Spanning Tree PortFast BPDU Guard Enhancement

Introducción

Este documento explica la función de protección de unidades de datos de protocolo de puente (BPDU) PortFast. Esta característica es una de las mejoras del Protocolo de árbol de expansión (STP) que creó Cisco. Esta característica mejora la fiabilidad, la capacidad de gestión y la seguridad de la red del switch.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

Estas versiones de software introdujeron la protección STP PortFast BPDU:

  • Software Catalyst OS (CatOS) versión 5.4.1 para las plataformas Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G y 2980G

  • Software Cisco IOS® versión 12.0(7)XE para las plataformas Catalyst 6500/6000

  • Software Cisco IOS Release 12.1(8a)EW para el Catalyst 4500/4000 Supervisor Engine III

  • Software Cisco IOS Release 12.1(12c)EW para el Catalyst 4500/4000 Supervisor Engine IV

  • Software Cisco IOS Release 12.0(5)WC5 para las series Catalyst 2900XL y 3500XL

  • Software Cisco IOS Release 12.1(11)AX para los switches Catalyst 3750 series

  • Software Cisco IOS Release 12.1(14)AX para los switches Catalyst 3750 Metro

  • Software Cisco IOS Release 12.1(19)EA1 para los switches Catalyst 3560 series

  • Software Cisco IOS Release 12.1(4)EA1 para los switches Catalyst 3550 series

  • Software Cisco IOS Release 12.1(11)AX para los conmutadores de la serie Catalyst 2970

  • Software Cisco IOS Release 12.1(12c)EA1 para los conmutadores de la serie Catalyst 2955

  • Software Cisco IOS Release 12.1(6)EA2 para los conmutadores de la serie Catalyst 2950

  • Software Cisco IOS Release 12.1(11)EA1 para los conmutadores Catalyst 2950 Long-Reach Ethernet (LRE)

  • Software Cisco IOS Release 12.1(13)AY para los conmutadores de la serie Catalyst 2940

Nota: la protección STP PortFast BPDU no está disponible para los conmutadores de la serie Catalyst 8500, 2948G-L3 o 4908G-L3.

La información de este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento se iniciaron con una configuración despejada (por defecto). Si su red está en funcionamiento, asegúrese de comprender el impacto potencial de cualquier comando.

Convenciones

Consulte las Convenciones de los Consejos Técnicos de Cisco para obtener más información sobre las convenciones de los documentos.

Descripción de la característica

STP configura la topología de malla en una topología libre de bucles y en forma de árbol. Cuando el enlace en un puerto de puente sube, el cálculo STP ocurre en ese puerto. El resultado del cálculo es la transición del puerto al estado de reenvío o de bloqueo. El resultado depende de la posición del puerto en la red y de los parámetros del STP. Este periodo de cálculo y transición suele durar entre 30 y 50 segundos. En ese momento, no pasan datos de usuario por el puerto. Algunas aplicaciones de usuario pueden dejar de funcionar durante este periodo.

Para permitir la transición inmediata del puerto al estado de reenvío, active la función STP PortFast. PortFast hace que el puerto pase inmediatamente al modo de reenvío del STP cuando se conecta. El puerto sigue participando en el STP. Por lo tanto, si el puerto va a formar parte del bucle, el puerto finalmente transita al modo de bloqueo del STP.

Mientras el puerto participe en el STP, algún dispositivo puede asumir la función de puente raíz y afectar a la topología activa del STP. Para asumir la función de puente raíz, el dispositivo estaría conectado al puerto y ejecutaría el STP con una prioridad de puente inferior a la del puente raíz actual. Si otro dispositivo asume la función de puente raíz de esta manera, hace que la red sea subóptima. Se trata de una forma sencilla de ataque de denegación de servicio (DoS) a la red. La introducción temporal y la posterior eliminación de dispositivos STP con prioridad de puente baja (0) provocan un recálculo permanente de STP.

La mejora de la protección BPDU de STP PortFast permite a los diseñadores de redes reforzar las fronteras del dominio STP y mantener la topología activa predecible. Los dispositivos situados detrás de los puertos que tienen activado el STP PortFast no pueden influir en la topología del STP. En la recepción de BPDUs, la operación BPDU guard desactiva el puerto que tiene PortFast configurado. El BPDU guard pasa el puerto al estado errdisable y aparece un mensaje en la consola. Este mensaje es un ejemplo:

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Considere este ejemplo:

Figura 1

65a.gif

El puente A tiene prioridad 8192 y es la raíz de la VLAN. El puente B tiene prioridad 16384 y es el puente raíz de reserva para la misma VLAN. Los puentes A y B, a los que conecta un enlace Gigabit Ethernet, constituyen un núcleo de la red. El puente C es un switch de acceso y tiene configurado PortFast en el puerto que conecta con el dispositivo D. Si los demás parámetros STP son los predeterminados, el puerto del puente C que conecta con el puente B está en estado de bloqueo STP. El dispositivo D (PC) no participa en el STP. Las flechas discontinuas indican el flujo de STP BPDUs.

Figura 2

65b.gif

En la Figura 2, el dispositivo D ha comenzado a participar en el STP. Por ejemplo, se lanza una aplicación de puente basada en Linux en un PC. Si la prioridad del puente de software es 0 o cualquier valor inferior a la prioridad del puente raíz, el puente de software asume la función de puente raíz. El enlace Gigabit Ethernet que conecta los dos conmutadores centrales pasa al modo de bloqueo. La transición hace que todos los datos de esa VLAN fluyan a través del enlace de 100 Mbps. Si fluyen más datos a través del núcleo de la VLAN de los que el enlace puede acomodar, se produce la caída de tramas. La caída de tramas provoca un corte de conectividad.

La función de protección STP PortFast BPDU evita esta situación. La función desactiva el puerto tan pronto como el puente C recibe la STP BPDU del dispositivo D.

Configuración

Puede activar o desactivar la guardia de STP PortFast BPDU de forma global, lo que afecta a todos los puertos que tienen PortFast configurado. Por defecto, la protección de BPDU del STP está desactivada. Emita este comando para habilitar la protección BPDU del STP PortFast en el conmutador:

Comando CatOS

Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)

Software Cisco IOS Comando

CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)

Cuando la guardia STP BPDU desactiva el puerto, el puerto permanece en el estado deshabilitado a menos que el puerto se habilite manualmente. Puede configurar un puerto para que se vuelva a habilitar automáticamente desde el estado errdisable. Emita estos comandos, que establecen el intervalo de errdisable-timeout y habilitan la función de timeout:

Comandos CatOS

Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard

Comandos del software Cisco IOS

CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400

Nota: El intervalo de tiempo de espera por defecto es de 300 segundos y, por defecto, la función de tiempo de espera está desactivada.

Monitoreo

Para verificar si la característica está habilitada o deshabilitada, emita este comando:

Salida del comando

Comando CatOS

Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)

.

Comando del software Cisco IOS

CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *