Switching de LAN : Protocolo de árbol de expansión

Mejora de la protección de raíz del Spanning Tree Protocol

23 Marzo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (30 Agosto 2005) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Descripción de la función
Disponibilidad
Configuración
     Configuración de CatOS
     Configuración del software Cisco IOS en Catalyst 6500/6000 y Catalyst 4500/4000
     Configuración del software Cisco IOS en Catalyst 2900XL/3500XL, 2950 y 3550
¿Cuál es la diferencia entre la protección STP BPDU y la protección de raíz STP?
¿La protección de raíz ayuda a resolver el problema de dos raíces?
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

Este documento explica la función de la protección de raíz del Spanning Tree Protocol (STP). Esta función es una de las mejoras en STP creadas por Cisco. Esta función mejora la confiabilidad de una red conmutada, su capacidad administrativa y su seguridad.

Requisitos previos

Requisitos

No hay requisitos específicos para este documento.

Componentes utilizados

Este documento no tiene restricciones específicas en cuanto a versiones específicas de software y hardware.

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Descripción de la función

El STP estándar no ofrece medios para que el administrador de red imponga de forma segura la topología de la red de capa 2 (L2) conmutada. Un medio para imponer la topología puede ser muy importante en redes con control administrativo compartido, donde diferentes entidades administrativas o empresas controlan una red conmutada.

Se calcula la topología de reenvío de la red conmutada. El cálculo se basa en la posición del bridge raíz, entre otros parámetros. Cualquier switch puede ser el bridge raíz en una red. Pero una topología de reenvío óptima sitúa el bridge raíz en una ubicación predeterminada específica. Con el STP estándar, cualquier bridge de la red con un ID de bridge inferior asume la función del bridge raíz. El administrador no puede imponer la posición del bridge raíz.

Nota: El administrador puede configurar la prioridad del bridge raíz a 0 para asegurar la posición del bridge raíz. Sin embargo, no hay ninguna garantía frente a un bridge con una prioridad de 0 y una dirección MAC inferior.

La función de protección de raíz proporciona una forma de imponer la ubicación del bridge raíz en la red.

La protección de raíz asegura que el puerto en el que éste se habilita es el puerto designado. En general, los puertos del bridge raíz están todos designados, a menos que dos o más puertos del bridge raíz estén conectados entre sí. Si el bridge recibe más unidades de datos del protocolo de bridge STP (BPDU) en un puerto habilitado con la protección de raíz, éste desplaza este puerto en un estado STP sin concordancia con la raíz. Este estado de no concordancia con la raíz es el mismo que un estado de escucha. No se reenvía tráfico a través de este puerto. De este modo, la protección de raíz impone la posición del bridge raíz.

El ejemplo de esta sección demuestra cómo un bridge raíz no autorizado puede provocar problemas en la red y cómo puede ayudar la protección de raíz.

En la figura 1, los switches A y B comprenden el núcleo de la red y A es el bridge raíz de VLAN. El switch C es un switch de capa de acceso. El enlace entre B y C bloquea el lado C. Las flechas indican el flujo de las BPDU de STP.

Figura 1

74a.gif

En la figura 2, el dispositivo D empieza a participar en STP. Por ejemplo, las aplicaciones de bridge basado en el software se ejecutan en PC u otros switches conectados por un cliente a una red proveedora de servicio. Si la prioridad del bridge D es 0 o cualquier valor inferior a la prioridad del bridge raíz, el dispositivo D se selecciona como bridge raíz para esta VLAN. Si el enlace entre el dispositivo A y B es 1 Gigabit y los enlaces entre A y C, así como, B y C son de 100 Mbps, la selección de D como raíz ocasiona el enlace Gigabit Ethernet que conecta los dos switches de núcleo a bloquear. Este bloqueo hace que todos los datos de la VLAN fluyan por el enlace de 100 Mbps a través de la capa de acceso. Si hay más datos que fluyen a través del núcleo en la VLAN de la que este enlace puede almacenar, algunas tramas serán eliminadas. La eliminación de tramas provoca una pérdida de desempeño o una interrupción de la conectividad.

Figura 2

74b.gif

La función de la protección de raíz protege la red contra estos problemas.

La configuración de una protección de raíz se basa en puerto por puerto. La protección de raíz no permite que el puerto se convierta en un puerto raíz STP, de modo que el puerto siempre está designado a STP. Si llega una BPDU mejor en este puerto, la protección de raíz no tiene en cuenta la BPDU y selecciona una raíz STP nueva. En su lugar, la protección de raíz coloca el puerto en estado STP de no concordancia. Debe habilitar la protección de raíz en todos los puertos en los que el bridge raíz no deba aparecer. En cierto modo, se puede configurar un perímetro alrededor de la zona de la red donde la raíz STP pueda ubicarse.

En la figura 2, habilite la protección de raíz en el puerto del switch C al switch D.

El switch C de la figura 2 bloquea el puerto que conecta al switch D, después de que el switch reciba una BPDU superior. La protección de raíz coloca el puerto en estado STP de no concordancia. En este estado, el tráfico pasa a través del puerto. Después de que el dispositivo D deje de enviar BPDU superiores, el puerto vuelve a desbloquearse. A través de STP, el puerto pasa del estado de escucha al estado de aprendizaje, y las transiciones eventuales al estado de reenvío. La recuperación es automática; no es necesaria la intervención humana.

Este mensaje aparece cuando la protección de raíz bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77.

Moved to root-inconsistent state

Disponibilidad

La protección de raíz está disponible en la versión 6.1.1 o posterior del software Catalyst OS (CatOS), para Catalyst 29xx, 4500/4000, 5500/5000 y 6500/6000. En Catalyst 6500/6000 que ejecuta el software del sistema Cisco IOS®, esta función fue introducida por primera vez en la versión 12.0(7)XE del software Cisco IOS. En Catalyst 4500/4000 que ejecuta el software del sistema Cisco IOS, esta función está disponible en todas las versiones.

Para los switches Catalyst 2900XL y 3500XL, la protección de raíz está disponible en la versión 12.0(5)XU y posteriores del software Cisco IOS. Los switches de la serie Catalyst 2950 soportan la función de protección de raíz en la versión 12.0(5.2)WC(1) y posterior del software Cisco IOS. Los switches de la serie Catalyst 3550 soportan la función de protección de raíz en la versión 12.1(4)EA1 y posterior del software Cisco IOS.

Configuración

Configuración de CatOS

La configuración de una protección de raíz se basa en puerto por puerto. En los switches Catalyst que ejecutan CatOS, configure la protección de raíz de este modo:

vega> (enable) set spantree guard root 1/1

La protección de raíz en el puerto 1/1 está habilitado.

Warning!! Enabling rootguard may result in a topology change.

vega> (enable)

Para verificar si la protección de raíz esta configurado, ejecute este comando:

vega> (enable) show spantree guard

Port                     VLAN Port-State    Guard Type

------------------------ ---- ------------- ----------

 1/1                     1    forwarding          root

 1/2                     1    not-connected       none

 3/1                     1    not-connected       none

 3/2                     1    not-connected       none

 3/3                     1    not-connected       none

 3/4                     1    not-connected       none

 5/1                     1    forwarding          none

 5/25                    1    not-connected       none

15/1                     1    forwarding          none

vega> (enable)

Configuración del software Cisco IOS en Catalyst 6500/6000 y Catalyst 4500/4000

En los switches de las series Catalyst 6500/6000 ó 4500/4000 que ejecutan software del sistema Cisco IOS, emita este conjunto de comandos para configurar la protección de raíz STP:

Cat-IOS# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.



Cat-IOS#(config)# interface fastethernet 3/1



Cat-IOS#(config-if)# spanning-tree guard root

Nota: La versión 12.1(3a)E3 del software Cisco IOS en Catalyst 6500/6000 que ejecuta el software del sistema Cisco IOS ha cambiado este comando de spanning-tree rootguard a spanning-tree guard root. El Catalyst 4500/4000 que ejecuta el software del sistema Cisco IOS utiliza el comando spanning-tree guard root en todas las versiones.

Configuración del software Cisco IOS en Catalyst 2900XL/3500XL, 2950 y 3550

En Catalyst 2900XL, 3500XL, 2950 y 3550 configure switches con protección de raíz en modo de configuración de interfaz, como se muestra en este ejemplo:

Hinda# configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Hinda(config)# interface fastethernet 0/8

Hinda(config-if)# spanning-tree rootguard

Hinda(config-if)# ^Z

*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on

port FastEthernet0/8 VLAN 1.^Z

Hinda#

¿Cuál es la diferencia entre la protección STP BPDU y la protección de raíz STP?

La protección BPDU y la protección de raíz son similares, pero su impacto es diferente. La protección BPDU inhabilita el puerto con la recepción de BPDU si PortFast se encuentra activado en el puerto. Esto inhabilita con eficacia la participación en STP a los dispositivos detrás de esos puertos. Debe volver a habilitar manualmente el puerto que está en estado errdisable o configurar el tiempo de espera errdisable.

La protección de raíz permite que el dispositivo participe en STP siempre que el dispositivo no intente convertirse en raíz. Si la protección de raíz bloquea el puerto, la recuperación posterior es automática. La recuperación de produce cuando el dispositivo que causa el problema deje de enviar BPDU.

Para obtener más información acerca de la protección BPDU, consulte este documento:

¿La protección de raíz ayuda a resolver el problema de dos raíces?

Es posible que haya un enlace unidireccional entre dos bridges de una red. Debido a la falla, un bridge no recibe las BPDU del bridge raíz. Con esa falla, el switch de la raíz recibe tramas enviadas por otros switches, pero los otros switches no reciben las BPDU enviados por el switch raíz. Esto puede llevar a un bucle STP. Debido a que los otros switches no reciben ninguna BPDU de la raíz, estos switches creen que son la raíz y comienzan a enviar BPDU.

Cuando el bridge raíz real empieza a recibir BPDU, la raíz descarta las BPDU porque no son superiores. El bridge raíz no cambia. Por consiguiente, la protección de raíz no ayuda a solucionar este problema. Las funciones de Detección de enlace unidireccional (UDLD) y protección de bucle tratan este problema.

Para obtener más información acerca de la resolución de problemas y los escenarios de falla de STP, consulte este documento:


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 10588