Introduction
In dit document wordt de PortFast Bridge Protocol Data Unit (BPDU) guard feature uitgelegd. Deze functie is een van de verbeteringen van het Spanning Tree Protocol (STP) die Cisco heeft ontwikkeld. Deze functie verbetert de betrouwbaarheid, beheerbaarheid en veiligheid van het netwerk van de switch.
Vereisten
Vereisten
Er zijn geen specifieke vereisten voor dit document.
Gebruikte componenten
De volgende softwareversies introduceerden de STP PortFast BPDU guard:
- Catalyst OS (CatOS) softwareversie 5.4.1 voor de Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G en 2980G platforms
-
Cisco IOS® Software Release 12.0(7)XE voor de Catalyst 6500/6000-platforms
- Cisco IOS Software Release 12.1(8a)EW voor de Catalyst 4500/4000 Supervisor Engine III
-
Cisco IOS Software Release 12.0(5)WC5 voor de Catalyst 2900XL en 3500XL series
- Cisco IOS Software Release 12.1(11)AX voor de Catalyst 3750 series switches
- Cisco IOS Software Release 12.1(14)AX voor de Catalyst 3750 Metro switches
-
Cisco IOS Software Release 12.1(19)EA1 voor de Catalyst 3560 series switches
- Cisco IOS Software Release 12.1(4)EA1 voor de Catalyst 3550 series switches
-
Cisco IOS Software Release 12.1(11)AX voor de Catalyst 2970-serie switches
-
Cisco IOS Software Release 12.1(12c)EA1 voor de Catalyst 2955-serie switches
-
Cisco IOS Software Release 12.1(6)EA2 voor de Catalyst 2950 series switches
- Cisco IOS Software Release 12.1(11)EA1 voor de Catalyst 2950 Long-Reach Ethernet (LRE) switches
- Cisco IOS Software Release 12.1(11)EA1 voor de Catalyst 2950 Long-Reach Ethernet (LRE) switches
Cisco IOS Software Release 12.1(12c)EW voor de Catalyst 4500/4000 Supervisor Engine IV
Cisco IOS Software Release 12.1(4)EA1 voor de Catalyst 3550 series switches
Cisco IOS Software Release 12.1(4)EA1 voor de Catalyst 3550 series switches
Cisco IOS Software Release 12.1(12c)EA1 voor de Catalyst 2955-serie switches
Cisco IOS Software Release 12.1(13)AY voor de Catalyst 2940 series switches
Opmerking: STP PortFast BPDU guard is niet beschikbaar voor de Catalyst 8500 series, 2948G-L3, of 4908G-L3 switches.
De informatie in dit document is gemaakt op basis van de apparaten in een specifieke lab-omgeving. Alle apparaten die in dit document zijn gebruikt, zijn gestart met een gewiste (standaard) configuratie.
Conventions
Refer to Cisco Technical Tips Conventions for more information on document conventions.
Feature Description
STP configures meshed topology into a loop-free, tree-like topology. Wanneer de link op een bridgepoort omhoog gaat, vindt op die poort een STP-berekening plaats. Het resultaat van de berekening is de overgang van de poort naar de status forwarding of blocking. Het resultaat is afhankelijk van de positie van de poort in het netwerk en de STP-parameters. Deze berekenings- en overgangsperiode duurt gewoonlijk ongeveer 30 tot 50 seconden. In die tijd gaan er geen gebruikersgegevens via de poort. Sommige gebruikerstoepassingen kunnen tijdens deze periode uitvallen.
Om een onmiddellijke overgang van de poort naar de status forwarding mogelijk te maken, moet de STP-functie PortFast worden ingeschakeld. PortFast schakelt de poort bij het tot stand brengen van een verbinding onmiddellijk over naar de STP-forwarding-modus. De poort neemt nog steeds deel aan STP. Dus als de poort deel uitmaakt van de lus, gaat de poort uiteindelijk over in STP-blokkeringsmodus.
Zolang de poort aan STP deelneemt, kan een of ander apparaat de root bridge-functie overnemen en de actieve STP-topologie beïnvloeden. Om de root bridge-functie over te nemen, moet het apparaat aan de poort worden gekoppeld en STP uitvoeren met een lagere bridge-prioriteit dan die van de huidige root bridge. Als een ander apparaat op deze manier de root bridge-functie overneemt, maakt dit het netwerk suboptimaal. Dit is een eenvoudige vorm van een denial of service (DoS) aanval op het netwerk. Het tijdelijk introduceren en vervolgens verwijderen van STP-apparaten met een lage (0) bridgeprioriteit veroorzaakt een permanente herberekening van STP.
De STP PortFast BPDU-bewakingsuitbreiding stelt netwerkontwerpers in staat de STP-domeingrenzen af te dwingen en de actieve topologie voorspelbaar te houden. De apparaten achter de poorten waarop STP PortFast is ingeschakeld, kunnen de STP-topologie niet beïnvloeden. Bij de ontvangst van BPDU’s schakelt de BPDU-bewaking de poort uit waarop PortFast is geconfigureerd. De BPDU guard schakelt de poort over naar de errdisable status, en er verschijnt een bericht op de console. Dit bericht is een voorbeeld:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Kijk eens naar dit voorbeeld:
Figuur 1
Bridge A heeft prioriteit 8192 en is de root voor het VLAN. Bridge B heeft prioriteit 16384 en is de backup root bridge voor hetzelfde VLAN. Bruggen A en B, die via een Gigabit Ethernetverbinding met elkaar zijn verbonden, vormen de kern van het netwerk. Brug C is een toegangsswitch en heeft PortFast geconfigureerd op de poort die verbinding maakt met apparaat D. Als de andere STP-parameters standaard zijn, is de poort van brug C die verbinding maakt met brug B in de status STP blocking. Apparaat D (PC) neemt niet deel aan STP. De gestippelde pijlen geven de stroom van STP BPDU’s aan.
Figuur 2
In figuur 2 is apparaat D begonnen deel te nemen aan STP. Er wordt bijvoorbeeld een op Linux gebaseerde bridge-applicatie gestart op een PC. Als de prioriteit van de softwarebridge 0 is of een waarde lager dan de prioriteit van de rootbridge, neemt de softwarebridge de functie van rootbridge over. De Gigabit Ethernet link die de twee core switches verbindt gaat over in blocking mode. De overgang zorgt ervoor dat alle gegevens in dat VLAN via de 100-Mbps verbinding stromen. Als er meer gegevens via de core in het VLAN stromen dan de link kan verwerken, treedt er een drop van frames op. De framedrop leidt tot een onderbreking van de verbinding.
De STP PortFast BPDU guard feature voorkomt een dergelijke situatie. De functie schakelt de poort uit zodra bridge C de STP BPDU van apparaat D ontvangt.
Configuratie
U kunt STP PortFast BPDU guard in- of uitschakelen op een globale basis, die alle poorten beïnvloedt waarop PortFast is geconfigureerd. Standaard is STP BPDU-bewaking uitgeschakeld. Voer dit commando uit om STP PortFast BPDU guard op de switch in te schakelen:
CatOS Command
Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)
Cisco IOS Software Command
CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)
Wanneer STP BPDU guard de poort uitschakelt, blijft de poort in de uitgeschakelde status tenzij de poort handmatig wordt ingeschakeld. U kunt een poort zo instellen dat deze zichzelf automatisch weer inschakelt vanuit de toestand errdisable. Voer de volgende commando’s uit om het errdisable-timeout-interval in te stellen en de timeout-functie in te schakelen:
CatOS Commando’s
Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard
Cisco IOS Software Commando’s
CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400
Opmerking: Het standaard time-outinterval is 300 seconden en de time-outfunctie is standaard uitgeschakeld.
Controle
Om te controleren of de functie is in- of uitgeschakeld, voert u dit commando uit:
Command Output
CatOS Command
Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)
Cisco IOS Software Commando
CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#