Switches de LAN : Spanning Tree Protocol

Spanning Tree Protocol Root Guard Enhancement

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (23 Março 2008) | Inglês (20 Outubro 2015) | Feedback


Índice


Introdução

Este documento explica a característica de proteção raiz do Spanning Tree Protocol (STP). Esta característica é um dos aprimoramentos de STP que a Cisco criou. Esta característica melhora a confiabilidade, a capacidade de gerenciamento e a segurança da rede de switch.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Descrição do recurso

O STP padrão não fornece nenhuns meios para que o administrador de rede reforce firmemente a topologia da rede comutada da camada 2 (L2). Os meios reforçar a topologia podem ser especialmente importantes nas redes com controle administrativo compartilhado, onde as entidades administrativas ou as empresas diferentes controlam uma rede comutada.

A topologia da transmissão da rede comutada é calculada. O cálculo é baseado na posição de Root Bridge, entre outros parâmetros. Todo o interruptor pode ser o bridge-raiz em uma rede. Mas uma topologia mais ótima da transmissão coloca o bridge-raiz em um local pré-determinado específico. Com o STP padrão, toda a ponte na rede com um ID de bridge mais baixo toma o papel do bridge-raiz. O administrador não pode reforçar a posição do bridge-raiz.

Nota: O administrador pode ajustar a prioridade de Root Bridge a 0 em um esforço para fixar a posição de Root Bridge. Mas não há nenhuma garantia contra uma ponte com uma prioridade de 0 e um MAC address mais baixo.

Os recursos de protetor de raiz fornecem uma maneira de reforçar a colocação do bridge-raiz na rede.

O protetor de raiz assegura-se de que a porta em que o protetor de raiz é permitido seja o Designated Port. Normalmente, as portas são tudo do bridge-raiz portas designadas, a menos que dois ou mais portas do bridge-raiz forem conectadas junto. Se a ponte recebe o bridge protocol data units superior STP (BPDU) em uma porta protetor-permitida raiz, o protetor de raiz move esta porta para um estado de inconsistência STP. Este estado de inconsistência é eficazmente igual a um estado de escuta e aprendizagem. O sem tráfego é enviado através desta porta. Desta maneira, o protetor de raiz reforça a posição do bridge-raiz.

O exemplo nesta seção demonstra como um bridge-raiz desonesto pode causar problemas na rede e como o protetor de raiz pode ajudar.

Em figura 1, comuta A e B compreendem o núcleo da rede, e A é o bridge-raiz para um VLAN. O C do interruptor é um switch de camada de acesso. O link entre B e C está obstruindo no lado do C. As setas mostram o fluxo de STP BPDU.

Figura 1

/image/gif/paws/10588/74a.gif

Em figura 2, o dispositivo D começa a participar no STP. Por exemplo, os aplicativos com base no software da ponte são lançados em PC ou no outro Switches que um cliente conecta a uma rede de provedor de serviços. Se a prioridade da ponte D é 0 ou alguma avalia mais baixo do que a prioridade do bridge-raiz, o dispositivo D está elegido como um bridge-raiz para este VLAN. Se o link entre o dispositivo A e B é 1 gigabit e os links entre A e C assim como B e C são 100 Mbps, a eleição de D como causas de raiz o enlace de Ethernet Gigabit que conecta os dois switch centrais para obstruir. Este bloco faz com que todos os dados nesse VLAN fluam através de um link do 100-Mbps através da camada de acesso. Se mais fluxo de dados através do núcleo nesse VLAN do que este link pode acomodar, a gota de alguns quadros ocorre. A gota do quadro conduz a uma perda de desempenho ou a uma interrupção de conectividade.

Figura 2

/image/gif/paws/10588/74b.gif

Os recursos de protetor de raiz protegem a rede contra tais edições.

A configuração do protetor de raiz está em uma base por porto. O protetor de raiz não permite que a porta transforme-se uma porta de raiz STP, assim que a porta STP-é designada sempre. Se um BPDU melhor chega nesta porta, o protetor de raiz não leva em conta o BPDU e elege uma raiz nova STP. Em lugar de, o protetor de raiz põe a porta no estado de inconsistência STP. Você deve permitir o protetor de raiz em todas as portas onde o bridge-raiz não deve aparecer. Em uma maneira, você pode configurar um perímetro em torno parte de da rede onde a raiz STP pode ser encontrado.

Em figura 2, permita o protetor de raiz na porta do C do interruptor que conecta para comutar o D.

Comute o C em figura 2 obstrui a porta que conecta para comutar D, depois que o interruptor recebe um bpdu superior. O protetor de raiz põe a porta no estado de inconsistência STP. O sem tráfego passa através da porta neste estado. Depois que o dispositivo D cessa de enviar bpdus superior, a porta está desbloqueada outra vez. Através do STP, a porta vai do estado de escuta e aprendizagem ao estado de aprendizagem, e eventualmente das transições ao estado de encaminhamento. A recuperação é automática; nenhuma intervenção humana é necessária.

Esta mensagem aparece depois que o protetor de raiz obstrui uma porta:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

Disponibilidade

O protetor de raiz está disponível no OS do catalizador (Cactos) para o catalizador 29xx, 4500/4000, 5500/5000, e 6500/6000 na versão de software 6.1.1 e mais atrasado. Para o Catalyst 6500/6000 que executa o software do sistema do ½ do ¿  de Cisco IOSïÂ, esta característica foi introduzida primeiramente no Cisco IOS Software Release 12.0(7)XE. Para o catalizador que 4500/4000 isso executam o software do sistema do Cisco IOS, esta característica está disponível em todas as liberações.

Para os Catalyst 2900XL e 3500XL Switches, o protetor de raiz está disponível no Cisco IOS Software Release 12.0(5)XU e Mais Recente. Os Catalyst 2950 Series Switch apoiam os recursos de protetor de raiz no Cisco IOS Software Release 12.0(5.2)WC(1) e Mais Recente. Os Catalyst 3550 Series Switch apoiam os recursos de protetor de raiz no Cisco IOS Software Release 12.1(4)EA1 e Mais Recente.

Configuração

Configuração de CatOS

A configuração do protetor de raiz está em uma base por porto. Em Catalyst Switches que executa Cactos, configurar o protetor de raiz desta maneira:

vega> (enable) set spantree guard root 1/1
Rootguard on port 1/1 is enabled.
Warning!! Enabling rootguard may result in a topology change.
vega> (enable)

A fim verificar se o protetor de raiz está configurado, emita este comando:

vega> (enable) show spantree guard
Port                     VLAN Port-State    Guard Type
------------------------ ---- ------------- ----------
 1/1                     1    forwarding          root
 1/2                     1    not-connected       none
 3/1                     1    not-connected       none
 3/2                     1    not-connected       none
 3/3                     1    not-connected       none
 3/4                     1    not-connected       none
 5/1                     1    forwarding          none
 5/25                    1    not-connected       none
15/1                     1    forwarding          none
vega> (enable)

Configuração de Cisco IOS Software para o Catalyst 6500/6000 e o catalizador 4500/4000

No Switches do Catalyst 6500/6000 ou do catalizador 4500/4000 que executa o Cisco IOS software do sistema, emita este conjunto de comandos a fim configurar o protetor de raiz STP:

Cat-IOS# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Cat-IOS#(config)# interface fastethernet 3/1

Cat-IOS#(config-if)# spanning-tree guard root

Nota: O Cisco IOS Software Release 12.1(3a)E3 para o Catalyst 6500/6000 que executa o software do sistema do Cisco IOS mudou este comando do rootguard de Spanning Tree à raiz do protetor da medir-árvore. O catalizador 4500/4000 isso executa o Cisco IOS que o software do sistema usa o comando spanning-tree guard root em todas as liberações.

Configuração de Cisco IOS Software para o catalizador 2900XL/3500XL, 2950, e 3550

No Catalyst 2900xl, 3500xl, 2950 e 3550, configurar o Switches com protetor de raiz no modo de configuração da interface, como este exemplo mostra:

Hinda# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Hinda(config)# interface fastethernet 0/8
Hinda(config-if)# spanning-tree rootguard
Hinda(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on 
port FastEthernet0/8 VLAN 1.^Z
Hinda#

Qual a diferença entre o protetor de BPDU STP e o protetor de raiz de STP?

A guarda BPDU e a guarda de raiz são semelhantes, mas seu impacto é diferente. O protetor de BPDU desabilitará a porta, após a recepção do BPDU, se portfast estiver habilitado na porta. A incapacidade nega eficazmente dispositivos atrás de tais portas da participação no STP. Você deve manualmente reenable a porta que é posta no estado errdisable ou configurar o errdisable-intervalo.

O protetor de raiz permite que o dispositivo participe no STP enquanto o dispositivo não tenta se transformar a raiz. Se o protetor de raiz obstrui a porta, a recuperação subsequente é automática. A recuperação ocorre assim que o dispositivo ofensivo cessar de enviar bpdus superior.

Para obter mais informações sobre do protetor de BPDU, refira este documento:

O protetor de raiz ajuda com o problema de duas raizes?

Pode haver uma falha de link unidirecional entre duas pontes em uma rede. Devido à falha, uma ponte não recebe os BPDU do bridge-raiz. Com tal falha, o switch-raiz recebe os quadros que o outro Switches envia, mas o outro Switches não recebe os BPDU que o switch-raiz envia. Isto pode conduzir a um STP loop. Porque o outro Switches não recebe nenhuns BPDU da raiz, este Switches acredita que é a raiz e começa-o enviar BPDU.

Quando a ponte da raiz real começa receber BPDU, a raiz rejeita os BPDU porque não são superiores. O bridge-raiz não muda. Consequentemente, o protetor de raiz não ajuda a resolver esta edição. O UniDirectional Link Detection (UDLD) e as características do protetor de loop endereçam esta edição.

Para obter mais informações sobre das encenações da falha de STP e como pesquisá-las defeitos, refira este documento:


Informações Relacionadas


Document ID: 10588