[Fortigate-#10]- spanning-tree

안녕하세요. 

 

이번에는 Fortigate STP에 대해서 알아보겠습니다.

Software-Switch 또는 VLAN-switch(Hardware-Switch)에 포함된 Port가 스위치에 2개 이상 연결 되었을때 Layer2 Loop가 발생합니다.

 

이 Layer2 Loop를 방지하기 위해서 Spanning-Tree가 동작하여 Layer2 Loop를 방지 하게 됩니다. 

Fortigate 방화벽 입장에서는 어떻게 동작하는지 확인해보겠습니다.

 

모든 firewall 벤더가 똑같이 동작하는 것이 아닙니다. 벤더 문서를 꼭 읽어주시길 바랍니다.

 

1. network -> Interface -> Create New를 클릭하시면 아래 같이 Interface Type를 선택 할수 있습니다.

 

Software Switch - STP 미동작 

VLAN switch(hardware switch) - STP 동작

 

위에 두가지 차이점은 나중에 자세히 설명하겠습니다. 

 

https://itblog-kr.tistory.com/79

[Fortigate-#9]- VLAN-Switch(Hardware-Switch)

 

기본 설정은 위에 글을 참고 부탁드립니다. 이번 글에서 STP 설정에 대해서만 다루겠습니다.

 

1. Switch에서 G1/0/1 and G1/0/2를 Trunk를 설정 합니다. 

interface GigabitEthernet1/0/1  switchport mode trunk end Switch#show run int g1/0/2 Building configuration... Current configuration : 61 bytes ! interface GigabitEthernet1/0/2  switchport mode trunk end

 

2. Fortigate에서 stp설정을 확인 합니다.

디폴트롤 STP enable입니다. 

FortiGate-90G # config system interface  FortiGate-90G (interface) # edit lan FortiGate-90G (lan) # show config system interface     edit "lan"         set vdom "root"         set ip 192.168.1.99 255.255.255.0         set allowaccess ping https ssh fabric         set type hard-switch         set stp enable         set role lan         set snmp-index 15     next end FortiGate-90G (lan) #

 

3. Switch에서 STP를 확인 합니다.

디폴트로 STP enable 입니다. 그리고 G1/0/2가 Blocking Port입니다. 

Switch#show spanning-tree vlan 70 VLAN0070   Spanning tree enabled protocol rstp   Root ID    Priority    32838              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1             Desg FWD 4         128.1    P2p Gi1/0/2             Back BLK 4         128.2    P2p Switch#show spanning-tree vlan 71 VLAN0071   Spanning tree enabled protocol rstp   Root ID    Priority    32839              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1             Desg FWD 4         128.1    P2p Gi1/0/2             Back BLK 4         128.2    P2p Switch#show spanning-tree vlan 72 VLAN0072   Spanning tree enabled protocol rstp   Root ID    Priority    32840              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1             Desg FWD 4         128.1    P2p Gi1/0/2             Back BLK 4         128.2    P2p Switch#show spanning-tree vlan 73 VLAN0073   Spanning tree enabled protocol rstp   Root ID    Priority    32841              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/1             Desg FWD 4         128.1    P2p Gi1/0/2             Back BLK 4         128.2    P2p Switch#

 

Switch#show run | in span spanning-tree mode rapid-pvst spanning-tree extend system-id

 

4. Ping테스트를 해보겠습니다.

 

정상적으로 동작 합니다. 

Switch#ping 172.16.70.254 source vlan 70 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds: Packet sent with a source address of 172.16.70.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#ping 172.16.71.254 source vlan 71 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds: Packet sent with a source address of 172.16.71.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.72.254 source vlan 72 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds: Packet sent with a source address of 172.16.72.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.73.254 source vlan 73 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds: Packet sent with a source address of 172.16.73.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#

 

5. 포티넷 방화벽에서 port1 케이블을 제거 합니다.

 

6. Switch에서 STP상태를 확인 합니다.

Switch#show spanning-tree vlan 70 VLAN0070   Spanning tree enabled protocol rstp   Root ID    Priority    32838              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2             Desg FWD 4         128.2    P2p Switch#show spanning-tree vlan 71 VLAN0071   Spanning tree enabled protocol rstp   Root ID    Priority    32839              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2             Desg FWD 4         128.2    P2p Switch#show spanning-tree vlan 72 VLAN0072   Spanning tree enabled protocol rstp   Root ID    Priority    32840              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2             Desg FWD 4         128.2    P2p Switch#show spanning-tree vlan 73 VLAN0073   Spanning tree enabled protocol rstp   Root ID    Priority    32841              Address     084f.a946.6900              This bridge is the root              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec   Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)              Address     084f.a946.6900              Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec              Aging Time  300 sec Interface           Role Sts Cost      Prio.Nbr Type ------------------- ---- --- --------- -------- -------------------------------- Gi1/0/2             Desg FWD 4         128.2    P2p Switch#

 

7. Ping 테스트를 합니다.

Switch#ping 172.16.70.254 source vlan 70 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds: Packet sent with a source address of 172.16.70.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.71.254 source vlan 71 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds: Packet sent with a source address of 172.16.71.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Switch#ping 172.16.72.254 source vlan 72 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds: Packet sent with a source address of 172.16.72.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#ping 172.16.73.254 source vlan 73 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds: Packet sent with a source address of 172.16.73.253 .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Switch#

 

정상적으로 동작합니다.

 

지금까지 글을 읽어주셔서 감사합니다.