Introdução
Este documento explica a característica da guarda PortFast Bridge Protocol Data Unit (BPDU). Esta característica é uma das melhorias do Protocolo de Árvore Espanhola (STP) que a Cisco criou. Esta característica melhora a fiabilidade da rede de comutação, a capacidade de gestão e a segurança.
Pré-requisitos
Requisitos
Não há requisitos específicos para este documento.
Componentes utilizados
Estas versões de software introduziram o STP PortFast BPDU guard:
-
Catalyst OS (CatOS) versão de software 5.4.1 para as plataformas Catalyst 4500/4000 (Motor Supervisor II), 5500/5000, 6500/6000, 2926, 2926G, 2948G, e 2980G
-
Cisco IOS® versão de software 12.0(7)XE para as plataformas Catalyst 6500/6000
-
Cisco IOS Release 12.1(8a)EW para o Motor Supervisor Catalyst 4500/4000 III
-
Cisco IOS Release 12.1(12c)EW for the Catalyst 4500/4000 Supervisor Engine IV
-
Cisco IOS Software Release 12.0(5)WC5 for the Catalyst 2900XL and 3500XL series
-
Cisco IOS Software Release 12.1(11)AX for the Catalyst 3750 series switches
-
Cisco IOS Software Release 12.1(14)AX para o Catalyst 3750 Metro switches
-
Cisco IOS Software Release 12.1(19)EA1 para o Catalyst 3560 series switches
-
Cisco IOS Software Release 12.1(4)EA1 para o Catalyst 3550 series switches
-
Cisco IOS Software Release 12.1(11)AX para os interruptores Catalyst série 2970
-
Cisco IOS Software Release 12.1(12c)EA1 para os interruptores Catalyst série 2955
-
Cisco IOS Software Release 12.1(6)EA2 para o Catalyst 2950 series switches
-
Cisco IOS Software Release 12.1(11)EA1 para o Catalyst 2950 Long-Reach Ethernet (LRE) switches
-
Cisco IOS Software Release 12.1(13)AY for the Catalyst 2940 series switches
Nota: STP PortFast BPDU guard não está disponível para o Catalyst 8500 series, 2948G-L3, ou 4908G-L3 switches.
A informação neste documento foi criada a partir dos dispositivos num ambiente de laboratório específico. Todos os dispositivos utilizados neste documento começaram com uma configuração limpa (por defeito). Se a sua rede estiver activa, certifique-se de compreender o impacto potencial de qualquer comando.
Convenções
Refer to Cisco Technical Tips Convention para mais informações sobre convenções de documentos.
Descrição da característica
STP configura a topologia em malha numa topologia sem malha, semelhante a uma árvore. Quando a ligação numa porta de ponte sobe, o cálculo de STP ocorre nessa porta. O resultado do cálculo é a transição da porta para o estado de encaminhamento ou bloqueio. O resultado depende da posição da porta na rede e dos parâmetros STP. Este cálculo e período de transição demora geralmente cerca de 30 a 50 segundos. Nessa altura, nenhum dado do utilizador passa através da porta. Algumas aplicações do utilizador podem ficar sem tempo durante o período.
A fim de permitir a transição imediata da porta para o estado de encaminhamento, activar a funcionalidade STP PortFast. PortFast faz a transição imediata da porta para o modo de reencaminhamento STP após a ligação. A porta ainda participa em STP. Assim, se a porta tiver de fazer parte do loop, a porta acaba por transitar para o modo de bloqueio STP.
Desde que a porta participe em STP, algum dispositivo pode assumir a função de ponte de raiz e afectar a topologia STP activa. Para assumir a função de ponte de raiz, o dispositivo seria ligado à porta e executaria STP com uma prioridade de ponte menor do que a da ponte de raiz actual. Se outro dispositivo assumir a função de ponte de raiz desta forma, torna a rede suboptimizada. Esta é uma forma simples de um ataque de negação de serviço (DoS) à rede. A introdução temporária e subsequente remoção de dispositivos STP com baixa (0) prioridade de ponte causam um recálculo permanente de STP.
A melhoria da guarda STP PortFast BPDU permite aos desenhadores de rede reforçar as fronteiras do domínio STP e manter a topologia activa previsível. Os dispositivos por detrás das portas que têm STP PortFast activado não são capazes de influenciar a topologia STP. Na recepção de BPDUs, a operação de guarda BPDU desactiva a porta que tem o PortFast configurado. O vigilante BPDU transita a porta para um estado errável, e uma mensagem aparece na consola. Esta mensagem é um exemplo:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Considerar este exemplo:
Figura 1
Bridge A tem prioridade 8192 e é a raiz para a VLAN. A ponte B tem prioridade 16384 e é a ponte de raiz de apoio para a mesma VLAN. As pontes A e B, que uma ligação Gigabit Ethernet liga, constituem um núcleo da rede. A ponte C é um switch de acesso e tem PortFast configurado na porta que liga ao dispositivo D. Se os outros parâmetros STP estiverem por defeito, a porta da ponte C que liga à ponte B está em estado de bloqueio STP. O dispositivo D (PC) não participa em STP. As setas a tracejado indicam o fluxo de STP BPDUs.
Figura 2
Na Figura 2, o dispositivo D começou a participar em STP. Por exemplo, uma aplicação de ponte baseada em Linux é lançada num PC. Se a prioridade da ponte de software for 0 ou qualquer valor abaixo da prioridade da ponte de raiz, a ponte de software assume a função de ponte de raiz. A ligação Gigabit Ethernet que liga as duas transições dos comutadores centrais ao modo de bloqueio. A transição faz com que todos os dados nessa VLAN fluam através da ligação de 100-Mbps. Se houver mais fluxo de dados através do núcleo na VLAN do que a ligação pode acomodar, ocorre a queda de quadros. A queda de fotogramas leva a uma interrupção da conectividade.
A função de guarda STP PortFast BPDU previne tal situação. A característica desactiva a porta assim que a ponte C recebe o STP BPDU do dispositivo D.
Configuração
Pode activar ou desactivar a protecção STP PortFast BPDU numa base global, o que afecta todas as portas que têm PortFast configurada. Por defeito, o protector STP BPDU é desactivado. Emita este comando para activar a guarda STP PortFast BPDU no interruptor:
Comando CatOS
Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)
Software Cisco IOS Comando
CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)
Quando o guarda STP BPDU desactiva a porta, o porto permanece no estado de incapacidade, a menos que o porto seja activado manualmente. Pode configurar uma porta para se voltar a activar automaticamente a partir do estado errável. Emite estes comandos, que definem o intervalo de tempo limite de errdisable timeout e activam a função timeout:
Comandos CatOS
Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard
Cisco IOS Software Commands
CatSwitch-IOS(config)# errdisable recovery cause bpduguardCatSwitch-IOS(config)# errdisable recovery interval 400
Nota: O intervalo de tempo limite por defeito é de 300 segundos e, por defeito, a função de tempo limite está desactivada.
Monitorização
A fim de verificar se a funcionalidade está activada ou desactivada, emitir este comando:
Comando de saída
Comando CatOS
Console> (enable) show spantree summaryRoot switch for vlans: 3-4.Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge.Backbonefast disabled for bridge.Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)
Comando Software Cisco IOS
CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledUplinkFast is disabledBackboneFast is disabledSpanning tree default pathcost method used is shortName Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#