Go offline with the Player FM app!
Características de Spanning Tree
Manage episode 375728981 series 1898587
Spanning Tree está pensado para evitar bucles y la información del protocolo se transporta por la red gracias a unos paquetes llamados BPDU (Bridge Protocol Data Unit). Estas BPDUs contienen información sobre switches, prioridades de puertos y direcciones.
Realmente lo básico que podemos hacer para protegernos son 4 cosas:
- Portfast
- BPUGuard
- BPDUFilter
- RootGuard
Portfast
En Spanning Tree tenemos varios estados por los que tiene que pasar un puerto antes de ponerse en fordward o envío, ya sabéis: desactivado, bloqueo, escucha, aprendizaje y envío.
Si habilitamos el portfast el puerto va a pasar automáticamente de bloqueo a envío, ni va a aprender macs antes ni nada, directamente se pone en forwarding.
Este es muy útil en puertos que tengan un host en el que estén conectado en un puerto de acceso y que necesite DHCP. Poniendo ejemplos de centros de datos podríamos configurar así un puerto de una iDRAC, IPMI o como vuestro fabricante favorito llame al puerto de consola remota y que por algún motivo, que no llevo a comprender, en vez de configurar la IP fija se le pone DHCP. En ese caso necesitaríamos que el puerto pase directamente a forwarding.
Es decir, usaremos portfast en un puerto de los denominados edge.
La configuración en un nexus será:
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge
Y en un catalyst, si alguien aún tiene podría ser
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree portfast
También podríamos hacer que los puertos por defecto estén en portfast, esto lo haremos:
switch(config)# spanning-tree portfast default
Pero a mi eso no me gusta demasiado y por eso prefiero ir puerto por puerto.
Aquí estamos haciendo trampa pues también existe el comando
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge trunk
¿Cómo que port type edge trunk? ¿Qué brujería es esta?
Mente abierta, porque es posible que tengamos un servidor con varias vlans, varios subinterfaces, ese es el motivo, pero eso sí, siempre son puertos de edge, nunca un switch.
BPUGuard
Si portfast lo que hace es saltarse los estados de Spanning Tree ¿cómo hacemos para que el puerto caiga si recibe alguna BPDU?, para eso tenemos el BPDUGuard.
Cuando habilitamos el BPDUGuard si se recibe una BPDU por ese puerto el puerto se queda en el estado errdisable.
¿Es recomendable usar esto? Pues depende qué tengamos conectado al otro lado, si lo que hay es un servidor pues el portfast es suficiente, pero si es un switch y queremos que el puerto caiga si recibimos por ahí BPDUs es muy reoocmendalbe poner el bpduguard.
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge trunk switch(config-if)# spanning-tree bpduguard enable
Por supuesto también se puede habilitar globalmente, pero como antes, no os lo recomiendo.
No lo he dicho, pero para quitar el errdisable primero se soluciona el problema y luego se tira el puerto y se vuelve a levantar.
BPDU Filter
Esta funcionalidad es algo parecido a desactivar el Spanning Tree en un puerto. El BPDUFilter lo que hace es dejar de eviar BPDUs por ese puerto y obviamente no espera recibir BPDUs por ahí.
Esto para configurarlo es:
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge trunk switch(config-if)# spanning-tree bpdufilter enable
Si configuramos BPDUfilter en dos switches enfrentados y configuramos los puertos como portfast el puerto levantará.
Esta característica yo no la uso demasiado, pero oye, ahí está por si la necesitáis para lo que sea.
Por supuesto también se puede habilitar globalmente.
RootGuard
Esta característica sí que me resulta muy interesante en redes en las que tenéis nodos centrales, algo muy común.
Imaginad que tenéis una red en la que tenéis un par de switches más grandes donde concentráis todo y queréis que esos switches sean el root del spanning tree.
Por supuesto le definís que sean el root del spanning tree, pero tenemos que prevenir que un switch por debajo se llegue a convertir en el root de spanning tree de la red, es decir, estamos indicando donde debe de estar el root en la red.
Aquí hay un tema que quizás parezca un poco confuso y es la diferencia entre BPDUGuard y RootGuard. En BPDUGuard lo que hacemos es desabilitar un puerto si recibe una BPDU y ponerlo en errdisable, mientras que en RootGuard si recibe BPDU que indique ese es un root port, es decir, que por ahí se va al root lo que hace es poner el puerto en inconsistente y bloquear el puerto.
La configuración sería:
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree guard root
129 episodes
Manage episode 375728981 series 1898587
Spanning Tree está pensado para evitar bucles y la información del protocolo se transporta por la red gracias a unos paquetes llamados BPDU (Bridge Protocol Data Unit). Estas BPDUs contienen información sobre switches, prioridades de puertos y direcciones.
Realmente lo básico que podemos hacer para protegernos son 4 cosas:
- Portfast
- BPUGuard
- BPDUFilter
- RootGuard
Portfast
En Spanning Tree tenemos varios estados por los que tiene que pasar un puerto antes de ponerse en fordward o envío, ya sabéis: desactivado, bloqueo, escucha, aprendizaje y envío.
Si habilitamos el portfast el puerto va a pasar automáticamente de bloqueo a envío, ni va a aprender macs antes ni nada, directamente se pone en forwarding.
Este es muy útil en puertos que tengan un host en el que estén conectado en un puerto de acceso y que necesite DHCP. Poniendo ejemplos de centros de datos podríamos configurar así un puerto de una iDRAC, IPMI o como vuestro fabricante favorito llame al puerto de consola remota y que por algún motivo, que no llevo a comprender, en vez de configurar la IP fija se le pone DHCP. En ese caso necesitaríamos que el puerto pase directamente a forwarding.
Es decir, usaremos portfast en un puerto de los denominados edge.
La configuración en un nexus será:
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge
Y en un catalyst, si alguien aún tiene podría ser
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree portfast
También podríamos hacer que los puertos por defecto estén en portfast, esto lo haremos:
switch(config)# spanning-tree portfast default
Pero a mi eso no me gusta demasiado y por eso prefiero ir puerto por puerto.
Aquí estamos haciendo trampa pues también existe el comando
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge trunk
¿Cómo que port type edge trunk? ¿Qué brujería es esta?
Mente abierta, porque es posible que tengamos un servidor con varias vlans, varios subinterfaces, ese es el motivo, pero eso sí, siempre son puertos de edge, nunca un switch.
BPUGuard
Si portfast lo que hace es saltarse los estados de Spanning Tree ¿cómo hacemos para que el puerto caiga si recibe alguna BPDU?, para eso tenemos el BPDUGuard.
Cuando habilitamos el BPDUGuard si se recibe una BPDU por ese puerto el puerto se queda en el estado errdisable.
¿Es recomendable usar esto? Pues depende qué tengamos conectado al otro lado, si lo que hay es un servidor pues el portfast es suficiente, pero si es un switch y queremos que el puerto caiga si recibimos por ahí BPDUs es muy reoocmendalbe poner el bpduguard.
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge trunk switch(config-if)# spanning-tree bpduguard enable
Por supuesto también se puede habilitar globalmente, pero como antes, no os lo recomiendo.
No lo he dicho, pero para quitar el errdisable primero se soluciona el problema y luego se tira el puerto y se vuelve a levantar.
BPDU Filter
Esta funcionalidad es algo parecido a desactivar el Spanning Tree en un puerto. El BPDUFilter lo que hace es dejar de eviar BPDUs por ese puerto y obviamente no espera recibir BPDUs por ahí.
Esto para configurarlo es:
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree port type edge trunk switch(config-if)# spanning-tree bpdufilter enable
Si configuramos BPDUfilter en dos switches enfrentados y configuramos los puertos como portfast el puerto levantará.
Esta característica yo no la uso demasiado, pero oye, ahí está por si la necesitáis para lo que sea.
Por supuesto también se puede habilitar globalmente.
RootGuard
Esta característica sí que me resulta muy interesante en redes en las que tenéis nodos centrales, algo muy común.
Imaginad que tenéis una red en la que tenéis un par de switches más grandes donde concentráis todo y queréis que esos switches sean el root del spanning tree.
Por supuesto le definís que sean el root del spanning tree, pero tenemos que prevenir que un switch por debajo se llegue a convertir en el root de spanning tree de la red, es decir, estamos indicando donde debe de estar el root en la red.
Aquí hay un tema que quizás parezca un poco confuso y es la diferencia entre BPDUGuard y RootGuard. En BPDUGuard lo que hacemos es desabilitar un puerto si recibe una BPDU y ponerlo en errdisable, mientras que en RootGuard si recibe BPDU que indique ese es un root port, es decir, que por ahí se va al root lo que hace es poner el puerto en inconsistente y bloquear el puerto.
La configuración sería:
switch(config)# int ethernet 1/45 switch(config-if)# spanning-tree guard root
129 episodes
All episodes
×Welcome to Player FM!
Player FM is scanning the web for high-quality podcasts for you to enjoy right now. It's the best podcast app and works on Android, iPhone, and the web. Signup to sync subscriptions across devices.