Verbetert STP met Root Guard

Downloadopties

  • PDF     (290.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (112.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (127.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:13 december 2024
Document-id:10588

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de STP-functie (Spanning Tree Protocol) van de basisbeveiliging die de betrouwbaarheid en beheerbaarheid van het switched netwerk verbetert. 

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Functiebeschrijving

    De standaard STP biedt geen middelen voor de netwerkbeheerder om de topologie van het geschakelde Layer 2-netwerk (L2) veilig af te dwingen. Een middel om topologie af te dwingen kan vooral belangrijk zijn in netwerken met gedeelde administratieve controle, waar verschillende administratieve entiteiten of bedrijven één geschakeld netwerk beheren.

    De doorstuurtopologie van het geschakelde netwerk wordt berekend. De berekening is gebaseerd op de positie van de root-brug en andere parameters. Elke switch kan de root-brug in een netwerk zijn. Maar een meer optimale doorstuurtopologie plaatst de root-brug op een specifieke, vooraf bepaalde locatie. Met de standaard STP neemt elke brug in het netwerk met een lagere brug-ID de rol van root-brug over. De beheerder kan de positie van de root-brug niet afdwingen.

    Opmerking: De beheerder kan de root-brug op 0 instellen in een poging om de root-brug te beveiligen. Maar er is geen garantie tegen een brug met een prioriteit van 0 en een lager MAC-adres.

    De root guard-functie biedt een manier om de plaatsing van de root-brug in het netwerk af te dwingen.

    De root guard zorgt ervoor dat de poort waarop de root guard is ingeschakeld, de aangewezen poort is. Normaal gesproken zijn root-brugpoorten allemaal aangewezen poorten, tenzij twee of meer poorten van de root-brug met elkaar zijn verbonden. Als de brug superieure STP Bridge Protocol Data Units (BPDU's) ontvangt op een poort die geschikt is voor root guard, zet root guard deze poort in een root-inconsistente STP-status. Deze root-inconsistente toestand is effectief gelijk aan een luistertoestand. Over deze poort wordt geen verkeer doorgestuurd. Op deze manier dwingt de root guard de positie van de root-brug af.

    Het voorbeeld in deze paragraaf laat zien hoe een onbetrouwbare root-brug problemen kan veroorzaken op het netwerk en hoe root guard kan helpen.

    In afbeelding 1 vormen de switches A en B de kern van het netwerk, en is A de root-brug voor een VLAN. Switch C is een switch voor de toegangslaag. De verbinding tussen B en C is geblokkeerd aan de kant van C. De pijlen tonen de stroom van STP BPDU's.

    Afbeelding 1

    Switch A is Root BridgeSwitch A is een root-brug

    In afbeelding 2 begint apparaat D deel te nemen aan STP. Op software gebaseerde bridgetoepassingen worden bijvoorbeeld gestart op pc's of andere switches die u verbindt met een netwerk van een serviceprovider. Als de prioriteit van bridge D 0 is of een waarde lager dan de prioriteit van de root-brug, wordt apparaat D gekozen als root-brug voor dit VLAN. Als de verbinding tussen apparaat A en B één gigabit is en de verbindingen tussen A en C en B en C 100 Mbps zijn, zorgt de selectie van D als root ervoor dat de Gigabit-ethernetverbinding die de twee core-switches verbindt, wordt geblokkeerd.

    Dit blok zorgt ervoor dat alle gegevens in dat VLAN via een 100-Mbps-verbinding over de toegangslaag stromen. Als er meer gegevens via de core in dat VLAN stromen dan deze link kan verwerken, worden sommige frames gedropt De framedrop leidt tot prestatieverlies of een verbindingsonderbreking.

    Afbeelding 2

    Switch D is New Root BridgeSwitch D is een nieuwe root-brug

    De root guard-functie beschermt het netwerk tegen dergelijke problemen.

    De configuratie van root guard gebeurt per poort. Root guard staat niet toe dat de poort een STP root-poort wordt, dus de poort is altijd als STP aangewezen. Als een betere BPDU op deze poort arriveert, houdt root guard geen rekening met de BPDU en kiest het een nieuwe STP-root. In plaats daarvan zet root guard de poort in de root-inconsistente STP-status. U moet root guard op alle poorten inschakelen waar de root-brug niet mag verschijnen. Op die manier kunt u een perimeter configureren rond het deel van het netwerk waar de STP-root zich kan bevinden.

    In Afbeelding 2, schakel de root guard in op de Switch C poort die verbonden is met Switch D.

    Switch C in Afbeelding 2 blokkeert de poort die is aangesloten op Switch D, nadat de switch een superieure BPDU heeft ontvangen. Root guard zet de poort in de root-inconsistente STP-status. Er gaat geen verkeer door de poort in deze status. Nadat apparaat D stopt met het verzenden van superieure BPDU's, wordt de poort weer gedeblokkeerd. Via STP gaat de poort van de luistertoestand naar de leertoestand en uiteindelijk over naar de doorstuurtoestand. automatisch herstel; menselijk ingrijpen is niet nodig.

    Dit bericht verschijnt nadat root guard een poort heeft geblokkeerd:

    %SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

    Beschikbaarheid

    Root guard is beschikbaar in Catalyst 6500/6000 waarop Cisco IOS®-systeemsoftware draait. Deze functie werd voor het eerst geïntroduceerd in Cisco IOS-softwarerelease 12.0(7)XE. Voor de Catalyst 4500/4000 met Cisco IOS-systeemsoftware is deze functie beschikbaar in alle releases.

    Voor Catalyst 2900XL- en 3500XL-switches is root guard beschikbaar in Cisco IOS-softwarerelease 12.0(5)XU en hoger. De switches uit de Catalyst 2950-serie ondersteunen de root guard-functie in Cisco IOS-softwarerelease 12.0(5.2)WC(1) en hoger. De switches uit de Catalyst 3550-serie ondersteunen de root guard-functie in Cisco IOS-softwarerelease 12.1(4)EA1 en hoger. 

    Deze functie is ook beschikbaar op nieuwere switches uit de Cisco Catalyst-serie.

    Configuratie

    Cisco IOS-softwareconfiguratie voor Catalyst 6500/6000 en Catalyst 4500/4000

    Voer op de Catalyst 6500/6000- of Catalyst 4500/4000-switches met Cisco IOS-systeemsoftware deze reeks opdrachten uit om STP root guard te configureren:

    Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
!
Switch#(config)#interface fastethernet 3/1
Switch#(config-if)#spanning-tree guard root
    !

    Opmerking: Cisco IOS-softwarerelease 12.1(3a)E3 voor Catalyst 6500/6000 waarin Cisco IOS-systeemsoftware wordt uitgevoerd, heeft deze opdracht van Spanning-Tree Routing naar Spanning-Tree Guard-root gewijzigd. De Catalyst 4500/4000 met Cisco IOS-systeemsoftware gebruikt het commando spanning-tree guard root in alle versies.

    Cisco IOS-softwareconfiguratie voor Catalyst 2900XL/3500XL, 2950 en 3550

    Op de Catalyst 2900XL, 3500XL, 2950 en 3550 configureert u de switches met root guard in de configuratiemodus van de interface, zoals dit voorbeeld laat zien:

    Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# interface fastethernet 0/8
Switch(config-if)# spanning-tree rootguard
Switch(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on 
port FastEthernet0/8 VLAN 1.
Switch#

    Wat is het verschil tussen STP BPDU Guard en STP Root Guard?

    BPDU guard en root guard zijn vergelijkbaar, maar hun impact is verschillend. BPDU guard schakelt de poort uit na BPDU-ontvangst als PortFast is ingeschakeld op de poort. Het uitschakelen ontzegt apparaten achter dergelijke poorten effectief van deelname aan STP. U moet de poort die in de status Errdisable is gezet handmatig opnieuw inschakelen of errdisable-timeout configureren.

    Root guard staat het apparaat toe om deel te nemen aan STP, zolang het apparaat niet probeert om de root te worden. Als root guard de poort blokkeert, vindt herstel daarna automatisch plaats. Herstel vindt plaats zodra het afwijkende apparaat stopt met het verzenden van superieure BPDU's.

    Voor meer informatie over BPDU Guard, zie Spanning Tree PortFast BPDU Guard Enhancement.

    Helpt de Root Guard bij het probleem met twee roots?

    Er kan zich een eenrichtingsverbindingsfout voordoen tussen twee bruggen in een netwerk. Vanwege de storing ontvangt één brug de BPDU's niet van de root-brug. Met een dergelijke storing ontvangt de root-switch frames die andere switches verzenden, maar de andere switches ontvangen niet de BPDU's die de root-switch verzendt. Dit kan leiden tot een STP-lus. Doordat de andere switches geen BPDU's van de root ontvangen, geloven deze switches dat ze de root zijn en beginnen ze BPDU's te verzenden.

    Wanneer de echte root-brug BPDU's begint te ontvangen, negeert de root de BPDU's omdat ze niet superieur zijn. De root-brug wijzigt niet. Daarom helpt root guard niet om dit probleem op te lossen. De functies UniDirectional Link Detection (UDLD) en loop guard pakken dit probleem aan.

    Voor meer informatie over STP-storingsscenario's en hoe u deze kunt oplossen, raadpleegt u Problemen met het Spanning Tree-protocol en verwante ontwerpoverwegingen.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    13-Dec-2024
    Vaste hyperlink, opmaak en beschrijving.
    2.0
    20-Nov-2023
    Bijgewerkt Titel, SEO en Opmaak.
    1.0
    29-Nov-2001
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Cisco TAC-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten