Cos’è lo Spanning Tree e Perché Configurarlo
Lo Spanning Tree Protocol (STP) previene i loop di rete bloccando automaticamente i collegamenti ridondanti. RSTP (Rapid Spanning Tree) è la versione moderna che converge in 1-2 secondi invece dei 30-50 secondi del vecchio STP.
Senza una corretta configurazione, una rete con ridondanza può andare in broadcast storm e diventare inutilizzabile in pochi secondi.
Concetti Fondamentali
Root Bridge: Lo switch principale della rete, quello con la priorità numerica più bassa. Tutti i calcoli di spanning tree partono da qui.
Bridge Priority: Valore da 0 a 65535. Più basso = priorità maggiore. Il default è 32768.
Meccanismi di Protezione:
- Root Protect: Impedisce a una porta di ricevere BPDU superiori (impedisce che diventi root)
- Loop Protect: Blocca la porta se non riceve più BPDU quando dovrebbe
- BPDU Protect: Disabilita la porta se riceve BPDU inaspettate
- TC Guard: Limita la frequenza delle notifiche di topology change
- Edge Port: Porta che si collega a dispositivi finali, bypassa i tempi di convergenza STP
Architettura di riferimento
Configurazione delle Priorità
Imposta le priorità Bridge in modalità RSTP:
- Core A: 0 (Root Bridge primario)
- Core B: 4096 (Root Bridge secondario)
- Tutti gli Edge: 32768 (default)
Configurazione delle Porte per Tipologia
Link Aggregato LACP tra Core A e Core B
Il collegamento più critico. Core B deve poter assumere il ruolo di Root se Core A si guasta.
| Parametro | Stato | Motivo |
|---|---|---|
| Loop Protect | ATTIVO | Protezione aggiuntiva contro anomalie fisiche |
| Root Protect | DISATTIVO | Cruciale: Core B deve poter diventare Root |
| BPDU Protect | DISATTIVO | Devono scambiarsi BPDU liberamente |
| TC Guard | DISATTIVO | Le notifiche di topologia devono fluire |
| Edge Port | DISATTIVO | Le porte tra switch non devono essere edge |
Porte dei Core verso Switch Edge
I Core devono mantenere la gerarchia e impedire che gli Edge diventino Root.
| Parametro | Stato | Motivo |
|---|---|---|
| Root Protect | ATTIVO | Impedisce agli Edge di diventare Root |
| Loop Protect | DISATTIVO | Non necessario su questo tipo di link |
| BPDU Protect | DISATTIVO | Non necessario |
| TC Guard | DISATTIVO | Non necessario |
| Edge Port | DISATTIVO | Le porte verso altri switch non sono edge |
Porte degli Edge verso i Core (Uplink)
Protezione durante i ricalcoli di spanning tree con doppio uplink.
| Parametro | Stato | Motivo |
|---|---|---|
| Loop Protect | ATTIVO | Protegge durante il failover RSTP |
| Root Protect | DISATTIVO | Non necessario |
| BPDU Protect | DISATTIVO | Non necessario |
| TC Guard | DISATTIVO | Non necessario |
| Edge Port | DISATTIVO | Le porte verso altri switch non sono edge |
Porte Edge verso Dispositivi Finali
Massima protezione per le porte di accesso (PC, stampanti, AP).
| Parametro | Stato | Motivo |
|---|---|---|
| BPDU Protect | ATTIVO | Fondamentale: Previene loop da dispositivi |
| TC Guard | ATTIVO | Limita impatto di riavvii dispositivi |
| Loop Protect | DISATTIVO | Non necessario |
| Root Protect | DISATTIVO | Non necessario |
| Edge Port | ATTIVO | Convergenza immediata per dispositivi finali |
Collegamenti Edge-to-Edge (Cascata)
Per estensioni della rete con switch in cascata.
| Parametro | Stato | Motivo |
|---|---|---|
| Root Protect | ATTIVO | Lo switch a valle non deve diventare Root |
| Loop Protect | ATTIVO | Protegge da loop nel ramo a valle |
| TC Guard | ATTIVO | Isola instabilità del ramo |
| BPDU Protect | DISATTIVO | Devono comunicare tra loro |
| Edge Port | DISATTIVO | Le porte verso altri switch non sono edge |
Porte Core verso Router
I router non partecipano a Spanning Tree.
| Parametro | Stato | Motivo |
|---|---|---|
| BPDU Protect | ATTIVO | Protegge da errori di cablaggio |
| TC Guard | ATTIVO | Smorza riavvii router |
| Loop Protect | DISATTIVO | Non necessario |
| Root Protect | DISATTIVO | Non necessario |
| Edge Port | ATTIVO | Convergenza immediata verso dispositivi finali |
Porte Edge verso Server VMware
I server ESXi richiedono protezione speciale per i vSwitch.
| Parametro | Stato | Motivo |
|---|---|---|
| BPDU Protect | ATTIVO | Fondamentale: Previene loop da VM/vSwitch |
| TC Guard | ATTIVO | Stabilizza durante vMotion e riavvii VM |
| Loop Protect | DISATTIVO | Non necessario |
| Root Protect | DISATTIVO | Non necessario |
| Edge Port | ATTIVO | Riduce latenza per server critici |
Verifica della Configurazione
Dopo aver applicato le configurazioni:
- Verifica che Core A risulti come Root Bridge
- Controlla che tutte le porte siano in stato Forwarding o Blocking
- Testa il failover scollegando temporaneamente Core A
- Monitora i log per errori STP nelle prime 24 ore
Risoluzione Problemi Comuni
Rete lenta o instabile: Verifica che BPDU Protect non abbia disabilitato porte per errore. Le porte con BPDU Protect vanno riattivate manualmente.
Dispositivi non raggiungibili dopo failover: Controlla che Root Protect non sia attivo sul link LACP tra i Core.
Switch Edge diventa Root: Verifica le priorità Bridge e attiva Root Protect sulle porte appropriate.
Convergenza lenta: Assicurati di usare RSTP e non STP classico. Attiva Edge Port sui collegamenti verso dispositivi finali per convergenza immediata.
Note Operative
- Le porte con BPDU Protect attivo si disabilitano permanentemente fino a riattivazione manuale
- Mantieni sempre la priorità di Core A inferiore a quella di Core B