Switching de LAN : Protocolo de árbol de expansión

Mejora a la protección de raíz del protocolo de árbol de expansión

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (23 Marzo 2008) | Inglés (20 Octubre 2015) | Comentarios


Contenido


Introducción

Este documento explica la función de protección de raíz de Spanning Tree Protocol (STP). Esta función es una de las mejoras del STP creadas por Cisco. Esta función mejora la confiabilidad, la facilidad de uso y la seguridad de la red de switch.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Descripción de la Función

STP estándar no proporciona ninguna medios para que el administrador de la red aplique con seguridad la topología de la red conmutada de la capa 2 (L2). Los medios de aplicar la topología pueden ser especialmente importantes en las redes con el control administrativo compartido, donde las diversas entidades administrativas o compañías controlan una red de switch.

La topología de la expedición de la red de switch se calcula. El cálculo se basa en la posición del Root Bridge, entre otros parámetros. Cualquier Switch puede ser el Root Bridge en una red. Pero una topología más óptima de la expedición coloca el Root Bridge en una ubicación predeterminada específica. Con STP estándar, cualquier Bridge en la red con un Bridge ID más bajo toma el papel del Root Bridge. El administrador no puede aplicar la posición del Root Bridge.

Nota: El administrador puede establecer la prioridad de Root Bridge a 0 en un esfuerzo para asegurar la posición del Root Bridge. Pero no hay garantía contra un Bridge con una prioridad de 0 y una dirección MAC más baja.

La función de protección de raíz proporciona una manera de asegurar la posición de root bridge en la red.

La protección raíz se asegura de que el puerto en el cual habilitan a la protección raíz sea el puerto designado. Normalmente, los puertos root bridge son todos puertos designados, a menos que dos o más puertos del root bridge estén conectados. Si el Bridge recibe las Unidades superiores STP (BPDU) en un puerto guardia-habilitado raíz, la protección raíz mueve este puerto a un estado de la raíz contraria STP. Este estado root-inconsistent es con eficacia igual a un estado de escucha. No se reenvía tráfico a través de este puerto. De esta manera, la protección raíz aplica la posición del Root Bridge.

El ejemplo en esta sección demuestra cómo un Root Bridge rogue puede causar los problemas en la red y cómo la protección raíz puede ayudar.

En el cuadro 1, conmuta A y B comprenden la base de la red, y A es el Root Bridge para un VLA N. Switch C es un layer switch de acceso. El link entre B y el C está bloqueando en el lado del C. Las flechas muestran el flujo de STP BPDU.

Figura 1

/image/gif/paws/10588/74a.gif

En el cuadro 2, el dispositivo D comienza a participar en el STP. Por ejemplo, las aplicaciones basadas en software del Bridge se inician en los PC o el otro Switches que un cliente conecta con una red del proveedor de servicios. Si la prioridad del Bridge D es 0 o algunos valores más bajos que la prioridad del Root Bridge, el dispositivo D se elige como Root Bridge para este VLA N. Si el link entre el dispositivo A y B es 1 gigabit y los links entre A y C así como B y C son 100 Mbps, la elección de D como causas raíz el link Gigabit Ethernet que conecta los dos switches del núcleo para bloquear. Este bloque hace todos los datos en ese VLA N fluir vía un link del 100-Mbps a través de la capa de acceso. Si más flujo de datos vía la base en ese VLA N que este link puede acomodar, el descenso de algunos bastidores ocurre. El descenso de la trama lleva a una pérdida de rendimiento o a una interrupción de conectividad.

Figura 2

/image/gif/paws/10588/74b.gif

La función de protección de raíz protege la red contra tales problemas.

La configuración de la protección raíz está en una basada en cada puerto. La protección raíz no permite que el puerto se convierta en un puerto raíz STP, así que el puerto STP-se señala siempre. Si un mejor BPDU llega en este puerto, la protección raíz no toma en cuenta el BPDU y elige una nueva raíz STP. En lugar, la protección raíz pone el puerto en el estado de la raíz contraria STP. Usted debe habilitar a la protección raíz en todos los puertos en donde el Root Bridge no debe aparecer. De una manera, usted puede configurar un perímetro alrededor de la parte de la red donde está capaz la raíz STP de ser localizado.

En el cuadro 2, protección raíz del permiso en el puerto del C del Switch que conecta para conmutar la D.

El C del Switch en el cuadro 2 bloquea el puerto que conecta para conmutar D, después de que el Switch reciba un BPDU superior. La protección raíz pone el puerto en el estado de la raíz contraria STP. Ningún tráfico pasa a través del puerto en este estado. Después de que el dispositivo D deje de enviar los BPDU superiores, el puerto se desbloquea otra vez. Vía el STP, el puerto va del estado de escucha al estado de aprendizaje, y eventual de las transiciones al estado de reenvío. La recuperación es automática; no hay intervención humana necesaria.

Este mensaje aparece después de que la protección raíz bloquee un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

Disponibilidad

La protección raíz está disponible en el Catalyst OS (CatOS) para el Catalyst 29xx, 4500/4000, 5500/5000, y 6500/6000 en la versión de software 6.1.1 y posterior. Para el Catalyst 6500/6000 que funciona con el software del sistema de Cisco IOS�, esta característica primero fue introducida en el Cisco IOS Software Release 12.0(7)XE. Para el Catalyst que 4500/4000 eso funciona con el software del sistema del Cisco IOS, esta característica está disponible en todas las versiones.

Para los Catalyst 2900XL y 3500XL Switches, la protección raíz está disponible en el Cisco IOS Software Release 12.0(5)XU y Posterior. Los Catalyst 2950 Series Switch soportan la función de protección de raíz en el Cisco IOS Software Release 12.0(5.2)WC(1) y Posterior. Los Catalyst 3550 Series Switch soportan la función de protección de raíz en el Cisco IOS Software Release 12.1(4)EA1 y Posterior.

Configuración

Configuración de CatOS

La configuración de la protección raíz está en una basada en cada puerto. En los switches de Catalyst que ejecutan CatOS, protección raíz de la configuración de esta manera:

vega> (enable) set spantree guard root 1/1
Rootguard on port 1/1 is enabled.
Warning!! Enabling rootguard may result in a topology change.
vega> (enable)

Para verificar si configuren a la protección raíz, publique este comando:

vega> (enable) show spantree guard
Port                     VLAN Port-State    Guard Type
------------------------ ---- ------------- ----------
 1/1                     1    forwarding          root
 1/2                     1    not-connected       none
 3/1                     1    not-connected       none
 3/2                     1    not-connected       none
 3/3                     1    not-connected       none
 3/4                     1    not-connected       none
 5/1                     1    forwarding          none
 5/25                    1    not-connected       none
15/1                     1    forwarding          none
vega> (enable)

Configuración del Cisco IOS Software para el Catalyst 6500/6000 y el Catalyst 4500/4000

En el Switches del Catalyst 6500/6000 o del Catalyst 4500/4000 que funciona con el Cisco IOS software del sistema, publique este conjunto de comandos para configurar a la protección raíz STP:

Cat-IOS# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Cat-IOS#(config)# interface fastethernet 3/1

Cat-IOS#(config-if)# spanning-tree guard root

Nota: El Cisco IOS Software Release 12.1(3a)E3 para el Catalyst 6500/6000 que funciona con el software del sistema del Cisco IOS cambió este comando de la protección raíz del árbol de expansión a la raíz del guardia del atravesar-árbol. El Catalyst 4500/4000 eso funciona con el Cisco IOS que el software del sistema utiliza el comando spanning-tree guard root en todas las versiones.

Configuración del Cisco IOS Software para el Catalyst 2900XL/3500XL, 2950, y 3550

En Catalyst 2900XL, 3500XL, 2950 y 3550, el Switches de la configuración con la protección raíz en el modo de configuración de la interfaz, como este ejemplo muestra:

Hinda# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Hinda(config)# interface fastethernet 0/8
Hinda(config-if)# spanning-tree rootguard
Hinda(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on 
port FastEthernet0/8 VLAN 1.^Z
Hinda#

¿Cuál es la diferencia entre seguridad STP BPDU y seguridad raíz STP?

La protección BPDU y la protección de raíz son similares, pero su impacto es diferente. La protección BPDU deshabilita el puerto con la recepción de BPDU si portfast se encuentra activado en el puerto. La incapacidad niega con eficacia los dispositivos detrás de tales puertos de la participación en el STP. Usted debe volver a permitir manualmente el puerto que se pone en el errdisable-descanso del estado de errDisable o de la configuración.

La protección raíz permite que el dispositivo participe en el STP mientras el dispositivo no intente convertirse en la raíz. Si la protección raíz bloquea el puerto, la recuperación posterior es automática. La recuperación ocurre tan pronto como el dispositivo agresor deje de enviar los BPDU superiores.

Para más información sobre la protección BPDU, refiera a este documento:

¿La protección raíz ayuda con el problema de dos raíces?

Puede haber un Error de link unidireccional entre dos Bridges en una red. Debido al error, un Bridge no recibe los BPDU del Root Bridge. Con tal error, el switch de la raíz recibe las tramas que el otro Switches envía, pero el otro Switches no recibe los BPDU que el switch de la raíz envía. Esto puede llevar a un STP loop. Porque el otro Switches no recibe ninguna BPDU de la raíz, este Switches cree que él es la raíz y comienza a enviar los BPDU.

Cuando el Bridge de la raíz real comienza a recibir los BPDU, la raíz desecha los BPDU porque no son superiores. El Root Bridge no cambia. Por lo tanto, la protección raíz no ayuda a resolver este problema. El UniDirectional Link Detection (UDLD) y las características del Loop Guard abordan este problema.

Para más información sobre los escenarios de la falla del STP y cómo resolverlos problemas, refiera a este documento:

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 10588