De verbetering van de Spanning Tree PortFast BPDU Guard begrijpen

Downloadopties

  • PDF     (281.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (105.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (134.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 mei 2025
Document-id:10586

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de beveiligingsfunctie voor de PortFast Bridge Protocol Data Unit (BPDU) van het Spanning Tree Protocol (STP) beschreven.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    Deze softwareversies introduceerden de STP PortFast BPDU-bescherming:

    • Catalyst OS (CatOS) softwareversie 5.4.1 voor de Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G en 2980G platforms

    • Cisco IOS® Software Release 12.0(7)XE voor de Catalyst 6500/6000-platforms

    • Cisco IOS Software Release 12.1(8a)EW voor de Catalyst 4500/4000 Supervisor Engine III

    • Cisco IOS Software Release 12.1(12c)EW voor de Catalyst 4500/4000 Supervisor Engine IV

    • Cisco IOS Software Release 12.0(5)WC5 voor de Catalyst 2900XL en 3500XL serie

    • Cisco IOS Software Release 12.1(11)AX voor de Catalyst 3750 serie switches

    • Cisco IOS Software Release 12.1(14)AX voor de Catalyst 3750 Metro switches

    • Cisco IOS Software Release 12.1(19)EA1 voor de Catalyst 3560 serie switches

    • Cisco IOS Software Release 12.1(4)EA1 voor de Catalyst 3550-serie switches

    • Cisco IOS Software Release 12.1(11)AX voor de Catalyst 2970 serie switches

    • Cisco IOS Software Release 12.1(12c)EA1 voor de Catalyst 2955 serie switches

    • Cisco IOS Software Release 12.1(6)EA2 voor de Catalyst 2950 serie switches

    • Cisco IOS Software Release 12.1(11)EA1 voor de Catalyst 2950 Long-Reach Ethernet (LRE)-switches

    • Cisco IOS Software Release 12.1(13)AY voor de Catalyst 2940-serie switches

    Opmerking: STP PortFast BPDU-bescherming is niet beschikbaar voor de Catalyst 8500-serie, 2948G-L3 of 4908G-L3-switches.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Achtergrondinformatie

    In dit document wordt de functie PortFast Bridge Protocol Data Unit (BPDU) Guard beschreven. Deze functie is een van de verbeteringen van het Spanning Tree Protocol (STP) die Cisco heeft ontwikkeld. Hiermee worden de betrouwbaarheid, beheerbaarheid en security van het switchnetwerk verbeterd.

    Functiebeschrijving

    STP configureert de vermaasde topologie in een lus-vrije, boomachtige topologie. Wanneer de verbinding op een brugpoort omhoog gaat, vindt STP-berekening plaats op die poort. Het resultaat van de berekening is de overgang van de haven naar de forwarding- of blokkeertoestand. Het resultaat hangt af van de positie van de poort in het netwerk en de STP-parameters. Deze berekening en overgangsperiode duurt meestal ongeveer 30 tot 50 seconden. Op dat moment worden er geen gebruikersgegevens doorgegeven via de poort. Sommige gebruikerstoepassingen kunnen tijdens de periode time-out gebruiken.

    Schakel de STP PortFast-functie in om de poort onmiddellijk over te zetten naar de status voor doorsturen. PortFast schakelt de poort onmiddellijk over naar de STP-forwardingmodus bij het koppelen. De haven neemt nog steeds deel aan STP. Dus als de poort deel moet uitmaken van de lus, gaat de poort uiteindelijk over naar de STP-blokkeringsmodus.

    Zolang de poort deelneemt aan STP, kunnen sommige apparaten de root-brug functie aannemen en de actieve STP topologie beïnvloeden. Om de brugfunctie aan te nemen, zou het root-brug aan de poort worden gekoppeld en STP uitvoeren met een lagere brugprioriteit dan die van de huidige root-brug. Als een ander toestel op deze manier de root-brug functie aanneemt, maakt het het netwerk suboptimaal. Dit is een eenvoudige vorm van een Denial of Service (DoS) aanval op het netwerk. De tijdelijke introductie en daaropvolgende verwijdering van STP-apparaten met een lage (0) brugprioriteit veroorzaken een permanente STP-herberekening.

    Met de STP PortFast BPDU-beschermingsversterking kunnen netwerkontwerpers de STP-domeingrenzen afdwingen en de actieve topologie voorspelbaar houden. De apparaten achter de poorten waarop STP PortFast is ingeschakeld, kunnen de STP-topologie niet beïnvloeden. Bij de ontvangst van de BPDU's schakelt de BPDU-bewakingsfunctie de poort uit waarop PortFast is geconfigureerd. De BPDU-bescherming schakelt de poort over naar de uitschakelbare status en er verschijnt een bericht op de console. Dit bericht is een voorbeeld:

    2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. 
Disabling 2/1 
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

    Neem dit voorbeeld:

    Afbeelding 1

    Bridge Connectionbrugverbinding

    Bridge A heeft prioriteit 8192 en is de root voor het VLAN. Bridge B heeft prioriteitscode 16384 en is de back-up-root-brug voor hetzelfde VLAN. De bruggen A en B, die met een Gigabit Ethernet-verbinding worden verbonden, vormen een kern van het netwerk. Bridge C is een access switch en heeft PortFast geconfigureerd op de poort die verbinding maakt met device D. Als de andere STP-parameters standaard zijn, bevindt de brug C-poort die verbinding maakt met brug B zich in de status STP-blokkering. Apparaat D (PC) neemt niet deel aan STP. De pijlen met streepjes geven de stroom STP-BPDU's aan.

    Afbeelding 2

    Linux-based Bridge Application is Launched on a PCLinux-gebaseerde Bridge-toepassing wordt gestart op een pc

    In afbeelding 2 is apparaat D begonnen met deelname aan STP. Een Linux-gebaseerde bridgetoepassing wordt bijvoorbeeld op een pc gestart. Als de prioriteit van de softwarebrug 0 is of een waarde kleiner dan de prioriteit van de root-brug, neemt de softwarebrug de root-brug-functie over. De Gigabit Ethernet-koppeling die de twee switches verbindt, schakelt over naar de blokkeermodus. De overgang zorgt ervoor dat alle gegevens in dat VLAN via de 100-Mbps-link stromen. Als er meer gegevens via de kern in het VLAN stromen dan de koppeling kan verwerken, wordt het aantal frames verlaagd. De val van het frame leidt tot een connectiviteitsuitval.

    De STP PortFast BPDU-beveiligingsfunctie voorkomt een dergelijke situatie. De functie schakelt de poort uit zodra brug C de STP BPDU van apparaat D ontvangt.

    Configuratie

    U kunt de STP PortFast BPDU-beveiliging wereldwijd in- of uitschakelen, wat gevolgen heeft voor alle poorten waarvoor PortFast is geconfigureerd. Standaard is STP BPDU-beveiliging uitgeschakeld. Geef deze opdracht op om STP PortFast BPDU-beveiliging op de switch in te schakelen:

    CatOS-opdracht

    Console> (enable) set spantree portfast bpdu-guard enable 

Spantree portfast bpdu-guard enabled on this switch. 

Console> (enable)

    Cisco IOS®-softwarecommando

    CatSwitch-IOS(config)# spanning-tree portfast bpduguard 
CatSwitch-IOS(config)

    Wanneer STP BPDU Guard de poort uitschakelt, blijft de poort uitgeschakeld, tenzij de poort handmatig is ingeschakeld. U kunt een poort configureren om zichzelf automatisch opnieuw in te schakelen vanuit de status Uitschakelen. Geef deze opdrachten uit, waarmee het uitschakelbare time-outinterval wordt ingesteld en de functie time-out wordt ingeschakeld:

    CatOS-opdrachten

    Console> (enable) set errdisable-timeout interval 400 

Console> (enable) set errdisable-timeout enable bpdu-guard

    Cisco IOS-software – opdrachten

    CatSwitch-IOS(config)# errdisable recovery cause bpduguard

CatSwitch-IOS(config)# errdisable recovery interval 400

    Opmerking: de standaard time-outinterval is 300 seconden en de time-outfunctie is standaard uitgeschakeld.

    Monitor (bewaken)

    Om te controleren of de functie is ingeschakeld of uitgeschakeld, geeft u de volgende toepasselijke opdracht uit.

    opdrachtuitvoer

    CatOS-opdracht

    Console> (enable) show spantree summary 
Root switch for vlans: 3-4.
Portfast bpdu-guard enabled for bridge. 
Uplinkfast disabled for bridge.
Backbonefast disabled for bridge.

Summary of Connected Spanning Tree Ports By VLAN:
 
Vlan  Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
   1         0         0        0          1          1
 
   3         0         0        0          1          1
 
   4         0         0        0          1          1
 
  20         0         0        0          1          1

 
Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
Total        0         0        0          4          4
 
Console> (enable)

    Cisco IOS Software Command

    CatSwitch-IOS# show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1         

CatSwitch-IOS#

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    12-May-2025
    Bijgewerkte opmaak om te voldoen aan de Cisco-richtlijnen.
    2.0
    22-Mar-2024
    Opmaak bijgewerkt. Gecorrigeerde CCW-waarschuwingen. Hercertificering.
    1.0
    29-Nov-2001
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Cisco TAC Engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten