Spanning Tree, network’te loop(sonsuz döngü) ların oluşumunu önleyen en önemli özelliklerden biridir. Spanning Tree çalışan bir network içinde bir root bridge seçilerek her switch, root bridge ‘e ulaşmanın en iyi yolunu bulmakta, diğer yollarını ise kapatmaktadır. Bu nedenle network dizaynında Root Bridge seçimi çok büyük bir önem taşımaktadır.
Diyelim ki bir network’ü Spanning Tree düzgün çalışacak şekilde kurdunuz. Root Bridge doğru seçildi ve son kullanıcıya giden portlarda portfast özelliğini açtınız.Portfast özelliği, Spanning Tree’yi disable etmese de portları listening learning gibi loop önleyen aşamalardan geçirmeyecek, bu da çok büyük bir hız kazancı getirecektir. Ancak bu özellik aynı zamanda kötü niyetli kişiler tarafından kullanılabilecek bir güvenlik açığıdır.
Aşağıdaki tablonun üzerinden gidelim.
Gördüğünüz gibi, kötü niyetli kişi switch’ini potfast enabled portlara bağlayarak loop’a neden olmuştur. Çünkü portfast’in açık olduğu portlarda port hemen forwarding state’e geçtiğinden bir süre loop oluşabilir.
BPDU GuardYukarıda bahsettiğimiz durumu önlemek için BPDU Guard isimli bir özellik geliştirilmiştir. BPDU Guard, kısaca açıklarsak portfast enabled portlardan BPDU alınca o portu kapatma işlevini yapar. Böylece kötü amaçlı kişi switch’ini sizin network ünüze bağladığında bağlandığı port otomatik olarak kapanır.
BPDU Guard’ı port bazında aşağıdaki komutla açabilirsiniz.
Switch(config-if)# spanning-tree bpduguard enableYa da, global configuration mode içindeyken bu komutu yazarak aktive edebilirsiniz.
Switch(config)# spanning-tree portfast bpduguard defaultBaşka bir önemli nokta da Root Bridge’inizin her zaman istediğiniz switch’in seçilmesini sağlamaktır. Eğer biri kendi switch’ini network’ünüze bağlarsa ve bu siwtch’in priority’si daha düşükse Root Bridge seçilebilir. Bunu önlemek için BPDU Guard’ı açmak yeterlidir, böylece hiç kimse son kullanıcı portlarına switch bağlayamayacaktır.
Root GuardBunun dışında örneğin yanlış konfigüre edilmiş bir switch’in network’e bağlanması sonucu Root Bridge’iniz değişebilir. Ancak Root Bridge, networkün çok temel ve önemli bir parçası olduğundan hiçbir zaman değişmemesini sağlamanız gerekir. Bunun için de Root Guard geliştirilmiştir. Root Guard, yalnızca Root Bridge’de (belki en fazla Backup Root Bridge’de) enable hale getirebilir.
Root Guard, Root Bridge üzerindeki portlardan, sadece hattın diğer ucundaki switchlerin root seçilmemesi gerektiğinden emin olunan portlarda enable duruma getirilir.
Örneğin yukarıdaki network e bakarsanız, seçilen Root Bridge’in yalnızca Backup R. B. ‘e giden portunda Root Guard açılmamıştır. Eski switchlere bağlanan portlarından, daha düşük priority ile Root Bridge olmak isteyen bir switch görürse Root Guard, bu pakedi aldığı portu “incostintent port” olarak işaretler ve kapatır. Böylece yanlışlıkla bir switch’in Root Bridge seçilmesini engellenmiş olur.
Aşağıdaki komutla port bazında Root Guard’ı açabilirsiniz.
Switch(config-if)# spanning-tree guard rootBurada dikkat edilmesi gereken nokta, network tamamen oturduktan sonra Root Guard özelliğini açmaktır. Eğer Spanning Tree işlemi tam olarak bitmediyse, Root Guard bazı problemlere yol açabilir. Bu nedenle Root ve Backup Root Bridge seçimi doğru olarak yapılıp işlem tamamlandıktan sonra bu özelliğin açılması gerekir.
Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.
