p1_6 describiendo mecanismos de estabilidad para stp.ppt
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 1
Describiendo mecanismos de estabilidad para STP
Describiendo mecanismos de seguridad para STP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 2
Protección a la operación de STP
Protección en switch que son agregados para puertos PortFast.
• BPDU guard bloquea y/o baja los puertos.
• BPDU filter Especifica la acción que debe ser tomada cuando las BPDUs son recibidas.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 3
BPDU Guard• La función de BPDU Guard es proteger aún más la integridad de los puertos del
switch que tienen PortFast habilitado.
• De forma predeterminada, BPDU Guard está desactivado en todos los puertos del switch. Se puede configurar BPDU Guard como un valor predeterminado en forma global el cual afecta a todos los puertos del switch con un solo comando.
• Todos los puertos que tienen Port-Fast permiten también tener BPDU Guard habilitado automáticamente.
• También puede activar o desactivar BPDU Guard puerto por puerto, con el comando de configuración para interfaces:
Switch (config-if) # [no] spanning-tree bpduguard enable
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 4
Habilitando y verificando BPDU Guard
Switch#show spanning-tree summary totals Root bridge for: none.PortFast BPDU Guard is enabledEtherchannel misconfiguration guard is enabledUplinkFast is disabledBackboneFast is disabledDefault pathcost method used is short Name Blocking Listening Learning Forwarding STP Active-------------------- -------- --------- -------- ---------- ---------- 34 VLANs 0 0 0 36 36
Switch(config)#spanning-tree portfast bpduguard
• Habilita BPDU guard
Switch#show spanning-tree summary totals
• Despliega información de la configuración BPDU
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 5
BPDU FilteringDetecta BPDUs en el puerto. Si se recibe alguna se saca al puerto de modo portfast y pasa al estado de bloqueo para cumplir con todos los pasos requeridos por el protocolo.De forma predeterminada, BPDU filtering está desactivado en todos los puertos del switch. Puede configurar BPDU filtering como un valor predeterminado global, que afecta a todos los puertos del switch con el siguiente comando de configuración global:
Switch(config)# spanning-tree portfast bpdufilter default
La palabra clave default indica que el filtrado de BPDU se activará de forma automática en todos los puertos que tienen PortFast habilitado. Si PortFast está deshabilitado en un puerto, entonces el filtrado de BPDU no se habilitará allí.También puede activar o desactivar el BPDU filter en puertos de switch específicos mediante el siguiente comando de configuración de interface:
Switch (config-if) # spanning-tree bpdufilter {enable | disable}
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 6
Describing BPDU Filtering
Switch#show spanning-tree summary totals Root bridge for:VLAN0010EtherChannel misconfiguration guard is enabledExtended system ID is disabledPortfast is enabled by defaultPortFast BPDU Guard is disabled by defaultPortfast BPDU Filter is enabled by defaultLoopguard is disabled by defaultUplinkFast is disabledBackboneFast is disabledPathcost method used is long Name Blocking Listening Learning Forwarding STP Active---------------------- -------- --------- -------- ---------- ----------2 vlans 0 0 0 3 3
Switch(config)#spanning-tree portfast bpdufilter default
• Habilita BPDU filtering
Switch#show spanning-tree summary totals
• Displays BPDU filtering configuration information
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 7
Root Guard
La característica de root guard se ha desarrollado como un medio para controlar a los candidatos a ser un nuevo root bridge en la red.
Básicamente un switch aprende el ID del root bridge. Si otro switch anuncia una BPDU superior, o un bridge ID mejor (valor más bajo) en un puerto que este activado el root guard, el switch local no permitirá que el nuevo switch se convierta en el nuevo root.
Mientras las BPDU superiores se reciben en el puerto, el puerto root se mantendrá inconsistente en el estado de STP y deja de transmitir. No hay datos que puedan ser enviados o recibidos en ese estado, pero el switch puede escuchar las BPDU que son recibidas para detectar la publicación de un nuevo root.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 8
Root Guard
Puede activar el root guard sólo en función de cada puerto. De forma predeterminada está deshabilitado en todos los puertos del switch. Para habilitarla, utilice el comando de configuración de interfaz siguiente:
Switch(config-if)# spanning-tree guard root
Cuando las BPDU superiores ya no se reciben, el puerto vuelve a su estado a través de los estados normales de STP para volver al uso normal.
Utilice root guard en los puertos del switch donde nunca se esperaría encontrar el puente raíz de una VLAN. Cuando una BPDU superior se escucha en el puerto, el puerto se bloquea.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 9
Describiendo Root Guard
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 10
Comandos de configuración Root Guard
Switch(config-if)#spanning-tree guard root
• Configura root guard
Switch#show running-config interface fa 0/1Switch#show spanning-tree inconsistentports
• Verifica root guard
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 11
Verificando Root Guard
Switch#show running-config interface fastethernet 5/8 Building configuration...Current configuration: 67 bytes!interface FastEthernet5/8switchport mode accessspanning-tree guard rootSwitch#show spanning-tree inconsistentports Name Interface Inconsistency-------------------- ---------------------- ------------------VLAN0001 FastEthernet3/1 Port Type InconsistentVLAN0001 FastEthernet3/2 Port Type InconsistentVLAN1002 FastEthernet3/1 Port Type Inconsistent
Number of inconsistent ports (segments) in the system :3
Switch#show running-config interface interface mod/port
• Displays interface configuration information
Switch#show spanning-tree inconsistentports
• Displays information about ports in inconsistent states
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 12
Resumen
•BPDU guard y BPDU filtering protege la operación de STP en puertos PortFast configurados.
•Cuando BPDU guard es configurado globalmente, este afecta a todos los puertos configurados.
•BPDU guard puede ser configurado por puerto.
•BPDU filtering puede ser configurado globalmente o por puerto.
•The root switch no puede ser elegido via BPDUs recibidos en un puerto configurado en un root-guard.
•Root guard puede ser configurado y verificado usando varios comandos.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 13
Preventing STP Forwarding Loops
Preventing STP Forwarding Loops
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 14
Unidirectional Link Failure
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 15
Loop Guard
Root
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 16
Before Loop Guard
Root
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 17
With Loop Guard
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 18
Comandos de configuración UDLD y Loop Guard
Configurando y verificando UDLDudld enable
show udld interface fa0/1
Configurando y verificando loop guardspantree global-default loopguard enable
show spantree guard fa0/1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 19
UDLD UniDirectional Link Detection (UDLD) monitoriza un puerto para
ver si realmente es bidireccional. El switch envía una trama especial de capa 2 UDLD identificando su puerto a intervalos regulares que se puede configurar pero por defecto son 15 segundos. UDLD espera que el switch del otro extremo responda esas tramas por el mismo enlace con su propia identificación añadida. Si la comunicación se mantiene el enlace se considera bidireccional si no se considera unidireccional.
Hay dos modos de operación:
Modo Normal: Cuando se detecta un enlace unidireccional el puerto continua normal y UDLD simplemente marca el puerto con estado indeterminado y genera un mensaje de syslog.
Modo Agresivo: Cuando se detecta un enlace unidireccional se envían mensajes UDLD cada segundo durante 8 segundos, si ninguno de esos mensajes se responden el puerto se pasa al estado errdisabled.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 20
UDLD UDLD puede configurarse de forma global (aunque solo afecta a
los puertos de fibra):
Switch(config)# udld {enable | aggressive | message time seconds}
También podemos configurarlo por cada puerto:
Switch(config-if)# udld {enable | aggressive | disable}
Para modo normal usaremos enable y para modo agresivo aggressive. y podemos indicar el intervalo de los mensajes.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 21
Configurando UDLD
Switch(config)#udld enable
• Enables UDLD globally on all fiber-optic interfaces
Switch(config-if)#udld enable
• Enables UDLD on an individual interface
Switch(config-if)#no udld enable
• Disables UDLD on an individual nonfiber-optic interface
Switch(config-if)#udld disable
• Disables UDLD on an individual fiber-optic interface
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 22
Reseteando y verificando UDLD
Switch# udld reset
• Resets all interfaces that have been shut down by UDLD
Switch#show udld interface
• Displays UDLD information for a specific interface
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 23
Loop GuardMantiene el track de la actividad BPDUs en puertos non-designated. Mientras se reciben BPDUs se permite que el puerto funcione normalmente, pero cuando se dejan de recibir las BPDUs, Loop Guard, pasa el puerto al estado de loop-inconsistente. El puerto sigue bloqueado en este punto para prevenir bucles y que siga como non-designated. Cuando se vuelven a recibir BPDUs por el puerto, Loop Guard hace que el puerto pase por los estados de STP hasta que quede en Forwarding.Por defecto Loop Guard está desactivado en todos los puertos y lo podemos activar globalmente con el siguiente comando:
Switch(config)# spanning-tree loopguard default
y para activarlo o desactivarlo en un puerto concreto podemos usar el comando:
Switch(config-if)# [no] spanning-tree guard loop
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 24
Configurando Loop Guard
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 25
Comparando Loop Guard y UDLD
Loop Guard UDLD
Configuration Per port Per port
Action granularity Per VLAN Per Port
Autorecovery Yes Yes, with errdisable
timeout feature
Protection against STP failures caused by unidirectional links
Yes, when enabled on all root and alternative ports
in redundant topology
Yes, when enabled on all links in redundant topology
Protection against STP failures caused by problem in software, resulting in designated switch not sending BPDU
Yes No
Protection against miswiring No Yes
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 26
Resumen
•UDLD detects and disables an interface with unidirectional connectivity, protecting the network from anomalous STP conditions.
•Loop guard detects and disables an interface with Layer 2 unidirectional connectivity, protecting the network from anomalous STP conditions.
•UDLD and loop guard are configured and verified using specific commands.
• Implementation of UDLD and loop guard protects spanning tree operations from being disrupted due to unidirectional links.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBCMSN 1 - 1 27
Resumen• BPDU Guard: Previene la conexión accidental de dispositivos switch a puertos
habilitados en modo portfast. La conexión de switches para puertos habilitados para PortFast pueden causar loops de Capa 2 y/o cambios de topología.
• BPDU Filter: Restringe a los switch el envió innecesario de BPDU a puertos de acceso.
• Root Guard: Previene a los switches conectados en puertos configurados como puertos de acceso a convertirse en root switch..
• Loop Guard: Mejora la estabilidad de las redes de capa 2 previniendo los loops bridging.
• UDLD: UDLD detecta y deshabilita enlaces unidireccionales.