CCNA [Lý Thuyết] #3: Tìm Hiểu Giao Thức Ngăn Chặn Layer 2 Loop (STP, RSTP, MSTP)

MỤC LỤC​

I. Giới Thiệu​

II. Khái Niệm​

III. Cơ Chế Hoạt Động​

IV. Trạng Thái Của Port​

V. Các Loại STP​

VI. Cơ Chế Bảo Mật Cho STP​

I. Giới Thiệu​

Trong kỷ nguyên mạng hiện đại, tính liên tục và khả năng phục hồi của hệ thống mạng đóng vai trò then chốt đối với mọi tổ chức. Để đạt được điều này, các thiết kế mạng thường tích hợp tính dự phòng, sử dụng nhiều thiết bị Layer 2 kết nối với nhau. Tuy nhiên, việc tạo ra các đường dẫn dự phòng này cũng mang đến một thách thức lớn: Layer 2 Loop.

Layer 2 Loop xảy ra khi các gói tin, đặc biệt là các gói tin broadcast, bị luân chuyển liên tục trong mạng do có nhiều đường dẫn dự phòng. Điều này dẫn đến tình trạng Broadcast Storm, làm nghẽn mạng và gây ra nhiều vấn đề nghiêm trọng khác. Để giải quyết vấn đề này, giao thức Spanning Tree (STP) được phát triển.

II. Khái Niệm​

Gói tin BPDU (Bridge Protocol Data Unit):​

• BPDU là đơn vị dữ liệu giao thức cầu nối, được sử dụng bởi các thiết bị Layer 2 (switch) để trao đổi thông tin với nhau trong quá trình hoạt động của STP.
• BPDU chứa các thông tin quan trọng như Bridge ID, Root Bridge ID, Root Path Cost, Port ID, v.v., giúp các switch đưa ra quyết định về cấu trúc mạng.
  • Configuration BPDU: Được sử dụng để bầu chọn Root Bridge và tính toán đường dẫn.
  • TCN BPDU (Topology Change Notification BPDU): Được sử dụng để thông báo về sự thay đổi cấu trúc mạng.

• Cấu trúc BPDU Header:
  
  • Bridge ID (BID): Định danh duy nhất cho mỗi switch, bao gồm Bridge Priority (2 bytes) và Bridge MAC address (6 bytes).
  • Bridge Priority: Giá trị số nguyên từ 0 đến 65535, mặc định là 32768.
  • Bridge MAC address: Địa chỉ MAC của switch.
  • Root Bridge ID: Định danh của Root Bridge, có cấu trúc tương tự Bridge ID.
    • Path Cost là giá trị đo lường chi phí của một đường dẫn từ switch đến Root Bridge.
    • Path Cost được tính dựa trên băng thông của các cổng trên đường đi, với băng thông càng cao thì chi phí càng thấp. Ví dụ, một cổng 10 Mbps có Path Cost là 100, trong khi một cổng 1 Gbps có Path Cost là 4.
    • Path Cost được sử dụng để xác định đường dẫn tốt nhất đến Root Bridge, với đường dẫn có Path Cost thấp nhất được ưu tiên.
  • Port ID: Định danh của cổng, bao gồm Port Priority (1 byte) và Port Number (1 byte).
  • Message Age, Max Age, Hello Time, Forward Delay: Các tham số thời gian được sử dụng trong quá trình hoạt động của STP.

III. Cơ chế hoạt động của STP​

1. Chọn Root Bridge:​

1. Khi các switch khởi động, chúng sẽ gửi các gói tin Configuration BPDU, chứa thông tin về Bridge ID của mình.
2. Bridge ID bao gồm Bridge Priority (2 byte) và Bridge MAC address (6 byte).
3. Switch có Bridge ID thấp nhất sẽ được bầu làm Root Bridge.
4. Nếu có nhiều switch có cùng Bridge Priority, switch có Bridge MAC address thấp nhất sẽ được chọn.
5. Root Bridge sẽ gửi các gói tin Configuration BPDU với Root Bridge ID bằng chính Bridge ID của nó.
6. Các switch khác sẽ nhận các gói tin BPDU này và cập nhật thông tin về Root Bridge.

Trong hình ảnh, Switch1 có Priority là 24577, thấp hơn so với Switch2 và Switch3 (34769). Do đó, Switch1 sẽ được bầu làm Root Bridge.

2. Chọn Root Port:​

Root Port là cổng trên mỗi switch không phải Root Bridge, có đường dẫn đến Root Bridge với Path Cost thấp nhất.
Root Port đóng vai trò là cổng chính để switch giao tiếp với Root Bridge.

Quá trình:

1. Mỗi switch tính toán Path Cost đến Root Bridge thông qua các cổng của mình.
2. Path Cost được tính dựa trên băng thông của các cổng trên đường đi, với băng thông càng cao thì chi phí càng thấp.
3. Switch chọn cổng có Path Cost thấp nhất làm Root Port.
4. Nếu có nhiều cổng có cùng Path Cost, các tiêu chí khác như Bridge ID và Port ID của switch láng giềng sẽ được sử dụng để chọn Root Port.

• G0/2 → G0/1 của Switch1 (1 Gbps) → Path Cost = 4
• G0/1 → G0/2 của Switch3 (1 Gbps) → G0/1 đi tới Switch1 (1 Gbps) → Path Cost = 4 + 4 = 8

• G0/1 → G0/2 của Switch1 (1 Gbps) → Path Cost = 4
• G0/2 → G0/1 của Switch2 (1 Gbps) → G0/2 đi tới Switch1 (1 Gbps) → Path Cost = 4 + 4 = 23

3. Chọn Designated Port:​

1. Trên mỗi phân đoạn mạng, các switch so sánh Path Cost đến Root Bridge thông qua các cổng của mình.
2. Cổng có Path Cost thấp nhất sẽ được bầu làm Designated Port.
3. Nếu có nhiều cổng có cùng Path Cost, các tiêu chí khác như Bridge ID và Port ID của switch láng giềng sẽ được sử dụng để chọn Designated Port.
4. Tất cả các cổng của Root Bridge đều là Designated Port.

4. Chặn Các Cổng Dự Phòng:​

1. Các switch sẽ gửi các gói tin Configuration BPDU để thông báo về vai trò của các cổng.
2. Các cổng không phải Root Port hoặc Designated Port sẽ chuyển sang trạng thái Blocking.
3. Block Port không chuyển tiếp lưu lượng, nhưng vẫn lắng nghe BPDU để cập nhật thông tin về cấu trúc mạng.

IV. Trạng Thái Của Port​

1. Blocking (Chặn):​

• Đây là trạng thái ban đầu của tất cả các cổng khi switch khởi động.
• Cổng ở trạng thái Blocking không chuyển tiếp lưu lượng dữ liệu.
• Cổng chỉ nhận và xử lý các gói tin BPDU (Bridge Protocol Data Units) để cập nhật thông tin về cấu trúc mạng.
• Mục đích của trạng thái Blocking là ngăn chặn vòng lặp bằng cách chặn các đường dẫn dự phòng.
• Cổng sẽ ở trạng thái Blocking cho đến khi STP xác định vai trò của nó trong cấu trúc mạng.

2. Listening (Lắng nghe):​

• Sau khi xác định được Root Bridge, các cổng sẽ chuyển từ trạng thái Blocking sang Listening.
• Cổng ở trạng thái Listening vẫn không chuyển tiếp lưu lượng dữ liệu.
• Cổng tiếp tục nhận và xử lý các gói tin BPDU để thu thập thông tin về cấu trúc mạng.
• Mục đích của trạng thái Listening là chờ đợi để xác định xem cổng có nên chuyển sang trạng thái Learning hay không.
• Thời gian ở trạng thái Listening được xác định bởi tham số Forward Delay.

3. Learning (Học):​

• Sau khi thời gian Forward Delay kết thúc, các cổng sẽ chuyển từ trạng thái Listening sang Learning.
• Cổng ở trạng thái Learning vẫn không chuyển tiếp lưu lượng dữ liệu.
• Cổng bắt đầu học địa chỉ MAC nguồn từ các gói tin nhận được và xây dựng bảng CAM (Content Addressable Memory).
• Mục đích của trạng thái Learning là xây dựng bảng CAM trước khi chuyển tiếp lưu lượng dữ liệu.
• Thời gian ở trạng thái Learning cũng được xác định bởi tham số Forward Delay.

4. Forwarding (Chuyển tiếp):​

• Sau khi thời gian Forward Delay kết thúc, các cổng sẽ chuyển từ trạng thái Learning sang Forwarding.
• Cổng ở trạng thái Forwarding chuyển tiếp lưu lượng dữ liệu như bình thường.
• Cổng tiếp tục nhận và xử lý các gói tin BPDU để duy trì thông tin về cấu trúc mạng.
• Mục đích của trạng thái Forwarding là cho phép lưu lượng dữ liệu đi qua cổng.

5. Disabled (Vô hiệu hóa):​

• Đây là trạng thái khi cổng bị quản trị viên vô hiệu hóa.
• Cổng ở trạng thái Disabled không chuyển tiếp lưu lượng dữ liệu và không nhận hoặc xử lý các gói tin BPDU.
• Mục đích của trạng thái Disabled là loại bỏ hoàn toàn cổng khỏi mạng.

V. Các Loại STP​

1. STP (802.1D - Common Spanning Tree):​

• Đây là phiên bản gốc của STP, được định nghĩa trong chuẩn IEEE 802.1D.
  • Đơn giản, dễ cấu hình.
  • Tương thích với hầu hết các thiết bị mạng.
• STP phù hợp với các mạng nhỏ, đơn giản.

2. RSTP (802.1w - Rapid Spanning Tree Protocol):​

• RSTP là phiên bản cải tiến của STP, được định nghĩa trong chuẩn IEEE 802.1w.
  • Hoạt động nhanh hơn, thời gian hội tụ nhanh hơn nhiều so với STP (vài giây).
  • Tương thích ngược với STP, các thiết bị RSTP có thể hoạt động với các thiết bị STP.
  • Hiệu quả hơn trong các mạng lớn.
• RSTP phù hợp với các mạng lớn hơn, yêu cầu thời gian hội tụ nhanh hơn.

3. MSTP (802.1s - Multiple Spanning Tree Protocol):​

• MSTP là phiên bản nâng cao của RSTP, được định nghĩa trong chuẩn IEEE 802.1s.
  • Hỗ trợ nhiều Spanning Tree instances (MSTI), mỗi MSTI tương ứng với một hoặc nhiều VLAN.
  • Cho phép tối ưu hóa lưu lượng mạng trong môi trường VLAN, cân bằng tải giữa các đường dẫn.
  • Giảm thiểu tác động của sự cố mạng trong một VLAN đến các VLAN khác.
  • Tăng cường tính dự phòng và khả năng phục hồi.
• MSTP phù hợp với các mạng VLAN lớn, phức tạp, yêu cầu khả năng tối ưu hóa lưu lượng và dự phòng cao.

VI. Cơ Chế Bảo Mật Cho STP​

1. Root Guard:​

• Root Guard được cấu hình trên các cổng của Root Bridge hoặc các switch mà bạn muốn đảm bảo không bao giờ trở thành Root Bridge.
• Khi một switch trái phép gửi gói tin BPDU Superior (có Bridge ID thấp hơn) đến cổng được cấu hình Root Guard, cổng đó sẽ chuyển sang trạng thái Root-Inconsistent.
• Trạng thái Root-Inconsistent chặn tất cả lưu lượng dữ liệu và BPDU trên cổng.
• Cổng sẽ tự động chuyển về trạng thái bình thường khi không còn nhận được BPDU Superior.

2. BPDU Guard:​

• BPDU Guard được cấu hình trên các cổng PortFast (các cổng kết nối trực tiếp đến thiết bị đầu cuối).
• Khi một switch trái phép gửi gói tin BPDU đến cổng được cấu hình BPDU Guard, cổng đó sẽ chuyển sang trạng thái Errdisable.
• Trạng thái Errdisable chặn tất cả lưu lượng dữ liệu trên cổng.
• Cổng cần được kích hoạt lại thủ công hoặc sau một khoảng thời gian cấu hình.