Spanning-tree bpdu-guard

Содержание
  1. Introduction
  2. Background Information
  3. Syntax
  4. Enable bpdu_protection
  5. Viewing BPDU filtering
  6. Настройка интерфейса для защиты BPDU с помощью режима остановки портов
  7. Configuring BPDU filtering
  8. Enabling and disabling BPDU protection
  9. Настройка интерфейса для защиты BPDU с помощью режима drop BPDU
  10. Настройка защиты BPDU для отдельных интерфейсов, связанных с деревом,
  11. Інші статті рубрики
  12. MSTP BPDU throttling
  13. Configuring MSTP BPDU throttling
  14. Show MSTP BPDU configuration
  15. Event Log
  16. BPDU Skew Detection
  17. Configuration Considerations
  18. Re-enabling a port blocked by BPDU protection
  19. Feature Availability
  20. Prerequisites
  21. Conventions
  22. Понимание защиты BPDU для интерфейсов, связанных с деревом,
  23. Блокирование bpdUs в интерфейсе в течение 600 секунд
  24. Понимание защиты BPDU для stP, RSTP и MSTP
  25. Различные типы bpdUs
  26. STP Loop Guard
  27. Loop Guard versus UDLD
  28. Interoperability of Loop Guard with Other STP Features
  29. Настройка защиты BPDU в интерфейсах
  30. Требования
  31. Обзор и топология
  32. Топологии
  33. Конфигурации
  34. Процедуры
  35. Проверки
  36. Отображение состояния интерфейса до запуска защиты BPDU
  37. Проверка правильности работы защиты от остановки работы BPDU
  38. Проверка правильности работы защиты bpDU Drop
  39. STP Port Roles
  40. Displaying BPDU filtering
  41. Узнайте больше о Huawei

Introduction

This document describes Spanning Tree Protocol features that are intended to improve the Layer 2 network stability.

Background Information

Spanning Tree Protocol (STP) resolves physically redundant topologies into loop-free, tree-like topologies. The biggest issue with STP is that some hardware failures can cause it to fail. This failure creates forwarding loops (or STP loops). Major network outages are caused by STP loops.

This document describes the loop guard STP feature that is intended to improve the stability of the Layer 2 networks. This document also describes Bridge Protocol Data Unit (BPDU) skew detection. BPDU skew detection is a diagnostic feature that generates syslog messages when BPDUs are not received in time.

In an STP environment, switches, end stations, and other Layer 2 devices use Bridge Protocol Data Units (BPDUs) to exchange information that STP will use to determine the best path for data flow.

The BPDU guard, an enhancement to STP, removes a node that reflects BPDUs back in the network. It enforces the STP domain borders and keeps the active topology predictable by not allowing any network devices behind a BPDU guard-enabled port to participate in STP.

BPDU guard is supported on tagged ports as long as it is tagged on both sides to the same VLAN.

AOS-CX 10.07 Command-Line Interface Guide Help Center

no spanning-tree bpdu-guard

Enables the BPDU guard on the selected switch interface. When BPDU guard is enabled, interfaces receiving MSTP BPDUs become disabled.

Occasionally a hardware or software failure can cause MSTP to fail, creating forwarding loops that can cause network failures where unidirectional links are used. The non-designated port transitions in a faulty manner because the port is no longer receiving MSTP BPDUs.

The
form of the command disables BPDU guard on the selected interface.

switch(config)# interface 1/1/1
switch(config-if)# spanning-tree bpdu-guard

switch(config)# interface 1/1/1
switch(config-if)# no spanning-tree bpdu-guard

BPDU protection enabled at the network edge

Spanning-tree bpdu-guard

Syntax

Enables/disables the BPDU protection feature on a port.

Configures the duration of time when protected ports receiving unauthorized BPDUs will remain disabled. The default value of 0 (zero) sets an infinite timeout (that is, ports that are disabled by bpdu-protection are not, by default, re-enabled automatically).

Range: 0 – 65535 seconds

Enables/disables the sending of errant BPDU traps.

To configure the BPDU Attack Protection recovery timer to 120 second for the entire switch:

DES-1210-28/ME:5# config bpdu_protection trap both

Command: config bpdu_protection trap both

Enable bpdu_protection

To enable BPDU attack protection on the entire Switch:

DES-1210-28/ME Metro Ethernet Managed Switch CLI Reference Guide

Used to configure trap and log settings for BPDU attack protection

The config bpdu_protection command to configure the trap and

log state for BPDU attack protection and specify the type of event

sent or logged.

trap – Specifies the trap state. The default state is both trap and log.

log – Specifies the log state. The default state is both trap and log.

none – Specifies that events will not be logged or trapped for both

attack_detected – Specifies that events will be logged or trapped

when a BPDU attack is detected.

attack_cleared – Specifies that events will be logged or trapped

when the BPDU attack is cleared.

both – Specifies that events will be logged or trapped for both cases.

The default setting for log is both and for trap is none.

Used to globally enable BPDU attack protection on the Switch.

The enable bpdu_protection command is used to globally enable

The BPDU Attack Protection function and Spanning Tree Protocol

for ports are mutually exclusive. When the STP function is enabled

on a particular port, BPDU Attack Protection cannot be enabled.

The STP BPDU filter feature allows control of spanning tree participation on a per-port basis. It can be used to exclude specific ports from becoming part of spanning tree operations. A port with the BPDU filter enabled will ignore incoming BPDU packets and stay locked in the spanning tree forwarding state. All other ports will maintain their role.

Enables or disables the BPDU filter feature on specified port(s). This forces a port to always stay in the forwarding state and be excluded from standard STP operation.

Sample scenarios in which this feature may be used are:

  • To have STP operations running on selected ports of the switch rather than every port of the switch at a time.
  • To prevent the spread of errant BPDU frames.
  • To eliminate the need for a topology change when a port’s link status changes. For example, ports that connect to servers and workstations can be configured to remain outside of spanning tree operations.
  • To protect the network from denial of service attacks that use spoofing BPDUs by dropping incoming BPDU frames. For this scenario, BPDU protection offers a more secure alternative, implementing port shut down and a detection alert when errant BPDU frames are received.

Configuring BPDU filtering

To configure BPDU filtering on port a9, enter:

HP Switch(config)#: spanning-tree a9 bpdu-filter

Включил данный функционал на DES-3200-28 Build 1.70.B007 с 1 по 24 портах (клиенты)

config bpdu_protection ports 1-24 state enable mode dropconfig bpdu_protection trap bothconfig bpdu_protection log bothconfig bpdu_protection recovery_timer 60

show bpdu_protection ports

stp отключено, включен только loopdetect

Viewing BPDU filtering

spanning-tree show port configuration

Displays the BPDU filter state.

Viewing BPDU filter status using the show spanning tree command

Spanning-tree bpdu-guard

Viewing BPDU filters using the show configuration command

BPDU filters per port are displayed as separate entries of the spanning tree category within the configuration file.

Spanning-tree bpdu-guard

Настройка интерфейса для защиты BPDU с помощью режима остановки портов

Для настройки защиты BPDU на граничных интерфейсах коммутатора:

Убедитесь, что коммутатор подключен к конечному устройству.

  • Настраивайте любой протокол, охватывающий дерево, на коммутаторе, если он уже не настроен. В этой процедуре настроен RSTP.Протокол RSTP для быстрого охвата дерева настроен по умолчанию на коммутаторе.
  • Включите RSTP в конкретном интерфейсе и установите приоритет для интерфейса, например :
  • Настраивайте ge-0/0/0.0 интерфейс в качестве граничного интерфейса и обеспечивайте защиту BPDU на этом интерфейсе:
  • Убедитесь, что защита BPDU настроена правильно на граничном интерфейсе (ge-0/0/0.0):
    Запустите команду эксплуатационного show ethernet-switching interfaces режима, чтобы обеспечить настройку защиты BPDU на пограничном интерфейсе:На этом выходе вы отмечаете, что интерфейс не работает, поскольку он получил BPD от конечного устройства. Кроме того, обратите внимание, что состояние поля отключено управлением bpdu, что указывает на то, что порт отключен из-за защиты BPDU. Запустите команду операционного show spanning-tree interfaces режима, чтобы убедиться, что интерфейс не отображается на выходе.
  • Запустите команду эксплуатационного show ethernet-switching interfaces режима, чтобы обеспечить настройку защиты BPDU на пограничном интерфейсе:На этом выходе вы отмечаете, что интерфейс не работает, поскольку он получил BPD от конечного устройства. Кроме того, обратите внимание, что состояние поля отключено управлением bpdu, что указывает на то, что порт отключен из-за защиты BPDU.
  • Запустите команду операционного show spanning-tree interfaces режима, чтобы убедиться, что интерфейс не отображается на выходе.

Configuring BPDU filtering

show spanning-tree bpdu-protection

Displays a summary listing of ports with BPDU protection enabled. To display detailed per port status information, enter the specific port numbers as shown here.

Viewing BPDU protection status

Spanning-tree bpdu-guard

BPDU protected ports are displayed as separate entries of the spanning tree category within the configuration file.

Spanning-tree bpdu-guard

Enabling and disabling BPDU protection

Enables or disables BPDU protection on specified port(s).

Configures the duration in seconds when protected ports receiving unauthorized BPDUs will remain disabled. The default value of 0 (zero) sets an infinite timeout (that is, ports that are disabled by bpdu-protection are not, by default, re-enabled automatically).

Range: 0-65535 seconds; Default: 0

Enables or disables the sending of errant BPDU traps.

Configuring BPDU protection

To configure BPDU protection on ports 1 to 10 with SNMP traps enabled, enter:

HP Switch(config)#: spanning-tree 1-10 bpdu protection
HP Switch(config)#: spanning-tree trap errant-bpdu

  • When an STP BPDU packet is received on ports 1-10, STP treats it as an unauthorized transmission attempt and shuts down the port that the BPDU came in on.
  • An event message is logged and an SNMP notification trap is generated.

Настройка интерфейса для защиты BPDU с помощью режима drop BPDU

Для определенных коммутаторов доступа, возможно, вам могут потребоваться интерфейсы на коммутаторе, чтобы не отключиться от столкновения с несовместимыми пакетами BPDU; а не сбрасывать несовместимые пакеты BPDU, позволяя передавать оставшийся трафик. На таком интерфейсе не должен быть настроенный протокол связующего дерева, чтобы пакеты, которые передаются через интерфейс, не вызывали неправильной настройки STP и последующих сбоев в сети.

Чтобы настроить защиту BPDU для интерфейса, чтобы отказаться только от несовместимых пакетов BPDU и разрешить прохождение остающегося трафика, сохраняя при этом статус интерфейса вверх:

Убедитесь, что коммутатор, на котором вы настраиваете защиту BPDU, подключен к одноранговому устройству.

  • Удалите или отключийте любой протокол, охватывающий дерево (например, RSTP, как в этой процедуре), настроенный на коммутаторе или на любом интерфейсе.
    Чтобы удалить протокол, охватывающий дерево, на всем коммутаторе:

    Чтобы удалить протокол связующего дерева в определенном интерфейсе (например, ) на коммутаторе:

    Поскольку RSTP настраивается на коммутаторе по умолчанию, убедитесь, что вы удалите или отключить RSTP, даже если вы не настроили его прямо.

  • Чтобы удалить протокол, охватывающий дерево, на всем коммутаторе:
  • Чтобы удалить протокол связующего дерева в определенном интерфейсе (например, ) на коммутаторе:
  • Убедитесь, что интерфейс, на котором вы хотите обеспечить защиту BPDU, будет и не защищен. Например, если вы хотите настроить защиту BPDU на интерфейс , следует выводить show ethernet-switching interfaces команду, если интерфейс не защищен:В этом выходе обратите внимание, что состояние интерфейса и ценность поля .
  • Обеспечьте защиту BPDU на интерфейсе ( в этой процедуре) для передачи пакетов BPDU:
  • Убедитесь, что защита BPDU настроена на интерфейсе:
    Запустите команду эксплуатационного show ethernet-switching interfaces режима, чтобы обеспечить настройку защиты BPDU на интерфейсе:В этом выходе обратите внимание, что интерфейс работает даже несмотря на то, что он получил несовместимые пакеты BPDU, поскольку для этого интерфейса настроена функция . Кроме того, обратите внимание, что состояние поля включено фильтром xSTP bpdu, который указывает на то, что в этом интерфейсе включена функция BPDU. Запустите команду операционного show spanning-tree interfaces режима, чтобы гарантировать, что интерфейс отображается на выходной и что интерфейса является , что указывает на то, что интерфейс отбрасывает все несовместимые BPDUs:
  • Запустите команду эксплуатационного show ethernet-switching interfaces режима, чтобы обеспечить настройку защиты BPDU на интерфейсе:В этом выходе обратите внимание, что интерфейс работает даже несмотря на то, что он получил несовместимые пакеты BPDU, поскольку для этого интерфейса настроена функция . Кроме того, обратите внимание, что состояние поля включено фильтром xSTP bpdu, который указывает на то, что в этом интерфейсе включена функция BPDU.
  • Запустите команду операционного show spanning-tree interfaces режима, чтобы гарантировать, что интерфейс отображается на выходной и что интерфейса является , что указывает на то, что интерфейс отбрасывает все несовместимые BPDUs:

Настройка защиты BPDU для отдельных интерфейсов, связанных с деревом,

Если вы также включаете факультативное disable-timeout seconds заявление, защищенные интерфейсы автоматически очищаются после указанного интервала времени, если интервал не составляет .

Інші статті рубрики

  • 10.02.2022Мережа FTTH: Застосування GEPON Outdoor Reserve POE ONUЩоб задовольнити потреби розвитку широкосмугового зв’язку, в даний час багато оператори воліють розгортання волоконно-оптичних мереж замість кабельних.
  • 20.01.2022Оптичні атенюатори – види та сфера застосування

MSTP BPDU throttling

When a STP enabled HP Switch is hit by a MSTP BPDU storm, the CPU usage rises and the manageability of the switch goes down. In BYOD solution , the HP Switch is connected to a HUB where there is a loop. The HP Switch generates a single MSTP BPDU, which goes through the loop in the HUB and results in a BPDU storm eventually. Since all STP packets are taken to the CPU for processing, CPU usage goes high and the switch response slows down. The switch can become unmanageable as a result of this BPDU storm. BPDU throttling will take care of BPDU storms automatically via rate-limiting.

MSTP BPDU path

Spanning-tree bpdu-guard

An option is also provided to enabling/disabling BPDU throttling. This option is enabled by default if the switch does not support “V1 modules”. The spanning-tree is enabled in MSTP mode by default.

Configuring MSTP BPDU throttling

The CLI allows you to configure MSTP BPDU throttling.

Configures BPDU throttling on a device. BPDU throttling limits the number of BPDUs that are sent to the switch’s CPU. The result prevents high CPU utilization on the switch when the network undergoes a broadcast storm or loop. The BPDU throttle value is in packets per second (pps). The valid BPDU throttle values are 64, 128, and 256 pps. The default throttle value is 256 pps.

Show MSTP BPDU configuration

The CLI allows you to show MSTP BPDU throttling configurations.

show spanning-tree bpdu-throttle

Displays the configured throttle value.

Example

show running configuration

Event Log

Ip-фабрики центров обработки данных EVPN-VXLAN имеют ряд встроенных механизмов предотвращения циклов Ethernet, таких как разделение горизонтов и назначенные переадресаторы и не назначенные выборы переадресаторов. В некоторых существующих средах центров обработки данных, где развертывается новая IP-фабрика EVPN, вам может потребоваться настроить защиту BPDU в интерфейсе «от листа до сервера», чтобы избежать сбоев в сети из-за ошибок в расчете xSTP. Неправильное кабель между интерфейсами сервера и leaf-интерфейсов или связь уровня 2 между двумя или более интерфейсами ESI-LAG может привести к просчетам, а затем привести к циклу Ethernet. Без защиты BPDU bpDUs могут не распознаться и быть затоплены в виде неизвестных пакетов уровня 2 в интерфейсах VXLAN. Благодаря защите BPDU при получении BPDU на граничных портах в среде EVPN-VXLAN граничные порты отключены и останавливают передачу всего трафика. Вы также можете настроить защиту BPDU для снижения трафика BPDU, но при этом весь другой трафик переадресован на интерфейсы без настройки протокола, охватывающего дерево.

BPDU Skew Detection

STP operation relies heavily on the timely reception of BPDUs. At every hello_time message (2 seconds by default), the root bridge sends BPDUs. Non-root bridges do not regenerate BPDUs for each hello_time message, but they receive relayed BPDUs from the root bridge. Therefore, every non-root bridge must receive BPDUs on every VLAN for each hello_time message. In some cases, BPDUs are lost, or the bridge CPU is too busy to relay BPDU in a timely manner. These issues, as well as other issues, can cause BPDUs to arrive late (if they arrive at all). This issue potentially compromises the stability of the spanning tree topology.

In order to protect the bridge CPU from overload, a syslog message is not generated every time BPDU skewing occurs. Messages are rate-limited to one message every 60 seconds. However, must the delay of BPDU exceed max_age divided by 2 (which equals 10 seconds by default), the message is immediately printed.

Note: BPDU skew detection is a diagnostic feature. Upon detection of BPDU skewing, it sends a syslog message. BPDU skew detection takes no further corrective action.

Note: BPDU skew detection feature is not supported in Catalyst switches that run Cisco IOS system software

This is an example of a syslog message generated by BPDU skew detection:

%SPANTREE-2-BPDU_SKEWING: BPDU skewed with a delay of 10 secs (max_age/2)

Configuration Considerations

BPDU skew detection is configured on a per-switch basis. The default setting is disabled. Issue this command in order to enable BPDU skew detection:

Re-enabling a port blocked by BPDU protection

Ports disabled by BPDU Protection remain disabled unless BPDU Protection is removed from the switch or by configuring a nonzero BPDU protection timeout. For example, if you want to re-enable protected ports 60 seconds after receiving a BPDU, you would use this command:

Displaying BPDU protection status

Spanning-tree bpdu-guard

Displaying BPDU filters using the show configuration command

Spanning-tree bpdu-guard

Feature Availability

  • The STP loop guard feature was introduced in CatOS version 6.2.1 of the Catalyst software for Catalyst 4000 and Catalyst 5000 platforms and in version 6.2.2 for the Catalyst 6000 platform.
  • The BPDU skew detection feature was introduced in CatOS version 6.2.1 of the Catalyst software for Catalyst 4000 and Catalyst 5000 platforms and in version 6.2.2 for the Catalyst 6000 platform.
  • The STP loop guard feature was introduced in Cisco IOS Software Release 12.1(12c)EW for Catalyst 4500 switches and Cisco IOS Software Release 12.1(11b)EX for Catalyst 6500.
  • The BPDU skew detection feature is not supported in Catalyst switches that run Cisco IOS system software.

Prerequisites

This document is based on Catalyst switches, however the availability of the features described can depend on the software release used.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, ensure that you understand the potential impact of any command.

Conventions

В среде мостов уровня 2 протоколы, охватывающие дерево, используют кадры данных, называемые модульными устройствами обработки данных (BPDUs), для обмена информацией между мостами.

Протоколы, охватывающие дерево в одноранговых системах, обмениваются bpDUs, которые содержат информацию о роли портов, мостовых идентификациях и затратах на корневой путь. На каждом маршрутизаторе или коммутаторе протокол, охватывающий дерево, использует эту информацию для выбора корневого моста, определения корневых портов для каждого коммутатора, определения назначенных портов для каждого физического сегмента LAN и обрезания конкретных резервных каналов для создания топологии дерева без цикла. Полученная топология дерева обеспечивает один активный путь данных уровня 2 между двумя конечными станциями.

При обсуждении протоколов, охватывающих дерево, термины bridge и switch часто используются взаимозаменяемо.

Передача BPDUs контролируется процессом протокола управления уровня 2 (l2cpd) на универсальных платформах маршрутизации серии MX 5G.

Передача периодических пакетов от имени процесса l2cpd осуществляется периодическим управлением пакетами (PPM), которое, по умолчанию, настроено для запуска на двигателе переадресации пакетов. Процесс промилле в механизме переадресации пакетов обеспечивает передачу BPDUs даже тогда, когда l2cpd недоступен, и поддерживает удаленные смежности во время унифицированного обновления программного обеспечения во время работы сервисов (ISSU). Однако если вы хотите, чтобы процесс распределенной PPM (ppmd) проходил на двигателе маршрутизации вместо модуля переадресации пакетов, вы можете отключить процесс ppmd на двигателе передачи пакетов.

На маршрутизаторах и коммутаторах с резервными модулями маршрутизации (два модуля маршрутизации, которые установлены в одном маршрутизаторе), можно настраивать непрерывное подключение. Беспрерывная преодоление позволяет маршрутизатору перейти от основного модуля маршрутизации к резервному механизму маршрутизации без потери информации о протоколе управления уровня 2 (L2CP). Для беспрерывной передачи данных о интерфейсе и ядре используется та же инфраструктура, что и изящная коммутация модуля маршрутизации (GRES). Однако бесперебойное преодоление также экономит информацию о L2CP, выполняя процесс l2cpd на резервном двигателе маршрутизации.

Для беспрерывного подключения необходимо сначала включить GRES.

Непрерывное подключение поддерживается для следующих протоколов управления уровня 2:

Понимание защиты BPDU для интерфейсов, связанных с деревом,

Маршрутизаторы серии ACX, маршрутизаторы серии MX, маршрутизаторы серии PTX, коммутаторы серии EX и коммутаторы серии QFX поддерживают протоколы, охватывающие дерево, которые предотвращают циклы в сети, создавая топологию дерева (связующего дерева) всей мостовой сети. Во всех протоколах, охватывающих дерево, используется специальный тип кадра, называемый единицами данных протокола моста (BPDUs) для связи друг с другом. Другие устройства в сети, такие как ПК, создают собственные BPD-процессоры, которые не совместимы с bpD-процессорами, охватывающими дерево. Когда BPDUs, генерируемые другими устройствами, передаются коммутаторам, на которых настраиваются протоколы, охватывающие дерево, может произойти неправильное конфигурирование в связующей дереве и сбое сети. Поэтому необходимо защищать интерфейс в топологии, охватывающей дерево, от BPDUs, генерируемых с других устройств.

По умолчанию, если в защищенном интерфейсе получен кадр протокола BPDU(BPDU), система отключит интерфейс и остановит переадресации кадров из интерфейса до тех пор, пока интерфейс не будет явно очищен.

Семейство протоколов STP предназначено для разрыва возможных циклов в сети с мостом уровня 2. Предотвращение циклов позволяет избежать разрушительных бурь вещания, которые потенциально могут сделать сеть бесполезной. Процессы STP на мостах обмениваются bpDUs для определения топологии локальной сети, определения корневого моста, остановки переадресации в некоторых портах и т. д. Однако неправильное обслуживание приложения или устройства может препятствовать работе протоколов STP и создавать проблемы в сети.

На маршрутизаторах и коммутаторах, поддерживающих STP, можно настроить защиту BPDU, чтобы игнорировать BPDUs, полученные в интерфейсах, где ничего не следует ожидать (например, интерфейс LAN на границе сети без каких-либо других мостов). При получении BPDU на защищенном интерфейсе интерфейс отключен и блокируется переадресация кадров. По умолчанию все bpD-устройства принимаются и обрабатываются во всех интерфейсах.

Вы можете настроить защиту BPDU на интерфейсы со следующими типами инкапсуляции:

Вы можете настроить защиту BPDU в отдельных интерфейсах или на всех пограничных портах моста.

Блокирование bpdUs в интерфейсе в течение 600 секунд

Следующий пример: при использовании с полной конфигурацией моста с агрегированной сетью Ethernet блокируйте BPDUs на в течение 10 минут (600 секунд), прежде чем вновь включите интерфейс:

Понимание защиты BPDU для stP, RSTP и MSTP

Сети часто используют несколько протоколов одновременно для достижения разных целей, а в некоторых случаях эти протоколы могут противоречить друг другу. Одним из таких примеров является активное использование протоколов между деревами в сети, когда специальный тип коммутационного кадра, называемый устройством обработки данных протокола моста (BPDU), может противоречить bpD-процессорам, генерируемым на других устройствах, таких как ПК. Различные типы BPDUs несовместимы, но они все еще могут быть признаны другими устройствами, которые используют BPDUs и вызывают сбои в сети. Вы должны защитить любое устройство, которое распознает bpDUs, от сбора несовместимых BPDUs.

Различные типы bpdUs

Протоколы, охватывающие дерево, такие как Spanning Tree Protocol (STP), протокол RSTP, протокол VLAN, охватывающий дерево (VSTP), а также протокол MSTP, генерируют собственные BPDUs. Эти одноранговые приложения STP используют свои bpDUs для передачи информации, и в конечном счете обмен BPDUs определяет, какие интерфейсы блокируют трафик и какие интерфейсы становятся корневыми портами. Корневые порты и назначенные порты переадресовки трафика; альтернативные и резервное копирование портов блокируют трафик.

Displays a summary listing of ports with BPDU protection enabled. To display detailed per-port status information, enter the specific port number(s). BPDU protected ports are displayed as separate entries of the spanning tree category within the configuration file.

Displaying BPDU protection status for specific ports

HP Switch#: show spanning-tree bpdu-protection 23-24

Status and Counters – STP BPDU Protection Information

BPDU Protection Timeout (sec) : 0
BPDU Protected Ports : 23-24

Port Type Protection State Errant BPDUs
—— ——— ———- —————– ————
23 100/1000T Yes Bpdu Error 1
24 100/1000T Yes 0

STP Loop Guard

Once the BPDU is received on a port in a loop-inconsistent STP state, the port transitions into another STP state. To the received BPDU, this means that the recovery is automatic, and intervention is not necessary. After recovery, this message is logged:

Consider this example to illustrate this behavior:

Switch A is the root switch. Switch C does not receive BPDUs from switch B due to unidirectional link failure on the link between switch B and switch C.

Loop is Created

Loop Guard Enabled prevents Loop

Ports with Loop Guard Enabled

By default, loop guard is disabled. This command is used to enable loop guard:

With version 7.1(1) of the Catalyst software (CatOS), loop guard can be enabled globally on all ports. Effectively, loop guard is enabled on all point-to-point links. The point-to-point link is detected by the duplex status of the link. If duplex is full, the link is considered point-to-point. It is still possible to configure, or override, global settings on a per-port basis.

Issue this command in order to enable loop guard globally:

Issue this command in order to disable loop guard:

Issue this command in order to globally disable loop guard:

Issue this command in order to verify loop guard status:

Loop Guard versus UDLD

Loop guard and Unidirectional Link Detection (UDLD) functionality overlap, partly in the sense that both protect against STP failures caused by unidirectional links. However, these two features differ in functionality and how they approach the problem. This table describes loop guard and UDLD functionality:

As described, the highest level of protection is provided when you enable UDLD and loop guard.

Interoperability of Loop Guard with Other STP Features

The root guard is mutually exclusive with the loop guard. The root guard is used on designated ports, and it does not allow the port to become non-designated. The loop guard works on non-designated ports and does not allow the port to become designated through the expiration of max_age. The root guard cannot be enabled on the same port as the loop guard. When the loop guard is configured on the port, it disables the root guard configured on the same port.

Uplink Fast and Backbone Fast

PortFast and BPDU Guard and Dynamic VLAN

Loop guard cannot be enabled for ports on which portfast is enabled. Since BPDU guard works on portfast-enabled ports, some restrictions apply to BPDU guard. Loop guard cannot be enabled on dynamic VLAN ports since these ports have portfast enabled.

Multiple Spanning Tree (MST)

Loop guard functions correctly in the MST environment.

Loop guard can operate correctly with BPDU skew detection.

Настройка защиты BPDU в интерфейсах

При обеспечении защиты BPDU интерфейс отключается или отбрасывает пакеты BPDU при возникновении несовместимых BPDU, тем самым предотвращая доступ Коммутаторов коммутаторам с помощью интерфейса, генерируемого протоколами связующего дерева. При настройке интерфейса для передачи пакетов BPDU весь трафик, за исключением несовместимых BPDUs, может проходить через интерфейс.

Функция капли BPDU может быть указана только в интерфейсах, на которых не настроен протокол связующего дерева.

В этом примере обеспечивается защита BPDU в нисходящих интерфейсах коммутаторов STP, которые подключаются к двум ПК:

Требования

В этом примере используются следующие компоненты аппаратного и программного обеспечения:

  • Один коммутатор серии EX в топологии RSTP
  • Один коммутатор серии EX, который не входит в топологию, охватывающую дерево,
  • Ос Junos версии 9.1 или более поздней версии для коммутаторов серии EX

Прежде чем настроить интерфейсы на коммутаторе 2 для защиты BPDU, убедитесь, что у вас есть:

По умолчанию RSTP включен на всех коммутаторах серии EX.

Обзор и топология

В этом примере объясняется, как настроить защиту BPDU в интерфейсе.

На рис. 1 показана топология этого примера. Коммутаторы 1 и коммутаторы 2 подключены через магистральный интерфейс. Коммутатор 1 настроен для RSTP, в то время как коммутатор 2 настроен на него для первого сценария и не имеет на нем протокола связующего дерева для второго сценария.

В первом сценарии этот пример настраивает защиту BPDU внизу на интерфейсах коммутатора 2 и , когда на этих интерфейсах не отключен протокол RSTP по умолчанию. Когда защита BPDU включена с shutdown констатационной версией, интерфейсы коммутаторов будут закрыты, если BPDUs, генерируемые ноутбуками, попытаются получить доступ к коммутатору 2.

Во втором сценарии этот пример настраивает защиту BPDU в интерфейсах коммутатора 2 и при отключении протокола RSTP по умолчанию. Когда защита BPDU включена в drop заявлении, интерфейсы коммутаторов сокращают только BPDUs, позволяя оставшемуся трафику проходить через и сохранять свой статус вверх, если BPDUs, генерируемые ноутбуками, пытаются получить доступ к коммутатору 2.

При настройке защиты BPDU на интерфейсе без связки деревьев, подключенных к коммутатору с деревьями, охватывающих деревья, будьте осторожны, чтобы не настроить защиту BPDU на интерфейсах. Это может предотвратить получение BPD-интерфейсов в интерфейсах коммутаторов (например, магистральный интерфейс), которые вы намеревались получить BPDUs от коммутатора с шпангоутами деревьев.

Топологии

Топология
защиты BPDU

В таблице 1 показаны компоненты, которые будут настроены для защиты BPDU.

Конфигурации

Для настройки защиты BPDU на интерфейсах:

Процедуры

Это первый сценарий, который объясняет конфигурацию для заявления shutdown . Чтобы быстро настроить защиту BPDU на коммутаторе 2 для shutdown констатации, копируйте следующие команды и вставить их в окно терминала коммутатора:

Пошаговая процедура

Для настройки защиты BPDU для заявления shutdown :

Результаты

Проверить результаты конфигурации:

Это второй сценарий, который объясняет конфигурацию для заявления drop . Чтобы быстро настроить защиту BPDU на коммутаторе 2 для drop констатации, копируйте следующие команды и вставить их в окно терминала коммутатора:

Вы также можете отключить RSTP по всему миру с помощью протоколов удаления rstp, set protocols rstp disablea или set protocols rstp interface all disable команды.

Для настройки защиты BPDU для заявления drop :

  • Отключить RSTP на обоих интерфейсах и интерфейсов:
  • Настройте заявление BPDU drop о нисходящем на коммутаторе 2:

Проверки

Чтобы подтвердить правильность работы конфигурации, выполняйте следующие задачи:

Отображение состояния интерфейса до запуска защиты BPDU

Прежде чем любые BPDUs можно получить на коммутаторе 2 в или , подтвердите состояние этих интерфейсов.

Действий

Используйте командный show ethernet-switching interfacesрежим эксплуатации:

Смысл

Выходной результат команды операционного режима show ethernet-switching interfaces показывает, что и интерфейс и разблокируются.

Проверка правильности работы защиты от остановки работы BPDU

Убедитесь, что защита BPDU работает правильно в сети, проверяя, защищены ли BPDUs надлежащим образом.

Вопрос show ethernet-switching interfaces , чтобы узнать, что произошло, когда bpDUs достигли двух интерфейсов, настроенных для защиты BPDU на коммутаторе 2:

Когда bpDUs, отправленные с ноутбуков, достигли интерфейсов и на коммутаторе 2, интерфейсы перешли к несовместимому состоянию BPDU, отключив два интерфейса, чтобы предотвратить доступ bpDUs к ноутбукам.

Необходимо повторно включить защищенные интерфейсы. Это можно сделать двумя способами. Если вы включили заявление о отключении времени в конфигурации BPDU, интерфейс возвращается в сервис после истечения срока службы. В противном случае используйте четкий интерфейс ethernet-коммутации bpdu-ошибки в рабочем режиме, чтобы отключить и повторно включить и . Эта команда будет только повторно включить интерфейс, но конфигурация BPDU для интерфейса будет продолжать существовать, если вы не удалите конфигурацию BPDU явно.

Если bpDUs снова попадет в нисходящие интерфейсы на коммутаторе 2, защита BPDU снова запускается, а интерфейсы отключаются. В таких случаях необходимо найти и устранить неправильные конфигурации, которые направляют BPDUs в интерфейсы и .

Проверка правильности работы защиты bpDU Drop

Убедитесь, что защита от падения BPDU работает правильно в сети, проверяя, защищены ли BPDUs надлежащим образом.

Когда bpDUs, отправленные с ноутбуков, достигли интерфейсов и на коммутаторе 2, интерфейсы отключили эти BPDUs, чтобы предотвратить их достижение коммутатора 2, и состояние обоих интерфейсов .

STP Port Roles

  • Designated—One designated port is elected per link (segment). The designated port is the port closest to the root bridge. This port sends BPDUs on the link (segment) and forwards traffic towards the root bridge. In an STP converged network, each designated port is in the STP forwarding state.
  • Root—The bridge can have only one root port. The root port is the port that leads to the root bridge. In an STP converged network, the root port is in the STP forwarding state.

Displaying BPDU filtering

Displaying BPDU filter status using the show spanning tree command

Spanning-tree bpdu-guard

This example shows how BPDU filters per port are displayed as separate entries of the spanning tree category within the configuration file.

Spanning-tree bpdu-guard

Оцените статью
Huawei Devices
Добавить комментарий