Switching de LAN : Protocolo de árbol de expansión

Ampliación de la seguridad en el árbol de expansión PortFast BPDU

23 Marzo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (1 Septiembre 2005) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Descripción de la función
     Figura 1
     Figura 2
Configuración
Control
     Resultado del comando
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

Este documento explica la función de protección de la Unidad de datos del protocolo de bridge PortFast (BPDU). Esta función es una de las mejoras en el Protocolo del árbol de expansión (STP) creadas por Cisco. Esta función mejora la fiabilidad de una red conmutada, su capacidad administrativa y su seguridad.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

Las siguientes versiones de software implantaron la protección PortFast BPDU STP:

  • Versión 5.4.1 del software Catalyst OS (CatOS) para las plataformas Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G y 2980G

  • Versión 12.0(7)XE del software Cisco IOS® para las plataformas Catalyst 6500/6000

  • Versión 12.1(8a)EW del software Cisco IOS para Catalyst 4500/4000 Supervisor Engine III

  • Versión 12.1(12c)EW del software Cisco IOS para Catalyst 4500/4000 Supervisor Engine IV

  • Versión 12.0(5)WC5 del software Cisco IOS para Catalyst de las series 2900XL y 3500XL

  • Versión 12.1(11)AX del software Cisco IOS para los switches Catalyst de la serie 3750

  • Versión 12.1(14)AX del software Cisco IOS para los switches Catalyst 3750 Metro

  • Versión 12.1(19)EA1 del software Cisco IOS para los switches Catalyst de la serie 3560

  • Versión 12.1(4)EA1 del software Cisco IOS para los switches Catalyst de la serie 3550

  • Versión 12.1(11)AX del software Cisco IOS para los switches Catalyst de la serie 2970

  • Versión 12.1(12c)EA1 del software Cisco IOS para los switches Catalyst de la serie 2955

  • Versión 12.1(6)EA2 del software Cisco IOS para los switches Catalyst de la serie 2950

  • Versión 12.1(11)EA1 del software Cisco IOS para los switches Ethernet de largo alcance (LRE) Catalyst de la serie 2950

  • Versión 12.1(13)AY del software Cisco IOS para los switches Catalyst de la serie 2940

Nota: La protección PortFast BPDU STP no está disponible para los switches Catalyst de las series 8500, 2948G-L3 o 4908G-L3.

La información que contiene este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de comprender el efecto que puede tener la ejecución de cualquier comando.

Convenciones

Consulte Convenciones de consejos técnicos de Cisco) para obtener más información sobre convenciones del documento.

Descripción de la función

STP configura una topología de interconexión en una topología similar a un árbol sin bucles. Cuando se activa el enlace en un puerto de bridge, se realiza un cálculo STP en ese puerto. El resultado del cálculo es la transición del puerto al estado de reenvío o de bloqueo. El resultado depende de la posición del puerto en la red y de los parámetros STP. Este cálculo y periodo de transición suele durar de 30 a 50 segundos. En ese momento, los datos del usuario no pasan a través del puerto. Algunas aplicaciones de usuario pueden agotar el tiempo de espera durante este período.

Para permitir la transición inmediata del puerto al estado de reenvío, habilite la función Portfast STP. PortFast cambia el puerto al modo de reenvío STP inmediatamente al establecer un enlace. El puerto sigue participando en STP. Por consiguiente, si el puerto forma parte de un bucle, éste cambia eventualmente al modo de bloqueo STP.

Mientras el puerto participa en STP, es posible que algunos dispositivos asuman la función de bridge raíz (root bridge) y afecten a la topología STP activa. Para asumir la función de bridge raíz, el dispositivo debería estar conectado al puerto y ejecutar STP con una prioridad de bridge menor que la del bridge raíz actual. Si otro dispositivo asume la función de bridge raíz de esta manera, convierte la red en subóptima. Se trata de una forma simple de ataque de negación de servicio (DoS) en la red. La introducción temporal y la retirada posterior de dispositivos STP con una prioridad de bridge baja (0) provocan un cálculo nuevo de STP permanente.

La mejora en la protección Portfast BPDU STP permite a los diseñadores de red imponer los límites de dominio STP y mantener predecible la topología activa. Los dispositivos situados detrás de los puertos que tienen PortFast SPT habilitado no tienen capacidad para influir en la topología STP. En el momento de la recepción de BPDU, la función de protección de BPDU inhabilita el puerto que tiene configurado PortFast. La protección de BPDU cambia el puerto al estado errdisable y aparece un mensaje en la consola. El siguiente mensaje es un ejemplo:

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port.

Disabling 2/1

2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Tenga en cuenta este ejemplo:

Figura 1

65a.gif

El bridge A tiene la prioridad 8192 y es el bridge raíz para la VLAN. El bridge B tiene la prioridad 16384 y es el bridge raíz de respaldo para la misma VLAN. Los bridges A y B, conectados por un enlace Gigabit Ethernet, constituyen un núcleo de la red. El bridge C es un switch de acceso y tiene configurado PortFast en el puerto conectado al dispositivo D. Si los demás parámetros STP son los predeterminados, el puerto del bridge C conectado al bridge B está en el estado de bloqueo STP. El dispositivo D (PC) no participa en STP. Las flechas con guiones indican el flujo de los BPDU de STP.

Figura 2

65b.gif

En la figura 2, el dispositivo D ha empezado a participar en STP. Por ejemplo, se inicia una aplicación de bridge basada en Linux en un PC. Si la prioridad del bridge de software es 0 o cualquier valor menor a la prioridad del bridge raíz, el bridge de software adopta la función de bridge raíz (root bridge). El enlace Gigabit Ethernet, que conecta a los dos switches, cambia al modo de bloqueo. Esta transición hace que todos los datos de esa VLAN fluyan por el enlace de 100 Mbps. Si hay más datos que fluyen a través del núcleo en la VLAN que los que el enlace puede almacenar, se descartan algunas tramas. Como consecuencia, tiene lugar una interrupción de la conectividad.

La función de protección PortFast BPDU STP evita que ocurra esta situación. Esta función inhabilita el puerto en cuanto el bridge C recibe las BPDU STP del dispositivo D.

Configuración

La protección Portfast BPDU STP puede habilitarse o inhabilitarse globalmente, lo cual afecta a todos los puertos que tienen PortFast configurado. De forma predeterminada, la protección BPDU STP está inhabilitada. Ejecute el siguiente comando para habilitar la protección PortFast BPDU STP en el switch:

Comando de CatOS

Console> (enable) set spantree portfast bpdu-guard enable 



Spantree portfast bpdu-guard enabled on this switch.



Console> (enable)

Comando del software Cisco IOS

CatSwitch-IOS(config)# spanning-tree portfast bpduguard 

CatSwitch-IOS(config)

Cuando la protección BPDU STP inhabilita el puerto, éste permanece en estado inhabilitado, a menos que se habilite manualmente. Puede configurar un puerto para que se habilite de nuevo por sí mismo de forma automática desde el estado errdisable. Ejecute estos comandos para configurar el intervalo de tiempo de espera errdisable y habilite la función tiempo de espera:

Comandos CatOS

Console> (enable) set errdisable-timeout interval 400 



Console> (enable) set errdisable-timeout enable bpdu-guard

Comandos del software Cisco IOS

CatSwitch-IOS(config)# errdisable recovery cause bpduguard



CatSwitch-IOS(config)# errdisable recovery interval 400

Nota: El intervalo de tiempo de espera predeterminado es de 300 segundos y la función de tiempo de espera está inhabilitada de forma predeterminada.

Control

Para verificar si la función está habilitada o no, ejecute el siguiente comando:

Resultado del comando

Comando de CatOS

Console> (enable) show spantree summary

Root switch for vlans: 3-4.

Portfast bpdu-guard enabled for bridge.

Uplinkfast disabled for bridge.

Backbonefast disabled for bridge.



Summary of Connected Spanning Tree Ports By VLAN:



Vlan  Blocking Listening Learning Forwarding STP Active



----- -------- --------- -------- ---------- ----------



   1         0         0        0          1          1



   3         0         0        0          1          1



   4         0         0        0          1          1



  20         0         0        0          1          1





Blocking Listening Learning Forwarding STP Active



----- -------- --------- -------- ---------- ----------



Total        0         0        0          4          4



Console> (enable)

Comando del software Cisco IOS

CatSwitch-IOS# show spanning-tree summary totals 

Root bridge for: none.

PortFast BPDU Guard is enabled

UplinkFast is disabled

BackboneFast is disabled

Spanning tree default pathcost method used is short





Name                 Blocking Listening Learning Forwarding STP Active

-------------------- -------- --------- -------- ---------- ----------

  1 VLAN                 0        0         0        1          1



CatSwitch-IOS#

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 10586