Kenntnis der Erweiterung von Spanning Tree PortFast BPDU Guard

Download-Optionen

  • PDF     (282.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (104.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (133.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. März 2024
Dokument-ID:10586

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die PortFast Bridge Protocol Data Unit (BPDU) Guard-Verbesserungsfunktion des Spanning Tree Protocol (STP) beschrieben.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    In folgenden Softwareversionen wurde der STP PortFast BPDU Guard eingeführt:

    • Catalyst OS (CatOS) Software-Version 5.4.1 für die Plattformen Catalyst 4500/4000 (Supervisor Engine II), 5500/5000, 6500/6000, 2926, 2926G, 2948G und 2980G

    • Cisco IOS® Softwareversion 12.0(7)XE für die Catalyst 6500/6000-Plattformen

    • Cisco IOS Softwareversion 12.1(8a)EW für die Catalyst 4500/4000 Supervisor Engine III

    • Cisco IOS Softwareversion 12.1(12c)EW für die Catalyst 4500/4000 Supervisor Engine IV

    • Cisco IOS Softwareversion 12.0(5)WC5 für die Catalyst 2900XL- und 3500XL-Serie

    • Cisco IOS Softwareversion 12.1(11)AX für die Switches der Catalyst 3750-Serie

    • Cisco IOS Softwareversion 12.1(14)AX für die Catalyst 3750 Metro-Switches

    • Cisco IOS Softwareversion 12.1(19)EA1 für die Switches der Catalyst 3560-Serie

    • Cisco IOS Softwareversion 12.1(4)EA1 für die Switches der Catalyst 3550-Serie

    • Cisco IOS Softwareversion 12.1(11)AX für die Switches der Catalyst 2970-Serie

    • Cisco IOS Softwareversion 12.1(12c)EA1 für die Switches der Catalyst 2955-Serie

    • Cisco IOS Softwareversion 12.1(6)EA1 für die Switches der Catalyst 2950-Serie

    • Cisco IOS Softwareversion 12.1(11)EA1 für die Catalyst 2950 Long-Reach Ethernet (LRE)-Switches

    • Cisco IOS Softwareversion 12.1(13)AY für die Switches der Catalyst 2940-Serie

    Hinweis: STP PortFast BPDU Guard ist für die Switches der Catalyst 8500-Serie, 2948G-L3 oder 4908G-L3 nicht verfügbar.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konventionen

    Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

    Hintergrundinformationen

    In diesem Dokument wird die PortFast Bridge Protocol Data Unit (BPDU) Guard-Funktion erläutert. Diese Funktion ist eine der von Cisco entwickelten Verbesserungen für das Spanning Tree Protocol (STP). Die Funktion verbessert die Zuverlässigkeit, Verwaltbarkeit und Sicherheit von Switch-Netzwerken.

    Beschreibung

    STP konfiguriert die Mesh-Topologie in einer schleifenfreien, baumartigen Topologie. Wenn die Verbindung auf einem Bridge-Port hergestellt wird, wird die STP-Berechnung auf diesem Port durchgeführt. Das Ergebnis der Berechnung ist der Übergang des Ports in den Weiterleitungs- oder Blockierstatus. Das Ergebnis hängt von der Position des Ports im Netzwerk und den STP-Parametern ab. Dieser Berechnungs- und Übergangszeitraum dauert normalerweise etwa 30 bis 50 Sekunden. Zu diesem Zeitpunkt werden keine Benutzerdaten über den Port übertragen. Bei einigen Benutzeranwendungen kann es dabei zu einer Zeitüberschreitung kommen.

    Um einen sofortigen Übergang des Ports in den Weiterleitungsstatus zu ermöglichen, aktivieren Sie die STP-PortFast-Funktion. PortFast versetzt den Port sofort nach dem Herstellen der Verbindung in den STP-Weiterleitungsmodus. Der Port ist weiterhin an STP beteiligt. Wenn der Port also Teil der Schleife sein soll, wechselt er schließlich in den STP-Blockiermodus.

    Solange der Port an STP beteiligt ist, können einige Geräte die Root-Bridge-Funktion übernehmen und die aktive STP-Topologie beeinflussen. Um die Root-Bridge-Funktion zu übernehmen, wird das Gerät an den Port angeschlossen und führt STP mit einer niedrigeren Bridge-Priorität als derjenigen der aktuellen Root-Bridge aus. Wenn ein anderes Gerät auf diese Weise die Root-Bridge-Funktion übernimmt, wird das Netzwerk suboptimal. Dies ist eine einfache Form eines DoS-Angriffs (Denial of Service) auf das Netzwerk. Die temporäre Einführung und anschließende Entfernung von STP-Geräten mit niedriger Bridge-Priorität (0) führt zu einer permanenten STP-Neuberechnung.

    Die STP PortFast BPDU Guard-Erweiterung ermöglicht es Netzwerkdesignern, die STP-Domänengrenzen zu erzwingen und die aktive Topologie vorhersehbar zu halten. Die Geräte hinter den Ports, auf denen STP PortFast aktiviert ist, können die STP-Topologie nicht beeinflussen. Bei Erhalt von BPDUs deaktiviert der BPDU Guard-Vorgang den Port, für den PortFast konfiguriert ist. Der BPDU-Guard schaltet den Port in den „errdisable“-Status, und eine Meldung wird auf der Konsole angezeigt. Beispiel:

    2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. 
Disabling 2/1 
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1

    Betrachten Sie dieses Beispiel:

    Abbildung 1

    Bridge-VerbindungBridge-Verbindung

    Bridge A hat Priorität 8192 und ist die Root-Bridge für das VLAN. Bridge B hat Priorität 16384 und ist die Backup-Root-Bridge für dasselbe VLAN. Die Bridges A und B, die über eine Gigabit-Ethernet-Verbindung miteinander verbunden sind, bilden einen Core des Netzwerks. Bridge C ist ein Access Switch und PortFast ist auf dem Port konfiguriert, der mit Gerät D verbunden ist. Wenn die anderen STP-Parameter Standardwerte sind, befindet sich der Port von Bridge C, der mit Bridge B verbunden ist, im STP-Blockierungsstatus. Gerät D (PC) nimmt nicht an STP teil. Die gestrichelten Pfeile zeigen den Datenstrom der STP-BPDUs an.

    Abbildung 2

    Linux-basierte Bridge-Anwendung wird auf einem PC gestartetLinux-basierte Bridge-Anwendung wird auf einem PC gestartet

    In Abbildung 2 hat Gerät D begonnen, an STP teilzunehmen. Beispielsweise wird eine Linux-basierte Bridge-Anwendung auf einem PC gestartet. Wenn die Priorität der Software-Bridge 0 oder ein Wert kleiner als die Priorität der Root-Bridge ist, übernimmt die Software-Bridge die Root-Bridge-Funktion. Die Gigabit-Ethernet-Verbindung, die die beiden Core-Switches verbindet, wechselt in den Blockiermodus. Der Übergang bewirkt, dass alle Daten in diesem VLAN über die 100-Mbit/s-Verbindung fließen. Wenn mehr Daten über den Core im VLAN fließen, als die Verbindung aufnehmen kann, werden Frames verworfen. Diese Verwerfung von Frames führt zu einem Verbindungsausfall.

    Die STP PortFast BPDU Guard-Funktion verhindert eine solche Situation. Die Funktion deaktiviert den Port, sobald Bridge C die STP-BPDU von Gerät D empfängt.

    Konfiguration

    Sie können STP PortFast BPDU Guard global aktivieren oder deaktivieren. Dies betrifft alle Ports, für die PortFast konfiguriert ist. Standardmäßig ist STP BPDU Guard deaktiviert. Führen Sie den folgenden Befehl aus, um STP PortFast BPDU Guard auf dem Switch zu aktivieren:

    CatOS-Befehl

    Console> (enable) set spantree portfast bpdu-guard enable 

Spantree portfast bpdu-guard enabled on this switch. 

Console> (enable)

    Cisco IOS® Softwarebefehl

    CatSwitch-IOS(config)# spanning-tree portfast bpduguard 
CatSwitch-IOS(config)

    Wenn STP BPDU Guard den Port deaktiviert, bleibt dieser deaktiviert, es sei denn, er wird manuell aktiviert. Sie können einen Port so konfigurieren, dass er sich aus dem „errdisable“-Status automatisch wieder aktiviert. Führen Sie die folgenden Befehle aus, um das errdisable-timeout interval festzulegen und die timeout-Funktion zu aktivieren:

    CatOS-Befehle

    Console> (enable) set errdisable-timeout interval 400 

Console> (enable) set errdisable-timeout enable bpdu-guard

    Cisco IOS Software-Befehle

    CatSwitch-IOS(config)# errdisable recovery cause bpduguard

CatSwitch-IOS(config)# errdisable recovery interval 400

    Hinweis: Das standardmäßige Timeout-Intervall ist 300 Sekunden; die Timeout-Funktion ist standardmäßig deaktiviert.

    Überwachung

    Führen Sie den nächsten zutreffenden Befehl aus, um zu überprüfen, ob die Funktion aktiviert oder deaktiviert ist.

    Befehlsausgabe

    CatOS-Befehl

    Console> (enable) show spantree summary 
Root switch for vlans: 3-4.
Portfast bpdu-guard enabled for bridge. 
Uplinkfast disabled for bridge.
Backbonefast disabled for bridge.

Summary of Connected Spanning Tree Ports By VLAN:
 
Vlan  Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
   1         0         0        0          1          1
 
   3         0         0        0          1          1
 
   4         0         0        0          1          1
 
  20         0         0        0          1          1

 
Blocking Listening Learning Forwarding STP Active
 
----- -------- --------- -------- ---------- ----------
 
Total        0         0        0          4          4
 
Console> (enable)

    Cisco IOS Software-Befehl

    CatSwitch-IOS# show spanning-tree summary totals 
Root bridge for: none.
PortFast BPDU Guard is enabled
UplinkFast is disabled
BackboneFast is disabled
Spanning tree default pathcost method used is short


Name                 Blocking Listening Learning Forwarding STP Active
-------------------- -------- --------- -------- ---------- ----------
  1 VLAN                 0        0         0        1          1         

CatSwitch-IOS#

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    22-Mar-2024
    Formatierung aktualisiert. Korrigierte CCW-Warnungen. Rezertifizierung.
    1.0
    29-Nov-2001
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Cisco TAC Engineers

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.