cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
11713
Visitas
0
ÚTIL
3
Respuestas

Root Guard y Portfast BPDUGuard

Tengo una cascada de 7 Switch Cisco Catalyst 2960G mas un Core Cisco Catalyst 3560G en donde tengo configurado varias VLANs y con Rapid STP en estos dias tuve una pequeña intermitencia debido a que pusieron otro Switch Cisco y obviamente empezo a renegociar el STP por lo cual hubo intermitancia en las conexiones. Estuve mirando y vi algo sobre Root Guard, Portfast BPDUGuard y con esto proteger la red de este tipo de conexiones, sin embargo entiendo lo del portfast el cual aplica a puertos de acceso y me los protege de conexiones inesperadas pero si se conecta a un puerto Trunk (en donde no aplica el portfast) ¿Como puedo proteger que renegocie el STP y como debo utilizar el Root Guard?

2 SOLUCIONES ACEPTADAS

Soluciones aceptadas

jose cortes
Level 1
Level 1

hola Javier, 

En primera instancia este tipo de configuraciones son   implementadas en redes sobre las cuales tengas un equema claro, es   decir, deber saber quien es el root para cada VLAN asi como el Secondary   Root y como estan connectados.

El root guard se  utiliza para bloquear  BPDUs que se identifiquen como Root en un puerto  determinado, de esta  manera evitas que si un nuevo Switch (tal vez  heredado de otra red)  entra a formar parte de tu topologia y  adicinalmente tiene un ID menor  entonces se pueda volver el root y  hacer que tu red converga con  respecto a el. 

El Root  guard nunca debe utilizarse en Switches de  Acceso (a menos que este  sea el root lo cual no es una practica  recomendable). Nunca debe  configurarse en un uplink con conexion hacia  el Root de tu red y  siempre en los downlinks de los switches de  Distribucion para evitar  que los switch de acceso puedan volverse el  root.

El  BPDU guard se utiliza con el fin de evitar la entrada de  cualquier BPDU  por un determinado puerto en el cual no debe recibirse  nunca una BPDU.  Puedes conbinarlos con el Porffast para los puertos de  acceso.

Por  ultimo, con RSTP ya tienes de por si una rapida  convergencia.  Adicionalmente evita demasiados dispositivos en una misma  estancia de  STP ya que el Delay en la propagacion de las BPDU puede  generar  inconsistencias. Si tu red es muy extensa procura utilizar  MSTP.

Cordialmente,  Jose

Ver la solución en mensaje original publicado

Hola Oscar,

Tu configuracion me parece apropiada para los switches de accesso. Debes tener ne cuenta que dado que tu switch the core es el que enruta todo el trafico entre las VLANs (esto lo estoy asumiendo) deberia ser el root para todos las instancias de STP. Si utilizas el comando spanning-tree vlan "Todas las Vlans" root primary garantizas esto si y solo si un dispositivo nuevo no tiene una ID menor. En realidad el comando no es dinamico, es decir, el no lee de alguna forma quien tiene el menor ID solo lo reduce suponiendo que con un valor menor va a ser el root, en realidad esto es una macro y si lo aplicas varias veces veras que el valor sigue decrementandose.

Por lo gener cuando se conecta un switch heredado de otra Red es recomendable hacer lo siguiente:

1. Borrar la VLAN database reseteando asi el Revision Number y evitando que tu configuracion de VLANs sea reemplazada por la configuracion del switch heredado.

2. Configurar la prioridad de STP a un valor muy alto o al valor por defecto de manera que la red no converja hacia el.

en Tus switches de distribucion configurad el ROOT GUARD en los puerto que conecten con switches de acceso (trunks), de esta manera evitas que cualquier switch conectado ahi pueda convertirse en el root, adicionalmente te permite identificar switches con un menor ID y corregirlo en lugar de esperar a que toda tu red se afecte.

NUNCA configures el ROOT GUARD en los puertos que van connectados directamente al root o por medio de los cuales el Switch conoce al root, si haces esto toda esta porcion de red hasta los accesos quedara aislada.

Evita conectar estaciones de trabajos o dispositivos finales en tu switch de core.

Y en ultima instancia frente a las cascadas, evita tener un unico path entre tu switch mas remoto y tu Core, intenta utilizar Etherchannel y en la medida de lo posible intenta distribuir tus switches de acceso a uno o dos switch de distribucion los cuales tengan una redundancia hacia el core, con esto garantiza las dispinbilidad del servicio.

Creo que son todas la recomendacion que me vienen a la cabeza. Hay que aclarar que muchas de las buenas practicas estan limitada al Presupuesto con el que cuentes, pero se puede tener una buena red con una buena configuracion.

Cordialmente,

Jose

Ver la solución en mensaje original publicado

3 RESPUESTAS 3

jose cortes
Level 1
Level 1

hola Javier, 

En primera instancia este tipo de configuraciones son   implementadas en redes sobre las cuales tengas un equema claro, es   decir, deber saber quien es el root para cada VLAN asi como el Secondary   Root y como estan connectados.

El root guard se  utiliza para bloquear  BPDUs que se identifiquen como Root en un puerto  determinado, de esta  manera evitas que si un nuevo Switch (tal vez  heredado de otra red)  entra a formar parte de tu topologia y  adicinalmente tiene un ID menor  entonces se pueda volver el root y  hacer que tu red converga con  respecto a el. 

El Root  guard nunca debe utilizarse en Switches de  Acceso (a menos que este  sea el root lo cual no es una practica  recomendable). Nunca debe  configurarse en un uplink con conexion hacia  el Root de tu red y  siempre en los downlinks de los switches de  Distribucion para evitar  que los switch de acceso puedan volverse el  root.

El  BPDU guard se utiliza con el fin de evitar la entrada de  cualquier BPDU  por un determinado puerto en el cual no debe recibirse  nunca una BPDU.  Puedes conbinarlos con el Porffast para los puertos de  acceso.

Por  ultimo, con RSTP ya tienes de por si una rapida  convergencia.  Adicionalmente evita demasiados dispositivos en una misma  estancia de  STP ya que el Delay en la propagacion de las BPDU puede  generar  inconsistencias. Si tu red es muy extensa procura utilizar  MSTP.

Cordialmente,  Jose

Hola Jose

Gracias por tu valiosa explicación y aprovechando esto podria tener tu opinion sobre este esquema ....

Tengo la siguiente red a la cual se le adiciono otro Switch como lo mencione al empezar la discusion, lo que actualmente he hecho es configurar los Swtch Cisco Catalyst con portfast y portfast BPDUguard en todos los switch de acceso de la siguiente manera en modo global:

!

spanning-tree mode rapid-pvst

!

! Para no enviar BPDU TCN (cambios) por puertos que no sean trunk quedo:

!

spanning-tree portfast default

!

!Si recibe BPDUs en un puerto de acceso cambia a estado errdisable

!

spanning-tree portfast bpduguard default

!

! Protección contra pérdida repentina de BPDUs

!

spanning-tree loopguard default

!

Esto con lo que respecta a los Switch Capa 2 pero no se si seguir la misma configuracion en el Switch Capa 3 (Cisco Catalys 3560G 48 Puertos) el cual esta directamente conectado al router y es el centro de esta red pero tambien tiene equipos conectados.

Lo que creo es que debo dejar este ultimo como root ya que el nuevo dispositivo insertado (Adm_sw_7) asumio esta tarea. Lo haria con el comando:

Adm_sw_01(config)#spanning-tree vlan "Todas las Vlans" root primary

Pero no se esto en que se vea afectado al momento de insertar otro dispositivo por lo cual queria prevenir que no cambiara el root con el comando ROOTGuard. ¿cual opinion tienes de estos cambios? ¿O cuales serian tus sugerencias?

Gracias!

Hola Oscar,

Tu configuracion me parece apropiada para los switches de accesso. Debes tener ne cuenta que dado que tu switch the core es el que enruta todo el trafico entre las VLANs (esto lo estoy asumiendo) deberia ser el root para todos las instancias de STP. Si utilizas el comando spanning-tree vlan "Todas las Vlans" root primary garantizas esto si y solo si un dispositivo nuevo no tiene una ID menor. En realidad el comando no es dinamico, es decir, el no lee de alguna forma quien tiene el menor ID solo lo reduce suponiendo que con un valor menor va a ser el root, en realidad esto es una macro y si lo aplicas varias veces veras que el valor sigue decrementandose.

Por lo gener cuando se conecta un switch heredado de otra Red es recomendable hacer lo siguiente:

1. Borrar la VLAN database reseteando asi el Revision Number y evitando que tu configuracion de VLANs sea reemplazada por la configuracion del switch heredado.

2. Configurar la prioridad de STP a un valor muy alto o al valor por defecto de manera que la red no converja hacia el.

en Tus switches de distribucion configurad el ROOT GUARD en los puerto que conecten con switches de acceso (trunks), de esta manera evitas que cualquier switch conectado ahi pueda convertirse en el root, adicionalmente te permite identificar switches con un menor ID y corregirlo en lugar de esperar a que toda tu red se afecte.

NUNCA configures el ROOT GUARD en los puertos que van connectados directamente al root o por medio de los cuales el Switch conoce al root, si haces esto toda esta porcion de red hasta los accesos quedara aislada.

Evita conectar estaciones de trabajos o dispositivos finales en tu switch de core.

Y en ultima instancia frente a las cascadas, evita tener un unico path entre tu switch mas remoto y tu Core, intenta utilizar Etherchannel y en la medida de lo posible intenta distribuir tus switches de acceso a uno o dos switch de distribucion los cuales tengan una redundancia hacia el core, con esto garantiza las dispinbilidad del servicio.

Creo que son todas la recomendacion que me vienen a la cabeza. Hay que aclarar que muchas de las buenas practicas estan limitada al Presupuesto con el que cuentes, pero se puede tener una buena red con una buena configuracion.

Cordialmente,

Jose