Comprensión de las Funciones de Protección PortFast y BPDU del Spanning Tree

Opciones de descarga

  • PDF     (283.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (107.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (136.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de junio de 2026
ID del documento:10586

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe la función de mejora de la protección PortFast y Bridge Protocol Data Unit (BPDU) del protocolo de árbol de extensión (STP).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Estas versiones de software presentaron a la protección STP PortFast BPDU:

  • Cisco IOS® Software Release 12.0(7)XE para las plataformas Catalyst 6500/6000

  • Cisco IOS Software Release 12.1(8a)EW para Catalyst 4500/4000 Supervisor Engine III

  • Cisco IOS Software Release 12.1(12c)EW para Catalyst 4500/4000 Supervisor Engine IV

  • Cisco IOS Software Release 12.0(5)WC5 para Catalyst series 2900XL y 3500XL

  • Cisco IOS Software Release 12.1(11)AX para los switches Catalyst serie 3750

  • Cisco IOS Software Release 12.1(14)AX para los switches Catalyst 3750 Metro

  • Cisco IOS Software Release 12.1(19)EA1 para switches Catalyst serie 3560

  • Cisco IOS Software Release 12.1(4)EA1 para los switches Catalyst serie 3550

  • Cisco IOS Software Release 12.1(11)AX para los switches Catalyst serie 2970

  • Cisco IOS Software Release 12.1(12c)EA1 para los switches Catalyst serie 2955

  • Cisco IOS Software Release 12.1(6)EA2 para los switches Catalyst serie 2950

  • Cisco IOS Software Release 12.1(11)EA1 para los switches Catalyst 2950 Long-Reach Ethernet (LRE)

  • Cisco IOS Software Release 12.1(13)AY para los switches serie Catalyst 2940

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Convenciones

Consulte el documento Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones de los documentos.

Antecedentes

En una red conmutada diseñada correctamente, el protocolo de árbol de extensión (STP) evita los bucles de capa 2 al colocar las rutas redundantes en un estado de bloqueo. Todos los puertos que se activan normalmente atraviesan los estados STP (escucha, aprendizaje y finalmente reenvío) antes de pasar el tráfico del usuario. Este retraso de convergencia, de aproximadamente 30 segundos con el estándar 802.1D tradicional, es adecuado para los enlaces de switch a switch, pero innecesario para los puertos conectados a hosts finales, como PC, servidores o impresoras, que no pueden crear un bucle de switching por sí solos.

El desafío es que un puerto que se conecta a un host final no debe recibir Unidades de datos de protocolo de puente STP (BPDU) en absoluto. Si las BPDU llegan a un puerto de este tipo, normalmente señala uno de dos problemas: alguien ha conectado un switch no autorizado o un dispositivo está ejecutando software que emula un bridge. Cualquiera de los casos puede desestabilizar la topología, especialmente si el dispositivo no autorizado anuncia un ID de puente superior y fuerza una elección de puente raíz en la que nunca debe participar.

Un ejemplo real ilustra el riesgo. Se conectó un PC de usuario que ejecuta una aplicación de puente basada en Linux a un puerto de acceso. Debido a que la aplicación envió BPDUs reclamando una prioridad de bridge baja, la red eligió el PC como el bridge root. Esto cambió toda la topología del árbol de expansión hacia un host con poca alimentación, congestionando los enlaces y provocando una interrupción en la red. La protección BPDU existe precisamente para evitar esta clase de falla.

Protección PortFast y BPDU

PortFast pasa inmediatamente un puerto de acceso o troncal del estado de bloqueo directamente al estado de reenvío, saltándose las fases de escucha y aprendizaje. Esto elimina el retraso de inicio de los puertos conectados a los dispositivos finales, lo que es importante para los hosts que esperan acceso inmediato a la red (por ejemplo, las estaciones de trabajo que utilizan DHCP en el arranque).

PortFast está diseñado solamente para los puertos conectados a una sola estación final. Habilitarlo en un puerto que enlaza con otro switch reintroduce el mismo riesgo de loop que STP está diseñado para prevenir, porque el puerto comienza a reenviar antes de que STP tenga la oportunidad de detectar una trayectoria redundante.

La protección de BPDU complementa la función PortFast exigiendo la suposición de que un puerto habilitado para PortFast nunca debe ver una BPDU. Cuando la protección BPDU está habilitada y el puerto recibe una BPDU, el switch apaga inmediatamente el puerto colocándolo en el estado errdisable. Esto protege la topología de dos maneras:

  • Evita que un switch no autorizado o mal configurado se inyecte en el árbol de expansión.
  • Bloquea los dispositivos, como el puente Linux en la situación anterior, para que no secuestren el rol raíz.

Debido a que el puerto está inhabilitado administrativamente en lugar de simplemente bloqueado, se llama la atención del operador de red sobre el evento, y el dispositivo infractor se aísla limpiamente hasta que se resuelve el problema.

Un puerto ubicado en errdisable no se recupera por sí solo a menos que se configure la recuperación de errdisable. Puede volver a habilitar la interfaz manualmente (shutdown seguido de no shutdown) o configurar la recuperación automática para la causa de la protección BPDU.

Este mensaje es un ejemplo:

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Considere el siguiente ejemplo:

Ejemplo 1 - Funcionamiento normal de STP

Bridge ConnectionConexión de puente

La topología consta de tres switches que forman las capas de núcleo y de acceso, además de un dispositivo final:

  • El Switch A tiene una prioridad de bridge de 8192y es el bridge root para la VLAN.
  • El Switch B tiene una prioridad de bridge de 16384, lo que lo convierte en el bridge root de respaldo para la misma VLAN.
  • Los switches A y Bare se unen mediante un Gigabit Ethernetlink y, juntos, conforman el núcleo de la red.
  • El switch C es un switch de acceso. Tiene PortFast configurado en el puerto que se conecta al dispositivo D.
  • El dispositivo Des una PC y no participa en STP.

Con todos los demás parámetros STP que quedan en sus valores predeterminados, STP converge como se espera. El switch A se selecciona como root y la trayectoria redundante se bloquea para romper el loop; específicamente, el puerto del switch C que mira al switch B se coloca en el estado de bloqueo (mostrado por la "X" roja en ese link). Las flechas discontinuas rastrean el flujo normal de las BPDU STP a través de la topología. Esto se puede ver como una red estable donde PortFast da conectividad inmediata al dispositivo D, mientras que STP administra silenciosamente los links de núcleo redundantes.

Ejemplo 2: un puente no autorizado provoca una interrupción

Linux-based Bridge Application is Launched on a PCLa aplicación de puente basada en Linux se inicia en un PC

Este ejemplo muestra lo que sucede cuando el Dispositivo D deja de comportarse como un host final simple y comienza a participar en STP, exactamente como se diseñó la protección BPDU de escenario para detenerse. Se inicia una aplicación de puente basada en Linux en el PC (dispositivo D). La aplicación anuncia una prioridad de bridge de 0 (o cualquier valor inferior a la prioridad root actual). Debido a que STP siempre favorece el ID de bridge más bajo, el bridge basado en Linux gana la elección de root y asume el rol de bridge root del Switch A.

Esta reelección da una nueva forma a toda la topología. El enlace Gigabit Ethernet de alta velocidad entre los dos switches de núcleo (A y B) pasa al bloqueo (se muestra con la "X" roja que se desplaza al enlace de núcleo). Como resultado, todo el tráfico de VLAN que anteriormente utilizaba el núcleo Gigabit se ve forzado a una ruta de 100 Mbps más lenta. Cuando la demanda de tráfico excede lo que ese link puede transportar, el switch comienza a descartar tramas y el resultado es una interrupción de conectividad.

¿Cómo evita el problema la protección BPDU? Debido a que el switch C tiene PortFast habilitado en el puerto al dispositivo D, ese puerto nunca debe recibir una BPDU. En el momento en que el dispositivo D envía una BPDU STP, la protección BPDU apaga el puerto colocándolo en el estado errdisable. El dispositivo D se aísla antes de que pueda influir en la elección de la raíz y la topología del núcleo permanece intacta.

Configuración

El enfoque recomendado es habilitar PortFast y BPDU Guard juntos en los puertos de acceso orientados al host. Puede habilitar o inhabilitar STP PortFast BPDU guard en una base global o por interfaz. De forma predeterminada, la protección STP BPDU está inhabilitada.

Habilitar PortFast y protección BPDU por interfaz

CatSwitch-IOS(config-if)#spanning-tree portfast 
CatSwitch-IOS(config-if)#spanning-tree bpduguard enable

Habilitar protección BPDU globalmente

CatSwitch-IOS(config)#spanning-tree portfast bpduguard default

Con el comando global, cada puerto configurado con PortFast hereda automáticamente la protección BPDU, por lo que no necesita configurarla en cada interfaz individualmente.

Configurar estado errdisable de recuperación automática

Cuando la protección STP BPDU inhabilita el puerto, el puerto permanece en estado inhabilitado a menos que el puerto se habilite manualmente. Puede configurar un puerto para que se vuelva a habilitar automáticamente desde el estado errdisable. Ejecute estos comandos, que determinan elintervalo errdisable-timeout y habilitan la función tiempo de espera:

CatSwitch-IOS(config)#errdisable recovery cause bpduguard
CatSwitch-IOS(config)#errdisable recovery interval 400

Nota: El intervalo del tiempo de espera predeterminado es 300 segundos y, de forma determinada, la función de tiempo de espera se inhabilita.

Verificación

Para verificar si la función está habilitada o inhabilitada, ejecute el siguiente comando aplicable:

CatSwitch-IOS#show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1         

CatSwitch-IOS#

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
4.0
05-Jun-2026
Ortografía, gramática, espaciado e introducción actualizados.
3.0
12-May-2025
Formato actualizado para cumplir con las directrices de Cisco.
2.0
22-Mar-2024
Formato actualizado. Alertas de CCW corregidas. Recertificación.
1.0
29-Nov-2001
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Cisco TAC Engineers

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos