AnhTuIS
Intern
Tìm Hiểu Và Cấu Hình Giao Thức Ngăn Chặn Layer 2 Loop (STP, RSTP, MSTP)
- Trong các hệ thống mạng sử dụng thiết bị chuyển mạch (Switch), hiện tượng vòng lặp (Loop) tại Layer 2 có thể gây ra những vấn đề nghiêm trọng như broadcast storm, lặp gói tin vô hạn và làm tê liệt toàn bộ mạng. Để ngăn chặn vấn đề này, các giao thức spanning tree như STP (Spanning Tree Protocol), RSTP (Rapid Spanning Tree Protocol), MSTP (Multiple Spanning Tree Protocol) được triển khai nhằm đảm bảo mạng hoạt động ổn định và tránh xung đột đường truyền.
- Bài viết này sẽ trình bày lý thuyết về các giao thức STP, RSTP, MSTP, đồng thời hướng dẫn thực hành (Lab) cấu hình và kiểm tra hoạt động của chúng trên thiết bị mạng. Qua đó, người đọc sẽ hiểu rõ cách các giao thức này hoạt động, cách triển khai chúng để tối ưu hóa hệ thống mạng, cũng như các tình huống thực tế khi cần áp dụng.
Mục lục
I. Khái niệm Layer 2 Loop
- Vòng lặp lớp 2 (layer 2 loop) còn được gọi là vòng lặp chuyển mạch(switching loop), hoặc vòng lặp bắc nối (bridging loop), xảy ra trong mạng máy tính khi có nhiều hơn một đường dẫn lớp 2 giữa hai điểm cuối (endpoint) mà không có cơ chế kiểm soát vòng lặp. Vòng lặp lớp 2 sẽ diễn ra khi:- Có nhiều kết nối giữa hai Switch trên cùng một VLAN
- Hai cổng trên cùng một Switch trên cùng một VLAN được kết nối trực tiếp
- Ba hoặc nhiều bộ chuyển mạch được kết nối trong một vòng lặp vật lý bằng cách sử dụng các cổng trên cùng một VLAN
- Nếu một khung được gửi vào một vòng lặp, nó có thể lặp lại mãi mãi hoặc sẽ lưu thông mạng cho đến khi chúng bị rơi, ví dụ như do cạn kiệt tài nguyên.
- Mạng có thể bị nghẽn do broadcast storm
- Hậu quả của việc lặp trong hệ thống là sẽ tiêu hao tài nguyên hệ thống hoặc thậm chí là làm gián đoạn hoặc sập hệ thống mạng
- Các vòng lặp lớp 2 được xử lý bằng cách sử dụng các giao thức và công nghệ như Spanning Tree Protocol (STP), Rapid STP (RSTP), Multiple STP (MSTP), Shortest Path Bridging (SPB), TRILL hoặc Link Aggregation (LACP) trên switch.
II. Spanning Tree Protocol (STP)
- Spanning Tree Protocol (STP) là một giao thức ngăn các vòng lặp được hình thành khi các switch hoặc bridge được kết nối với nhau thông qua nhiều đường dẫn. Giao thức kéo dài thực hiện thuật toán IEEE 802.1D bằng cách trao đổi các gói tin BPDU với các switch khác để phát hiện các vòng lặp, sau đó xóa vòng lặp bằng cách tắt các giao diện cầu đã chọn. Thuật toán này đảm bảo rằng có một và chỉ một đường dẫn tốt nhất hoạt động giữa hai thiết bị mạng.1. BPDU là gì?
- BPDU là các gói tin mà các thiết bị mạng sử dụng để trao đổi thông tin về cấu trúc mạng. BPDU giúp các cầu (bridge) trong mạng tính toán và duy trì một cấu trúc cây không vòng lặp, giúp tránh tình trạng lặp trong mạng lưới.- Các thành phần chính của BPDU:
- Protocol Identifier (2 bytes): Giúp các thiết bị nhận diện đây là một frame BPDU của STP
- Giá trị: 0x0000 → Spanning Tree Protocol (STP).
- Các giá trị phổ biến:
- 0x00 → Chuẩn IEEE 802.1D STP.
- 0x02 → Chuẩn IEEE 802.1w RSTP.
- 0x03 → Chuẩn IEEE 802.1s MSTP.
- Giá trị:
- 0x00 → Configuration BPDU (Dùng để chọn Root Bridge và duy trì STP).
- 0x80 → Topology Change Notification (TCN) BPDU (thông báo thay đổi topology).
- Chứa 2 cờ quan trọng:
- Bit 0: TC (Topology Change) → Đánh dấu có thay đổi topology.
- Bit 7: TCA (Topology Change Acknowledgment) → Xác nhận đã nhận được TCN BPDU.
- Định danh của Root Bridge, gồm:
- Bridge Priority (2 byte): Giá trị mặc định là 32768 (hoặc có thể được điều chỉnh).
- MAC Address (6 byte): Địa chỉ MAC của Root Bridge.
- Tổng chi phí từ switch gửi BPDU đến Root Bridge.
- Switch nào có Root Path Cost thấp hơn sẽ có Root Port.
- Giá trị Path Cost dựa trên tốc độ cổng:
- Định danh của switch gửi BPDU, gồm:
- Bridge Priority (2 byte)
- MAC Address (6 byte)
- Xác định cổng gửi BPDU, gồm:
- Port Priority (4 bit)
- Port Number (12 bit)
- Thời gian (tính bằng giây) mà BPDU đã tồn tại.
- Khi BPDU di chuyển qua switch, giá trị này tăng lên.
- Giá trị mặc định: 0.
- Thời gian tối đa (giây) một BPDU có thể tồn tại trước khi bị loại bỏ.
- Giá trị mặc định 20 giây.
- Khoảng thời gian giữa các BPDU.
- Giá trị mặc định 2 giây.
- Forward Delay (2 byte)
- Thời gian chờ trước khi chuyển từ trạng thái Listening → Learning → Forwarding.
- Giá trị mặc định 15 giây.
2. Cách hoạt động của STP
- STP hoạt động bằng cách lựa chọn một cây bao trùm (Spanning Tree) trong mạng bằng cách xác định:- Root Bridge (Cầu gốc): Thiết bị được chọn làm trung tâm của mạng dựa trên Bridge ID (BID).
- Root Port (Cổng gốc): Cổng gần nhất với Root Bridge trên mỗi switch.
- Designated Port (Cổng được chỉ định): Cổng có đường dẫn tốt nhất đến Root Bridge trên mỗi segment.
- Blocking Port (Cổng bị chặn): Cổng không tham gia vào quá trình chuyển tiếp lưu lượng để ngăn vòng lặp.
- Để đảm bảo một đường đi duy nhất giữa các thiết bị trong mạng và ngăn chặn vòng lặp, Spanning Tree Protocol (STP) phải xác định Root Bridge, Root Port, Designated Port, và Blocking Port. Dưới đây là quy trình chi tiết để lựa chọn từng thành phần này.
2.1 Lựa chọn Root Bridge (Cầu gốc)
- Root Bridge là switch trung tâm của mạng STP, nơi tất cả các switch khác tính toán đường đi ngắn nhất.- Tiêu chí lựa chọn Root Bridge
- Mỗi switch có một Bridge ID (BID) để xác định.
- Bridge ID bao gồm:
- Bridge Priority (Ưu tiên - 2 byte, mặc định 32768)
- MAC Address (6 byte, địa chỉ MAC của switch)
- Switch nào có Bridge ID nhỏ nhất sẽ trở thành Root Bridge.
- So sánh Bridge Priority trước. Switch có Bridge Priority nhỏ hơn sẽ trở thành Root Bridge.
- Nếu Bridge Priority bằng nhau, so sánh MAC Address. Switch nào có MAC Address nhỏ hơn sẽ trở thành Root Bridge.
Switch | Bridge Priority | MAC Address | Bridge ID (Priority + MAC) |
SW1 | 32768 | 00:1A:2B:3C:4D:5E | 32768:00:1A:2B:3C:4D:5E |
SW2 | 32768 | 00:1A:2B:3C:4D:1F | 32768:00:1A:2B:3C:4D:1F |
SW3 | 28672 | 00:1A:2B:3C:4D:AA | 28672:00:1A:2B:3C:4D:AA |
- SW3 có Bridge Priority thấp hơn (28672 < 32768) ⇒ SW3 sẽ trở thành Root Bridge.
2.2 Lựa chọn Root Port (Cổng gốc)
- Sau khi xác định Root Bridge, mỗi switch không phải Root Bridge sẽ chọn một cổng gần nhất với Root Bridge làm Root Port.- Tiêu chí lựa chọn Root Port
- Path Cost (Chi phí đường dẫn) thấp nhất đến Root Bridge.
- Nếu Path Cost bằng nhau, chọn cổng từ Switch có Bridge ID nhỏ hơn.
- Nếu vẫn bằng nhau, chọn Port có Port ID nhỏ hơn.
Giả sử có SW1 (Root Bridge) kết nối đến SW2 và SW3:
- SW2 có hai đường đến SW1:
- Cổng Gi0/1 (tốc độ 1Gbps) → Path Cost = 4
- Cổng Gi0/2 (tốc độ 100Mbps) → Path Cost = 19
→ Chọn Gi0/1 làm Root Port vì có Path Cost nhỏ hơn.
2.3 Lựa chọn Designated Port (Cổng được chỉ định)
Mỗi segment mạng (mỗi mạng LAN giữa hai switch) chỉ có một Designated Port để chuyển tiếp dữ liệu.Tiêu chí lựa chọn Designated Port
- Switch nào có Path Cost đến Root Bridge thấp hơn sẽ có Designated Port trên segment đó.
- Nếu Path Cost bằng nhau:
- Switch có Bridge ID nhỏ hơn sẽ chọn cổng của nó làm Designated Port.
- Nếu tiếp tục bằng nhau, chọn Port có Port ID nhỏ hơn.
- SW1 (Root Bridge) → SW2 → SW3
- SW1 có Path Cost = 0 (vì là Root Bridge).
- SW2 có hai kết nối:
- Cổng Gi0/1 (đi đến SW1) → Root Port.
- Cổng Gi0/2 (đi đến SW3) → Nếu SW2 có Path Cost thấp hơn SW3, thì cổng Gi0/2 sẽ là Designated Port.
2.4 Xác định Blocking Port (Cổng bị chặn)
Sau khi Root Port và Designated Port được chọn, các cổng còn lại sẽ chuyển sang Blocking Mode để ngăn chặn vòng lặp.Tiêu chí lựa chọn Blocking Port
- Nếu một segment mạng có hai Designated Port, một trong hai phải bị chặn.
- Cổng bị chặn là cổng có Path Cost cao hơn.
- Nếu Path Cost bằng nhau, switch có Bridge ID cao hơn sẽ có cổng bị chặn.
- SW2 và SW3 kết nối với nhau.
- Nếu cả hai có cùng Path Cost đến Root Bridge, thì cổng của SW3 (có Bridge ID cao hơn) sẽ bị chặn.
2.5 Trạng thái cổng STP
- Mỗi cổng trên switch có thể nằm trong một trong các trạng thái sau:
- Blocking: Chặn lưu lượng để ngăn vòng lặp.
- Listening: Nghe các BPDU nhưng không chuyển tiếp lưu lượng.
- Learning: Học địa chỉ MAC nhưng chưa chuyển tiếp lưu lượng.
- Forwarding: Cho phép chuyển tiếp lưu lượng.
- Disabled: Cổng bị vô hiệu hóa hoàn toàn.
- Blocking (Chặn): Giúp ngăn chặn vòng lặp mạng.
- Đặc điểm:
- Không gửi/nhận dữ liệu.
- Không học địa chỉ MAC.
- Vẫn nhận và xử lý BPDU từ switch khác.
- Thời gian: Indefinite (có thể kéo dài vô hạn nếu không có thay đổi trong topology).
- Ứng dụng thực tế:
- Các cổng không phải đường đi tốt nhất đến Root Bridge sẽ ở trạng thái này.
- Chỉ mở lại nếu topology thay đổi.
- Đặc điểm:
- Listening (Lắng nghe):Chuẩn bị để đưa cổng vào hoạt động mà không gây vòng lặp.
- Đặc điểm:
- Gửi và nhận BPDU để xác định cổng nào sẽ được đưa vào trạng thái Forwarding.
- Không chuyển tiếp lưu lượng.
- Không học địa chỉ MAC.
- Thời gian: 15 giây (Forward Delay Timer).
- Ứng dụng thực tế:
- Khi một cổng vừa được kích hoạt hoặc khi topology thay đổi.
- Đặc điểm:
- Learning (Học địa chỉ MAC):Chuẩn bị để chuyển tiếp lưu lượng bằng cách học địa chỉ MAC.
- Đặc điểm:
- Học địa chỉ MAC từ các gói tin nhưng chưa chuyển tiếp dữ liệu.
- Tiếp tục gửi và nhận BPDU.
- Giúp switch cập nhật bảng MAC để tránh broadcast storm khi chuyển sang Forwarding.
- Thời gian: 15 giây (Forward Delay Timer).
- Ứng dụng thực tế:
- Xảy ra sau trạng thái Listening.
- Đặc điểm:
- Forwarding (Chuyển tiếp): Bắt đầu chuyển tiếp lưu lượng như một cổng hoạt động bình thường.
- Đặc điểm:
- Gửi và nhận dữ liệu.
- Tiếp tục gửi và nhận BPDU.
- Học địa chỉ MAC.
- Thời gian: Liên tục (miễn là topology không thay đổi).
- Ứng dụng thực tế:
- Các cổng Root Port và Designated Port sẽ vào trạng thái này.
- Đây là trạng thái hoạt động bình thường của switch.
- Đặc điểm:
- Disabled (Vô hiệu hóa): Vô hiệu hóa hoàn toàn một cổng.
- Đặc điểm:
- Không gửi/nhận dữ liệu.
- Không nhận BPDU.
- Không học địa chỉ MAC.
- Thời gian:Liên tục (chỉ thay đổi khi được bật lại).
- Ứng dụng thực tế:
- Khi cổng bị tắt thủ công bằng lệnh shutdown trên switch.
- Khi cổng bị lỗi phần cứng.
- Đặc điểm:
2.6. Chu trình chuyển đổi trạng thái của một cổng STP
- Một cổng STP sẽ trải qua các trạng thái theo thứ tự sau khi được kích hoạt:Blocking → Listening → Learning → Forwarding
- Tổng thời gian chuyển đổi từ Blocking → Forwarding = 30 giây (Listening + Learning).
- Nếu có thay đổi trong mạng (topology change), STP sẽ đưa một số cổng quay lại trạng thái Blocking và bắt đầu lại quá trình này.
* Thời gian chờ trong từng trạng thái
Trạng thái | Chức năng | Gửi BPDU | Nhận BPDU | Học MAC | Chuyển tiếp lưu lượng | Thời gian |
Blocking | Ngăn vòng lặp | Không | Có | Không | Không | 0 giây(Vô hạn nếu không được chọn làm RP hoặc DP) |
Listening | Xây dựng topology | Có | Có | Không | Không | 15 giây |
Learning | Học địa chỉ MAC | Có | Có | Có | Không | 15 giây |
Forwarding | Chuyển tiếp | Có | Có | Có | Có | Vô thời hạn |
Disabled | Vô hiệu hoá | Không | Không | Không | Không | Vô thời hạn |
III. Các loại Spanning Tree
1. STP (Spanning Tree Protocol - IEEE 802.1D)
- STP là phiên bản gốc của Spanning Tree Protocol, được IEEE phát triển theo chuẩn 802.1D.- Đặc điểm chính:
- Ngăn chặn vòng lặp trong mạng Layer 2.
- Chỉ có một spanning tree cho toàn bộ mạng.
- Cơ chế hội tụ chậm (mất 30 - 50 giây để một cổng chuyển từ Blocking sang Forwarding).
- Dựa vào BPDU (Bridge Protocol Data Unit) để trao đổi thông tin.
- Mỗi VLAN sẽ có một cây spanning tree duy nhất → Không tối ưu tài nguyên cho nhiều VLAN.
- Blocking → 2. Listening (15 giây) → 3. Learning (15 giây) → 4. Forwarding
=> Tổng thời gian hội tụ: 30 - 50 giây.
- Nhược điểm của STP:
- Quá chậm, mất đến 50 giây để hội tụ khi có thay đổi topology.
- Không hỗ trợ nhiều VLAN tối ưu.
2. RSTP (Rapid Spanning Tree Protocol - IEEE 802.1w)
- RSTP là phiên bản cải tiến của STP, giúp tăng tốc độ hội tụ mạng.- Đặc điểm chính:
- Hội tụ nhanh hơn nhiều so với STP (thường chỉ mất vài giây).
- Hỗ trợ BackboneFast, UplinkFast, PortFast để tăng tốc hội tụ.
- Tạo nhiều kết nối backup, giúp chuyển đổi nhanh chóng nếu một liên kết bị lỗi.
- Sử dụng các loại cổng mới để tối ưu quá trình chuyển đổi trạng thái.
- Discarding (Blocking) → Learning → Forwarding
- Thời gian hội tụ:1 - 5 giây thay vì 30 - 50 giây như STP.
| Loại cổng | Mô tả |
| Root Port (RP) | Cổng có đường đi tốt nhất đến Root Bridge. |
| Designated Port (DP) | Cổng chính để truyền dữ liệu trên một đoạn mạng. |
| Alternate Port | Cổng dự phòng cho Root Port. |
| Backup Port | Cổng dự phòng cho Designated Port. |
- Với Alternate Port và Backup Port, RSTP có thể chuyển đổi nhanh mà không cần đợi hết thời gian hội tụ.
- Ưu điểm của RSTP so với STP:
- Hội tụ nhanh hơn nhiều lần (1 - 5 giây).
- Hỗ trợ PortFast, UplinkFast, BackboneFast để tối ưu chuyển đổi trạng thái.
- Có cơ chế dự phòng (Alternate & Backup Ports) giúp phản ứng nhanh với sự cố.
- Vẫn chỉ hỗ trợ một spanning tree cho toàn bộ mạng → Không tối ưu cho nhiều VLAN.
3. MSTP (Multiple Spanning Tree Protocol - IEEE 802.1s)
- MSTP là phiên bản tiên tiến hơn của STP và RSTP, cho phép sử dụng nhiều spanning tree cùng lúc.- Đặc điểm chính:
- Cho phép tạo nhiều spanning tree trên một mạng.
- Tích hợp cơ chế hội tụ nhanh của RSTP.
- Mỗi MST Instance (MSTI) có thể phục vụ một nhóm VLAN riêng, tối ưu hóa đường đi trong mạng.
- Chia mạng thành vùng MST (MST Regions).
- Mỗi vùng có thể chứa nhiều MST Instances (MSTI).
- Các VLAN được ánh xạ vào từng MSTI để tận dụng tối đa tài nguyên mạng.
| MST Instance | VLANs sử dụng | Root Bridge |
| MSTI 1 | VLAN 10, 20, 30 | SW1 |
| MSTI 2 | VLAN 40, 50, 60 | SW2 |
| MSTI 3 | VLAN 70, 80, 90 | SW3 |
* Mỗi MST Instance có thể có Root Bridge riêng, giúp cân bằng tải giữa các switch.
- Ưu điểm của MSTP:
- Tối ưu tài nguyên mạng cho nhiều VLAN.
- Hội tụ nhanh nhờ cơ chế của RSTP.
- Cho phép nhóm nhiều VLAN vào một cây spanning tree, giúp giảm số lượng spanning tree cần quản lý.
- Cấu hình phức tạp hơn RSTP.
- Đòi hỏi các switch phải hỗ trợ chuẩn MSTP (802.1s).
Đặc điểm | STP (802.1D) | RSTP (802.1w) | MSTP (802.1s) |
Hội tụ | Chậm (30 - 50 giây) | Nhanh (1 - 5 giây) | Nhanh (1 - 5 giây) |
Cơ chế dự phòng | Không có | Alternate & Backup Port | Alternate & Backup Port |
Tạo nhiều spanning tree | Không | Không | Có |
Tối ưu cho nhiều VLAN | Không | Không | Có |
Ánh xạ VLAN vào spanning tree | Không | Không | Có |
Ứng dụng thực tế | Mạng nhỏ, không yêu cầu tốc độ cao | Mạng trung bình cần hội tụ nhanh | Mạng lớn có nhiều VLAN |
IV. Bảo mật cho Spanning Tree
Ngoài việc lựa chọn được cơ chế STP phù hợp với mạng, người quản trị cũng cần quan tâm đến vấn đề bảo mật cho thiết bị được cài đặt giao thức STP này. Kẻ tấn công có các cách tấn công như Root Bridge Attack hay BPDU Spoofing Attack để tấn công vào hệ thống, làm hệ thống hiểu nhầm và bầu chọn máy của kẻ tấn công là Root Bridge.1. Root Guard - Ngăn chặn tấn công Root Bridge
- Root Bridge Attack:
- Kẻ tấn công có thể gửi BPDU giả mạo với Bridge Priority rất thấp để trở thành Root Bridge.
- Khi một switch giả mạo trở thành Root Bridge, toàn bộ lưu lượng mạng sẽ đi qua nó, gây mất ổn định hoặc cho phép Man-in-the-Middle Attack (MitM).
- Root Guard trong Spanning Tree Protocol (STP) giúp bảo vệ vị trí Root Bridge khỏi các thay đổi không mong muốn do BPDU giả mạo.
- Tính năng Root Guard giúp khắc phục vấn đề này bằng cách kiểm soát BPDU nhận được trên một cổng nhất định. Khi một switch nhận Superior BPDU (BPDU có BID tốt hơn Root Bridge hiện tại), Root Guard sẽ chặn cổng đó ngay lập tức và đưa nó vào trạng thái Root Inconsistent (Blocking). Trong trạng thái này, cổng sẽ không gửi hoặc nhận dữ liệu cho đến khi BPDU không hợp lệ ngừng được gửi. Khi BPDU đó biến mất, cổng sẽ tự động quay lại hoạt động bình thường mà không cần cấu hình lại.
2. BPDU Guard - Ngăn chặn BPDU giả mạo trên Access Ports
- BPDU Spoofing Attack:- Các thiết bị giả mạo switch có thể gửi BPDU vào mạng, làm thay đổi topology STP.
- Một người dùng bình thường cắm một switch hoặc thiết bị gửi BPDU vào mạng có thể vô tình làm mất kết nối.
- BPDU Guard giúp bảo vệ Access Port khỏi BPDU không mong muốn bằng cách vô hiệu hóa ngay lập tức bất kỳ cổng nào nhận được BPDU. Khi một BPDU xuất hiện trên một cổng đã bật BPDU Guard, switch sẽ đưa cổng đó vào trạng thái Err-Disable (Lỗi - Vô hiệu hóa), ngăn chặn tất cả lưu lượng đi qua.
- Cổng sẽ không tự động kích hoạt lại. Quản trị viên cần can thiệp bằng lệnh shutdown/no shutdown để mở lại cổng sau khi kiểm tra nguyên nhân.
3. Loop Guard – Ngăn chặn Vòng lặp STP ngoài ý muốn
- Trong Spanning Tree Protocol (STP), các cổng Blocking đóng vai trò quan trọng trong việc ngăn chặn vòng lặp mạng. Tuy nhiên, nếu một cổng Blocking ngừng nhận BPDU, STP có thể hiểu nhầm rằng đường đi đó đã bị mất và kích hoạt cổng này thành Forwarding, dẫn đến vòng lặp Layer 2. Tình huống này có thể xảy ra khi Lỗi phần cứng trên switch hoặc liên kết mạng hoặc Mất kết nối một chiều (Unidirectional Link Failure) khiến BPDU chỉ được gửi theo một hướng mà không được nhận lại.- Loop Guard
- Loop Guard giúp ngăn chặn vòng lặp ngoài ý muốn bằng cách giữ cổng ở trạng thái Blocking nếu không nhận được BPDU trong một khoảng thời gian dài.
- Thay vì chuyển từ Blocking → Forwarding, Loop Guard sẽ đưa cổng vào trạng thái Loop Inconsistent (vô hiệu hóa tạm thời). Khi BPDU hợp lệ quay trở lại, cổng sẽ tự động hoạt động bình thường mà không cần can thiệp thủ công.
Đính kèm
Sửa lần cuối:
Bài viết liên quan
Bài viết mới
