Kök Koruyucu (Root Guard)

Tarihe Göre Sırala Reaksiyona göre sırala

Nizam-ı Alem

Malato psichico
Altın Üye
Katılım
15 May 2013
Konular
971
Mesajlar
6,650
Online süresi
2ay 11g
Reaksiyon Skoru
5,350
Altın Konu
314
Başarım Puanı
319
TM Yaşı
12 Yıl 11 Ay 12 Gün
MmoLira
22,212
DevLira
15

Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!

Bir STP topolojisi tamamen yakınsadıktan ve döngüler ortadan kaldırıldıktan sonra, her anahtar portu aşağıdaki gibi belirli bir rol üstlenir:

Kök Port: Kök köprüye en iyi yolu (en düşük maliyet) sağlayan port.

Atanmış Port: Kök köprüye en yakın olan segment üzerindeki port. Diğer anahtarlara doğru BPDU'lar gönderir.

Alternatif Port: Köke yakın ancak şu anda bloke edilmiş yedek bir kök port.

Kenar Port: STP rolü olmayan uç cihazlara bağlı portlar—normal kullanıcıya yönelik portlar.

Kök köprüye her zaman kök ve alternatif portlar üzerinden erişilebilmesi beklenir, çünkü bunlar ona en iyi yolu sağlarlar.

Neden Kök Koruma'ya ihtiyacımız var?


Kök Koruma özelliğini anlamak için, aşağıda gösterilen örnek topolojiye bakalım. Çekirdek, dağıtım ve erişim anahtarlarına sahip üç katmanlı bir anahtarlamalı ağımız var. Çekirdek anahtar, en güçlü ve güvenilir platform olduğu için topolojideki kök köprüdür.



Spanning Tree (STP) ağ protokolleri, güvenlik konusunun öncelikli odak noktası olmadığı 1980'ler ve 1990'larda geliştirilmiştir. Bu nedenle, orijinal STP ve RSTP varsayılan olarak herhangi bir güvenlik önlemi içermez. Spanning Tree topolojisini ve kök köprü yerleşimini koruyan varsayılan bir mekanizma yoktur.

Şimdi, birisi uç cihazını erişim anahtarından ayırıp daha düşük bir Köprü Kimliği ile yapılandırılmış sahte bir anahtara bağlarsa ne olacağını görelim.



Sahte anahtarın köprü kimliği daha düşük olduğundan, yukarıdaki şemada gösterildiği gibi yeni kök köprü haline gelir. STP, en düşük köprü kimliğine sahip anahtarın her zaman seçimi kazanması nedeniyle buna izin verir. Bu değişiklik yıkıcıdır; tamamen yeni bir topoloji oluşturur. Sonuç olarak, döngüleri önlemek için yüksek hızlı omurga bağlantılarının bazıları engellenir. Ağ, yeniden yakınsama sırasında kesintiye uğrar. Bu yeni anahtarı bağlayan kişinin kötü niyetli olması durumunda, ağda büyük sorunlara yol açabilir.

Böyle bir durumun meydana geldiği bir diğer yaygın kullanım örneği, bir ağ mühendisinin yanlışlıkla ağa yeni bir erişim anahtarı bağlamasıdır ve anahtar tamamen yeni değil, mevcut bir yapılandırmaya sahiptir (muhtemelen laboratuvarda veya başka bir ağda kullanılmıştır). Yeni anahtarın diğer anahtarlardan daha düşük bir BID'ye sahip olması durumunda, aşağıdaki şemada gösterildiği gibi kök köprü haline gelir.



Sonuç olarak, ağ yeniden yakınsar, geçici kararsızlığa neden olur ve yüksek hızlı omurga bağlantıları bloke olur.

Açıkçası, katman 2 ağının kök köprüyü ve ağ yöneticileri tarafından seçilen topolojiyi koruyacak bir mekanizmaya ihtiyacı vardır. İşte burada Kök Koruma özelliği devreye giriyor.

Kök Koruma nedir?


Kök Koruma, istenmeyen bir kök köprünün ağda görünmesini ve yeniden yakınsamayı tetiklemesini önlemek için tasarlanmıştır. Port başına çalışır. Bir anahtar, Kök Koruma etkinleştirilmiş bir portta üstün bir BPDU (daha iyi bir köprü kimliğine sahip olan) alırsa, bu port özel bir kök tutarsız durumuna alınır. Bu durumdayken, port normal veri göndermeyi ve almayı durdurur, ancak BPDU'ları dinlemeye devam eder.



Yukarıdaki şemaya bakalım. Yeni erişimin bağlandığı dağıtım anahtarının portunda Root Guard etkinleştirilmiştir; bu, dağıtımın o portta yeni bir root köprüsü kabul etmesini engeller.

Root Guard nasıl çalışır?

Root Guard, ihtiyaç duyulan her portta manuel olarak etkinleştirilir. Varsayılan olarak devre dışıdır. Arayüz yapılandırma modunda aşağıdaki komutla arayüz başına etkinleştirebiliriz:
Switch(config-if)# spanning-tree guard root
Genişletmek için tıkla
Aşağıdaki komutu kullanarak herhangi bir portun kök-tutarsız durumda olup olmadığını kontrol ediyoruz:
Switch# show spanning-tree inconsistentports
Genişletmek için tıkla

Şimdi, bu özelliğin nasıl çalıştığını gösterelim. Dağıtım anahtarında bu özelliği etkinleştirelim ve ardından aşağıdaki şemada gösterildiği gibi yeni bir erişim anahtarı bağlayalım.



Erişim anahtarı, mevcut kök köprüden (çekirdek anahtar) daha düşük bir değer olan 0 köprü önceliğiyle yapılandırılmıştır.
ACC1# conf tEnter configuration commands, one per line. End with CNTL/Z.ACC1(config)# spanning-tree vlan 1 priority 0
Genişletmek için tıkla

Yeni erişim anahtarını bağladığımızda neler olduğunu görelim. Hata ayıklama amaçlı yayılma ağacı olaylarını etkinleştiriyoruz ve dağıtım anahtarının ne yaptığını gözlemliyoruz.
DSW1# debug spanning-tree events *May 13 10:41:48.114: %SPANTREE-2-ROOTGUARD_BLOCK: Received a superior STP BPDU from bridge aabb.cc00.1900. Root guard blocking port Ethernet0/0 on VLAN0001.​
Genişletmek için tıkla

DSW1'in üstün bir BPDU aldığını ve Etheret0/0 portunu bloke ettiğini görebilirsiniz.

Arayüz detaylarını kontrol edersek, portun "bozuk" olarak etiketlendiğini görebiliriz. Bu terimi aklınızda tutun çünkü CCNA sınavında sıkça sorulan bir sorudur. Port "engellenmiş" değil, "bozuk" durumdadır.

Son olarak, portların tutarsız bir durumda olup olmadığını kontrol etmek için kullanılan özel komutu inceleyelim.

sw: 
DSW1# show spanning-tree inconsistentports
Name                 Interface                      Inconsistency
-------------------- ------------------------------ ------------------
VLAN0001             Ethernet0/0                    Root Inconsistent
Number of inconsistent ports (segments) in the system : 1

Özelliğin nasıl çalıştığını gördüğümüze göre, tasarım açısından ele alalım. Gerçek dünya ağ topolojisinde ne zaman ve nerede kullanıyoruz?

Kök Koruma Tasarım Hususları

Kök köprünün asla görünmemesi gereken portlarda (genellikle birincil ve ikincil köklerden uzak olan alt portlar) Kök Koruma özelliğini kullanıyoruz. Böyle bir portta üstün bir BPDU alınırsa, sorun çözülene kadar port tüm VLAN'lar için etkili bir şekilde kapatılır.

Gerçek dünya ağlarında, birincil ve ikincil kök köprüler, ağın karar vermesine izin vermek yerine açıkça yapılandırılır. Kök köprü, ağ tasarımına bağlı olarak genellikle merkezi ve stratejik bir konuma yerleştirilir. Kök köprü, Köprü Kimliğine (MAC adresi ve önceliği içerir) göre seçildiğinden, kök olarak hareket etmesini istediğimiz anahtarın önceliğini düşürerek seçimi kontrol edebiliriz. Ancak, önceliği yalnızca 0'a düşürebiliriz ve daha sonra her şey kontrol edemediğimiz MAC adresine bağlıdır. Bu nedenle önceliği düşürmek, başka bir switch'in kök köprü haline gelmeyeceğinin garantisini vermek için yeterli değildir ve bu da ağı savunmasız bırakır. Kötü niyetli veya yanlış yapılandırılmış bir switch daha iyi bir Köprü Kimliği gönderirse, kök köprü olarak görevi devralabilir. Bu, beklenmedik topoloji değişikliklerine, gecikmenin artmasına, kısa süreli kesintilere veya kötü amaçlı faaliyetlere kapı açabilir.
Önemli Not: Root Guard, seçtiğiniz kök köprüsünü korumaya ve topolojinizi istediğiniz gibi tutmaya yardımcı olur.​
Genişletmek için tıkla

Topolojiyi ve açıkça seçilen kök köprüleri korumak için, aşağıdaki şemada gösterildiği gibi, birincil ve ikincil kök köprüden uzak olan tüm portlarda Root Guard'ı yapılandırmanız önerilir.



Dağıtım anahtarlarının erişim katmanına bakan alt portlarının Root Guard ile yapılandırıldığını fark edin. Bu nedenle, daha düşük BID'ye sahip yeni bir erişim anahtarı yanlışlıkla dağıtım katmanına bağlanırsa, Root Guard bağlandığı portları bloke edecektir.

Bu noktada, şu soruyu sorabilirsiniz: Erişim anahtarlarında da Root Guard'ı yapılandırmamız gerekmez mi? Ya birisi erişim katmanına sahte bir anahtar bağlarsa?

Evet, erişim anahtarlarında da Root Guard'ı yapılandırabilirsiniz. Ancak, gerçek dünya ağlarında, daha da ileri giden "BPDU Guard" adı verilen başka bir STP özelliği kullanıyoruz. Bu özellik, portu yalnızca üstün bir BPDU aldığında değil, herhangi bir BPDU aldığında da bloke eder (bu özellik hakkında daha fazla bilgi sonraki derslerde yer almaktadır).

Son olarak, gerçek dünyadaki üç katmanlı bir ağda Root Guard'ı nerede etkinleştirdiğimizi ele alalım. Çekirdek katmanı 2. katman ise, tipik olarak çekirdek anahtar(lar)ı kök köprüdür. Bu nedenle, aşağıdaki şemada gösterildiği gibi, tüm alt portlar Root Guard ile korunmalıdır. Erişim katmanında aşağı yöne bakan portlar BPDU Guard ile korunmaktadır.



Gerçek dünyadaki bir ağın, dayanıklı bir şekilde çalışmak ve kazara veya kötü niyetli faaliyetlerden korunmak için birden fazla yayılma ağacı özelliğini kullandığına dikkat edin. Diğer özellikler hakkında daha fazla bilgi sonraki derslerde yer almaktadır.

Önemli Noktalar

Root Guard, yayılma ağacı topolojisini korumaya yardımcı olan bir özelliktir.
Her port için çalışır.
Root Guard etkinleştirilmiş bir portta üstün bir BPDU alınırsa, port kök tutarsız hale gelir.
Artık üstün BPDU alınmadığında, port otomatik olarak kurtarılır.
Root Guard'ın, birincil ve ikincil kök köprüden uzak olan portlarda çekirdek ve dağıtım katmanlarında kullanılması önerilir.
Erişim katmanında, "BPDU Guard" adı verilen başka bir STP özelliği aynı işlevi yerine getirir, bu nedenle Root Guard gereksizdir.
Bir port "ROOT_Inc" olarak listeleniyorsa, Root Guard muhtemelen üstün bir BPDU nedeniyle onu engelliyor demektir.​
 
Eline sağlık
 
Eline sağlık
 
Cevap yazmak için giriş yap yada kayıt ol.

Şu an konuyu görüntüleyenler (Toplam : 1, Üye: 0, Misafir: 1)

Benzer konular

Altın Konu Döngü Koruyucu ( Loop Guard ) Rehberi
Cevaplar
1
Görüntüleme
25
Lightning
Altın Konu Spanning Tree Özelleştirmesi
Cevaplar
2
Görüntüleme
18
Lightning
Altın Konu Spanning-Tree Port Rolleri
Cevaplar
2
Görüntüleme
30
Son1Dem
Altın Konu VLAN Başına STP (PVST) Yapılandırması
Cevaplar
2
Görüntüleme
17
Lightning
Altın Konu BPDU Muhafızı (BPDU Guard)
Cevaplar
2
Görüntüleme
32
Lightning
Menü
Giriş Yap
Kayıt Ol