Este documento explica as características de proteção da Unidade de Dados de Protocolo de Bridge (BPDU) de PortFast. Esta característica é uma das melhorias do Spanning Tree Protocol (STP) que a Cisco criou. Esta característica melhora a confiabilidade, a capacidade de gerenciamento e a segurança da rede de switch.
Não existem requisitos específicos para este documento.
Estas versões de software introduziram o protetor de BPDU do STP portfast:
Versão de software 5.4.1 do OS do catalizador (Cactos) para o catalizador 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, Plataformas 2926G, 2948G, e 2980G
Software Release 12.0(7)XE de Cisco IOS® para as Plataformas do Catalyst 6500/6000
Cisco IOS Software Release 12.1(8a)EW para o Supervisor Engine III do catalizador 4500/4000
Cisco IOS Software Release 12.1(12c)EW para o Supervisor Engine IV do catalizador 4500/4000
Cisco IOS Software Release 12.0(5)WC5 para o Catalyst 2900XL e 3500XL Series
Cisco IOS Software Release 12.1(11)AX para os Catalyst 3750 Series Switch
Cisco IOS Software Release 12.1(14)AX para o Switches do metro do catalizador 3750
Cisco IOS Software Release 12.1(19)EA1 para os Catalyst 3560 Series Switch
Cisco IOS Software Release 12.1(4)EA1 para os Catalyst 3550 Series Switch
Cisco IOS Software Release 12.1(11)AX para os Catalyst 2970 Series Switch
Cisco IOS Software Release 12.1(12c)EA1 para os Catalyst 2955 Series Switch
Cisco IOS Software Release 12.1(6)EA2 para os Catalyst 2950 Series Switch
Cisco IOS Software Release 12.1(11)EA1 para o Switches dos Ethernet de longo alcance do Catalyst 2950 (LRE)
Cisco IOS Software Release 12.1(13)AY para os Catalyst 2940 Series Switch
Nota: O protetor de BPDU do STP portfast não está disponível para o Catalyst 8500 Series, o Switches 2948G-L3, ou 4908G-L3.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O STP configura a topologia em malha em um sem loop, topologia da árvore (como). Quando o link em uma porta de Bridge vai acima, o cálculo de STP ocorre nessa porta. O resultado do cálculo é a transição da porta na transmissão ou no estado de bloqueio. O resultado depende da posição da porta na rede e nos parâmetros STP. Estes cálculo e período de transição tomam geralmente aproximadamente 30 aos segundos dos 50 pés. Naquele tempo, nenhum dados do usuário passa através da porta. Alguns aplicativos de usuário podem cronometrar para fora durante o período.
A fim permitir a transição imediata da porta no estado de encaminhamento, permita a característica do STP portfast. De PortFast transições imediatamente a porta no modo do encaminhamento STP em cima da associação. A porta ainda participa no STP. Assim se a porta é ser parte do laço, da porta as transições eventualmente no modo de bloqueio STP.
Enquanto a porta participa no STP, algum dispositivo pode supor a topologia STP ativa da função de bridge raiz e da influência. Para supor a função de bridge raiz, o dispositivo seria anexado à porta e executaria o STP com uma prioridade de bridge inferior do que aquele do bridge-raiz atual. Se um outro dispositivo supõe a função de bridge raiz desta maneira, rende a rede subótima. Este é um formulário simples de um ataque de recusa de serviço (DOS) na rede. A introdução temporária e a remoção subsequente de dispositivos STP com baixa (0) prioridades de bridge causam um recálculo de STP permanente.
O realce do protetor de BPDU do STP portfast permite que os projetistas de rede reforcem as beiras do domínio de STP e mantenham a topologia ativa predizível. Os dispositivos atrás das portas que têm o STP portfast permitido não podem influenciar a topologia STP. Na recepção dos BPDU, a operação do protetor de BPDU desabilita a porta que tem PortFast configurou. As transições do protetor de BPDU a porta no estado errdisable, e uma mensagem aparecem no console. Esta mensagem é um exemplo:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
Considere este exemplo:
Construa uma ponte sobre A tem a prioridade 8192 e é a raiz para o VLAN. O Bridge B tem a prioridade 16384 e é o Root Bridge de backup para o mesmo VLAN. Constrói uma ponte sobre A e B, que um enlace de Ethernet Gigabit conecta, compõem um núcleo da rede. O C da ponte é um switch de acesso e tem PortFast configurado na porta que conecta ao dispositivo D. Se os outros parâmetros STP são padrão, a porta do C da ponte que conecta para construir uma ponte sobre B está no estado de bloqueio STP. O dispositivo D (PC) não participa no STP. As setas tracejadas indicam o fluxo dos BPDUs do STP.
Em figura 2, o dispositivo D começou participar no STP. Por exemplo, um aplicativo Linux-baseado da ponte é lançado em um PC. Se a prioridade do bridge de software é 0 ou alguns valores abaixo da prioridade do bridge-raiz, o bridge de software toma sobre a função de bridge raiz. O enlace de Ethernet Gigabit que conecta as duas transições dos switch centrais no modo de bloqueio. A transição faz com que todos os dados nesse VLAN fluam através do link do 100-Mbps. Se mais fluxo de dados através do núcleo no VLAN do que o link pode acomodar, a gota dos quadros ocorre. A gota do quadro conduz a uma interrupção de conectividade.
A característica do protetor de BPDU do STP portfast impede tal situação. A característica desabilita a porta assim que o C da ponte receber o STP BPDU do dispositivo D.
Você pode permitir ou para desabilitar numa base global o protetor de BPDU do STP portfast, que afeta todas as portas que têm PortFast configurou. À revelia, o protetor de BPDU STP é desabilitado. Emita este comando a fim permitir o protetor de BPDU do STP portfast no interruptor:
Console> (enable) set spantree portfast bpdu-guard enable Spantree portfast bpdu-guard enabled on this switch. Console> (enable)
CatSwitch-IOS(config)# spanning-tree portfast bpduguard CatSwitch-IOS(config)
Quando o protetor de BPDU STP desabilita a porta, a porta permanece no estado desabilitado a menos que a porta for permitida manualmente. Você pode configurar uma porta para reenable automaticamente do estado errdisable. Emita estes comandos, que ajustam o intervalo do errdisable-intervalo e permitem os recursos de timeout:
Console> (enable) set errdisable-timeout interval 400 Console> (enable) set errdisable-timeout enable bpdu-guard
CatSwitch-IOS(config)# errdisable recovery cause bpduguard CatSwitch-IOS(config)# errdisable recovery interval 400
Nota: O intervalo de timeout padrão é 300 segundos e, por padrão, o recurso de timeout é desabilitado.
A fim verificar se a característica está permitida ou desabilitada, emita este comando:
Console> (enable) show spantree summary Root switch for vlans: 3-4. Portfast bpdu-guard enabled for bridge. Uplinkfast disabled for bridge. Backbonefast disabled for bridge. Summary of Connected Spanning Tree Ports By VLAN: Vlan Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- 1 0 0 0 1 1 3 0 0 0 1 1 4 0 0 0 1 1 20 0 0 0 1 1 Blocking Listening Learning Forwarding STP Active ----- -------- --------- -------- ---------- ---------- Total 0 0 0 4 4 Console> (enable)
CatSwitch-IOS# show spanning-tree summary totals Root bridge for: none. PortFast BPDU Guard is enabled UplinkFast is disabled BackboneFast is disabled Spanning tree default pathcost method used is short Name Blocking Listening Learning Forwarding STP Active -------------------- -------- --------- -------- ---------- ---------- 1 VLAN 0 0 0 1 1 CatSwitch-IOS#