Inleiding
In dit document wordt de beveiligingsfunctie voor de PortFast Bridge Protocol Data Unit (BPDU) van het Spanning Tree Protocol (STP) beschreven.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
Deze softwareversies introduceerden de STP PortFast BPDU-bescherming:
-
Catalyst OS (CatOS) softwareversie 5.4.1 voor de Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G en 2980G platforms
-
Cisco IOS® Software Release 12.0(7)XE voor de Catalyst 6500/6000-platforms
-
Cisco IOS Software Release 12.1(8a)EW voor de Catalyst 4500/4000 Supervisor Engine III
-
Cisco IOS Software Release 12.1(12c)EW voor de Catalyst 4500/4000 Supervisor Engine IV
-
Cisco IOS Software Release 12.0(5)WC5 voor de Catalyst 2900XL en 3500XL serie
-
Cisco IOS Software Release 12.1(11)AX voor de Catalyst 3750 serie switches
-
Cisco IOS Software Release 12.1(14)AX voor de Catalyst 3750 Metro switches
-
Cisco IOS Software Release 12.1(19)EA1 voor de Catalyst 3560 serie switches
-
Cisco IOS Software Release 12.1(4)EA1 voor de Catalyst 3550-serie switches
-
Cisco IOS Software Release 12.1(11)AX voor de Catalyst 2970 serie switches
-
Cisco IOS Software Release 12.1(12c)EA1 voor de Catalyst 2955 serie switches
-
Cisco IOS Software Release 12.1(6)EA2 voor de Catalyst 2950 serie switches
-
Cisco IOS Software Release 12.1(11)EA1 voor de Catalyst 2950 Long-Reach Ethernet (LRE)-switches
-
Cisco IOS Software Release 12.1(13)AY voor de Catalyst 2940-serie switches
Opmerking: STP PortFast BPDU-bescherming is niet beschikbaar voor de Catalyst 8500-serie, 2948G-L3 of 4908G-L3-switches.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Achtergrondinformatie
In dit document wordt de functie PortFast Bridge Protocol Data Unit (BPDU) Guard beschreven. Deze functie is een van de verbeteringen van het Spanning Tree Protocol (STP) die Cisco heeft ontwikkeld. Hiermee worden de betrouwbaarheid, beheerbaarheid en security van het switchnetwerk verbeterd.
Functiebeschrijving
STP configureert de vermaasde topologie in een lus-vrije, boomachtige topologie. Wanneer de verbinding op een brugpoort omhoog gaat, vindt STP-berekening plaats op die poort. Het resultaat van de berekening is de overgang van de haven naar de forwarding- of blokkeertoestand. Het resultaat hangt af van de positie van de poort in het netwerk en de STP-parameters. Deze berekening en overgangsperiode duurt meestal ongeveer 30 tot 50 seconden. Op dat moment worden er geen gebruikersgegevens doorgegeven via de poort. Sommige gebruikerstoepassingen kunnen tijdens de periode time-out gebruiken.
Schakel de STP PortFast-functie in om de poort onmiddellijk over te zetten naar de status voor doorsturen. PortFast schakelt de poort onmiddellijk over naar de STP-forwardingmodus bij het koppelen. De haven neemt nog steeds deel aan STP. Dus als de poort deel moet uitmaken van de lus, gaat de poort uiteindelijk over naar de STP-blokkeringsmodus.
Zolang de poort deelneemt aan STP, kunnen sommige apparaten de root-brug functie aannemen en de actieve STP topologie beïnvloeden. Om de brugfunctie aan te nemen, zou het root-brug aan de poort worden gekoppeld en STP uitvoeren met een lagere brugprioriteit dan die van de huidige root-brug. Als een ander toestel op deze manier de root-brug functie aanneemt, maakt het het netwerk suboptimaal. Dit is een eenvoudige vorm van een Denial of Service (DoS) aanval op het netwerk. De tijdelijke introductie en daaropvolgende verwijdering van STP-apparaten met een lage (0) brugprioriteit veroorzaken een permanente STP-herberekening.
Met de STP PortFast BPDU-beschermingsversterking kunnen netwerkontwerpers de STP-domeingrenzen afdwingen en de actieve topologie voorspelbaar houden. De apparaten achter de poorten waarop STP PortFast is ingeschakeld, kunnen de STP-topologie niet beïnvloeden. Bij de ontvangst van de BPDU's schakelt de BPDU-bewakingsfunctie de poort uit waarop PortFast is geconfigureerd. De BPDU-bescherming schakelt de poort over naar de uitschakelbare status en er verschijnt een bericht op de console. Dit bericht is een voorbeeld:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port.
Disabling 2/1
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Neem dit voorbeeld:
Afbeelding 1
brugverbinding
Bridge A heeft prioriteit 8192 en is de root voor het VLAN. Bridge B heeft prioriteitscode 16384 en is de back-up-root-brug voor hetzelfde VLAN. De bruggen A en B, die met een Gigabit Ethernet-verbinding worden verbonden, vormen een kern van het netwerk. Bridge C is een access switch en heeft PortFast geconfigureerd op de poort die verbinding maakt met device D. Als de andere STP-parameters standaard zijn, bevindt de brug C-poort die verbinding maakt met brug B zich in de status STP-blokkering. Apparaat D (PC) neemt niet deel aan STP. De pijlen met streepjes geven de stroom STP-BPDU's aan.
Afbeelding 2
Linux-gebaseerde Bridge-toepassing wordt gestart op een pc
In afbeelding 2 is apparaat D begonnen met deelname aan STP. Een Linux-gebaseerde bridgetoepassing wordt bijvoorbeeld op een pc gestart. Als de prioriteit van de softwarebrug 0 is of een waarde kleiner dan de prioriteit van de root-brug, neemt de softwarebrug de root-brug-functie over. De Gigabit Ethernet-koppeling die de twee switches verbindt, schakelt over naar de blokkeermodus. De overgang zorgt ervoor dat alle gegevens in dat VLAN via de 100-Mbps-link stromen. Als er meer gegevens via de kern in het VLAN stromen dan de koppeling kan verwerken, wordt het aantal frames verlaagd. De val van het frame leidt tot een connectiviteitsuitval.
De STP PortFast BPDU-beveiligingsfunctie voorkomt een dergelijke situatie. De functie schakelt de poort uit zodra brug C de STP BPDU van apparaat D ontvangt.
Configuratie
U kunt de STP PortFast BPDU-beveiliging wereldwijd in- of uitschakelen, wat gevolgen heeft voor alle poorten waarvoor PortFast is geconfigureerd. Standaard is STP BPDU-beveiliging uitgeschakeld. Geef deze opdracht op om STP PortFast BPDU-beveiliging op de switch in te schakelen:
CatOS-opdracht
Console> (enable) set spantree portfast bpdu-guard enable
Spantree portfast bpdu-guard enabled on this switch.
Console> (enable)
Cisco IOS®-softwarecommando
CatSwitch-IOS(config)# spanning-tree portfast bpduguard
CatSwitch-IOS(config)
Wanneer STP BPDU Guard de poort uitschakelt, blijft de poort uitgeschakeld, tenzij de poort handmatig is ingeschakeld. U kunt een poort configureren om zichzelf automatisch opnieuw in te schakelen vanuit de status Uitschakelen. Geef deze opdrachten uit, waarmee het uitschakelbare time-outinterval wordt ingesteld en de functie time-out wordt ingeschakeld:
CatOS-opdrachten
Console> (enable) set errdisable-timeout interval 400
Console> (enable) set errdisable-timeout enable bpdu-guard
Cisco IOS-software – opdrachten
CatSwitch-IOS(config)# errdisable recovery cause bpduguard
CatSwitch-IOS(config)# errdisable recovery interval 400
Opmerking: de standaard time-outinterval is 300 seconden en de time-outfunctie is standaard uitgeschakeld.
Monitor (bewaken)
Om te controleren of de functie is ingeschakeld of uitgeschakeld, geeft u de volgende toepasselijke opdracht uit.
opdrachtuitvoer
CatOS-opdracht
Console> (enable) show spantree summary
Root switch for vlans: 3-4.
Portfast bpdu-guard enabled for bridge.
Uplinkfast disabled for bridge.
Backbonefast disabled for bridge.
Summary of Connected Spanning Tree Ports By VLAN:
Vlan Blocking Listening Learning Forwarding STP Active
----- -------- --------- -------- ---------- ----------
1 0 0 0 1 1
3 0 0 0 1 1
4 0 0 0 1 1
20 0 0 0 1 1
Blocking Listening Learning Forwarding STP Active
----- -------- --------- -------- ---------- ----------
Total 0 0 0 4 4
Console> (enable)
Cisco IOS Software Command
CatSwitch-IOS# show spanning-tree summary totals
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short
Name Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
1 VLAN 0 0 0 1 1
CatSwitch-IOS#
Gerelateerde informatie