Guest

Aprimoramento do Protetor de BPDU do PortFast de Spanning Tree

Opções de download

  • PDF     (92.6 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (72.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de Setembro de 2005
ID do documento:10586
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento explica as características de proteção da Unidade de Dados de Protocolo de Bridge (BPDU) de PortFast. Esta característica é uma das melhorias do Spanning Tree Protocol (STP) que a Cisco criou. Esta característica melhora a confiabilidade, a capacidade de gerenciamento e a segurança da rede de switch.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Estas versões de software introduziram o protetor de BPDU do STP portfast:

  • Versão de software 5.4.1 do OS do catalizador (Cactos) para o catalizador 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, Plataformas 2926G, 2948G, e 2980G

  • Software Release 12.0(7)XE de Cisco IOS® para as Plataformas do Catalyst 6500/6000

  • Cisco IOS Software Release 12.1(8a)EW para o Supervisor Engine III do catalizador 4500/4000

  • Cisco IOS Software Release 12.1(12c)EW para o Supervisor Engine IV do catalizador 4500/4000

  • Cisco IOS Software Release 12.0(5)WC5 para o Catalyst 2900XL e 3500XL Series

  • Cisco IOS Software Release 12.1(11)AX para os Catalyst 3750 Series Switch

  • Cisco IOS Software Release 12.1(14)AX para o Switches do metro do catalizador 3750

  • Cisco IOS Software Release 12.1(19)EA1 para os Catalyst 3560 Series Switch

  • Cisco IOS Software Release 12.1(4)EA1 para os Catalyst 3550 Series Switch

  • Cisco IOS Software Release 12.1(11)AX para os Catalyst 2970 Series Switch

  • Cisco IOS Software Release 12.1(12c)EA1 para os Catalyst 2955 Series Switch

  • Cisco IOS Software Release 12.1(6)EA2 para os Catalyst 2950 Series Switch

  • Cisco IOS Software Release 12.1(11)EA1 para o Switches dos Ethernet de longo alcance do Catalyst 2950 (LRE)

  • Cisco IOS Software Release 12.1(13)AY para os Catalyst 2940 Series Switch

Nota: O protetor de BPDU do STP portfast não está disponível para o Catalyst 8500 Series, o Switches 2948G-L3, ou 4908G-L3.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Descrição do recurso

O STP configura a topologia em malha em um sem loop, topologia da árvore (como). Quando o link em uma porta de Bridge vai acima, o cálculo de STP ocorre nessa porta. O resultado do cálculo é a transição da porta na transmissão ou no estado de bloqueio. O resultado depende da posição da porta na rede e nos parâmetros STP. Estes cálculo e período de transição tomam geralmente aproximadamente 30 aos segundos dos 50 pés. Naquele tempo, nenhum dados do usuário passa através da porta. Alguns aplicativos de usuário podem cronometrar para fora durante o período.

A fim permitir a transição imediata da porta no estado de encaminhamento, permita a característica do STP portfast. De PortFast transições imediatamente a porta no modo do encaminhamento STP em cima da associação. A porta ainda participa no STP. Assim se a porta é ser parte do laço, da porta as transições eventualmente no modo de bloqueio STP.

Enquanto a porta participa no STP, algum dispositivo pode supor a topologia STP ativa da função de bridge raiz e da influência. Para supor a função de bridge raiz, o dispositivo seria anexado à porta e executaria o STP com uma prioridade de bridge inferior do que aquele do bridge-raiz atual. Se um outro dispositivo supõe a função de bridge raiz desta maneira, rende a rede subótima. Este é um formulário simples de um ataque de recusa de serviço (DOS) na rede. A introdução temporária e a remoção subsequente de dispositivos STP com baixa (0) prioridades de bridge causam um recálculo de STP permanente.

O realce do protetor de BPDU do STP portfast permite que os projetistas de rede reforcem as beiras do domínio de STP e mantenham a topologia ativa predizível. Os dispositivos atrás das portas que têm o STP portfast permitido não podem influenciar a topologia STP. Na recepção dos BPDU, a operação do protetor de BPDU desabilita a porta que tem PortFast configurou. As transições do protetor de BPDU a porta no estado errdisable, e uma mensagem aparecem no console. Esta mensagem é um exemplo: 

2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. 
Disabling 2/1 
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

Considere este exemplo:

Figura 1

65a.gif

Construa uma ponte sobre A tem a prioridade 8192 e é a raiz para o VLAN. O Bridge B tem a prioridade 16384 e é o Root Bridge de backup para o mesmo VLAN. Constrói uma ponte sobre A e B, que um enlace de Ethernet Gigabit conecta, compõem um núcleo da rede. O C da ponte é um switch de acesso e tem PortFast configurado na porta que conecta ao dispositivo D. Se os outros parâmetros STP são padrão, a porta do C da ponte que conecta para construir uma ponte sobre B está no estado de bloqueio STP. O dispositivo D (PC) não participa no STP. As setas tracejadas indicam o fluxo dos BPDUs do STP.

Figura 2

65b.gif

Em figura 2, o dispositivo D começou participar no STP. Por exemplo, um aplicativo Linux-baseado da ponte é lançado em um PC. Se a prioridade do bridge de software é 0 ou alguns valores abaixo da prioridade do bridge-raiz, o bridge de software toma sobre a função de bridge raiz. O enlace de Ethernet Gigabit que conecta as duas transições dos switch centrais no modo de bloqueio. A transição faz com que todos os dados nesse VLAN fluam através do link do 100-Mbps. Se mais fluxo de dados através do núcleo no VLAN do que o link pode acomodar, a gota dos quadros ocorre. A gota do quadro conduz a uma interrupção de conectividade.

A característica do protetor de BPDU do STP portfast impede tal situação. A característica desabilita a porta assim que o C da ponte receber o STP BPDU do dispositivo D.

Configuração

Você pode permitir ou para desabilitar numa base global o protetor de BPDU do STP portfast, que afeta todas as portas que têm PortFast configurou. À revelia, o protetor de BPDU STP é desabilitado. Emita este comando a fim permitir o protetor de BPDU do STP portfast no interruptor:

Comando CatOS 

Console> (enable) set spantree portfast bpdu-guard enable 

Spantree portfast bpdu-guard enabled on this switch. 

Console> (enable)

Comando do Cisco IOS Software 

CatSwitch-IOS(config)# spanning-tree portfast bpduguard 
CatSwitch-IOS(config)

Quando o protetor de BPDU STP desabilita a porta, a porta permanece no estado desabilitado a menos que a porta for permitida manualmente. Você pode configurar uma porta para reenable automaticamente do estado errdisable. Emita estes comandos, que ajustam o intervalo do errdisable-intervalo e permitem os recursos de timeout:

Comandos de CatOS 

Console> (enable) set errdisable-timeout interval 400 

Console> (enable) set errdisable-timeout enable bpdu-guard

Comandos do Cisco IOS Software 

CatSwitch-IOS(config)# errdisable recovery cause bpduguard

CatSwitch-IOS(config)# errdisable recovery interval 400

Nota: O intervalo de timeout padrão é 300 segundos e, por padrão, o recurso de timeout é desabilitado.

Monitoramento

A fim verificar se a característica está permitida ou desabilitada, emita este comando:

Saída do comando

Comando CatOS 

Console> (enable) show spantree summary
Root switch for vlans: 3-4.
Portfast bpdu-guard enabled for bridge. 
Uplinkfast disabled for bridge.
Backbonefast disabled for bridge.

Summary of Connected Spanning Tree Ports By VLAN:
 
Vlan  Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
   1         0         0        0          1          1
 
   3         0         0        0          1          1
 
   4         0         0        0          1          1
 
  20         0         0        0          1          1

 
Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
Total        0         0        0          4          4
 
Console> (enable)

Comando do Cisco IOS Software 

CatSwitch-IOS# show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1         

CatSwitch-IOS#

Informações Relacionadas

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Deixe-nos ajudar

Discussões relacionadas ao produto na comunidade de suporte

Este documento se refere a estes produtos