admin
31-03-2005, 10:13 AM
Lab 9-6: Root Guard và Bpdu Guard
STP là thuật toán chống loop trong mạng. Thuật toán này cho phép các Switch tự bầu chọn Root Bridge, Root Port và Đesignate Port. Các Switch sẽ đồng bộ với nhau về topo mạng thông qua các gói tin BPDU. Hai vấn đề lớn cần quan tâm là khi có Switch lạ nối vào mạng, switch này sẽ truyền gói BPDU của nó vào mạng. Gói BPDU được truyền đến port của các Switch khác trong mạng, làm thay đổi quan điểm của những Switch này về mạng mà nó đang hoạt động, và điều này có thể dẫn đến loop xảy ra. Khi gói tin BPDU bị mất, port cũng thay đổi trạng thái của nó làm ảnh hưởng đến mô hình mạng ban đầu. Cả hai trường hợp vừa nêu ra ở trên đều có thể gây ra trạng thái loop và điều làm chúng ta lo lắng đó là mô hình cũ của mạng bị thay đổi. Root Guard và BPDU Guard là hai phương pháp nhằm ngăn chặn gói BPDU lạ đi vào mạng. Nói rõ hơn khi có Switch lạ cắm vào mạng thì Switch này không thể trao đổi với các Switch khác trong mạng nếu như có bật tính năng này lên. Các tính năng này chỉ có tác dụng trên port, có nghĩa là bạn phải cấu hình trên từng port. Nếu bạn cấu hình trên port f0/1 mà lại đi cắm Switch lạ vào port f0/2 thì Switch mới này vẫn có thể trao đổi thông tin với mạng một cách bình thường.
Root Guard
Nếu áp đặt tính năng Root Guard lên port thì cho dù Switch mới có Bridge ID ưu tiên hơn (về trị số sẽ là thấp hơn) thì vẫn không ảnh hưởng gì đến mạng. Tính năng này rất mạnh, nó cấm hoàn toàn Switch lạ vào mạng không thực hiện được telnet, ping …Khi kiểm tra láng giềng trên Switch mới này, bạn sẽ không thấy được Switch trong mạng.
Switch(config-if)#spanning-tree guard root
BPDU Guard
Tính năng này được khuyến cáo sử dụng ở port có sd tính năng portfast. Nhắc lại tính năng portfast giúp cho port chuyển từ trạng thái Blocking sang trạng thái Forwarding ngay lập tức. Điều này có thể dẫn đến trường hợp tất cả các port đều ở trạng thái forward, làm cho mạng bị loop. Tuy nhiên điều này không xảy ra vi thuật toán STP đã giải quyết được vấn đề này. Điều cần quan tâm là Switch lạ cắm vào mạng có thể xảy ra loop, tính năng BPDU cũng tương tự như Root Guard, nó sẽ cấm không cho Switch lạ trao đổi với mạng.
Phần Thực hành
Mục đích bài lab
Giúp người thực hành hiểu được vấn đề ngăn chặn Switch lạ vào mạng.
Sơ đồ và yêu cầu
Yêu cầu : Bạn cần có 4 Switch 2950 (hoặc 3550)
Sơ đồ :
http://vnpro.org/forum/files/labswitching/lab96/lab96-1.JPG
Bạn sẽ thử nghiệm trường hợp có cấu hình tính năng Root Guard (BPDU Guard) và không có tính năng này thì topo mạng có thay đổi gì không. Ba Switch1, Switch2 và Switch3 được nối với nhau như sơ đồ trên. Bạn sẽ chuẩn bị Switch4 có Bridge ID thấp hơn tất cả các Switch trong mạng. Sau đó tiến hành nối Switch4 vào port f0/3 của Switch3, kiểm tra xem mạng có thay đổi không. Sau đó rút cáp và cấu hình tính năng Root Guard (BPDU Guard) trên port f0/3 của Switch3 và cắm Switch4 vào lại, kiểm tra xem mạng có thay đổi không
http://vnpro.org/forum/files/labswitching/lab96/lab96-2.JPG
Cấu hình
Thử nghiệm tính năng Root Guard
Bước 1: Nối cáp như sơ đồ, khởi động Switch
Bước 2: Kiểm tra Spanning tree:
Switch>enable
Switch#config terminal
Switch(config)#hosname Switch1
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ----- ---- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p
Bước 3: Cấu hình cho Switch4 có Bridge ID thấp hơn
Bước 3.1 : Tiến hành xóa dữ liệu vlan đã có trong Switch
Switch>enable
Switch#delete flash:vlan.dat
Switch#reload
Bước 3.2 : Cấu hình Bridge ID
Swich>enable
Switch#config terminal
Switch(config)#hostname Switch4
Switch4(config)#spanning-tree vlan 1 priority 1
Bước 4: Bật tính năng debug spanning-tree trên Switch3
Switch3#debug spanning-tree
Bước 5 : Nối cáp cho Switch4 và Switch3, quan sát thông báo
Bước 6:
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Altn BLK 19 128.1 P2p
Fa0/2 Root FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Root FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
Cost 19
Port 3 (FastEthernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Fa0/3 Root FWD 19 128.3 P2p
Switch4#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 1 (priority 0 sys-id-ext 1)
Address 000b.5f26.ad80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/24 Desg FWD 19 128.24 P2p
Bước 7: Ngắt kết nối giữa Switch3 và Switch4
Bước 8: Bật tính năng Root Guard trên port fa0/3 của Switch3
Switch3#config terminal
Switch3(config)#interface fa0/3
Switch3(config-if)#spanning-tree guard root
Bước 9: Nối cáp lại cho Switch3 và Switch4, quan sát thông báo
Bước 10:
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p
Fa0/3 Desg BKN*19 128.3 P2p *ROOT_Inc
Switch4#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 1 (priority 0 sys-id-ext 1)
Address 000b.5f26.ad80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/24 Desg FWD 19 128.24 P2p
Để xem thử tính năng của RootGuard, ta tiến hành thử nghiệm ping trên Switch4:
Cấu hình địa chỉ cho Vlan 1 trên Switch3 là : 192.168.1.3
Switch3#config terminal
Switch3(config)#interface vlan 1
Switch3(config-vlan)#ip address 192.168.1.3 255.255.255.0
Switch3(config-vlan)#no shutdown
Switch4#ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Như vậy từ Switch4 không thể ping được về Switch3.
Thử nghiệm tính năng BPDU Guard
Bước 1: Xóa tính năng Root Guard
Switch3(config-if)#no spanning-tree guard root
Bước2: Bật tính năng BPDU Guard trên Switch3
Switch3(config-if)#spanning-tree bpduguard enable
Bước 3: Nối cáp cho Switch3 và Switch4, quan sát kết quả
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p
Switch4#show spanning-tree
No spanning tree instance exists
Như vậy trong trường hợp của BPDU Guard, thì Switch4 không được tham gia vào quá trình bầu chọn STP. Nếu bạn quan sát trên port thì sẽ thấy đèn của port không sáng. Điều này khác với RootGuard, mặc dù RootGuard không cho phép Switch lạ hoạt động trong mạng, nhưng Switch vẫn có thể thấy được các Switch khác (bạn có thể sử dụng lệnh show spanning-tree để kiểm tra điều này)
STP là thuật toán chống loop trong mạng. Thuật toán này cho phép các Switch tự bầu chọn Root Bridge, Root Port và Đesignate Port. Các Switch sẽ đồng bộ với nhau về topo mạng thông qua các gói tin BPDU. Hai vấn đề lớn cần quan tâm là khi có Switch lạ nối vào mạng, switch này sẽ truyền gói BPDU của nó vào mạng. Gói BPDU được truyền đến port của các Switch khác trong mạng, làm thay đổi quan điểm của những Switch này về mạng mà nó đang hoạt động, và điều này có thể dẫn đến loop xảy ra. Khi gói tin BPDU bị mất, port cũng thay đổi trạng thái của nó làm ảnh hưởng đến mô hình mạng ban đầu. Cả hai trường hợp vừa nêu ra ở trên đều có thể gây ra trạng thái loop và điều làm chúng ta lo lắng đó là mô hình cũ của mạng bị thay đổi. Root Guard và BPDU Guard là hai phương pháp nhằm ngăn chặn gói BPDU lạ đi vào mạng. Nói rõ hơn khi có Switch lạ cắm vào mạng thì Switch này không thể trao đổi với các Switch khác trong mạng nếu như có bật tính năng này lên. Các tính năng này chỉ có tác dụng trên port, có nghĩa là bạn phải cấu hình trên từng port. Nếu bạn cấu hình trên port f0/1 mà lại đi cắm Switch lạ vào port f0/2 thì Switch mới này vẫn có thể trao đổi thông tin với mạng một cách bình thường.
Root Guard
Nếu áp đặt tính năng Root Guard lên port thì cho dù Switch mới có Bridge ID ưu tiên hơn (về trị số sẽ là thấp hơn) thì vẫn không ảnh hưởng gì đến mạng. Tính năng này rất mạnh, nó cấm hoàn toàn Switch lạ vào mạng không thực hiện được telnet, ping …Khi kiểm tra láng giềng trên Switch mới này, bạn sẽ không thấy được Switch trong mạng.
Switch(config-if)#spanning-tree guard root
BPDU Guard
Tính năng này được khuyến cáo sử dụng ở port có sd tính năng portfast. Nhắc lại tính năng portfast giúp cho port chuyển từ trạng thái Blocking sang trạng thái Forwarding ngay lập tức. Điều này có thể dẫn đến trường hợp tất cả các port đều ở trạng thái forward, làm cho mạng bị loop. Tuy nhiên điều này không xảy ra vi thuật toán STP đã giải quyết được vấn đề này. Điều cần quan tâm là Switch lạ cắm vào mạng có thể xảy ra loop, tính năng BPDU cũng tương tự như Root Guard, nó sẽ cấm không cho Switch lạ trao đổi với mạng.
Phần Thực hành
Mục đích bài lab
Giúp người thực hành hiểu được vấn đề ngăn chặn Switch lạ vào mạng.
Sơ đồ và yêu cầu
Yêu cầu : Bạn cần có 4 Switch 2950 (hoặc 3550)
Sơ đồ :
http://vnpro.org/forum/files/labswitching/lab96/lab96-1.JPG
Bạn sẽ thử nghiệm trường hợp có cấu hình tính năng Root Guard (BPDU Guard) và không có tính năng này thì topo mạng có thay đổi gì không. Ba Switch1, Switch2 và Switch3 được nối với nhau như sơ đồ trên. Bạn sẽ chuẩn bị Switch4 có Bridge ID thấp hơn tất cả các Switch trong mạng. Sau đó tiến hành nối Switch4 vào port f0/3 của Switch3, kiểm tra xem mạng có thay đổi không. Sau đó rút cáp và cấu hình tính năng Root Guard (BPDU Guard) trên port f0/3 của Switch3 và cắm Switch4 vào lại, kiểm tra xem mạng có thay đổi không
http://vnpro.org/forum/files/labswitching/lab96/lab96-2.JPG
Cấu hình
Thử nghiệm tính năng Root Guard
Bước 1: Nối cáp như sơ đồ, khởi động Switch
Bước 2: Kiểm tra Spanning tree:
Switch>enable
Switch#config terminal
Switch(config)#hosname Switch1
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ----- ---- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p
Bước 3: Cấu hình cho Switch4 có Bridge ID thấp hơn
Bước 3.1 : Tiến hành xóa dữ liệu vlan đã có trong Switch
Switch>enable
Switch#delete flash:vlan.dat
Switch#reload
Bước 3.2 : Cấu hình Bridge ID
Swich>enable
Switch#config terminal
Switch(config)#hostname Switch4
Switch4(config)#spanning-tree vlan 1 priority 1
Bước 4: Bật tính năng debug spanning-tree trên Switch3
Switch3#debug spanning-tree
Bước 5 : Nối cáp cho Switch4 và Switch3, quan sát thông báo
Bước 6:
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Altn BLK 19 128.1 P2p
Fa0/2 Root FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
Cost 38
Port 2 (FastEthernet0/2)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Root FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
Cost 19
Port 3 (FastEthernet0/3)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 15
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Fa0/3 Root FWD 19 128.3 P2p
Switch4#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 1 (priority 0 sys-id-ext 1)
Address 000b.5f26.ad80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/24 Desg FWD 19 128.24 P2p
Bước 7: Ngắt kết nối giữa Switch3 và Switch4
Bước 8: Bật tính năng Root Guard trên port fa0/3 của Switch3
Switch3#config terminal
Switch3(config)#interface fa0/3
Switch3(config-if)#spanning-tree guard root
Bước 9: Nối cáp lại cho Switch3 và Switch4, quan sát thông báo
Bước 10:
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p
Fa0/3 Desg BKN*19 128.3 P2p *ROOT_Inc
Switch4#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 1
Address 000b.5f26.ad80
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 1 (priority 0 sys-id-ext 1)
Address 000b.5f26.ad80
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/24 Desg FWD 19 128.24 P2p
Để xem thử tính năng của RootGuard, ta tiến hành thử nghiệm ping trên Switch4:
Cấu hình địa chỉ cho Vlan 1 trên Switch3 là : 192.168.1.3
Switch3#config terminal
Switch3(config)#interface vlan 1
Switch3(config-vlan)#ip address 192.168.1.3 255.255.255.0
Switch3(config-vlan)#no shutdown
Switch4#ping 192.168.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Như vậy từ Switch4 không thể ping được về Switch3.
Thử nghiệm tính năng BPDU Guard
Bước 1: Xóa tính năng Root Guard
Switch3(config-if)#no spanning-tree guard root
Bước2: Bật tính năng BPDU Guard trên Switch3
Switch3(config-if)#spanning-tree bpduguard enable
Bước 3: Nối cáp cho Switch3 và Switch4, quan sát kết quả
Switch1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.299a.7e00
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch2#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000c.854f.f9c0
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/2 Desg FWD 19 128.2 P2p
Switch3#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 000c.854f.f9c0
Cost 19
Port 1 (FastEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 000d.bd29.d080
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Root FWD 19 128.1 P2p
Fa0/2 Altn BLK 19 128.2 P2p
Switch4#show spanning-tree
No spanning tree instance exists
Như vậy trong trường hợp của BPDU Guard, thì Switch4 không được tham gia vào quá trình bầu chọn STP. Nếu bạn quan sát trên port thì sẽ thấy đèn của port không sáng. Điều này khác với RootGuard, mặc dù RootGuard không cho phép Switch lạ hoạt động trong mạng, nhưng Switch vẫn có thể thấy được các Switch khác (bạn có thể sử dụng lệnh show spanning-tree để kiểm tra điều này)