Introducción
Este documento explica la función de protección de unidades de datos de protocolo de puente (BPDU) PortFast. Esta característica es una de las mejoras del Protocolo de árbol de expansión (STP) que creó Cisco. Esta característica mejora la fiabilidad, la capacidad de gestión y la seguridad de la red del switch.
Requisitos previos
Requisitos
No hay requisitos específicos para este documento.
Componentes utilizados
Estas versiones de software introdujeron la protección STP PortFast BPDU:
-
Software Catalyst OS (CatOS) versión 5.4.1 para las plataformas Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G y 2980G
-
Software Cisco IOS® versión 12.0(7)XE para las plataformas Catalyst 6500/6000
-
Software Cisco IOS Release 12.1(8a)EW para el Catalyst 4500/4000 Supervisor Engine III
-
Software Cisco IOS Release 12.1(12c)EW para el Catalyst 4500/4000 Supervisor Engine IV
-
Software Cisco IOS Release 12.1(11)AX para los switches Catalyst 3750 series
-
Software Cisco IOS Release 12.1(14)AX para los switches Catalyst 3750 Metro
-
Software Cisco IOS Release 12.1(4)EA1 para los switches Catalyst 3550 series
-
Software Cisco IOS Release 12.1(11)AX para los conmutadores de la serie Catalyst 2970
-
Software Cisco IOS Release 12.1(12c)EA1 para los conmutadores de la serie Catalyst 2955
-
Software Cisco IOS Release 12.1(6)EA2 para los conmutadores de la serie Catalyst 2950
-
Software Cisco IOS Release 12.1(11)EA1 para los conmutadores Catalyst 2950 Long-Reach Ethernet (LRE)
-
Software Cisco IOS Release 12.1(13)AY para los conmutadores de la serie Catalyst 2940
Software Cisco IOS Release 12.0(5)WC5 para las series Catalyst 2900XL y 3500XL
Software Cisco IOS Release 12.1(19)EA1 para los switches Catalyst 3560 series
Nota: la protección STP PortFast BPDU no está disponible para los conmutadores de la serie Catalyst 8500, 2948G-L3 o 4908G-L3.
La información de este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento se iniciaron con una configuración despejada (por defecto). Si su red está en funcionamiento, asegúrese de comprender el impacto potencial de cualquier comando.
Convenciones
Consulte las Convenciones de los Consejos Técnicos de Cisco para obtener más información sobre las convenciones de los documentos.
Descripción de la característica
STP configura la topología de malla en una topología libre de bucles y en forma de árbol. Cuando el enlace en un puerto de puente sube, el cálculo STP ocurre en ese puerto. El resultado del cálculo es la transición del puerto al estado de reenvío o de bloqueo. El resultado depende de la posición del puerto en la red y de los parámetros del STP. Este periodo de cálculo y transición suele durar entre 30 y 50 segundos. En ese momento, no pasan datos de usuario por el puerto. Algunas aplicaciones de usuario pueden dejar de funcionar durante este periodo.
Para permitir la transición inmediata del puerto al estado de reenvío, active la función STP PortFast. PortFast hace que el puerto pase inmediatamente al modo de reenvío del STP cuando se conecta. El puerto sigue participando en el STP. Por lo tanto, si el puerto va a formar parte del bucle, el puerto finalmente transita al modo de bloqueo del STP.
Mientras el puerto participe en el STP, algún dispositivo puede asumir la función de puente raíz y afectar a la topología activa del STP. Para asumir la función de puente raíz, el dispositivo estaría conectado al puerto y ejecutaría el STP con una prioridad de puente inferior a la del puente raíz actual. Si otro dispositivo asume la función de puente raíz de esta manera, hace que la red sea subóptima. Se trata de una forma sencilla de ataque de denegación de servicio (DoS) a la red. La introducción temporal y la posterior eliminación de dispositivos STP con prioridad de puente baja (0) provocan un recálculo permanente de STP.
La mejora de la protección BPDU de STP PortFast permite a los diseñadores de redes reforzar las fronteras del dominio STP y mantener la topología activa predecible. Los dispositivos situados detrás de los puertos que tienen activado el STP PortFast no pueden influir en la topología del STP. En la recepción de BPDUs, la operación BPDU guard desactiva el puerto que tiene PortFast configurado. El BPDU guard pasa el puerto al estado errdisable y aparece un mensaje en la consola. Este mensaje es un ejemplo:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Considere este ejemplo:
Figura 1
El puente A tiene prioridad 8192 y es la raíz de la VLAN. El puente B tiene prioridad 16384 y es el puente raíz de reserva para la misma VLAN. Los puentes A y B, a los que conecta un enlace Gigabit Ethernet, constituyen un núcleo de la red. El puente C es un switch de acceso y tiene configurado PortFast en el puerto que conecta con el dispositivo D. Si los demás parámetros STP son los predeterminados, el puerto del puente C que conecta con el puente B está en estado de bloqueo STP. El dispositivo D (PC) no participa en el STP. Las flechas discontinuas indican el flujo de STP BPDUs.
Figura 2
En la Figura 2, el dispositivo D ha comenzado a participar en el STP. Por ejemplo, se lanza una aplicación de puente basada en Linux en un PC. Si la prioridad del puente de software es 0 o cualquier valor inferior a la prioridad del puente raíz, el puente de software asume la función de puente raíz. El enlace Gigabit Ethernet que conecta los dos conmutadores centrales pasa al modo de bloqueo. La transición hace que todos los datos de esa VLAN fluyan a través del enlace de 100 Mbps. Si fluyen más datos a través del núcleo de la VLAN de los que el enlace puede acomodar, se produce la caída de tramas. La caída de tramas provoca un corte de conectividad.
La función de protección STP PortFast BPDU evita esta situación. La función desactiva el puerto tan pronto como el puente C recibe la STP BPDU del dispositivo D.
Configuración
Puede activar o desactivar la guardia de STP PortFast BPDU de forma global, lo que afecta a todos los puertos que tienen PortFast configurado. Por defecto, la protección de BPDU del STP está desactivada. Emita este comando para habilitar la protección BPDU del STP PortFast en el conmutador:
Comando CatOS
Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)
Software Cisco IOS Comando
CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)
Cuando la guardia STP BPDU desactiva el puerto, el puerto permanece en el estado deshabilitado a menos que el puerto se habilite manualmente. Puede configurar un puerto para que se vuelva a habilitar automáticamente desde el estado errdisable. Emita estos comandos, que establecen el intervalo de errdisable-timeout y habilitan la función de timeout:
Comandos CatOS
Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard
Comandos del software Cisco IOS
CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400
Nota: El intervalo de tiempo de espera por defecto es de 300 segundos y, por defecto, la función de tiempo de espera está desactivada.
Monitoreo
Para verificar si la característica está habilitada o deshabilitada, emita este comando:
Salida del comando
Comando CatOS
Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)
.
Comando del software Cisco IOS
CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#