Switches de LAN : Spanning Tree Protocol

Melhoria do Spanning Tree PortFast BPDU Guard

23 Março 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (1 Setembro 2005) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Descrição de Recursos
     Figura 1
     Figura 2
Configuração
Monitoramento
     Saída de comando
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento explica o recurso do protetor PortFast Bridge Protocol Data Unit (BPDU) . Esse recurso é uma das melhorias do Spanning Tree Protocol (STP) criadas pela Cisco. Esse recurso melhora a confiabilidade, o gerenciamento e a segurança da rede comutada.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Usados

Estas versões de software apresentaram o protetor PortFast BPDU STP:

  • Software Catalyst OS (CatOS) versão 5.4.1 para as plataformas do Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G e 2980G

  • Cisco IOS® Software versão 12.0(7)XE para plataformas do Catalyst 6500/6000

  • Cisco IOS Software versão 12.1(8a)EW para o Supervisor Engine III do Catalyst 4500/4000

  • Cisco IOS Software versão 12.1(12c)EW para o Supervisor Engine IV do Catalyst 4500/4000

  • Cisco IOS Software versão 12.0(5)WC5 para o Catalyst séries 2900XL e 3500XL

  • Cisco IOS Software versão 12.1(11)AX para os Catalyst 3750 Series Switches

  • Cisco IOS Software versão 12.1(14)AX para os Catalyst 3750 Metro Series Switches

  • Cisco IOS Software versão 12.1(19)EA1 para os Catalyst 3560 Series Switches

  • Cisco IOS Software versão 12.1(4)EA1 para os Catalyst 3550 Series Switches

  • Cisco IOS Software versão 12.1(11)AX para os Catalyst 2970 Series Switches

  • Cisco IOS Software versão 12.1(12c)EA1 para os Catalyst 2955 Series Switches

  • Cisco IOS Software versão 12.1(6)EA2 para os Catalyst 2950 Series Switches

  • Cisco IOS Software versão 12.1(11)EA1 para os switches de Ethernet de longo alcance (LRE) Catalyst série 2950

  • Cisco IOS Software versão 12.1(13)AY para os Catalyst 2940 Series Switches

Observação: O protetor BPDU PortFast de STP não está disponível para switches Catalyst séries 8500, 2948G-L3 ou 4908G-L3.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos.

Descrição de Recursos

O STP configura uma topologia em malha em uma topologia em árvore, livre de loops. Quando o link em uma porta de ponte é ativado, ocorre um cálculo de STP nessa porta. O resultado do cálculo é a transição da porta para o estado de encaminhamento ou bloqueado. O resultado depende da posição da porta na rede e dos parâmetros de STP. Esse período de cálculo e transição geralmente leva cerca de 30 a 50 segundos. Nesse momento, nenhum dado de usuário passa pela porta. Alguns aplicativos de usuário podem expirar o tempo-limite durante esse período.

Para permitir a transição imediata da porta para o estado de encaminhamento, ative o recurso PortFast do STP. O Portfast faz uma transição imediata da porta no modo de encaminhamento STP na criação do link. A porta ainda participa do STP. Sendo assim, se a porta for parte de um loop, ela poderá ser escolhida para entrar no modo de bloqueio STP.

Enquanto a porta participar do STP, algum dispositivo poderá assumir a função de ponte raiz e afetar a topologia ativa do STP. Para assumir a função de ponte raiz, o dispositivo estaria anexado à porta e executaria o STP com uma prioridade inferior de ponte à da ponte raiz atual. Se outro dispositivo assumir a função de ponte raiz dessa forma, a rede não funcionará plenamente. Essa é uma forma simples de ataque de negação de serviço (DoS) na rede. A introdução temporária e a remoção subseqüente de dispositivos do STP com baixa (0) prioridade de ponte causam um recálculo de STP permanente.

As melhorias do protetor de BPDU Portfast de STP permitem que os estruturadores de rede forcem as bordas do domínio de STP e mantenham a topologia ativa previsível. Os dispositivos atrás das portas com PortFast de STP ativado não podem influenciar a topologia do STP. Na recepção da BPDU a operação do protetor BPDU desabilita a porta com PortFast configurado. O protetor BPDU passa a porta para o estado errdisable e uma mensagem aparece no console. Esta mensagem é um exemplo:

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port.
Disabling 2/1
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Considere este exemplo:

Figura 1

65a.gif

A ponte A tem a prioridade 8192 e é a ponte-raiz da VLAN. A ponte B tem a prioridade 16384 e é a ponte raiz de backup da mesma VLAN. As pontes A e B, conectadas por um link Gigabit Ethernet, formam um centro da rede. A ponte C é um switch de acesso e está com o PortFast configurado na porta que conecta o dispositivo D. Se outros parâmetros de STP forem padrão, a porta da ponte C que conecta a ponte B ficará em estado bloqueado. O dispositivo D (PC) não participa do STP. As setas tracejadas indicam o fluxo das BPDUs do STP.

Figura 2

65b.gif

Na Figura 2, o dispositivo D passou a participar do STP. Por exemplo, um aplicativo de pontes baseado em Linux é iniciado em um PC. Se a prioridade da ponte do software for 0 ou qualquer valor abaixo da prioridade da ponte raiz, a ponte do software assumirá a função de ponte raiz. O link Gigabit Ethernet que conecta os dois switches centrais transita para o modo bloqueado. A transição faz com que todos os dados na VLAN fluam através do link de 100-Mbps. Se uma quantidade de dados superior ao que o link puder acomodar fluir pelo centro na VLAN, ocorrerá queda dos quadros. A queda de quadros leva a uma falha de conectividade.

O protetor BPDU PortFast do STP evita essa situação. O recurso desativa a porta assim que a ponte C recebe a BPDU de STP do dispositivo D.

Configuração

Você pode habilitar ou desabilitar o protetor BPDU PortFast de STP globalmente, o que afeta todas as portas com PortFast configurado. Por padrão, o protetor BPDU do STP é desabilitado. Execute este comando para habilitar o protetor BPDU PortFast de STP do switch:

Comando do CatOS

Console> (enable) set spantree portfast bpdu-guard enable 

Spantree portfast bpdu-guard enabled on this switch.

Console> (enable)

Comando do Cisco IOS Software

CatSwitch-IOS(config)# spanning-tree portfast bpduguard 
CatSwitch-IOS(config)

Quando o protetor BPDU de STP desativa a porta, ele permanece no estado desativado até ser habilitado manualmente. Você pode configurar uma porta para que ela se reabilite automaticamente do estado errdisable. Execute estes comandos, que configuram o errdisable-timeout interval e ativam o recurso timeout:

Comandos do CatOS

Console> (enable) set errdisable-timeout interval 400 

Console> (enable) set errdisable-timeout enable bpdu-guard
         

Comandos do Cisco IOS Software

CatSwitch-IOS(config)# errdisable recovery cause bpduguard

CatSwitch-IOS(config)# errdisable recovery interval 400
         

Observação: O intervalo de expiração padrão é 300 segundos e, por padrão, está desabilitado.

Monitoramento

Para verificar se o recurso está habilitado ou desabilitado, execute este comando:

Saída de comando

Comando do CatOS

Console> (enable) show spantree summary
Root switch for vlans: 3-4.
Portfast bpdu-guard enabled for bridge.
Uplinkfast disabled for bridge.
Backbonefast disabled for bridge.

Summary of Connected Spanning Tree Ports By VLAN:

Vlan  Blocking Listening Learning Forwarding STP Active

----- -------- --------- -------- ---------- ----------

   1         0         0        0          1          1

   3         0         0        0          1          1

   4         0         0        0          1          1

  20         0         0        0          1          1


Blocking Listening Learning Forwarding STP Active

----- -------- --------- -------- ---------- ----------

Total        0         0        0          4          4

Console> (enable)

Comando do Cisco IOS Software

CatSwitch-IOS# show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning Tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1

CatSwitch-IOS#

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 10586