Para parceiros
Este documento explica as características de proteção da Unidade de Dados de Protocolo de Bridge (BPDU) de PortFast. Esta característica é uma das melhorias do Spanning Tree Protocol (STP) que a Cisco criou. Esta característica melhora a confiabilidade, a capacidade de gerenciamento e a segurança da rede de switch.
Não existem requisitos específicos para este documento.
Essas versões de software introduziram o protetor de BPDU do PortFast do STP:
Software Catalyst OS (CatOS) versão 5.4.1 para o Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G e 29 Plataformas 80G
Software Cisco IOS® versão 12.0(7)XE para as plataformas Catalyst 6500/6000
Software Cisco IOS versão 12.1(8a)EW para o Supervisor Engine III do Catalyst 4500/4000
Software Cisco IOS versão 12.1(12c)EW para o Supervisor Engine IV do Catalyst 4500/4000
Software Cisco IOS versão 12.0(5)WC5 para as séries Catalyst 2900XL e 3500XL
Software Cisco IOS versão 12.1(11)AX para os switches da série Catalyst 3750
Software Cisco IOS versão 12.1(14)AX para switches Catalyst 3750 Metro
Software Cisco IOS versão 12.1(19)EA1 para os switches da série Catalyst 3560
Software Cisco IOS versão 12.1(4)EA1 para os switches da série Catalyst 3550
Software Cisco IOS versão 12.1(11)AX para os switches da série Catalyst 2970
Software Cisco IOS versão 12.1(12c)EA1 para os switches da série Catalyst 2955
Software Cisco IOS versão 12.1(6)EA2 para os switches da série Catalyst 2950
Software Cisco IOS versão 12.1(11)EA1 para os switches Catalyst 2950 Long-Reach Ethernet (LRE)
Software Cisco IOS versão 12.1(13)AY para os switches da série Catalyst 2940
Observação: o protetor de BPDU de PortFast de STP não está disponível para os switches das séries Catalyst 8500, 2948G-L3 ou 4908G-L3.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O STP configura a topologia em malha em uma topologia em forma de árvore e sem loops. Quando o enlace em uma porta de bridge é ativado, o cálculo de STP ocorre nessa porta. O resultado do cálculo é a transição da porta para o estado forwarding ou blocking. O resultado depende da posição da porta na rede e dos parâmetros STP. Esse período de cálculo e transição geralmente leva de 30 a 50 segundos. Nesse momento, nenhum dado do usuário passa pela porta. Alguns aplicativos de usuário podem expirar durante o período.
Para permitir a transição imediata da porta para o estado forwarding, ative o recurso STP PortFast. O PortFast faz imediatamente a transição da porta para o modo de encaminhamento STP no link. A porta ainda participa do STP. Então, se a porta for parte do loop, ela acabará por passar para o modo de bloqueio STP.
Desde que a porta participe do STP, algum dispositivo pode assumir a função de bridge raiz e afetar a topologia ativa do STP. Para assumir a função de bridge raiz, o dispositivo seria conectado à porta e executaria o STP com uma prioridade de bridge mais baixa que a da bridge raiz atual. Se outro dispositivo assume a função de bridge raiz dessa forma, ele faz com que a rede não seja ideal. Essa é uma forma simples de ataque de negação de serviço (DoS) na rede. A introdução temporária e subsequente remoção de dispositivos STP com baixa (0) prioridade de bridge causam um recálculo permanente do STP.
A melhoria do protetor de BPDU de PortFast de STP permite que os projetistas de rede apliquem as fronteiras de domínio de STP e mantenham a topologia ativa previsível. Os dispositivos atrás das portas que têm o STP PortFast ativado não podem influenciar a topologia do STP. Na recepção de BPDUs, a operação de proteção de BPDU desativa a porta que tem PortFast configurado. O protetor de BPDU faz a transição da porta para o estado errdisable e uma mensagem aparece no console. Esta mensagem é um exemplo:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Considere este exemplo:
A bridge A tem prioridade 8192 e é a raiz da VLAN. O Bridge B tem a prioridade 16384 e é o Root Bridge de backup para o mesmo VLAN. As bridges A e B, que um link Gigabit Ethernet conecta, formam um núcleo da rede. A ponte C é um switch de acesso e tem o PortFast configurado na porta que se conecta ao dispositivo D. Se os outros parâmetros de STP forem padrão, a porta da ponte C que se conecta à ponte B estará no estado de bloqueio de STP. O dispositivo D (PC) não participa do STP. As setas tracejadas indicam o fluxo dos BPDUs do STP.
Na Figura 2, o dispositivo D começou a participar do STP. Por exemplo, um aplicativo de bridge baseado em Linux é iniciado em um PC. Se a prioridade da bridge de software for 0 ou qualquer valor abaixo da prioridade da bridge raiz, a bridge de software assume a função de bridge raiz. O link Gigabit Ethernet que conecta os dois switches centrais em transição para o modo de bloqueio. A transição faz com que todos os dados nessa VLAN fluam através do link de 100 Mbps. Se houver mais fluxo de dados através do núcleo na VLAN do que o link pode acomodar, a queda de quadros ocorrerá. A queda do quadro leva a uma interrupção da conectividade.
O recurso protetor de BPDU do PortFast STP evita tal situação. O recurso desabilita a porta assim que a ponte C recebe o STP BPDU do dispositivo D.
Você pode habilitar ou desabilitar o protetor de BPDU de PortFast de STP globalmente, o que afeta todas as portas que têm o PortFast configurado. Por padrão, o protetor de BPDU STP está desabilitado. Execute este comando para ativar o protetor de BPDU do PortFast do STP no switch:
Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)
CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)
Quando o protetor de BPDU STP desativa a porta, ela permanece no estado desativado, a menos que a porta seja ativada manualmente. Você pode configurar uma porta para se reativar automaticamente a partir do estado errdisable. Emita estes comandos, que definem o intervalo errdisable-timeout e habilitam o recurso timeout:
Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard
CatSwitch-IOS(config)# errdisable recovery cause bpduguard CatSwitch-IOS(config)# errdisable recovery interval 400
Observação: o intervalo de tempo limite padrão é de 300 segundos e, por padrão, o recurso de tempo limite está desabilitado.
Para verificar se o recurso está habilitado ou desabilitado, emita este comando:
Console> (enable) show spantree summary Root switch for vlans: 3-4. Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge. Backbonefast disabled for bridge. Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)
CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none. PortFast BPDU Guard is enabled UplinkFast is disabled BackboneFast is disabled Spanning tree default pathcost method used is short Name Blocking Listening Learning Forwarding STP Active -------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#