Describiendo mecanismos de estabilidad para STP

Describiendo mecanismos de seguridad para STP

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Proteccin a la operacin de STP

Proteccin en switch que son agregados para puertos PortFast. BPDU guard bloquea y/o baja los puertos. BPDU filter Especifica la accin que debe ser tomada cuando las BPDUs son recibidas.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

BPDU Guard
La funcin de BPDU Guard es proteger an ms la integridad de los puertos del switch que tienen PortFast habilitado. De forma predeterminada, BPDU Guard est desactivado en todos los puertos del switch. Se puede configurar BPDU Guard como un valor predeterminado en forma global el cual afecta a todos los puertos del switch con un solo comando. Todos los puertos que tienen Port-Fast permiten tambin tener BPDU Guard habilitado automticamente. Tambin puede activar o desactivar BPDU Guard puerto por puerto, con el comando de configuracin para interfaces: Switch (config-if) # [no] spanning-tree bpduguard enable

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Habilitando y verificando BPDU Guard

Switch(config)#spanning-tree portfast bpduguard

Habilita BPDU guard

Switch#show spanning-tree summary totals

Despliega informacin de la configuracin BPDU

Switch#show spanning-tree summary totals Root bridge for: none. PortFast BPDU Guard is enabled Etherchannel misconfiguration guard is enabled UplinkFast is disabled BackboneFast is disabled Default pathcost method used is short Name Blocking Listening Learning Forwarding STP Active -------------------- -------- --------- -------- ---------- ---------34 VLANs 0 0 0 36 36

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

BPDU Filtering
Detecta BPDUs en el puerto. Si se recibe alguna se saca al puerto de modo portfast y pasa al estado de bloqueo para cumplir con todos los pasos requeridos por el protocolo. De forma predeterminada, BPDU filtering est desactivado en todos los puertos del switch. Puede configurar BPDU filtering como un valor predeterminado global, que afecta a todos los puertos del switch con el siguiente comando de configuracin global: Switch(config)# spanning-tree portfast bpdufilter default

La palabra clave default indica que el filtrado de BPDU se activar de forma automtica en todos los puertos que tienen PortFast habilitado. Si PortFast est deshabilitado en un puerto, entonces el filtrado de BPDU no se habilitar all. Tambin puede activar o desactivar el BPDU filter en puertos de switch especficos mediante el siguiente comando de configuracin de interface: Switch (config-if) # spanning-tree bpdufilter {enable | disable}

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Describing BPDU Filtering

Switch(config)#spanning-tree portfast bpdufilter default

Habilita BPDU filtering

Switch#show spanning-tree summary totals

Displays BPDU filtering configuration information

Switch#show spanning-tree summary totals Root bridge for:VLAN0010 EtherChannel misconfiguration guard is enabled Extended system ID is disabled Portfast is enabled by default PortFast BPDU Guard is disabled by default Portfast BPDU Filter is enabled by default Loopguard is disabled by default UplinkFast is disabled BackboneFast is disabled Pathcost method used is long

Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------2 vlans 0 0 0 3 3

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Root Guard
La caracterstica de root guard se ha desarrollado como un medio para controlar a los candidatos a ser un nuevo root bridge en la red. Bsicamente un switch aprende el ID del root bridge. Si otro switch anuncia una BPDU superior, o un bridge ID mejor (valor ms bajo) en un puerto que este activado el root guard, el switch local no permitir que el nuevo switch se convierta en el nuevo root.

Mientras las BPDU superiores se reciben en el puerto, el puerto root se mantendr inconsistente en el estado de STP y deja de transmitir. No hay datos que puedan ser enviados o recibidos en ese estado, pero el switch puede escuchar las BPDU que son recibidas para detectar la publicacin de un nuevo root.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Root Guard
Puede activar el root guard slo en funcin de cada puerto. De forma predeterminada est deshabilitado en todos los puertos del switch. Para habilitarla, utilice el comando de configuracin de interfaz siguiente: Switch(config-if)# spanning-tree guard root Cuando las BPDU superiores ya no se reciben, el puerto vuelve a su estado a travs de los estados normales de STP para volver al uso normal.

Utilice root guard en los puertos del switch donde nunca se esperara encontrar el puente raz de una VLAN. Cuando una BPDU superior se escucha en el puerto, el puerto se bloquea.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Describiendo Root Guard

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

Comandos de configuracin Root Guard

Switch(config-if)#spanning-tree guard root

Configura root guard

Switch#show running-config interface fa 0/1 Switch#show spanning-tree inconsistentports

Verifica root guard

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

10

Verificando Root Guard

Switch#show running-config interface interface mod/port

Displays interface configuration information

Switch#show spanning-tree inconsistentports

Displays information about ports in inconsistent states

Switch#show running-config interface fastethernet 5/8 Building configuration... Current configuration: 67 bytes ! interface FastEthernet5/8 switchport mode access spanning-tree guard root Switch#show spanning-tree inconsistentports Name Interface Inconsistency -------------------- ---------------------- -----------------VLAN0001 FastEthernet3/1 Port Type Inconsistent VLAN0001 FastEthernet3/2 Port Type Inconsistent VLAN1002 FastEthernet3/1 Port Type Inconsistent Number of inconsistent ports (segments) in the system :3
BCMSN 1 - 1 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential

11

Resumen
BPDU guard y BPDU filtering protege la operacin de STP en puertos PortFast configurados. Cuando BPDU guard es configurado globalmente, este afecta a todos los puertos configurados. BPDU guard puede ser configurado por puerto. BPDU filtering puede ser configurado globalmente o por puerto. The root switch no puede ser elegido via BPDUs recibidos en un puerto configurado en un root-guard. Root guard puede ser configurado y verificado usando varios comandos.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

12

Preventing STP Forwarding Loops

Preventing STP Forwarding Loops

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

13

Unidirectional Link Failure

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

14

Loop Guard
Root

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

15

Before Loop Guard

Root

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

16

With Loop Guard

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

17

Comandos de configuracin UDLD y Loop Guard

Configurando y verificando UDLD
udld enable show udld interface fa0/1

Configurando y verificando loop guard

spantree global-default loopguard enable

show spantree guard fa0/1

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

18

UDLD
UniDirectional Link Detection (UDLD) monitoriza un puerto para ver si realmente es bidireccional. El switch enva una trama especial de capa 2 UDLD identificando su puerto a intervalos regulares que se puede configurar pero por defecto son 15 segundos. UDLD espera que el switch del otro extremo responda esas tramas por el mismo enlace con su propia identificacin aadida. Si la comunicacin se mantiene el enlace se considera bidireccional si no se considera unidireccional.

Hay dos modos de operacin:

Modo Normal: Cuando se detecta un enlace unidireccional el puerto continua normal y UDLD simplemente marca el puerto con estado indeterminado y genera un mensaje de syslog.

Modo Agresivo: Cuando se detecta un enlace unidireccional se envan mensajes UDLD cada segundo durante 8 segundos, si ninguno de esos mensajes se responden el puerto se pasa al estado errdisabled.
BCMSN 1 - 1 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential

19

UDLD
UDLD puede configurarse de forma global (aunque solo afecta a los puertos de fibra): Switch(config)# udld {enable | aggressive | message time seconds}

Tambin podemos configurarlo por cada puerto:

Switch(config-if)# udld {enable | aggressive | disable}

Para modo normal usaremos enable y para modo agresivo aggressive. y podemos indicar el intervalo de los mensajes.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

20

Configurando UDLD
Switch(config)#udld enable

Enables UDLD globally on all fiber-optic interfaces

Switch(config-if)#udld enable

Enables UDLD on an individual interface

Switch(config-if)#no udld enable

Disables UDLD on an individual nonfiber-optic interface

Switch(config-if)#udld disable

Disables UDLD on an individual fiber-optic interface

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

21

Reseteando y verificando UDLD

Switch# udld reset

Resets all interfaces that have been shut down by UDLD

Switch#show udld interface

Displays UDLD information for a specific interface

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

22

Loop Guard
Mantiene el track de la actividad BPDUs en puertos non-designated. Mientras se reciben BPDUs se permite que el puerto funcione normalmente, pero cuando se dejan de recibir las BPDUs, Loop Guard, pasa el puerto al estado de loop-inconsistente. El puerto sigue bloqueado en este punto para prevenir bucles y que siga como nondesignated. Cuando se vuelven a recibir BPDUs por el puerto, Loop Guard hace que el puerto pase por los estados de STP hasta que quede en Forwarding. Por defecto Loop Guard est desactivado en todos los puertos y lo podemos activar globalmente con el siguiente comando:

Switch(config)# spanning-tree loopguard default

y para activarlo o desactivarlo en un puerto concreto podemos usar el comando: Switch(config-if)# [no] spanning-tree guard loop
BCMSN 1 - 1 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential

23

Configurando Loop Guard

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

24

Comparando Loop Guard y UDLD

Loop Guard
Configuration Action granularity Autorecovery Per port Per VLAN Yes

UDLD
Per port Per Port Yes, with errdisable timeout feature Yes, when enabled on all links in redundant topology No

Protection against STP failures caused by unidirectional links Protection against STP failures caused by problem in software, resulting in designated switch not sending BPDU Protection against miswiring

Yes, when enabled on all root and alternative ports in redundant topology Yes

No

Yes

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

25

Resumen
UDLD detects and disables an interface with unidirectional connectivity, protecting the network from anomalous STP conditions. Loop guard detects and disables an interface with Layer 2 unidirectional connectivity, protecting the network from anomalous STP conditions. UDLD and loop guard are configured and verified using specific commands.

Implementation of UDLD and loop guard protects spanning tree operations from being disrupted due to unidirectional links.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

26

Resumen
BPDU Guard: Previene la conexin accidental de dispositivos switch a puertos habilitados en modo portfast. La conexin de switches para puertos habilitados para PortFast pueden causar loops de Capa 2 y/o cambios de topologa. BPDU Filter: Restringe a los switch el envi innecesario de BPDU a puertos de acceso. Root Guard: Previene a los switches conectados en puertos configurados como puertos de acceso a convertirse en root switch.. Loop Guard: Mejora la estabilidad de las redes de capa 2 previniendo los loops bridging. UDLD: UDLD detecta y deshabilita enlaces unidireccionales.

BCMSN 1 - 1

2006 Cisco Systems, Inc. All rights reserved.

Cisco Confidential

27