Einführung
In diesem Dokument wird die PortFast Bridge Protocol Data Unit (BPDU) Guard-Funktion erläutert. Diese Funktion ist eine der Erweiterungen des Spanning Tree Protocol (STP), die Cisco entwickelt hat. Diese Funktion verbessert die Zuverlässigkeit, Verwaltbarkeit und Sicherheit des Switch-Netzwerks.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Mit diesen Softwareversionen wurde der STP PortFast BPDU Guard eingeführt:
-
Catalyst OS (CatOS) Software Version 5.4.1 für die Plattformen Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G, und 2980G
-
Cisco IOS® Software Release 12.0(7)XE für die Catalyst 6500/6000 Plattformen
-
Cisco IOS Software Release 12.1(8a)EW für die Catalyst 4500/4000 Supervisor Engine III
-
Cisco IOS Software Release 12.1(12c)EW für die Catalyst 4500/4000 Supervisor Engine IV
-
Cisco IOS Software Release 12.0(5)WC5 für die Catalyst 2900XL und 3500XL Serien
-
Cisco IOS Software Release 12.1(11)AX für die Catalyst 3750 Serien Switches
-
Cisco IOS Software Release 12.1(14)AX für die Catalyst 3750 Metro Switches
-
Cisco IOS Software Release 12.1(19)EA1 für die Catalyst 3560 Series Switches
-
Cisco IOS Software Release 12.1(4)EA1 für die Catalyst 3550 Series Switches
-
Cisco IOS Software Release 12.1(11)AX für die Switches der Catalyst 2970 Serie
-
Cisco IOS Software Release 12.1(12c)EA1 für die Switches der Catalyst 2955 Serie
-
Cisco IOS Software Release 12.1(6)EA2 für die Switches der Catalyst 2950 Serie
-
Cisco IOS Software Release 12.1(11)EA1 für die Catalyst 2950 Long-Reach Ethernet (LRE) Switches
-
Cisco IOS Software Release 12.1(13)AY für die Switches der Catalyst 2940-Serie
Hinweis: STP PortFast BPDU Guard ist für die Switches der Catalyst 8500-Serie, 2948G-L3 und 4908G-L3 nicht verfügbar.
Die Informationen in diesem Dokument wurden anhand der Geräte in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte starteten mit einer gelöschten (Standard-)Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen jedes Befehls verstehen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions.
Funktionsbeschreibung
STP konfiguriert eine vermaschte Topologie in eine schleifenfreie, baumartige Topologie. Wenn die Verbindung an einem Bridge-Port hochgefahren wird, erfolgt eine STP-Berechnung an diesem Port. Das Ergebnis der Berechnung ist der Übergang des Ports in den Weiterleitungs- oder Blockierungszustand. Das Ergebnis ist abhängig von der Position des Ports im Netzwerk und den STP-Parametern. Diese Berechnungs- und Übergangszeit dauert in der Regel etwa 30 bis 50 Sekunden. In dieser Zeit laufen keine Nutzdaten über den Port. Einige Benutzeranwendungen können während dieser Zeitspanne ausfallen.
Um einen sofortigen Übergang des Ports in den Weiterleitungszustand zu ermöglichen, aktivieren Sie die STP-Funktion PortFast. PortFast versetzt den Port beim Verbindungsaufbau sofort in den STP-Weiterleitungsmodus. Der Port nimmt weiterhin an STP teil. Wenn der Port also ein Teil der Schleife sein soll, geht der Port schließlich in den STP-Blockiermodus über.
Solange der Port an STP teilnimmt, kann irgendein Gerät die Root-Bridge-Funktion übernehmen und die aktive STP-Topologie beeinflussen. Um die Root-Bridge-Funktion zu übernehmen, müsste das Gerät an den Port angeschlossen sein und STP mit einer niedrigeren Bridge-Priorität als die der aktuellen Root-Bridge ausführen. Wenn ein anderes Gerät auf diese Weise die Root-Bridge-Funktion übernimmt, macht es das Netzwerk suboptimal. Dies ist eine einfache Form eines Denial-of-Service-Angriffs (DoS) auf das Netzwerk. Das temporäre Einführen und anschließende Entfernen von STP-Geräten mit niedriger (0) Brückenpriorität bewirkt eine permanente STP-Neuberechnung.
Die STP PortFast BPDU Guard-Erweiterung ermöglicht es Netzwerkdesignern, die STP-Domänengrenzen durchzusetzen und die aktive Topologie vorhersehbar zu halten. Die Geräte hinter den Ports, die STP PortFast aktiviert haben, sind nicht in der Lage, die STP-Topologie zu beeinflussen. Beim Empfang von BPDUs deaktiviert der BPDU-Guard-Vorgang den Port, der PortFast konfiguriert hat. Der BPDU-Wächter versetzt den Port in den errdisable-Zustand, und auf der Konsole wird eine Meldung angezeigt. Diese Meldung ist ein Beispiel:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Betrachten Sie dieses Beispiel:
Abbildung 1
Brücke A hat die Priorität 8192 und ist die Wurzel für das VLAN. Brücke B hat die Priorität 16384 und ist die Backup-Root-Brücke für das gleiche VLAN. Die Brücken A und B, die über eine Gigabit-Ethernet-Verbindung miteinander verbunden sind, bilden den Kern des Netzwerks. Brücke C ist ein Access-Switch und hat PortFast auf dem Port konfiguriert, der mit Gerät D verbunden ist. Wenn die anderen STP-Parameter standardmäßig eingestellt sind, befindet sich der Port von Brücke C, der mit Brücke B verbunden ist, im STP-Blockierzustand. Gerät D (PC) nimmt nicht an STP teil. Die gestrichelten Pfeile zeigen den Fluss der STP-BPDUs an.
Abbildung 2
In Abbildung 2 hat das Gerät D begonnen, an STP teilzunehmen. Auf einem PC wird zum Beispiel eine Linux-basierte Bridge-Anwendung gestartet. Wenn die Priorität der Software-Bridge 0 oder ein Wert unterhalb der Priorität der Root-Bridge ist, übernimmt die Software-Bridge die Funktion der Root-Bridge. Die Gigabit-Ethernet-Verbindung, die die beiden Core-Switches miteinander verbindet, geht in den Blocking-Modus über. Der Übergang bewirkt, dass alle Daten in diesem VLAN über die 100-Mbps-Verbindung fließen. Wenn mehr Daten im VLAN über den Core fließen, als der Link aufnehmen kann, kommt es zum Drop von Frames. Der Frame-Drop führt zu einem Ausfall der Verbindung.
Das STP PortFast BPDU Guard-Feature verhindert eine solche Situation. Die Funktion deaktiviert den Port, sobald Brücke C die STP BPDU von Gerät D empfängt.
Konfiguration
Sie können STP PortFast BPDU guard auf globaler Basis aktivieren oder deaktivieren, was sich auf alle Ports auswirkt, die PortFast konfiguriert haben. Standardmäßig ist STP BPDU Guard deaktiviert. Geben Sie diesen Befehl aus, um STP PortFast BPDU guard auf dem Switch zu aktivieren:
CatOS Befehl
Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)
Cisco IOS Software Befehl
CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)
Wenn STP BPDU guard den Port deaktiviert, bleibt der Port im deaktivierten Zustand, es sei denn, der Port wird manuell aktiviert. Sie können einen Port so konfigurieren, dass er sich automatisch aus dem errdisable-Zustand wieder aktiviert. Geben Sie diese Befehle aus, die das errdisable-timeout-Intervall festlegen und die Timeout-Funktion aktivieren:
CatOS-Befehle
Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard
Cisco IOS Software-Befehle
CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400
Hinweis: Das Standard-Timeout-Intervall beträgt 300 Sekunden und die Timeout-Funktion ist standardmäßig deaktiviert.
Überwachung
Um zu überprüfen, ob die Funktion aktiviert oder deaktiviert ist, geben Sie diesen Befehl aus:
Befehlsausgabe
CatOS-Befehl
Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)
Cisco IOS Software Befehl
CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#