Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Aprimoramento do Protetor de BPDU do PortFast de Spanning Tree

Opções de download

  • PDF     (142.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (103.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (149.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de Setembro de 2005
ID do documento:10586

Linguagem livre de preconceitos

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento explica as características de proteção da Unidade de Dados de Protocolo de Bridge (BPDU) de PortFast. Esta característica é uma das melhorias do Spanning Tree Protocol (STP) que a Cisco criou. Esta característica melhora a confiabilidade, a capacidade de gerenciamento e a segurança da rede de switch.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Essas versões de software introduziram o protetor de BPDU do PortFast do STP:

  • Software Catalyst OS (CatOS) versão 5.4.1 para o Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G e 29 Plataformas 80G

  • Software Cisco IOS® versão 12.0(7)XE para as plataformas Catalyst 6500/6000

  • Software Cisco IOS versão 12.1(8a)EW para o Supervisor Engine III do Catalyst 4500/4000

  • Software Cisco IOS versão 12.1(12c)EW para o Supervisor Engine IV do Catalyst 4500/4000

  • Software Cisco IOS versão 12.0(5)WC5 para as séries Catalyst 2900XL e 3500XL

  • Software Cisco IOS versão 12.1(11)AX para os switches da série Catalyst 3750

  • Software Cisco IOS versão 12.1(14)AX para switches Catalyst 3750 Metro

  • Software Cisco IOS versão 12.1(19)EA1 para os switches da série Catalyst 3560

  • Software Cisco IOS versão 12.1(4)EA1 para os switches da série Catalyst 3550

  • Software Cisco IOS versão 12.1(11)AX para os switches da série Catalyst 2970

  • Software Cisco IOS versão 12.1(12c)EA1 para os switches da série Catalyst 2955

  • Software Cisco IOS versão 12.1(6)EA2 para os switches da série Catalyst 2950

  • Software Cisco IOS versão 12.1(11)EA1 para os switches Catalyst 2950 Long-Reach Ethernet (LRE)

  • Software Cisco IOS versão 12.1(13)AY para os switches da série Catalyst 2940

Observação: o protetor de BPDU de PortFast de STP não está disponível para os switches das séries Catalyst 8500, 2948G-L3 ou 4908G-L3.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Descrição do recurso

O STP configura a topologia em malha em uma topologia em forma de árvore e sem loops. Quando o enlace em uma porta de bridge é ativado, o cálculo de STP ocorre nessa porta. O resultado do cálculo é a transição da porta para o estado forwarding ou blocking. O resultado depende da posição da porta na rede e dos parâmetros STP. Esse período de cálculo e transição geralmente leva de 30 a 50 segundos. Nesse momento, nenhum dado do usuário passa pela porta. Alguns aplicativos de usuário podem expirar durante o período.

Para permitir a transição imediata da porta para o estado forwarding, ative o recurso STP PortFast. O PortFast faz imediatamente a transição da porta para o modo de encaminhamento STP no link. A porta ainda participa do STP. Então, se a porta for parte do loop, ela acabará por passar para o modo de bloqueio STP.

Desde que a porta participe do STP, algum dispositivo pode assumir a função de bridge raiz e afetar a topologia ativa do STP. Para assumir a função de bridge raiz, o dispositivo seria conectado à porta e executaria o STP com uma prioridade de bridge mais baixa que a da bridge raiz atual. Se outro dispositivo assume a função de bridge raiz dessa forma, ele faz com que a rede não seja ideal. Essa é uma forma simples de ataque de negação de serviço (DoS) na rede. A introdução temporária e subsequente remoção de dispositivos STP com baixa (0) prioridade de bridge causam um recálculo permanente do STP.

A melhoria do protetor de BPDU de PortFast de STP permite que os projetistas de rede apliquem as fronteiras de domínio de STP e mantenham a topologia ativa previsível. Os dispositivos atrás das portas que têm o STP PortFast ativado não podem influenciar a topologia do STP. Na recepção de BPDUs, a operação de proteção de BPDU desativa a porta que tem PortFast configurado. O protetor de BPDU faz a transição da porta para o estado errdisable e uma mensagem aparece no console. Esta mensagem é um exemplo: 

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. 
Disabling 2/1 
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Considere este exemplo:

Figure 1

65a.gif

A bridge A tem prioridade 8192 e é a raiz da VLAN. O Bridge B tem a prioridade 16384 e é o Root Bridge de backup para o mesmo VLAN. As bridges A e B, que um link Gigabit Ethernet conecta, formam um núcleo da rede. A ponte C é um switch de acesso e tem o PortFast configurado na porta que se conecta ao dispositivo D. Se os outros parâmetros de STP forem padrão, a porta da ponte C que se conecta à ponte B estará no estado de bloqueio de STP. O dispositivo D (PC) não participa do STP. As setas tracejadas indicam o fluxo dos BPDUs do STP.

Figure 2

65b.gif

Na Figura 2, o dispositivo D começou a participar do STP. Por exemplo, um aplicativo de bridge baseado em Linux é iniciado em um PC. Se a prioridade da bridge de software for 0 ou qualquer valor abaixo da prioridade da bridge raiz, a bridge de software assume a função de bridge raiz. O link Gigabit Ethernet que conecta os dois switches centrais em transição para o modo de bloqueio. A transição faz com que todos os dados nessa VLAN fluam através do link de 100 Mbps. Se houver mais fluxo de dados através do núcleo na VLAN do que o link pode acomodar, a queda de quadros ocorrerá. A queda do quadro leva a uma interrupção da conectividade.

O recurso protetor de BPDU do PortFast STP evita tal situação. O recurso desabilita a porta assim que a ponte C recebe o STP BPDU do dispositivo D.

Configuração

Você pode habilitar ou desabilitar o protetor de BPDU de PortFast de STP globalmente, o que afeta todas as portas que têm o PortFast configurado. Por padrão, o protetor de BPDU STP está desabilitado. Execute este comando para ativar o protetor de BPDU do PortFast do STP no switch:

Comando CatOS 

Console> (enable) set spantree portfast bpdu-guard enable 

Spantree portfast bpdu-guard enabled on this switch. 

Console> (enable)

Comando do Cisco IOS Software 

CatSwitch-IOS(config)# spanning-tree portfast bpduguard 
CatSwitch-IOS(config)

Quando o protetor de BPDU STP desativa a porta, ela permanece no estado desativado, a menos que a porta seja ativada manualmente. Você pode configurar uma porta para se reativar automaticamente a partir do estado errdisable. Emita estes comandos, que definem o intervalo errdisable-timeout e habilitam o recurso timeout:

Comandos de CatOS 

Console> (enable) set errdisable-timeout interval 400 

Console> (enable) set errdisable-timeout enable bpdu-guard

Comandos do software Cisco IOS 

CatSwitch-IOS(config)# errdisable recovery cause bpduguard

CatSwitch-IOS(config)# errdisable recovery interval 400

Observação: o intervalo de tempo limite padrão é de 300 segundos e, por padrão, o recurso de tempo limite está desabilitado.

Monitoramento

Para verificar se o recurso está habilitado ou desabilitado, emita este comando:

Saída do comando

Comando CatOS 

Console> (enable) show spantree summary
Root switch for vlans: 3-4.
Portfast bpdu-guard enabled for bridge. 
Uplinkfast disabled for bridge.
Backbonefast disabled for bridge.

Summary of Connected Spanning Tree Ports By VLAN:
 
Vlan  Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
   1         0         0        0          1          1
 
   3         0         0        0          1          1
 
   4         0         0        0          1          1
 
  20         0         0        0          1          1

 
Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
Total        0         0        0          4          4
 
Console> (enable)

Comando do Cisco IOS Software 

CatSwitch-IOS# show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1         

CatSwitch-IOS#

Informações Relacionadas

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos