Spanning Tree PortFast BPDU Guard Enhancement

Wprowadzenie

Ten dokument wyjaśnia funkcję PortFast Bridge Protocol Data Unit (BPDU) guard. Funkcja ta jest jednym z ulepszeń protokołu Spanning Tree Protocol (STP) stworzonym przez firmę Cisco. Funkcja ta zwiększa niezawodność sieci przełącznika, łatwość zarządzania i bezpieczeństwo.

Wymagania wstępne

Wymagania

Nie ma żadnych szczególnych wymagań dotyczących tego dokumentu.

Użyte komponenty

W tych wersjach oprogramowania wprowadzono straż STP PortFast BPDU:

  • Programowanie Catalyst OS (CatOS) w wersji 5.4.1 dla platform Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G i 2980G

  • Cisco IOS® Software Release 12.0(7)XE dla platform Catalyst 6500/6000

  • Cisco IOS Software Release 12.1(8a)EW dla platform Catalyst 4500/4000 Supervisor Engine III

  • Cisco IOS Software Release 12.1(12c)EW dla Catalyst 4500/4000 Supervisor Engine IV

  • Cisco IOS Software Release 12.0(5)WC5 dla przełączników Catalyst 2900XL i 3500XL series

  • Cisco IOS Software Release 12.1(11)AX dla przełączników Catalyst 3750 series

  • Cisco IOS Software Release 12.1(14)AX dla przełączników z serii Catalyst 3750 Metro

  • Cisco IOS Software Release 12.1(19)EA1 dla przełączników z serii Catalyst 3560

  • Cisco IOS Software Release 12.1(4)EA1 dla przełączników z serii Catalyst 3550

  • Cisco IOS Software Release 12.1(11)AX dla przełączników z serii Catalyst 2970

  • Cisco IOS Software Release 12.1(12c)EA1 dla przełączników z serii Catalyst 2955

  • Cisco IOS Software Release 12.1(6)EA2 dla przełączników serii Catalyst 2950

  • Cisco IOS Software Release 12.1(11)EA1 dla przełączników Catalyst 2950 Long-Reach Ethernet (LRE)

  • Cisco IOS Software Release 12.1(13)AY dla przełączników serii Catalyst 2940

Uwaga: STP PortFast BPDU guard nie jest dostępny dla przełączników serii Catalyst 8500, 2948G-L3, lub 4908G-L3.

Informacje zawarte w tym dokumencie zostały stworzone na podstawie urządzeń w określonym środowisku laboratoryjnym. Wszystkie urządzenia użyte w tym dokumencie rozpoczęły pracę z wyczyszczoną (domyślną) konfiguracją. Jeśli twoja sieć jest pod napięciem, upewnij się, że rozumiesz potencjalny wpływ każdej komendy.

Konwencje

Odnieś się do Cisco Technical Tips Conventions, aby uzyskać więcej informacji na temat konwencji dokumentu.

Opis funkcji

STP konfiguruje topologię siatkową w topologię wolną od pętli, przypominającą drzewo. Kiedy łącze na porcie mostu jest włączone, na tym porcie wykonywane są obliczenia STP. Wynikiem obliczeń jest przejście portu w stan forwarding lub blocking. Wynik zależy od pozycji portu w sieci i parametrów STP. Ten okres obliczeń i przejścia trwa zazwyczaj około 30 do 50 sekund. W tym czasie przez port nie przechodzą żadne dane użytkownika. Niektóre aplikacje użytkownika mogą w tym czasie przestać działać.

Aby umożliwić natychmiastowe przejście portu w stan forwardingu, należy włączyć funkcję STP PortFast. PortFast natychmiast przełączy port w tryb forwardingu STP po podłączeniu. Port nadal bierze udział w STP. Jeśli więc port ma być częścią pętli, port ostatecznie przejdzie w tryb blokowania STP.

Tak długo jak port uczestniczy w STP, jakieś urządzenie może przejąć funkcję mostu głównego i wpłynąć na aktywną topologię STP. Aby przejąć funkcję mostka głównego, urządzenie powinno być podłączone do portu i powinno uruchomić STP z niższym priorytetem mostka niż aktualny mostek główny. Jeśli inne urządzenie przejmie funkcję mostu głównego w ten sposób, spowoduje to, że sieć stanie się suboptymalna. Jest to prosta forma ataku typu denial of service (DoS) na sieć. Tymczasowe wprowadzenie i późniejsze usunięcie urządzeń STP z niskim (0) priorytetem mostu powoduje trwałe przeliczenie STP.

Wzmocnienie STP PortFast BPDU guard pozwala projektantom sieci na egzekwowanie granic domeny STP i utrzymanie przewidywalności aktywnej topologii. Urządzenia znajdujące się za portami, które mają włączoną funkcję STP PortFast nie są w stanie wpływać na topologię STP. Przy odbiorze BPDU, operacja BPDU guard wyłącza port, który ma skonfigurowany PortFast. BPDU guard przełącza port w stan errdisable, a na konsoli pojawia się komunikat. Ten komunikat jest przykładem: 

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Rozważmy ten przykład:

Rysunek 1

65a.gif

Mostek A ma priorytet 8192 i jest rootem dla sieci VLAN. Mostek B ma priorytet 16384 i jest zapasowym mostkiem root dla tej samej sieci VLAN. Mosty A i B, które łączy łącze Gigabit Ethernet, tworzą rdzeń sieci. Mostek C jest przełącznikiem dostępowym i ma skonfigurowany PortFast na porcie, który łączy się z urządzeniem D. Jeśli pozostałe parametry STP są domyślne, port mostka C, który łączy się z mostkiem B jest w stanie blokowania STP. Urządzenie D (PC) nie uczestniczy w STP. Przerywane strzałki wskazują przepływ STP BPDUs.

Rysunek 2

65b.gif

Na rysunku 2 urządzenie D zaczęło uczestniczyć w STP. Przykładowo, na komputerze PC uruchamiana jest aplikacja mostu oparta na systemie Linux. Jeśli priorytet mostu programowego wynosi 0 lub dowolną wartość poniżej priorytetu mostu głównego, most programowy przejmuje funkcję mostu głównego. Łącze Gigabit Ethernet, które łączy dwa przełączniki rdzeniowe przechodzi w tryb blokowania. Przejście to powoduje, że wszystkie dane w tym VLANie przepływają przez łącze 100-Mbps. Jeśli więcej danych przepływa przez rdzeń w sieci VLAN niż łącze może pomieścić, następuje zrzucanie ramek. Zrzut ramek prowadzi do przerwy w łączności.

Funkcja STP PortFast BPDU guard zapobiega takiej sytuacji. Funkcja ta wyłącza port, gdy tylko most C odbierze STP BPDU z urządzenia D.

Konfiguracja

Możesz włączyć lub wyłączyć STP PortFast BPDU guard na poziomie globalnym, co ma wpływ na wszystkie porty, które mają skonfigurowany PortFast. Domyślnie, STP BPDU guard jest wyłączony. Wydaj to polecenie, aby włączyć STP PortFast BPDU guard na przełączniku:

Polecenie CatOS 

Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)

Oprogramowanie Cisco IOS. Command 

CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)

Gdy STP BPDU guard wyłącza port, port pozostaje w stanie wyłączenia, chyba że port zostanie włączony ręcznie. Można skonfigurować port tak, aby automatycznie włączał się ponownie ze stanu errdisable. Wydaj te polecenia, które ustawiają interwał errdisable-timeout i włączają funkcję timeout:

Polecenia systemu CatOS 

Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard

. Cisco IOS Software Commands 

CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400

Uwaga: Domyślny interwał timeoutu wynosi 300 sekund i domyślnie funkcja timeoutu jest wyłączona.

Monitorowanie

Aby sprawdzić, czy funkcja jest włączona czy wyłączona, wydaj to polecenie:

Wyjście polecenia

Polecenie CatOS 

Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)

Polecenie oprogramowania Cisco IOS 

CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *