เรื่องง่ายๆกับ Root Guard (Spanning Tree Protocol Root Guard Enhancement)

Root Guard เป็น Feature นึงบน Switch ที่ไว้ใช้ป้องกัน ไม่ให้ Switch ตัวอื่นมาเป็น Root Bridge แทนตัวเดิมที่ตั้งค่าไว้อยู่แล้ว

โดยปกติในระบบที่เราใช้งาน เราก็จะทำการตั้งค่า Root Bridge ไว้ที่ Core Switch เพื่อให้เกิดการเลือก L2 Path (STP) ที่เหมาะสม แต่ถ้าเกิดวันนึงพวก Access Switch  ที่ต่อใช้งานอยู่เกิดถูก config ให้มีค่า Bridge Priority ต่ำกว่า Root Bridge ที่ใช้งานอยู่ มันก็จะทำให้ Access Switch ตัวนั้นกลายเป็น Root Bridge ไปโดยปริยาย

เราสามารถป้องกันได้ด้วย config Bridge Priority ของ Root Bridge ให้เป็นมีค่า 0 มันก็จะทำให้ Switch ตัวนั้นมีค่า Bridge ID ต่ำสุดและการันตีความเป็น Root Bridge แน่นอน

Switch(config)#spanning-tree vlan 1 priority 0

แต่ !!! ถ้าเกิดว่ามี Switch ตัวนึงเกิด config Bridge Priority เป็น 0 เหมือนกันล่ะ ?? ตามกฎการเลือก Root Bridge เมื่อ Priority เท่ากัน ให้ไปดูที่ MAC Address ต่อ แล้วถ้าเกิด Switch ตัวใหม่นี้เกิดมี MAC Address ต่ำกว่า Root Bridge ตัวเดิมขึ้นมาล่ะ หุหุหุ ไอตัวใหม่มันก็กลายเป็น Root Bridge ทันที

ดังนั้น เราก็เลยใช้ไอเจ้า Root Guard ตัวนี้แหละ เข้ามาช่วยครับ โดย Root Guard จะ enable บน designated port เพื่อป้องกันไม่ให้ designated port กลายเป็น root port หรือ block port โดยถ้า port ที่ enable Root Guard ขึ้นมาได้รับ Superior BPDU (BPDU ที่มีค่า BridgeID ต่ำกว่า) เข้ามา port นั้นจะเข้าสู่ root-inconsistent (blocked) state.

ลองมาดูตัวอย่างกันครับ

จากรูปบน Switch A เป็น Root Bridge และมีการทำงานปกติตามกลไลของ STP

แล้วถ้าเกิดอยู่ดีๆ Switch D มีค่า Bridge ID ต่ำกว่าในระบบขึ้นมา จะทำให้ Switch D กลายเป็น New Root Bridge ทันที

เราจึง enable Root Guard ไว้บน port ของ Switch C ที่เชื่อมต่อไปหา Switch D

SwitchC(config)#interface fa0/3
SwitchC(config-if)#spanning-tree guard root

เมื่อใดก็ตามที่ Switch D มี Bridge ID ต่ำกว่าในระบบ แล้วส่ง Superior BPDU ออกไปให้ Switch C จะทำการ block port นั่นทันทีโดยจะมี message แสดงขึ้นมา

%SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port FastEthernet0/3 on VLAN0001.
%SPANTREE-2-ROOTGUARDBLOCK: Port 0/3 tried to become non-designated in VLAN 1.
Moved to root-inconsistent state

และ port จะเข้าสู่ root-inconsistent (blocked) state ทันที

SwitchC#show spanning-tree inconsistentports
Name                 Interface              Inconsistency
-------------------- ---------------------- ------------------
VLAN0001             FastEthernet0/19       Root Inconsistent
VLAN0001             FastEthernet0/20       Root Inconsistent
VLAN0001             FastEthernet0/21       Root Inconsistent
VLAN0001             FastEthernet0/22       Root Inconsistent
VLAN0001             FastEthernet0/23       Root Inconsistent
VLAN0001             FastEthernet0/24       Root Inconsistent
Number of inconsistent ports (segments) in the system : 6

จบแล้วครับ สำหรับวันนี้ เรื่อง Root Guard หวังว่าจะได้ความรู้เพิ่มเติมไปบ้างไม่มากก็น้อยกันนะครับ แล้วเจอกันรอบหน้าครับ  ^_^



By ReFeeL
Thank Pic : http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a00800ae96b.shtml