: 16384 Priorité: 16384
SW A SW B
Te1/0/1 DP RP Te1/0/1
Root Bridge

7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi Etape 3 : Détermination des rôles pour chaque
0/
10

DP
segment réseau
DP
DP
DP
DP

Segment SW A - SW C
๏ Le port Gi1/0/4 de SW A a été désigné comme
4
4 DP
๏ SW C dispose déjà d’un RP. Il s’agit de Gi1/0/10
RP BP ๏ Le port SW A - Gi1/0/4 a comme rôle DP
BP
RP
BP ๏ Le port SW C Gi1/0/11 a le rôle BP
Gi1/0/10
Gi1/0/11

Gi1/0/2

2
0/
Gi

1/
1/

Gi
0/
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 40

40 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
Priorité: 16384 Priorité: 16384
SW A SW B
Te1/0/1 DP RP Te1/0/1
Root Bridge

7
Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/
10

DP DP
DP
DP
DP

Etape 3 : Détermination des rôles pour chaque


segment réseau
Topologie finale
BP
RP
BP
RP
BP
Gi1/0/10
Gi1/0/11

Gi1/0/2

2
0/
Gi

1/
1/

Gi
0/
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 41

41 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Exemple pratique
MAC Addr: 000d.28c4.7c80 MAC Addr: 0018.b9ad.2d00
Priorité: 16384 Priorité: 16384
SW A SW B
Te1/0/1 DP RP Te1/0/1
Root Bridge

7 Etape 4 : Détermination des états de chaque port


Gi1/0/4
Gi1/0/3

Gi

0/

Gi1/0/5
1/

1/
Gi
0/
10

DP DP Durant la phase de détermination des ports RP, DP et


DP
DP
DP
BP, les ports sont à l’état Listening puis Learning

Une fois la topologie terminée :


๏ Les ports désignés comme RP ou DP sont mises à
BP l’état Forwarding
RP
RP
BP ๏ Les ports désignés comme BP sont mises à l’état
BP
Blocking
Gi1/0/10
Gi1/0/11

Gi1/0/2

/2
Gi

0
i1/
1/
0/

G
1

SW C SW D
MAC Addr: 0018.c894.1a04 MAC Addr: 000d.4c11.570c
Priorité: 32768 Priorité: 32768
Thomas Moegli 42

42 Cisco - Spanning-Tree - 11 novembre 2017


Fonctionnement de Spanning-Tree
Changement de topologie
Root Bridge Root Bridge
SW1 SW1
TC
TCA

TC
SW4 détecte et
annonce un
TCN

changement dans sa Le Root Bridge signale le


topologie. SW2 SW3 SW2 SW3 changement aux autres
switchs
TCA

TC
TC
Il le signale au Root
Bridge
TCN

SW4 SW5 SW4 SW5

Changement de topologie
๏ Lors d’un changement de topologie, le switch l’annonce au Root Bridge via un BPDU TCN (Topologie Change Notification)
๏ Le Root Bridge répond par un BPDU TCA (Topology Change Ack)
๏ Le Root Bridge signale ensuite à l’ensemble des switchs un BPDU TC (Topology Change) qu’ils doivent effectuer un recalcul
de l’algorithme STP
Thomas Moegli 43

43 Cisco - Spanning-Tree - 11 novembre 2017


Opérations Spanning Tree

Changement de topologie
๏ Il peut arrive également ce qu’on appelle une erreur indirecte
๏ Une interface avec une connectivité partielle ou une ACL appliquée sur l’interface qui filtre certaines trames
๏ L’erreur indirecte peut être détectée si les BPDUs ne sont plus reçus par le switch
๏ Le recalcul STP peut être déclenché également après l’échéance d’un timer lié à la réception des BPDUs

๏ Il peut également arriver des changements de topologie non liées à STP


๏ Exemple : Une interface en mode Access qui modifie de status
๏ Le switch annonce le changement au Root Bridge
๏ Le Root Bridge informe les autres switchs, mais aucun recalcul STP n’est effectué

Thomas Moegli 44

44 Cisco - Spanning-Tree - 11 novembre 2017


Protocole Spanning-Tree

Variantes

45 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
CST ๏ Une instance STP pour l’ensemble du réseau
Common Spanning-Tree ๏ Lent mais requiert peu de ressources
802.1d

๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir
PVST
Per VLAN Spanning-Tree plusieurs Root Bridge
Prop. Cisco ๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL)

๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir
PVST+
plusieurs Root Bridge
Per VLAN+ Spanning-Tree
Spanning-Tree Prop. Cisco ๏ Le « + » désigne le support des trunks 802.1Q

๏ Une instance STP pour l’ensemble du réseau


RSTP
Rapid Spanning-Tree
๏ Convergence plus rapide, un seul Root Bridge, 

802.1w charge plus importante que CST

Rapid PVST+ ๏ Implémentation Cisco de RSTP basé sur PVST+


Rapid PVST+ Spanning-Tree ๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge
Prop. Cisco

MST ๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST
Multiple Spanning-Tree ๏ Plusieurs instance STP pour des groupe de VLANs
802.1s
Thomas Moegli 46

46 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
๏ CST (Common Spanning Tree) : Protocole original - Standard IEEE 802.1d
๏ Une instance STP pour l’ensemble du réseau
๏ Lent mais requiert peu de ressources
๏ PVST, PVST+ (Per VLAN Spanning Tree) : Protocole propriétaire Cisco
๏ Une instance STP par VLAN, aussi lent que CST, possibilité d’avoir plusieurs Root Bridge
๏ PVST est obsolète (support des trunks utilisant le protocole Cisco ISL)
๏ Le « + » désigne le support des trunks 802.1Q
๏ MSTP (Multiple Spanning Tree ou RSTP)
๏ Plusieurs VLANs peuvent partager une même instance
๏ RSTP (Rapid Spanning Tree) : Standard IEEE 802.1w
๏ Convergence plus rapide, un seul Root Bridge, charge plus importante que CST
๏ Rapid PVST+ : Protocole propriétaire Cisco, identique à PVST+ mais avec RSTP
๏ Implémentation Cisco de RSTP basé sur PVST+
๏ Charge importante, une instance STP par VLAN, plusieurs Root Bridge

Thomas Moegli 47

47 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree

Standard Ressources nécessaires Convergence Nombre d’instances STP


CST 802.1D Peu de ressources Lente Une instance pour tous les VLANs
PVST Cisco Importante Lente Une instance par VLAN
PVST+ Cisco Importante Lente Une instance par VLAN
RSTP 802.1W Moyenne Rapide Une instance pour tous les VLANs
Rapid PVST+ Cisco Très élevé Rapide Une instance par VLAN
MSTP 802.1S Moyenne à élevé Rapide Une instance pour plusieurs VLANs

Thomas Moegli 48

48 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
Per VLAN Spanning Tree+
๏ Avec CST, l’élection d’un seul Root Bridge pour tout le réseau n’optimise pas tout le trafic
๏ Exemple : Supposons que SW-A soit Root Bridge. Depuis les clients situés sur les VLAN Management, Engineering, CAD, il
est possible que les trames à destination des serveurs correspondants passent par SW-A pour accéder aux serveurs
connectés à SW-C (alors qu’un chemin plus court existe)

Serveurs pour : Root Bridge Serveurs pour :


- Finance - Management
- Marketing SW-A SW-B SW-C - Engineering
- CAD

CAD Marketing Engineering Finance Management

Thomas Moegli 49

49 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
Per VLAN Spanning Tree+

๏ Avantage d’un Root Bridge par VLAN


๏ Pour les VLAN Management, Engineering, CAD, élire SW-C comme Root Bridge optimise le trafic réseau

Root Bridge pour Root Bridge pour


- VLAN Finance - VLAN Management
- VLAN Maketing - VLAN Engineering
Serveurs pour : - VLAN CAD Serveurs pour :
- Finance - Management
- Marketing SW-A SW-B SW-C - Engineering
- CAD

CAD Marketing Engineering Finance Management

Thomas Moegli 50

50 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
Per VLAN Spanning Tree+
Root Bridge : VLAN1 Root Bridge : VLAN2

SW1 SW3

SW2

๏ PVST+ autorise la sélection d’un Root Bridge différent par VLAN


๏ Dans l’exemple :
๏ SW1 est configuré comme Root Bridge pour le VLAN1
๏ SW3 est configuré comme Root Bridge pour le VLAN2
๏ Permet l’équilibrage de charge sur des liens différents

Thomas Moegli 51

51 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
Per VLAN Spanning Tree+

Bridge Priority MAC Address


Sys-ID-Ext
0-65535 Unique

4 bits 12 bits 6 bytes

๏ Structure
๏ Champ supplémentaire Extended System ID pour gérer les multiples instances
๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address)
๏ La valeur de la priorité par défaut (32768) dépend du numéro de Vlan
๏ Comme le champ Extended System ID désigne l’identifiant du Vlan ou de l’instance, cette valeur est à ajouté à la priorité
๏ Exemple : La valeur par défaut pour le Vlan 100 est 32768 + 100 (Vlan ID) = 32868

Thomas Moegli 52

52 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
Rapid Spanning Tree Protocol 802.1w

๏ Nouveau standard IEEE 802.1w


๏ Evolution de STP pour convergence plus rapide
๏ Améliorations
๏ Accélération du recalcul du Spanning Tree en cas de changement de topologie réseau
๏ Redéfinit les rôles des ports, états et BPDU de STP
๏ Proactif et très rapide, ne nécessite pas de timers
๏ Rétro-compatibilité avec 802.1d
๏ Transitions entre états accéléré
๏ 3 états au lieu de 5 (Discarding ➔ Learning ➔ Forwarding)

Thomas Moegli 53

53 Cisco - Spanning-Tree - 11 novembre 2017


Variantes Spanning-Tree
Rapid Spanning Tree Protocol 802.1w
Rôle du port STP Etat possible du port STP dans ce rôle
Root Port Forwarding
Designated Port Forwarding
NonDesignated Port Blocking
Disabled -
Listening

En transition
Learning

Rôle du port RSTP Etat possible du port RSTP dans ce rôle


Root Port Forwarding
Designated Port Forwarding
Alternative / Backup Port Discarding
Disabled Discarding

En transition Learning

Thomas Moegli 54

54 Cisco - Spanning-Tree - 11 novembre 2017


Rapid Spanning Tree Protocol 802.1w
Rôles d’un port Rapid Spanning-Tree

Port sur lequel se trouve le lien le plus direct vers le Root Bridge
RP Root Port Si plusieurs liens sont connectés avec le Root Bridge, élection Root Port en sélectionnant le port avec le coût
le plus bas.

Pour chaque segment, le Designated Port est celui ayant le meilleur coût vers le Root Bridge. Un Designated
DP Designated Port Port est marqué également comme Forwarding Port, et il ne peut y avoir qu’un seul Forwarding port par
๏ RSTP définit les rôlessegment
suivantsréseau.
:

Port actuellement désactivé pour les trames de données mais permet de proposer un chemin alternatif vers
AP Alternate Port
le Root Bridge (Alternatif au Root Port)
Port actuellement désactivé pour les trames de données.

BaP Backup Port Peut être un chemin alternatif vers le Root Bridge mais sert également comme chemin redondant sur un
segment partagé

Thomas Moegli 55

55 Cisco - Spanning-Tree - 11 novembre 2017


Rapid Spanning Tree Protocol 802.1w
Rôles d’un port Rapid Spanning-Tree
Root Bridge
SW 1

DP
Gi
Gi1/0

DP 1/1
๏ Un Backup Port n’est présent uniquement
lorsqu’une boucle est formé entre un switch et un
Hub hub (liens redondants)
๏ Les deux liens reliant le hub sont considérés
comme un seul et même segment réseau
๏ L’une des extrémités du segment prend le rôle de
DP
DP BaP
Gi1/0

Gi ๏ L’autre extrémité reçoit le rôle Backup Port


Gi1/3
Gi1/2
RP RP 1/1
DP
Gi1/1 Gi1/0
SW 2 AP
SW 3

Thomas Moegli 56

56 Cisco - Spanning-Tree - 11 novembre 2017


Rapid Spanning Tree Protocol 802.1w
Etats d’un port Rapid Spanning-Tree

Etat possible dans une topologie stable ou lors d’un changement de topologie.
DIS Discarding L’état Discarding ne permet pas la transmission de trames.
Cet état permet de bloquer le port pour prévenir de la formation de boucles réseaux

Etat possible dans une topologie stable ou lors d’un changement de topologie.
LE Learning
L’état Learning autorise la transmission de trames uniquement pour remplir la table MAC des switchs

Etat possible uniquement dans une topologie stable


F Forwarding
L’état Forwarding autorise la transmission de trames de données.

Thomas Moegli 57

57 Cisco - Spanning-Tree - 11 novembre 2017


Rapid Spanning-Tree Protocol 802.1w
Types de liens RSTP
Lien Edge

Lien p2p

๏ RSTP utilise une terminologie différente pour les liens


d’interconnexion entre équipements
Lien p2p

๏ Ils sont automatiquement déterminés par l’algorithme RSTP Lien p2p

Lien p2p

Point-to- Lien sur lequel le port fonctionne en Full Duplex
 Lien Shared Lien Edge

Point (P2P) Lien qui connecte généralement un switch à un autre switch


Lien sur lequel le port fonctionne en Half Duplex

Shared Lien qui connecte généralement un switch à un média
partagé (par exemple un hub)
Lien sur lequel un équipement de terminaison (PC) est
Edge
connecté (pas de switch, pas de hub)

Thomas Moegli 58

58 Cisco - Spanning-Tree - 11 novembre 2017


Rapid Spanning-Tree Protocol 802.1w
Types de liens RSTP
SW 1

Gi

Gi1/0
1/1

Hub

Point-to-Point Point-to-Point

Shared

Gi1/0

Gi

Gi1/3
Gi1/2
1/1

Edge Gi1/1 Point-to-Point Gi1/0


SW 2 SW 3

Thomas Moegli 59

59 Cisco - Spanning-Tree - 11 novembre 2017


Rapid Spanning-Tree Protocol 802.1w
Opérations RSTP
Root Bridge
SW1
TC

Changement de topologie

TC
๏ Contrairement à STP, tous les switchs
participent à l’échange de BPDU TC SW2 SW3
๏ Le temps de convergence est

TC
nettement réduit

TC
SW4 SW5

Thomas Moegli 60

60 Cisco - Spanning-Tree - 11 novembre 2017


Protocole Spanning-Tree

Configuration

61 Cisco - Spanning-Tree - 11 novembre 2017


Configuration Spanning-Tree
Configuration : Priorité

๏ Forcer à ce que le switch sera Root Bridge pour un VLAN particulier :



Switch(config)# spanning-tree vlan vlan-id root primary
๏ Définir que le switch sera Root Bridge secondaire :

Switch(config)# spanning-tree vlan vlan-id root secondary
๏ Définir la priorité du switch :
๏ Nécessaire que la priorité soit un multiple de 4096 :

Switch(config)# spanning-tree vlan vlan-id priority value

Thomas Moegli 62

62 Cisco - Spanning-Tree - 11 novembre 2017


Configuration Spanning-Tree
Configuration : Timers STP

๏ Switch(config)# spanning-tree vlan vlan-id hello-time value

๏ Switch(config)# spanning-tree vlan vlan-id forward-time value

๏ Switch(config)# spanning-tree vlan vlan-id max-age value

Timer Description
๏ Temps entre chaque BPDU envoyé sur le port
Hello
๏ Par défaut : 2 secondes, peut être configuré entre 1 à 10 secondes
๏ Temps passé à l’état Listening et Learning
Forward Delay
๏ Par défaut : 15 secondes, peut être configuré entre 4 à 30 secondes
๏ Contrôle la durée maximale avant laquelle un port Bridge sauve sa configuration BPDU
Max Age
๏ 20 secondes par défaut, peut être configuré entre 6 à 40 secondes

Thomas Moegli 63

63 Cisco - Spanning-Tree - 11 novembre 2017


Configuration Spanning-Tree
Vérification : STP Root Bridge

SW3# show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address aabb.cc00.4500
Cost 100
Port 4 (Ethernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)


Address aabb.cc00.5000

๏ SW3 possède le Bridge Priority par défaut : 32769


๏ Configuration en mode Rapid PVST+
๏ Priorité = 32768 (valeur par défaut) + 1 (VLAN ID 1) = 32769
Thomas Moegli 64

64 Cisco - Spanning-Tree - 11 novembre 2017


Configuration Spanning-Tree
Vérification : STP Root Bridge

๏ Configuration de SW2 avec la commande : SW2(config)# spanning-tree vlan 1 root primary

SW2(config)# show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 28673
Address aabb.cc00.4600
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 28673 (priority 28672 sys-id-ext 1)


Address aabb.cc00.4600

Thomas Moegli 65

65 Cisco - Spanning-Tree - 11 novembre 2017


Configuration Spanning-Tree
Vérification : STP Root Bridge

SW1# show spanning-tree



Interface Role Sts Cost Prio.Nbr Type
———————————————————— ———— ——- ——————— ———————— ————————————————————————————————————

Et0/0 Root FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr

Thomas Moegli 66

66 Cisco - Spanning-Tree - 11 novembre 2017


Configuration Spanning-Tree
Configuration Rapid PVST+

๏ Définir le mode Rapid PVST+ :



Switch(config)# spanning-tree mode rapid-pvst

๏ Configurer le switch pour être Root Bridge pour un Vlan particulier :



Switch(config)# spanning-tree vlan vlan-id root primary

Thomas Moegli 67

67 Cisco - Spanning-Tree - 11 novembre 2017


Protocole Spanning-Tree

MST

68 Cisco - Spanning-Tree - 11 novembre 2017


MST
Introduction

๏ Dans certains scénarios, plusieurs VLANs disposent d’une même topologie Spanning Tree
๏ Le regroupement de plusieurs instances STP identiques permettent de simplifier l’administration
๏ MST est rétro-compatible avec les autres variantes STP

Thomas Moegli 69

69 Cisco - Spanning-Tree - 11 novembre 2017


MST
Régions
MST Region A MST Region B

Deux switchs sont dans la même région MST si les éléments suivants sont identiques :
๏ Nom
๏ Numéro de révision
๏ Table d’association VLAN

Thomas Moegli 70

70 Cisco - Spanning-Tree - 11 novembre 2017


MST
Introduction
VLAN 11, 22, 33

MST 1
MSTI

VLAN 11, 22, 33


๏ Mapping de VLANs sur plusieurs instances 44, 55, 66

๏ Par défaut, tous les VLANS sont mappés sur IST

l’instance 0, également appelé IST (Internal


Spanning Tree)
VLAN 44, 55, 66
๏ On définit des instances supplémentaires et on
MSTI
MST 2
associe ces instances aux VLANs

Thomas Moegli 71

71 Cisco - Spanning-Tree - 11 novembre 2017


MST
Cohabitation MST et switchs non MST
IST
CST

๏ MST peut fonctionner avec des variantes STP


๏ Pour les variantes qui ne supportent pas MST, les
switchs ne verront pas les instances MST mais ne
voient simplement qu’un seul switch logique
représentant toute la topologie MST
CST

๏ C’est l’instance 0 qui communique avec les switchs non


MST
IST

Thomas Moegli 72

72 Cisco - Spanning-Tree - 11 novembre 2017


MST
Communication

BPDU

๏ Seule l’instance IST envoie les BPDUs


Information IST
๏ Les messages BPDUs distribués par l’instance IST Région MST

contiennent les informations des autres instances


MST
๏ Seuls les switchs d’une même région MST reçoivent Enregistrements

les BPDUs avec les informations des autres instances


MST

๏ Par compatibilité, les BPDUs envoyés sur des switchs


non MST ne contiennent pas les informations des
MST
To CST

Thomas Moegli 73

73 Cisco - Spanning-Tree - 11 novembre 2017


MST
Extended System ID

Bridge Priority MAC Address


Sys-ID-Ext
0-65535 Unique

4 bits 12 bits 6 bytes

๏ Structure
๏ Champ supplémentaire Extended System ID pour gérer les multiples instances
๏ Le champ Extended System ID contient le numéro de l’instance MST
๏ Bridge ID PVST+ composé de 3 champs (Priority, Extended System ID, MAC Address)

Thomas Moegli 74

74 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST

๏ Sous PVST+, on observe qu’une instance STP est définie pour chaque VLAN
๏ Dans l’exemple, 5 VLANs ont été définis

SW1# show spanning-tree summary


Switch is in past mode
Root bridge for: none

Name Blocking Listening Learning Forwarding STP Active
———————————————————— ———————- ————————— ————————— —————————- ——————————
VLAN0001 1 0 0 23 24
VLAN0002 1 0 0 23 2
VLAN0003 1 0 0 23 2
VLAN0004 1 0 0 23 2
VLAN0005 1 0 0 23 2
———————————————————— ———————- ————————— ————————— —————————- ——————————
5 vlans

Thomas Moegli 75

75 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST
๏ Topologie d’exemple :


Gi0/0 Gi0/2
SW1 SW2
/1
Gi0
Gi0/1
Gi0/3

/2
GI0

SW3

Thomas Moegli 76

76 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST : Activation de MST

VLAN 2, 3

MST 1

Root Br.
SW1 SW2

VLAN 1
๏ Modifie le mode STP pour la variante MST
SW3
IST
SW1(config)# spanning-tree mode mst
SW1 SW2

SW2(config)# spanning-tree mode mst VLAN 4, 5

SW3
SW3(config)# spanning-tree mode mst MST 2
Root Br.
SW1 SW2

SW3

Région CCNP

Thomas Moegli 77

77 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST : Régions

VLAN 2, 3
๏ Configuration des régions MST :

MST 1

SW1(config)# spanning-tree mst configuration SW1 SW2

SW1(config-mst)# name CCNP VLAN 1

SW1(config-mst)# revision 1 SW3


IST

SW2(config)# spanning-tree mst configuration SW1 SW2

SW2(config-mst)# name CCNP VLAN 4, 5

SW2(config-mst)# revision 1 SW3


MST 2

SW1 SW2
SW3(config)# spanning-tree mst configuration
SW3(config-mst)# name CCNP
SW3
SW3(config-mst)# revision 1
Région CCNP

Thomas Moegli 78

78 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST : Mapping VLAN aux instances

VLAN 2, 3
๏ Mapping de VLANs aux instances MST :
MST 1

SW1(config)# spanning-tree mst configuration SW1 SW2

SW1(config-mst)# instance 1 vlan 2,3 VLAN 1

SW1(config-mst)# instance 2 vlan 4,5 SW3


IST

SW2(config)# spanning-tree mst configuration SW1 SW2

SW2(config-mst)# instance 1 vlan 2,3 VLAN 4, 5

SW2(config-mst)# instance 2 vlan 4,5 SW3


MST 2

SW3(config)# spanning-tree mst configuration SW1 SW2

SW3(config-mst)# instance 1 vlan 2,3


SW3(config-mst)# instance 2 vlan 4,5 SW3

Région CCNP

Thomas Moegli 79

79 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST : Priorité du switch

VLAN 2, 3

MST 1

Root Br.
๏ Sur l’instance 1, SW1 est configuré comme Root Bridge SW1 SW2

VLAN 1
๏ Sur l’instance 2, SW2 est configuré comme Root Bridge SW3
IST

SW1(config)# spanning-tree mst 1 root primary SW1 SW2

SW1(config)# spanning-tree mst 2 root secondary VLAN 4, 5

SW3
MST 2
SW2(config)# spanning-tree mst 1 root secondary Root Br.
SW1 SW2
SW2(config)# spanning-tree mst 2 root primary

SW3

Région CCNP

Thomas Moegli 80

80 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration MST : Activation de MST

VLAN 2, 3

MST 1

๏ Application de la configuration MST Root Br.


SW1 SW2

VLAN 1
SW1(config-mst)# exit
SW3
IST
SW2(config-mst)# exit
SW1 SW2

SW3(config-mst)# exit
VLAN 4, 5

SW3
Si la configuration ne doit pas être appliquée, utiliser la commande :
MST 2
๏ Root Br.
SW1 SW2

Switch(config-mst)# abort
SW3

Région CCNP

Thomas Moegli 81

81 Cisco - Spanning-Tree - 11 novembre 2017


MST
Vérification : MST

๏ Vérifier les instances MST configurés

SW1# show spanning-tree summary


Switch is in mst mode (IEEE Standard)

Name Blocking Listening Learning Forwarding STP Active
———————————————————— ———————- ————————— ————————— —————————- ——————————
MST0 0 0 0 24 24
MST1 0 0 0 4 4
MST2 0 0 0 4 4
———————————————————— ———————- ————————— ————————— —————————- ——————————
3 msts 0 0 0 32 32

Thomas Moegli 82

82 Cisco - Spanning-Tree - 11 novembre 2017


MST
Vérification : MST

๏ Vérifier l’association des VLANs aux instances MST

SW1(config)# spanning-tree mst configuration


SW1(config-mst)# show current
Current MST configuration
Name [CCNP]
Revision 1 Instances configured 3

Instance Vlans mapped


———————— ———————-———————————————————————————-——————————
0 1,6-4094
1 2-3
2 4-5
———————————————————————————-———————————————————————————-——————————

Thomas Moegli 83

83 Cisco - Spanning-Tree - 11 novembre 2017


MST
Vérification : MST
๏ Vérifier la cohérence de configuration MST entre switchs (les Digests doivent correspondre)
SW1# show spanning-tree mst configuration digest
Name [CCNP]
Revision 1 Instances configured 2
Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D
Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9

SW2# show spanning-tree mst configuration digest


Name [CCNP]
Revision 1 Instances configured 2
Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D
Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9

SW3# show spanning-tree mst configuration digest


Name [CCNP]
Revision 1 Instances configured 2
Digest 0xD0C61B39C25B820740E7F5B07E6F0B8D
Pre-std Digest 0x119FA5EFE7A944C261E2A1FA8F0E64F9

Thomas Moegli 84

84 Cisco - Spanning-Tree - 11 novembre 2017


MST
Vérification : MST
๏ Vérification des rôles d’interface par MST :

SW1# show spanning-tree mst 1

##### MST1 vlans mapped: 2-3



Gi0/2 Altn BLK 2000000 128.3 Shr
Gi0/3 Root FWD 2000000 128.4 Shr

SW3# show spanning-tree mst 1

##### MST2 vlans mapped: 4-5



Gi0/2 Root FWD 2000000 128.3 Shr
Gi0/3 Altn BLK 2000000 128.4 Shr

Thomas Moegli 85

85 Cisco - Spanning-Tree - 11 novembre 2017


MST
Vérification : MST

MST 1 MST 2

Root Br. Root Br.


Gi0/0 D R Gi0/2 Gi0/0 R D Gi0/2
SW1 SW2 SW1 SW2
1 /1
i0/
Gi0/1

Gi0/1
0
G Gi
D D
D D

R B
R Root Port R Root Port
B R
Gi0/3

Gi0/3
2 D Designated Port 2 D Designated Port
0/ 0/
GI GI
B Blocked Port B Blocked Port
SW3 SW3

Thomas Moegli 86

86 Cisco - Spanning-Tree - 11 novembre 2017


MST
Fonctionnement : Sélection meilleur chemin

๏ MST, comme tout autre variante STP, utilise cette séquence de 4 critère pour sélectionner le meilleur chemin :
๏ Plus petit BID
๏ Plus petit coût vers le switch Root
๏ Plus petit Sender BID
๏ Plus petit Sender Port ID
๏ Seule différence : ce calcul est effectué pour chaque instance MST
๏ CST utilise une instance unique pour tous les VLANs
๏ PVST utilise une instance par VLAN

Thomas Moegli 87

87 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration : Priorité du port

๏ Il est de définir la priorité du port qui sera envoyé dans les BPDU

SW1(config)# interface GigabitEthernet0/2


SW1(config-if)# spanning-tree mst 1 port-priority 32

SW3# show spanning-tree mst 1



Gi0/2 Altn BLK 2000000 32.3 Shr
Gi0/3 Root FWD 2000000 128.4 Shr

Thomas Moegli 88

88 Cisco - Spanning-Tree - 11 novembre 2017


MST
Configuration : Coût du port

๏ Il est de définir le coût du port qui sera envoyé dans les BPDU

SW1(config)# interface GigabitEthernet0/2


SW1(config-if)# spanning-tree mst 1 cost 1000000

SW3# show spanning-tree mst 1



Gi0/2 Altn BLK 1000000 32.3 Shr
Gi0/3 Root FWD 2000000 128.4 Shr

Thomas Moegli 89

89 Cisco - Spanning-Tree - 11 novembre 2017


Protocole Spanning-Tree

Mécanismes de stabilité

90 Cisco - Spanning-Tree - 11 novembre 2017


Protocole STP
Mécanismes de stabilité

๏ Mécanismes permettant d’améliorer les performances STP :


๏ **UplinkFast : Active un failover rapide des liens d’uplink sur les switchs d’accès
๏ **BackboneFast : Permet la reconvergence rapide lors d’une défaillance indirecte d’un lien
๏ PortFast : Configure les ports d’accès pour qu’ils soient directement à l’état Forwarding, sans passer par des états
intermédiaires
๏ Mécanismes permettant d’assurer la stabilité STP :
๏ BPDU Guard : Configuré sur un port d’accès, il permet de désactiver ce port immédiatement si un BPDU est détecté sur
l’interface
๏ BPDU Filter : Suppression de BPDUs sur certains ports
๏ Root Guard : Empêche d’autres switchs externes de devenir Root Bridge
๏ Loop Guard : Empêche un port Alternate de devenir Designated Port si aucun BPDU n’est reçu

** : Ces mécanismes ne sont pas nécessaires si l’administrateur utilise RSTP


Thomas Moegli 91

91 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
UplinkFast
Root Bridge
๏ UplinkFast ne doit être activé que sur les switchs d’accès et SW 1
non sur les switchs de distribution ou de coeur
๏ UplinkFast réagit suite à la défaillance d’un lien directement
attaché.
๏ UplinkFast s’applique de manière globale sur le switch
SW 2 SW 3
๏ Mécanisme désactivé par défaut
๏ Sur la topologie ci-contre, lorsque l’interface Gi1/0 est

Gi1/0
défaillant, le mécanisme STP s’enclenche pour faire transiter F
1
le port Gi1/1 de l’état Blocked à l’état Root Gi1/
B
๏ Cette transition peut prendre jusqu’à 50 secondes, l’arbre STP SW 4
devant être recalculé à nouveau
๏ Pour un switch d’accès, le long temps de convergence cause
un impact majeur aux équipements connectées

PC A PC B
Thomas Moegli 92

92 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
UplinkFast
Root Bridge
SW 1

๏ Le problème est que les terminaux connectés à SW4 sont


impactés durant la phase de transition
SW 2 SW 3
๏ De plus, la table CAM de SW2 indique que les terminaux PC A
PC A

PCA et PCB sont joignables via l’interface Gi1/0 de SW4


PC A

Gi1/0
๏ Il est nécessaire d’attendre que les entrées expirent (Aging FB
1
Time) avant que SW2 se décide à effectuer un broadcast et Gi1/
B
trouver le lien passant par SW3 LI
SW 4 LE
F

PC A PC B
Thomas Moegli 93

93 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
UplinkFast
Root Bridge
SW 1

๏ UplinkFast permet d’activer immédiatement le port Blocked


Trame Multicast
à l’état Forwarding Src MAC: PC A
๏ Uplink envoie également depuis SW4 des messages
Multicast dont l’adresse source MAC est celui de PC A ou PC SW 2 SW 3

B
๏ Ces adresses sont diffusés sur l’ensemble du domaine et

Gi1/0
parviennent ainsi à SW2 via SW3 FB
1
Gi1/
๏ La table CAM de SW2 est ainsi automatiquement modifiée BF Trame Multicast
Src MAC: PC A
pour transiter immédiatement par SW3 pour atteindre PCA ou SW 4

PCB

PC A PC B
Thomas Moegli 94

94 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
UplinkFast

๏ UplinkFast s’active de manière globale sur le switch


๏ Commande : Switch(config)
Switch(config)#spanning-tree uplinkfast
spanning-tree uplinkfast
๏ Par défaut, UplinkFast est désactivé
๏ Vérification : Switch#
Switch# show
show spanning-tree
spanning-treeuplink fast
uplinkfast

๏ Ne configurer UplinkFast que sur les switchs qui ne sont pas situés entre le Root Bridge et un autre switch
๏ En résumé, ne configurer UplinkFast que sur les switchs d’accès
๏ UplinkFast ne peut être configuré lorsque RSTP est mis en oeuvre
๏ Si l’administrateur utilise RSTP, ce mécanisme est déjà inclus dans le protocole lui-même

Thomas Moegli 95

95 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
BackboneFast

SW 1

Gi1
/0

/1
Gi1
DP DP

๏ BackBoneFast est configuré sur tous les switchs


๏ BackBoneFast est configuré de manière globale
๏ Permet de réagir à une défaillance indirecte d’un lien

RP RP

Gi1
/1
Gi1

/1
DP BP
Gi1/0 Gi1/0
SW 2 SW 3

Thomas Moegli 96

96 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
BackboneFast
Root Bridge
SW 1

Gi1
/0
๏ Supposons que le lien entre SW2 et SW1 soit défaillant

/1
Gi1
DP DP
๏ Lorsque ce lien est rompu, SW2 va croire qu’il sera le
Root Bridge
๏ SW2 va envoyer un BPDU à SW3 indiquant qu’il est le
Root Bridge
๏ Le Bridge ID de ce BPDU est inférieur au BID envoyé par
le vrai Root Bridge (SW1) RP RP

๏ Le BPDU envoyé par SW2 est appelé un Inferior BPDU

Gi1
/1
Gi1

/1
SW2 est le Root Bridge
DP (Inferior BPDU) BP
Gi1/0 Gi1/0
SW 2 SW 3
BPDU

Thomas Moegli 97

97 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
BackboneFast
Root Bridge
SW 1
๏ Si SW3 n’est pas configuré avec BackboneFast, le BPDU

Gi1
/0
reçu va simplement être ignoré (car BID inférieur) et le

/1
Gi1
DP DP
port Gi1/0 va rester en mode Blocking Est-ce que j’ai encore
un chemin vers le RB ?
2
RLQ Request
๏ Attente de 20sec + 2x15 secondes avant que le port Gi1/0
passe à l’état Forwarding RLQ RLQ
1
๏ Si SW3 est configuré avec BackboneFast, il va vérifier s’il Oui. Ce chemin est le 

chemin vers le RB
contient toujours un lien vers le Root Bridge SW1 RLQ Reply

๏ Permet d’éviter le délai de 20 secondes RP RP

๏ Envoi sur tous les ports non DP (dans ce cas, le port RP

Gi1
/1
Gi1
4

/1
Gi1/1) d’un RLQ (Root Link Query) DP RP BP
Gi1/0 Gi1/0
3
SW 2 RLQ
SW 3

SW1 est le Root Bridge



(BPDU)
Thomas Moegli 98

98 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
BackboneFast : Configuration

๏ Configurer BackboneFast sur l’ensemble des switchs du réseau



Seuls les switchs sur lesquels BackboneFast est actif peuvent comprendre et traiter les requêtes RLQ
๏ BackboneFast se configure de manière globale sur le switch
๏ Activation de BackboneFast :

SW1(config)# spanning-tree backbonefast

๏ Par défaut, BackboneFast est désactivé


๏ Vérification du fonctionnement :

SW1# show spanning-tree backbonefast

๏ BackboneFast ne s’applique qu’aux topologies avec STP. Avec RSTP, ce mécanisme est intégré nativement dans le
protocole

Thomas Moegli 99

99 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
PortFast

๏ PortFast est une fonctionnalité qui permet de faire transiter


les ports d’accès (ceux connectés aux clients) directement à
l’état Forwarding
๏ Le port ne transite pas notamment par les états Learning et
Listening F

๏ Le port peut être utilisable dès le démarrage du switch LI

LE
๏ Permet à certains clients qui démarrent en PXE de recevoir
une configuration IP

Thomas Moegli 100

100 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes d’optimisation STP
PortFast : Configuration

๏ Ne configurer PortFast que sur des interfaces d’accès, sur lesquelles sont connectés les équipements clients
๏ Activer PortFast sur une interface particulière :


 SW1(config)# interface FastEthernet0/1
SW1(config-if)# spanning-tree portfast

๏ Activer PortFast sur l’ensemble des interfaces d’accès (pas sur les interfaces de trunk) :

SW1(config)# spanning-tree portfast default

๏ Vérification configuration PortFast :




 SW1# show spanning-tree interface FastEthernet 0/0 portfast

Thomas Moegli 101

101 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
BPDU Guard
๏ BPDU Guard est un mécanisme de protection qui
empêche tout intrus de connecter un switch et tenter
de s’intégrer à la topologie STP.
๏ Un risque potentiel est qu’un intrus connecte un switch
externe et tente de communiquer et s’intégrer à
l’algorithme STP par le biais d’échanges BPDUs
๏ Sur un port d’accès, seuls des équipements terminaux
sont autorisés BPDU

๏ Aucune trame BPDU ne devrait circuler sur ces ports


๏ BPDU Guard se configure sur les ports d’accès
๏ Dès qu’un port configuré avec BPDU Guard détecte des BPDU

trames BPDU qui y circulent, le mécanisme bloque


immédiatement le port
๏ Le port est mis à l’état err-disable

Thomas Moegli 102

102 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
BPDU Guard : Configuration

๏ Configurer BPDU Guard sur un port particulier :




 SW1(config)# interface FastEthernet0/1
SW1(config-if)# spanning-tree bpduguard enable

๏ Configurer BPDU Guard sur l’ensemble des ports ou PortFast est actif :


 SW1(config)# spanning-tree portfast bpduguard default

๏ Vérifier la configuration de BPDU Guard :



SW1# show spanning-tree summary totals

Thomas Moegli 103

103 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
BPDU Filter
BPDU

๏ BPDU Filter permet d’empêcher de transmettre les messages


BPDU
BPDUs sur un port particulier BPDU

๏ Prudence lors de la configuration car ce mécanisme peut


empêcher le fonctionnement de STP si mal configuré
BPDU BPDU Filter
๏ Ne pas utiliser BPDU Filter sauf si cela est absolument
nécessaire
๏ Exemple : Deux topologies STP distinctes mais connectées BPDU

peuvent fonctionner
BPDU
๏ BPDU Filter empêche que les messages BPDU d’une instance BPDU BPDU
STP soient transmis à l’autre instance STP

Thomas Moegli 104

104 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
BPDU Filter : Configuration

๏ Activer BPDU sur un port spécifique :




 SW1(config)# interface FastEthernet0/1
SW1(config-if)# spanning-tree bpdufilter enable

๏ Activer BPDU Filter sur l’ensemble des ports ayant PortFast activé :

SW1(config)# spanning-tree pordtfast bpdufilter default

๏ Vérifier la configuration globale de BPDU Filter :



SW1# show spanning-tree summary totals

๏ Vérifier la configuration de BPDU Filter pour un port particulier :



SW1# show spanning-tree interface Ethernet 0/0 detail

Thomas Moegli 105

105 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
Root Guard
SW1 SW2

Configurer RootGuard uniquement sur ces


interfaces

SW3

๏ Root Guard est une fonctionnalité qui permet de garantir certains switchs (généralement les switchs Core et Distribution) d’être Root
Bridge et d’éviter qu’un switch d’accès ne devienne par mégarde Root Bridge
๏ Les switchs d’accès sont généralement moins performants et disposent de moins de ressources CPU et mémoire.

Si ils deviennent Root Bridge, la charge processeur et mémoire liée aux calculs STP risquent de rendre ces switchs instables et défaillants.
๏ Ils risquent également de devenir un noeud principal pour le trafic de données entre VLANs
๏ Le chemin n’est pas optimal
๏ Le switch ne dispose pas des ressources pour gérer ce volume de trafic. Un goulet d’étranglement risque de se produire
๏ Un risque de sécurité est présent si un attaquant tente volontairement d’élire son switch en Root Bridge

Thomas Moegli 106

106 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
Root Guard
Primary Secondary
Root Bridge Root Bridge

SW 1 SW 2
Gi1/0/1 Gi1/0/1

Gi1

2
/0/
/0/

Gi1
2
Rootguard
Rootguard
๏ RootGuard ne doit être configuré que sur les ports qui ne
seront pas connectés à un Root Bridge
๏ Les ports sur lesquels RootGuard est configuré se mettent
en err-disable (Root Inconsistent) s’ils reçoivent un
BPDU supérieur (BID plus haut).
๏ Ils ignorent donc les BPDU reçus sur cette interface

2
Gi1

/0/
/0/

Gi1
1
SW 3

Thomas Moegli 107

107 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
Root Guard : Configuration

๏ Configurer Root Guard sur un port particulier :




 SW1(config)# interface FastEthernet0/1
SW1(config-if)# spanning-tree guard root

๏ Vérifier si un port est à l’état err-disable (Root Inconsistent) :



SW1# show spanning-tree inconsistentports

Thomas Moegli 108

108 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
Loop Guard
Root Bridge
DP RP
SW 1 SW 2
Rootguard Loopguard
Gi1/0/1 Gi1/0/1

Gi1

2
DP

/0/
/0/

Gi1
Rootguard

2
๏ Permet de placer un Designated Port à l’état Err-disable (Loop DP Loopguard

Inconsistent) s’il ne reçoit plus de BPDU


๏ Peut être activé individuellement par port
๏ Se configure généralement sur tous les liens non configurés
pour RootGuard
๏ Peut être activé de manière globale
๏ S’active sur tous les liens Point-to-Point
BP
RP

2
Gi1

/0/
/0/

Gi1
Loopguard Loopguard

1
SW 3

Thomas Moegli 109

109 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
Loop Guard
Root Bridge
DP RP
SW 1 SW 2
Rootguard Loopguard
Gi1/0/1 Gi1/0/1

Gi1

2
DP

/0/
/0/

Gi1
Rootguard

2
๏ Dans l’exemple ci-contre, le lien entre SW2 et SW3 est DP Loopguard

endommagé. SW3 ne reçoit plus les informations de SW2


๏ Il peut s’agir d’un libre fibre optique, le lien RX ayant pu être
endommagé physiquement
๏ SW3 ne reçoit plus les BPDU de SW2
๏ Si SW3 Gi1/0/2 est configuré avec Loop Guard, le port se met
à l’état Err-Disable (Loop Inconsistent)
BP
RP

2
Gi1

/0/
/0/

Gi1
Loopguard Loopguard

1
SW 3

Thomas Moegli 110

110 Cisco - Spanning-Tree - 11 novembre 2017


Mécanismes de sécurité
Loop Guard : Configuration

๏ Configurer Loop Guard sur un port particulier :




 SW1(config)# interface FastEthernet0/1
SW1(config-if)# spanning-tree guard loop

๏ Configurer Loop Guard sur l’ensemble des interfaces connectés à des liens Point-to-Point :

SW1(config)# spanning-tree loopguard default

๏ Vérifier si la fonction LoopGuard est activée :



SW1# show spanning-tree summary

Thomas Moegli 111

111 Cisco - Spanning-Tree - 11 novembre 2017

Vous aimerez peut-être aussi