SDN - Week 3

STP (Spanning Tree Protocol)

STP bepaalt het beste pad in een switched netwerk en voorkomt Layer 2-loops door redundante paden te blokkeren.

STP is standaard enabled op switches

De originele IEEE 802.1D-standaard. Maakt één enkele spanning tree voor het hele netwerk, ongeacht het aantal VLANs.

Waarom is STP nodig in Ethernet-netwerken met redundante links?

Zonder STP kunnen Layer 2-loops ontstaan, wat leidt tot o.a. MAC-tabel-instabiliteit, linkverzadiging en hoog CPU-gebruik.

de stappen van hoe STP een loop vrije omgeving realiseert

1.      STP begint bij het kiezen van een root bridge.

2.      Daarna worden redundante paden geblokkeerd.

3.      De geblokkeerde paden zorgen ervoor dat het netwerk loopvrij is.

4.      Als er in de toekomst een pad wegvalt, gaat de root bridge opnieuw rekenen. Er zullen dan nieuwe paden ontstaan tussen de switches.

Het laagste MAC-adres

Dit waarde is bepalend wanneer alle switches bij STP dezelfde prioriteit van 32769 hebben wanneer de rootbridge wordt bepaald door het STP algortime

De BID (Bridge ID) bestaat uit:

• Bridge priority (incl. VLAN-extensie bij PVST/RPVST, daarom zie je vaak 32769 i.p.v. 32768)

• MAC-adres van de switch

Omdat STP op die link de designated port kiest met de laagste Bridge ID. Als prioriteit (en vaak ook cost) gelijk is, beslist de MAC als tie-breaker: laagste MAC wint, dus de switch met de hoogste MAC verliest en krijgt een alternate/blocking poort (Fa0/3).

Dit is Switch1 (de root bridge), omdat in de output alle poorten “Designated Forwarding” zijn en er geen root port voorkomt.

Bij het configureren van EtherChannel worden meerdere fysieke links samengebundeld tot één logische (virtuele) interface. Die virtuele interface heet een: Port-Channel (Po-interface)

Omdat alleen PortFast het “30 seconden wachten”-probleem oplost. De andere opties doen iets heel anders:

❌ BPDU Guard

• Waarom niet? Dit maakt de poort juist strenger/veiliger, maar versnelt STP niet. DHCP wordt er niet sneller van (en kan zelfs uitvallen als er per ongeluk BPDUs binnenkomen).

❌ PortSlow

• Bestaat niet als standaard STP-feature in Cisco/Packet Tracer in deze context.

❌ PDU Guard

• In STP-termen gaat het specifiek om BPDU’s (Bridge Protocol Data Units). “PDU Guard” is hier dus óf fout geschreven óf een afleider.

✅ Waarom PortFast wél

• PortFast slaat de STP-states Listening en Learning over op een access-poort (naar een PC).

• Daardoor is de poort direct forwarding, en krijgt de PC meteen DHCP i.p.v. na ~30 sec.

✅ BPDU Guard

Waarom dit precies past bij de vraag:

• Als je op Fa0/24 een eindapparaat-poort (edge/access) verwacht (dus géén switch), dan wil je voorkomen dat iemand daar stiekem een switch aansluit.

• Zodra er dan BPDUs binnenkomen (wat een switch doet), grijpt BPDU Guard in en zet de poort direct in err-disabled (feitelijk “geblokkeerd”). Daardoor kan die aangesloten switch geen onderdeel worden van het netwerk.

Waarom de andere opties niet:

• ❌ PortSlow: geen standaard/bruikbare STP-feature hiervoor (vaak een afleider).

• ❌ PortFase: is fout gespeld / bestaat niet (bedoelen ze PortFast, maar dat blokkeert niks).

• ❌ PDUGuard: geen gangbare STP-functie; het gaat specifiek om BPDU’s (Bridge Protocol Data Units).

Kort: PortFast versnelt, BPDU Guard blokkeert (shutdown) bij BPDUs — en dat is precies wat je hier wilt.

broadcast storm

Een abnormaal hoog aantal broadcasts dat het netwerk gedurende een bepaalde tijd overbelast.

Voor STP zijn er 3 verschillende timers nodig:

Iedere twee seconden stuurt een switch BPDU-pakketten met informatie over het STP-domein:

*Hello: 2 seconden

• Forward Delay: 15 seconden: Tijd tussen listening en learning state van een poort

• Max age timer: 20 seconden: Maximale tijd dat een switch wacht om een STP change door te voeren

Bridge Priority

een configureerbare waarde. Standaard waarde bij Cisco is 32768. configureerbaar tussen 0 en 61440.Dit verschilt per vendor. Aruba/HP maakt gebruik van 1 tot en met waarde 15.

De poorten hebben 5 verschillende staten waarin deze zich kunnen bevinden, deze worden hieronder beschreven:

 

·         Blocking: De poort stuurt geen data door, maar luistert naar BPDU's om netwerkloops te voorkomen. Wordt gebruikt als alternatieve poort.

·         Listening: De poort stuurt en ontvangt BPDU's om de beste weg naar de root bridge te bepalen. Er wordt nog geen dataverkeer doorgestuurd.

·         Learning: De poort begint MAC-adressen te leren om het verkeer goed te kunnen doorsturen. Er is nog geen dataverkeer.

·         Forwarding: De poort is volledig actief: het stuurt dataverkeer en BPDU's door. De poort is onderdeel van de netwerkstructuur.

·         Disabled: De poort is administratief uitgezet. Geen communicatie of deelname aan het spanning tree-protocol.

Switches met gelijke Bridge ID

dan wordt er op basis van het laagste mac adres gekozen.

PVST+ (Per-VLAN Spanning Tree (PVST)

Cisco-uitbreiding van STP. Creëert een aparte spanning tree voor elke VLAN. Ondersteunt functies zoals PortFast, UplinkFast en beveiligingen zoals BPDU guard.

RSTP (Rapid STP)

Snellere versie van STP (IEEE 802.1w). Zorgt voor snellere netwerkconvergentie.

802.1D-2004

Nieuwe versie van STP-standaard met integratie van RSTP (802.1w).

Rapid PVST+

Cisco-uitbreiding van RSTP, met één snelle spanning tree per VLAN. Ondersteunt diverse beveiligingsopties zoals BPDU guard en root guard.

Multiple Spanning Tree Protocol (MSTP)

·         : IEEE-standaard die meerdere VLANs groepeert in één spanning tree-instantie. Gebaseerd op eerdere Cisco-technologie (MISTP).

Multiple Spanning Tree (MST)

Cisco’s implementatie van MSTP. Ondersteunt tot 16 spanning tree-instanties. Combineert VLANs met gelijke topologieën in één RSTP-instantie met beveiligingsopties.

Extended System ID

Een decimale waarde om het VLAN-id mee te geven voor het betreffende BPDU-pakket

Cost waarde

Ieder L2-pad krijgt een Cost waarde. Het pad(oftewel link) met de laagste waarde wordt door de switch gebruikt om frames te forwarden.

Het STP-proces volgt de onderstaande vier stappen om tot een calculatie te komen

• Stap 1: Kiest de root bridge

• Stap 2: selecteert de root ports

• Stap 3: selecteert de designated ports.

• Stap 4: Selecteert de alternate(blocked) ports.

De inhoud van een BPDU-pakket bevat informatie voor het bepalen van

• Root Bridge

• Root ports

• Designated ports

• Alternate port

BPDU-pakketten kunnen worden gefilterd met

de BPDU-Guard en BPDU-

Filter commando's op interface-niveau.

Internal root path cost

Nadat de Root Bridge is bepaald, begint het STP-proces met het bepalen welke poort de root poort wordt. Per switch (met uitzondering van de Root Bridge) is er altijd maar één root poort, en het bepalen van de root poort gebeurt aan de hand van een Cost-waarde: hoe lager deze waarde is, hoe eerder de betreffende interface als root poort wordt gedefinieerd. De interface met de laagste cost wordt dus de root poort, waarbij de cost-waarde van een switch ook wel de internal root path cost wordt genoemd: dit is de totale som van alle costwaarden van alle poorten richting de Root Bridge.

Etherchannel

Als je meer channels op laag 2 wil activeren, dan wordt dit automatisch geblocked door STP protocol. Daarom is het concept van Etherchannel gekomen.

 

Voordelen Etherchannel

• Snelle conversie van een link. Bij het wegvallen van een fysieke link is er nagenoeg geen downtime. Het toevoegen van een link is te merken aan een ietwat hogere latency.

• Hoog beschikbaarheid op link-niveau. Met het gebruik van stacking zelfs op switch-niveau

Nadelen Etherchannel

• Geen mix van interfaces met verschil in snelheid. Bijvoorbeeld, g en gigabit met tengigabit interfaces

• Consistentie van configuratie alle link-members van een etherchannel. Een typfout op een interface member kan voor downtime zorgen. Denk aan Allowed vlans en speed/duplex.

• Één sessie kan maximaal de bandbreedte benutten van de fysiek snelheid van de gebruikte interfaces. Dit komt door de load-balancing van de logische link(src-dst Mac-adres)

LACP (Link Aggregation Control Protocol)

is een open standaardprotocol dat compatibel is met diverse fabrikanten en ondersteunt automatische configuratie.

LACP is meer geschikt voor omgevingen met verschillende fabrikante

PAGP (Port Aggregation Protocol)

Is een door Cisco ontwikkeld protocol dat specifiek is voor Cisco-apparaten en heeft extra functies, maar is niet compatibel met andere fabrikanten

PAGP werkt het beste in omgevingen met alleen Cisco-apparatuu

Etherchannel(PaGP)

Bij EtherChannel kun je verschillende modi instellen: On is de modus waarin de interface de bundeling af dwingt zonder PAgP, dus interfaces die in de “on”-modus staan wisselen geen PAgP-pakketten uit. PAgP desirable is een actieve PAgP-modus waarbij de interface onderhandelingen initieert met andere interfaces door PAgP-pakketten te verzenden. PAgP auto is juist passief: in deze PAgP-modus reageert de interface wel op de PAgP-pakketten die het ontvangt, maar het initieert zelf geen PAgP-onderhandeling.

Etherchannel(LACP)

Bij LACP heb je verschillende modi: in Active (Actief) initieert de interface LACP-onderhandelingen en stuurt LACP-pakketten naar andere apparaten, waarbij de interface actief zoekt naar andere LACP-compatibele apparaten en probeert een bundeling van links tot stand te brengen; als beide zijden van de verbinding active zijn, zal de linkaggregatie tot stand komen. In Passive (Passief) reageert de interface op inkomende LACP-pakketten en gaat akkoord met bundeling als de andere kant actief is, omdat de interface in passive wacht op LACP-pakketten van andere apparaten en alleen zal bundelen als de andere kant active is; dit wordt vaak gebruikt wanneer je wilt dat de andere kant de initiërende rol heeft in de LACP-onderhandelingen. In On (Aan) wordt LACP uitgeschakeld, wat betekent dat de interface niet actief deelneemt aan LACP-onderhandelingen, de interface niet probeert een LACP-bundeling van links tot stand te brengen en er geen LACP-pakketten worden uitgewisseld; deze modus wordt vaak gebruikt als je handmatig de linkaggregatie wilt configureren zonder LACP.