![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
Cách triển khai và khắc phục sự cố Giao thức Spanning Tree (STP) và Rapid STP
Spanning Tree Protocol (STP) và Rapid Spanning Tree Protocol (RSTP) là hai giao thức quan trọng giúp tránh các vòng lặp mạng trong các mạng có nhiều switch. Dưới đây là cách triển khai và khắc phục sự cố cho cả STP và RSTP.
1. Triển khai Spanning Tree Protocol (STP)
a. Cấu hình cơ bản STP trên switch Cisco:
STP giúp ngăn chặn vòng lặp bằng cách tắt các kết nối dư thừa. Mặc định, STP đã được bật trên các switch Cisco.
enable
configure terminal
spanning-tree vlan 1 # Kích hoạt STP cho VLAN 1 (mặc định)
b. Cấu hình bridge priority:
Bạn có thể chỉ định switch nào sẽ là Root Bridge bằng cách giảm giá trị priority cho một switch cụ thể. Root Bridge là switch nằm ở trung tâm của mạng STP.
spanning-tree vlan 1 priority 4096 # Thiết lập switch này làm Root Bridge với ưu tiên thấp hơn mặc định (32768)
c. Cấu hình PortFast:
Sử dụng PortFast để các cổng kết nối với thiết bị đầu cuối (máy tính, máy in) bỏ qua các trạng thái lắng nghe và học hỏi, giúp tăng tốc kết nối.
interface fastethernet 0/1
spanning-tree portfast
d. Cấu hình BPDU Guard:
BPDU Guard giúp bảo vệ cổng PortFast khỏi việc nhận các thông báo BPDU (Bridge Protocol Data Unit), tránh việc một thiết bị kết nối không đúng có thể ảnh hưởng đến mạng STP.
interface fastethernet 0/1
spanning-tree bpduguard enable
e. Kiểm tra trạng thái STP:
Sử dụng lệnh sau để kiểm tra trạng thái của STP trên switch:
show spanning-tree
2. Triển khai Rapid Spanning Tree Protocol (RSTP)
Rapid Spanning Tree Protocol (RSTP) là phiên bản cải tiến của STP với khả năng hội tụ nhanh hơn, có thể giảm thời gian khôi phục mạng xuống vài giây thay vì 30-50 giây như STP truyền thống.
a. Cấu hình RSTP trên switch Cisco:
RSTP cũng được kích hoạt mặc định trên các switch hỗ trợ. Để triển khai RSTP trên các VLAN, bạn có thể sử dụng chế độ Rapid PVST+ trên các switch Cisco.
enable
configure terminal
spanning-tree mode rapid-pvst # Chuyển sang chế độ RSTP
b. Cấu hình Root Bridge:
Tương tự như STP, bạn có thể định nghĩa một switch làm Root Bridge bằng cách cấu hình priority.
spanning-tree vlan 1 priority 4096
c. Cấu hình PortFast và BPDU Guard trong RSTP:
Trong RSTP, PortFast và BPDU Guard cũng rất quan trọng để đảm bảo sự hội tụ nhanh chóng và tránh các lỗi cấu hình.
interface fastethernet 0/1
spanning-tree portfast
spanning-tree bpduguard enable
d. Kiểm tra trạng thái RSTP:
Bạn có thể sử dụng lệnh sau để xem thông tin về trạng thái của các port và VLAN trong chế độ RSTP.
show spanning-tree detail
3. Khắc phục sự cố Spanning Tree Protocol (STP) và Rapid STP (RSTP)
a. Sự cố Root Bridge không chính xác
- Vấn đề: Một switch không mong muốn được chọn làm Root Bridge do giá trị Bridge Priority thấp hơn mặc định.
- Khắc phục: Đảm bảo rằng switch bạn muốn làm Root Bridge có giá trị priority thấp hơn các switch khác.
spanning-tree vlan 1 priority 4096 # Đảm bảo Root Bridge có priority thấp nhất
b. Cổng bị block sai
- Vấn đề: Một cổng bị block mà không mong muốn, có thể do các giá trị chi phí không được thiết lập chính xác.
- Khắc phục: Bạn có thể điều chỉnh chi phí STP để quyết định cổng nào sẽ được block.
interface fastethernet 0/1 spanning-tree vlan 1 cost 10 # Đặt chi phí của cổng, giá trị thấp hơn sẽ ưu tiên được mở
c. Cổng không hội tụ nhanh
- Vấn đề: Khi một cổng kết nối lại mạng, mất nhiều thời gian để cổng vào trạng thái chuyển tiếp (forwarding).
- Khắc phục: Sử dụng PortFast để cổng đi vào trạng thái forwarding ngay lập tức khi kết nối lại. Lưu ý rằng PortFast chỉ nên được sử dụng trên các cổng kết nối với thiết bị đầu cuối, không dùng cho các cổng trunk.
interface fastethernet 0/2 spanning-tree portfast
d. Sự cố do BPDU bị nhận trên cổng PortFast
- Vấn đề: Một thiết bị không mong muốn kết nối vào cổng có PortFast có thể gửi BPDU, gây ra vòng lặp hoặc ảnh hưởng đến mạng STP.
- Khắc phục: Sử dụng BPDU Guard để tắt cổng khi nó nhận được BPDU trên cổng PortFast.
interface fastethernet 0/2 spanning-tree bpduguard enable
e. Xung đột VLAN trong STP
- Vấn đề: Các switch có thể bị lỗi khi cấu hình STP cho nhiều VLAN không đồng bộ giữa các switch, gây ra vòng lặp hoặc tình trạng không mong muốn.
- Khắc phục: Đảm bảo tất cả các switch trong mạng có cùng cấu hình STP cho tất cả các VLAN. Kiểm tra cấu hình và trạng thái STP cho từng VLAN bằng lệnh:
show spanning-tree vlan
4. Kết hợp STP và RSTP trong một mạng
Bạn có thể triển khai cả STP và RSTP trong một mạng. Tuy nhiên, cần lưu ý:
- STP và RSTP có thể tương thích với nhau, nhưng tốc độ hội tụ của mạng sẽ phụ thuộc vào STP nếu có bất kỳ switch nào đang chạy STP truyền thống.
- Tốt nhất là chuyển toàn bộ mạng sang RSTP để tận dụng khả năng hội tụ nhanh chóng.
5. Công cụ chẩn đoán sự cố STP/RSTP
- show spanning-tree: Xem trạng thái của STP cho toàn bộ mạng.
- show spanning-tree vlan
: Kiểm tra trạng thái STP cho một VLAN cụ thể. - show spanning-tree root: Xem switch nào là Root Bridge.
- show spanning-tree detail: Cung cấp thông tin chi tiết về tất cả các cổng và trạng thái STP/RSTP.
Việc triển khai và khắc phục sự cố STP/RSTP đòi hỏi sự chú ý đến cấu hình chính xác của Root Bridge, priority, và các cổng mạng để đảm bảo sự ổn định và hiệu quả của hệ thống.
Cảm xúc của bạn?
