Spanning Tree PortFast BPDU Guard Enhancement

Introduction

Ce document explique la fonctionnalité de garde des unités de données de protocole de pont (BPDU) PortFast. Cette fonctionnalité est l’une des améliorations du protocole Spanning Tree (STP) que Cisco a créées. Cette fonctionnalité améliore la fiabilité, la facilité de gestion et la sécurité du réseau de commutateurs.

Prérequis

Exigences

Il n’y a pas d’exigences spécifiques pour ce document.

Composants utilisés

Ces versions logicielles ont introduit la garde STP PortFast BPDU :

  • La version 5.4 du logiciel Catalyst OS (CatOS).1 pour les plates-formes Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G et 2980G

  • Cisco IOS® Software Release 12.0(7)XE pour les plates-formes Catalyst 6500/6000

  • Cisco IOS Software Release 12.1(8a)EW pour le Supervisor Engine III de Catalyst 4500/4000
  • Cisco IOS Software Release 12.1(12c)EW pour le moteur de superviseur IV du Catalyst 4500/4000
  • Cisco IOS Software Release 12.0(5)WC5 pour les séries Catalyst 2900XL et 3500XL
  • Cisco IOS Software Release 12.1(11)AX pour les commutateurs de la série Catalyst 3750
  • Cisco IOS Software Release 12.1(14)AX pour les commutateurs Catalyst 3750 Metro
  • Cisco IOS Software Release 12.1(19)EA1 pour les commutateurs Catalyst 3560 series
  • Cisco IOS Software Release 12.1(4)EA1 pour les commutateurs Catalyst 3550 series

  • Cisco IOS Software Release 12.1(11)AX pour les commutateurs de la série Catalyst 2970

  • Cisco IOS Software Release 12.1(12c)EA1 pour les commutateurs de la série Catalyst 2955

  • Cisco IOS Software Release 12.1(6)EA2 pour les commutateurs de la série Catalyst 2950

  • Cisco IOS Software Release 12.1(11)EA1 pour les commutateurs Long-Reach Ethernet (LRE) Catalyst 2950

  • Cisco IOS Software Release 12.1(13)AY pour les commutateurs de la série Catalyst 2940

Note : la garde STP PortFast BPDU n’est pas disponible pour les commutateurs de la série Catalyst 8500, 2948G-L3 ou 4908G-L3.

Les informations contenues dans ce document ont été créées à partir des appareils d’un environnement de laboratoire spécifique. Tous les appareils utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en direct, assurez-vous de comprendre l’impact potentiel de toute commande.

Conventions

Référez-vous aux conventions des conseils techniques Cisco pour plus d’informations sur les conventions des documents.

Description de la fonctionnalité

STP configure la topologie maillée en une topologie arborescente sans boucle. Lorsque la liaison sur un port de pont monte, le calcul STP se produit sur ce port. Le résultat du calcul est la transition du port dans l’état de transfert ou de blocage. Le résultat dépend de la position du port dans le réseau et des paramètres STP. Cette période de calcul et de transition dure généralement de 30 à 50 secondes. Pendant ce temps, aucune donnée utilisateur ne passe par le port. Certaines applications utilisateur peuvent s’interrompre pendant cette période.

Afin de permettre la transition immédiate du port vers l’état de transfert, activez la fonction STP PortFast. PortFast fait immédiatement passer le port en mode d’acheminement STP lors de la liaison. Le port participe toujours au STP. Donc, si le port doit faire partie de la boucle, le port finit par transiter en mode blocage STP.

Tant que le port participe au STP, un certain dispositif peut assumer la fonction de pont racine et affecter la topologie STP active. Pour assumer la fonction de pont racine, le dispositif serait attaché au port et exécuterait STP avec une priorité de pont inférieure à celle du pont racine actuel. Si un autre dispositif assume la fonction de pont racine de cette manière, le réseau devient sous-optimal. Il s’agit d’une forme simple d’attaque par déni de service (DoS) sur le réseau. L’introduction temporaire et la suppression ultérieure de périphériques STP avec une priorité de pont faible (0) provoquent un recalcul STP permanent.

L’amélioration de la garde BPDU STP PortFast permet aux concepteurs de réseaux de faire respecter les frontières du domaine STP et de garder la topologie active prévisible. Les périphériques situés derrière les ports dont la fonction STP PortFast est activée ne sont pas en mesure d’influencer la topologie STP. A la réception de BPDUs, l’opération BPDU guard désactive le port qui a PortFast configuré. Le BPDU guard fait passer le port dans l’état errdisable, et un message apparaît sur la console. Ce message est un exemple : 

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Considérez cet exemple :

Figure 1

65a.gif

Le pont A a la priorité 8192 et est la racine pour le VLAN. Le pont B a la priorité 16384 et est le pont racine de secours pour le même VLAN. Les ponts A et B, qu’une liaison Gigabit Ethernet relie, constituent un cœur du réseau. Le pont C est un commutateur d’accès et PortFast est configuré sur le port qui se connecte au dispositif D. Si les autres paramètres STP sont par défaut, le port du pont C qui se connecte au pont B est en état de blocage STP. Le dispositif D (PC) ne participe pas au protocole STP. Les flèches en pointillés indiquent le flux des BPDU STP.

Figure 2

65b.gif

Dans la figure 2, le dispositif D a commencé à participer au STP. Par exemple, une application de pont basée sur Linux est lancée sur un PC. Si la priorité du pont logiciel est 0 ou toute valeur inférieure à la priorité du pont racine, le pont logiciel prend en charge la fonction de pont racine. La liaison Gigabit Ethernet qui relie les deux commutateurs centraux passe en mode blocage. Cette transition fait en sorte que toutes les données de ce VLAN circulent via la liaison 100 Mbps. Si le flux de données via le cœur du VLAN est supérieur à ce que le lien peut supporter, la chute des trames se produit. La chute de trames conduit à une coupure de connectivité.

La fonctionnalité STP PortFast BPDU guard permet d’éviter une telle situation. La fonctionnalité désactive le port dès que le pont C reçoit le BPDU STP du périphérique D.

Configuration

Vous pouvez activer ou désactiver la garde BPDU STP PortFast sur une base globale, ce qui affecte tous les ports qui ont PortFast configuré. Par défaut, la garde BPDU STP est désactivée. Émettez cette commande afin d’activer la garde STP PortFast BPDU sur le commutateur :

Commande CatOS 

Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)

La commande du logiciel Cisco IOS. Commande 

CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)

Lorsque la garde STP BPDU désactive le port, le port reste dans l’état désactivé à moins que le port ne soit activé manuellement. Vous pouvez configurer un port pour qu’il se réactive automatiquement à partir de l’état errdisable. Émettez ces commandes, qui définissent l’intervalle errdisable-timeout et activent la fonction de délai d’attente :

Commandes CatOS 

Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard

. Commandes du logiciel Cisco IOS 

CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400

Note : L’intervalle de temporisation par défaut est de 300 secondes et, par défaut, la fonction de temporisation est désactivée.

Surveillance

Pour vérifier si la fonctionnalité est activée ou désactivée, émettez cette commande :

Sortie de commande

Commande CatOS 

Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)

.

Commande du logiciel Cisco IOS

CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *