08-18-2011 09:31 AM - editado 03-21-2019 04:38 PM
Tengo una cascada de 7 Switch Cisco Catalyst 2960G mas un Core Cisco Catalyst 3560G en donde tengo configurado varias VLANs y con Rapid STP en estos dias tuve una pequeña intermitencia debido a que pusieron otro Switch Cisco y obviamente empezo a renegociar el STP por lo cual hubo intermitancia en las conexiones. Estuve mirando y vi algo sobre Root Guard, Portfast BPDUGuard y con esto proteger la red de este tipo de conexiones, sin embargo entiendo lo del portfast el cual aplica a puertos de acceso y me los protege de conexiones inesperadas pero si se conecta a un puerto Trunk (en donde no aplica el portfast) ¿Como puedo proteger que renegocie el STP y como debo utilizar el Root Guard?
¡Resuelto! Ir a solución.
el 08-18-2011 03:02 PM
hola Javier,
En primera instancia este tipo de configuraciones son implementadas en redes sobre las cuales tengas un equema claro, es decir, deber saber quien es el root para cada VLAN asi como el Secondary Root y como estan connectados.
El root guard se utiliza para bloquear BPDUs que se identifiquen como Root en un puerto determinado, de esta manera evitas que si un nuevo Switch (tal vez heredado de otra red) entra a formar parte de tu topologia y adicinalmente tiene un ID menor entonces se pueda volver el root y hacer que tu red converga con respecto a el.
El Root guard nunca debe utilizarse en Switches de Acceso (a menos que este sea el root lo cual no es una practica recomendable). Nunca debe configurarse en un uplink con conexion hacia el Root de tu red y siempre en los downlinks de los switches de Distribucion para evitar que los switch de acceso puedan volverse el root.
El BPDU guard se utiliza con el fin de evitar la entrada de cualquier BPDU por un determinado puerto en el cual no debe recibirse nunca una BPDU. Puedes conbinarlos con el Porffast para los puertos de acceso.
Por ultimo, con RSTP ya tienes de por si una rapida convergencia. Adicionalmente evita demasiados dispositivos en una misma estancia de STP ya que el Delay en la propagacion de las BPDU puede generar inconsistencias. Si tu red es muy extensa procura utilizar MSTP.
Cordialmente, Jose
el 08-19-2011 01:53 PM
Hola Oscar,
Tu configuracion me parece apropiada para los switches de accesso. Debes tener ne cuenta que dado que tu switch the core es el que enruta todo el trafico entre las VLANs (esto lo estoy asumiendo) deberia ser el root para todos las instancias de STP. Si utilizas el comando spanning-tree vlan "Todas las Vlans" root primary garantizas esto si y solo si un dispositivo nuevo no tiene una ID menor. En realidad el comando no es dinamico, es decir, el no lee de alguna forma quien tiene el menor ID solo lo reduce suponiendo que con un valor menor va a ser el root, en realidad esto es una macro y si lo aplicas varias veces veras que el valor sigue decrementandose.
Por lo gener cuando se conecta un switch heredado de otra Red es recomendable hacer lo siguiente:
1. Borrar la VLAN database reseteando asi el Revision Number y evitando que tu configuracion de VLANs sea reemplazada por la configuracion del switch heredado.
2. Configurar la prioridad de STP a un valor muy alto o al valor por defecto de manera que la red no converja hacia el.
en Tus switches de distribucion configurad el ROOT GUARD en los puerto que conecten con switches de acceso (trunks), de esta manera evitas que cualquier switch conectado ahi pueda convertirse en el root, adicionalmente te permite identificar switches con un menor ID y corregirlo en lugar de esperar a que toda tu red se afecte.
NUNCA configures el ROOT GUARD en los puertos que van connectados directamente al root o por medio de los cuales el Switch conoce al root, si haces esto toda esta porcion de red hasta los accesos quedara aislada.
Evita conectar estaciones de trabajos o dispositivos finales en tu switch de core.
Y en ultima instancia frente a las cascadas, evita tener un unico path entre tu switch mas remoto y tu Core, intenta utilizar Etherchannel y en la medida de lo posible intenta distribuir tus switches de acceso a uno o dos switch de distribucion los cuales tengan una redundancia hacia el core, con esto garantiza las dispinbilidad del servicio.
Creo que son todas la recomendacion que me vienen a la cabeza. Hay que aclarar que muchas de las buenas practicas estan limitada al Presupuesto con el que cuentes, pero se puede tener una buena red con una buena configuracion.
Cordialmente,
Jose
el 08-18-2011 03:02 PM
hola Javier,
En primera instancia este tipo de configuraciones son implementadas en redes sobre las cuales tengas un equema claro, es decir, deber saber quien es el root para cada VLAN asi como el Secondary Root y como estan connectados.
El root guard se utiliza para bloquear BPDUs que se identifiquen como Root en un puerto determinado, de esta manera evitas que si un nuevo Switch (tal vez heredado de otra red) entra a formar parte de tu topologia y adicinalmente tiene un ID menor entonces se pueda volver el root y hacer que tu red converga con respecto a el.
El Root guard nunca debe utilizarse en Switches de Acceso (a menos que este sea el root lo cual no es una practica recomendable). Nunca debe configurarse en un uplink con conexion hacia el Root de tu red y siempre en los downlinks de los switches de Distribucion para evitar que los switch de acceso puedan volverse el root.
El BPDU guard se utiliza con el fin de evitar la entrada de cualquier BPDU por un determinado puerto en el cual no debe recibirse nunca una BPDU. Puedes conbinarlos con el Porffast para los puertos de acceso.
Por ultimo, con RSTP ya tienes de por si una rapida convergencia. Adicionalmente evita demasiados dispositivos en una misma estancia de STP ya que el Delay en la propagacion de las BPDU puede generar inconsistencias. Si tu red es muy extensa procura utilizar MSTP.
Cordialmente, Jose
el 08-19-2011 12:57 PM
Hola Jose
Gracias por tu valiosa explicación y aprovechando esto podria tener tu opinion sobre este esquema ....
Tengo la siguiente red a la cual se le adiciono otro Switch como lo mencione al empezar la discusion, lo que actualmente he hecho es configurar los Swtch Cisco Catalyst con portfast y portfast BPDUguard en todos los switch de acceso de la siguiente manera en modo global:
!
spanning-tree mode rapid-pvst
!
! Para no enviar BPDU TCN (cambios) por puertos que no sean trunk quedo:
!
spanning-tree portfast default
!
!Si recibe BPDUs en un puerto de acceso cambia a estado errdisable
!
spanning-tree portfast bpduguard default
!
! Protección contra pérdida repentina de BPDUs
!
spanning-tree loopguard default
!
Esto con lo que respecta a los Switch Capa 2 pero no se si seguir la misma configuracion en el Switch Capa 3 (Cisco Catalys 3560G 48 Puertos) el cual esta directamente conectado al router y es el centro de esta red pero tambien tiene equipos conectados.
Lo que creo es que debo dejar este ultimo como root ya que el nuevo dispositivo insertado (Adm_sw_7) asumio esta tarea. Lo haria con el comando:
Adm_sw_01(config)#spanning-tree vlan "Todas las Vlans" root primary
Pero no se esto en que se vea afectado al momento de insertar otro dispositivo por lo cual queria prevenir que no cambiara el root con el comando ROOTGuard. ¿cual opinion tienes de estos cambios? ¿O cuales serian tus sugerencias?
Gracias!
el 08-19-2011 01:53 PM
Hola Oscar,
Tu configuracion me parece apropiada para los switches de accesso. Debes tener ne cuenta que dado que tu switch the core es el que enruta todo el trafico entre las VLANs (esto lo estoy asumiendo) deberia ser el root para todos las instancias de STP. Si utilizas el comando spanning-tree vlan "Todas las Vlans" root primary garantizas esto si y solo si un dispositivo nuevo no tiene una ID menor. En realidad el comando no es dinamico, es decir, el no lee de alguna forma quien tiene el menor ID solo lo reduce suponiendo que con un valor menor va a ser el root, en realidad esto es una macro y si lo aplicas varias veces veras que el valor sigue decrementandose.
Por lo gener cuando se conecta un switch heredado de otra Red es recomendable hacer lo siguiente:
1. Borrar la VLAN database reseteando asi el Revision Number y evitando que tu configuracion de VLANs sea reemplazada por la configuracion del switch heredado.
2. Configurar la prioridad de STP a un valor muy alto o al valor por defecto de manera que la red no converja hacia el.
en Tus switches de distribucion configurad el ROOT GUARD en los puerto que conecten con switches de acceso (trunks), de esta manera evitas que cualquier switch conectado ahi pueda convertirse en el root, adicionalmente te permite identificar switches con un menor ID y corregirlo en lugar de esperar a que toda tu red se afecte.
NUNCA configures el ROOT GUARD en los puertos que van connectados directamente al root o por medio de los cuales el Switch conoce al root, si haces esto toda esta porcion de red hasta los accesos quedara aislada.
Evita conectar estaciones de trabajos o dispositivos finales en tu switch de core.
Y en ultima instancia frente a las cascadas, evita tener un unico path entre tu switch mas remoto y tu Core, intenta utilizar Etherchannel y en la medida de lo posible intenta distribuir tus switches de acceso a uno o dos switch de distribucion los cuales tengan una redundancia hacia el core, con esto garantiza las dispinbilidad del servicio.
Creo que son todas la recomendacion que me vienen a la cabeza. Hay que aclarar que muchas de las buenas practicas estan limitada al Presupuesto con el que cuentes, pero se puede tener una buena red con una buena configuracion.
Cordialmente,
Jose
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad