De functies Spanning Tree PortFast en BPDU Guard begrijpen

Downloadopties

  • PDF     (283.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (104.7 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (133.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:5 juni 2026
Document-id:10586

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt de beveiligingsfunctie PortFast and Bridge Protocol Data Unit (BPDU) van het Spanning Tree Protocol (STP) beschreven.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Deze softwareversies introduceerden de STP PortFast BPDU-bescherming:

  • Cisco IOS® Software Release 12.0(7)XE voor de Catalyst 6500/6000-platforms

  • Cisco IOS Software Release 12.1(8a)EW voor de Catalyst 4500/4000 Supervisor Engine III

  • Cisco IOS Software Release 12.1(12c)EW voor de Catalyst 4500/4000 Supervisor Engine IV

  • Cisco IOS Software Release 12.0(5)WC5 voor de Catalyst 2900XL en 3500XL serie

  • Cisco IOS Software Release 12.1(11)AX voor de Catalyst 3750-serie Switches

  • Cisco IOS Software Release 12.1(14)AX voor de Catalyst 3750 Metro Switches

  • Cisco IOS Software Release 12.1(19)EA1 voor de Catalyst 3560 Series Switches

  • Cisco IOS Software Release 12.1(4)EA1 voor de Catalyst 3550 Series Switches

  • Cisco IOS Software Release 12.1(11)AX voor de Catalyst 2970-serie Switches

  • Cisco IOS Software Release 12.1(12c)EA1 voor de Catalyst 2955 Series Switches

  • Cisco IOS Software Release 12.1(6)EA2 voor de Catalyst 2950 Series Switches

  • Cisco IOS Software Release 12.1(11)EA1 voor de Catalyst 2950 Long-Reach Ethernet (LRE)-Switches

  • Cisco IOS Software Release 12.1(13)AY voor de Catalyst 2940 Series Switches

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

In een goed ontworpen geschakeld netwerk voorkomt Spanning Tree Protocol (STP) Layer 2-lussen door redundante paden in een blokkeertoestand te plaatsen. Elke poort die normaal omhoog komt, loopt door de STP-staten (luisteren, leren en uiteindelijk doorsturen) voordat deze het gebruikersverkeer passeert. Die convergentievertraging, ongeveer 30 seconden met de traditionele 802.1D, is geschikt voor switch-naar-switch-verbindingen, maar niet nodig voor poorten die zijn aangesloten op eindhosts zoals pc's, servers of printers, die zelf geen switchloop kunnen maken.

De uitdaging is dat een poort die verbinding maakt met een eindhost helemaal geen STP Bridge Protocol Data Units (BPDU's) mag ontvangen. Als BPDU's op een dergelijke poort aankomen, duidt dit meestal op een van de twee problemen: iemand heeft een niet-geautoriseerde switch aangesloten of een apparaat draait software die een bridge nabootst. Beide gevallen kunnen de topologie destabiliseren, vooral als het schurkenapparaat een superieure bridge-ID adverteert en een root-brug-verkiezing forceert waaraan het nooit mag deelnemen.

Een voorbeeld uit de echte wereld illustreert het risico. Een gebruikers-pc met een op Linux gebaseerde bridging-toepassing was verbonden met een toegangspoort. Omdat de toepassing BPDU's heeft verzonden met een lage overbruggingsprioriteit, heeft het netwerk de pc als root-brug gekozen. Dit verschoof de hele spanning-tree topologie naar een onderontwikkelde host, waardoor de verbindingen verstopten en een netwerkuitval ontstond. BPDU Guard bestaat precies om deze klasse van mislukking te voorkomen.

PortFast en BPDU Guard

PortFast schakelt onmiddellijk een toegangs- of trunkpoort van de blokkeerstatus rechtstreeks over naar de doorstuurstatus, waarbij de luister- en leerfasen worden overgeslagen. Dit elimineert de opstartvertraging voor poorten die zijn aangesloten op eindapparaten, wat belangrijk is voor hosts die onmiddellijke netwerktoegang verwachten (bijvoorbeeld werkstations die DHCP gebruiken bij opstarten).

PortFast is alleen bedoeld voor poorten die op één eindstation zijn aangesloten. Als u deze inschakelt op een poort die is gekoppeld aan een andere switch, wordt het zeer lusrisico dat STP is ontworpen om te voorkomen, omdat de poort begint met doorsturen voordat STP de kans heeft om een redundant pad te detecteren.

BPDU Guard vult de PortFast-functie aan door de aanname af te dwingen dat een poort met PortFast nooit een BPDU mag zien. Wanneer BPDU Guard is ingeschakeld en de poort een BPDU ontvangt, schakelt de switch de poort onmiddellijk uit door deze in de uitschakelbare toestand te plaatsen. Dit beschermt de topologie op twee manieren:

  • Het voorkomt dat een ongeautoriseerde of verkeerd geconfigureerde switch zichzelf in de omspannende boom injecteert.
  • Het blokkeert apparaten - zoals de Linux-brug in het eerdere scenario - van het kapen van de root-rol.

Omdat de poort administratief is uitgeschakeld in plaats van gewoon geblokkeerd, wordt de aandacht van een netwerkoperator op de gebeurtenis gevestigd en wordt het overtredende apparaat netjes geïsoleerd totdat het probleem is opgelost.

Een poort die in erdisable is geplaatst, herstelt niet vanzelf, tenzij erdisable recovery is geconfigureerd. U kunt de interface handmatig opnieuw inschakelen (afsluiten gevolgd door niet afsluiten) of automatisch herstel configureren voor de oorzaak van de BPDU Guard.

Dit bericht is een voorbeeld:

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Bekijk het volgende voorbeeld:

Voorbeeld 1 - Normale STP-werking

Bridge Connectionbrugverbinding

De topologie bestaat uit drie switches die de kern- en toegangslagen vormen, plus een eindapparaat:

  • Switch A heeft een brugprioriteit van 8192 en is de root-brug voor het VLAN.
  • Switch B heeft een bridgeprioriteit van 16384, waardoor het de back-up-root-brug is voor hetzelfde VLAN.
  • Switches A en Bare worden verbonden door Gigabit Ethernetlink en vormen samen de kern van het netwerk.
  • Switch C is een switch. PortFast is geconfigureerd op de poort die verbinding maakt met apparaat D.
  • Apparaat is een pc en neemt niet deel aan STP.

Als alle andere STP-parameters op hun standaardwaarden blijven staan, convergeert STP zoals verwacht. Switch A wordt gekozen als hoofdpad en het redundante pad wordt geblokkeerd om de lus te verbreken, met name de Switch C-poort tegenover Switch B wordt geplaatst in de blokkeringsstatus (weergegeven door de rode "X" op die link). De gestreepte pijlen volgen de normale stroom van STP-BPDU's door de topologie. Dit kan worden gezien als een stabiel netwerk waar PortFast Device D directe connectiviteit biedt, terwijl STP de redundante kernverbindingen stilletjes beheert.

Voorbeeld 2 - Rogue Bridge veroorzaakt een storing

Linux-based Bridge Application is Launched on a PCLinux-gebaseerde Bridge-toepassing wordt gestart op een pc

Dit voorbeeld laat zien wat er gebeurt als Device D zich niet meer gedraagt als een eenvoudige eindhost en begint deel te nemen aan STP, precies zoals het scenario dat BPDU Guard is ontworpen om te stoppen. Er wordt een Linux-gebaseerde bridgetoepassing gestart op de pc (Device D). De toepassing adverteert met een overbruggingsprioriteit van 0 (of een waarde lager dan de huidige hoofdprioriteit). Omdat STP altijd de voorkeur geeft aan de laagste bridge ID, wint de Linux-gebaseerde bridge de rootverkiezing en neemt de root-brug rol over van Switch A.

Deze herverkiezing hervormt de hele topologie. De snelle Gigabit Ethernet-verbinding tussen de twee switches (A en B) gaat over naar blokkeren (weergegeven door de rode "X" die naar de kernlink gaat). Als gevolg hiervan wordt al het VLAN-verkeer dat voorheen de Gigabit-kern gebruikte, gedwongen een langzamer pad van 100 Mbps te volgen. Wanneer de vraag naar verkeer groter is dan wat die link kan dragen, begint de switch frames te laten vallen en het resultaat is een connectiviteitsuitval.

Hoe voorkomt de BPDU Guard het probleem? Omdat Switch C PortFast heeft ingeschakeld op de poort naar apparaat D, mag die poort nooit een BPDU ontvangen. Op het moment dat Device D een STP BPDU verzendt, schakelt de BPDU Guard de poort uit door deze in de uitschakelbare toestand te plaatsen. Apparaat D wordt geïsoleerd voordat het ooit de wortelselectie kan beïnvloeden en de kerntopologie intact blijft.

Configuratie

De aanbevolen aanpak is om PortFast en BPDU Guard samen in te schakelen op de toegangspoorten die op de host zijn gericht. U kunt de STP PortFast BPDU-beveiliging wereldwijd of per interface in- of uitschakelen. Standaard is de STP BPDU-beveiliging uitgeschakeld.

PortFast en BPDU Guard per interface inschakelen

CatSwitch-IOS(config-if)#spanning-tree portfast 
CatSwitch-IOS(config-if)#spanning-tree bpduguard enable

BPDU Guard wereldwijd inschakelen

CatSwitch-IOS(config)#spanning-tree portfast bpduguard default

Met de globale opdracht erft elke poort die met PortFast is geconfigureerd automatisch BPDU Guard, zodat u deze niet op elke interface afzonderlijk hoeft in te stellen.

Automatisch herstel herbruikbare status configureren

Wanneer STP BPDU Guard de poort uitschakelt, blijft de poort uitgeschakeld, tenzij de poort handmatig is ingeschakeld. U kunt een poort configureren om zichzelf automatisch opnieuw in te schakelen vanuit de status Uitschakelen. Geef deze opdrachten uit, waarmee het uitschakelbare time-outinterval wordt ingesteld en de functie time-out wordt ingeschakeld:

CatSwitch-IOS(config)#errdisable recovery cause bpduguard
CatSwitch-IOS(config)#errdisable recovery interval 400

Opmerking: de standaard time-outinterval is 300 seconden en de time-outfunctie is standaard uitgeschakeld.

Verificatie

Voer de volgende toepasselijke opdracht uit om te controleren of de voorziening is ingeschakeld of uitgeschakeld:

CatSwitch-IOS#show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1         

CatSwitch-IOS#

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
4.0
05-Jun-2026
Bijgewerkte spelling, grammatica, spatiëring en inleiding.
3.0
12-May-2025
Bijgewerkte opmaak om te voldoen aan de Cisco-richtlijnen.
2.0
22-Mar-2024
Opmaak bijgewerkt. Gecorrigeerde CCW-waarschuwingen. Hercertificering.
1.0
29-Nov-2001
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Cisco TAC Engineers

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten