Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Proteção de BPDU para protocolos de spanning tree

Entendendo a proteção de BPDU para interfaces de instâncias de spanning-tree

Roteadores da Série ACX, roteadores da Série MX, roteadores da Série PTX, switches da Série EX e switches da Série QFX oferecem suporte a protocolos de árvores de abrangência que evitam loops em uma rede criando uma topologia de árvores (spanning-tree) de toda a rede ponte. Todos os protocolos de árvores de abrangência usam um tipo especial de quadro chamado unidades de dados de protocolo de ponte (BPDUs) para se comunicarem entre si.

A família Spanning Tree Protocol (STP) foi projetada para quebrar possíveis loops em uma rede com pontes de Camada 2. A prevenção de loops evita tempestades de transmissão prejudiciais que podem potencialmente tornar a rede inútil. Processos de STP em pontes trocam BPDUs para determinar a topologia de LAN, decidir a ponte raiz, parar de encaminhar em algumas portas etc. No entanto, um aplicativo ou dispositivo de usuário mal comportado pode interferir na operação dos protocolos STP e causar problemas de rede.

O bloco BPDU é um recurso que defende a topologia STP de um aplicativo ou dispositivo de usuário mal comportado ou uma ameaça. Você deve habilitar o guarda BPDU nas interfaces que não devem receber nenhuma BPDUs.

Se uma interface estiver configurada para ser a porta de borda, ela fará a transição diretamente para o estado de encaminhamento. Essas portas estão conectadas a dispositivos finais e não se espera que recebam BPDU. Portanto, para evitar loops, você deve proteger as portas de borda, permitindo o bloqueio de bpdu na borda.

Nos roteadores e switches que oferecem suporte ao STP, você pode configurar a proteção de BPDU para ignorar as BPDUs recebidas em interfaces onde nenhuma deve ser esperada (por exemplo, uma interface LAN na borda de rede sem outras pontes presentes). Se um BPDU for recebido em uma interface protegida, a interface será desativada e impedirá o encaminhamento de quadros. Por padrão, todas as BPDUs são aceitas e processadas em todas as interfaces.

Você pode alcançar a proteção do BPDU de várias maneiras. Por padrão, se o bloco de bpdu estiver habilitado na interface, ao receber BPDU, a interface será desativada e todo o encaminhamento de tráfego será parado na interface. No entanto, se você não quiser desabilitar a interface e não quiser que essa interface participe do cálculo do STP, você pode configurar a queda de ação. Se você configurar a queda de ação, a interface permanecerá ativa e o tráfego continua a fluir; no entanto, as BPDUs são descartadas.

As portas de borda não suportam a queda de ação. O bloco na borda do BPDU desativa a interface se as portas de borda receberem BPDUs. Você deve limpar o erro para colocar a interface de volta.

Você pode configurar a proteção de BPDU em interfaces com os seguintes tipos de encapsulamento:

  • ponte ethernet

  • ethernet-vpls

  • vlan-bridge estendida

  • vlan-vpls

  • vlan-bridge

  • vlan-vpls estendidas

Você pode configurar a proteção de BPDU em interfaces individuais ou em todas as portas de borda da ponte.

Habilite a proteção de BPDU em interfaces configuradas como portas de borda usando o bpdu-block-on-edge comando sob a set protocols (mstp|rstp|vstp) hierarquia. Se você não tiver configurado uma porta como uma porta de borda, você ainda pode configurar a proteção de BPDU na interface usando o bpdu-block comando sob a set protocols layer2-control hierarquia. Você também pode usar o bpdu-block comando para configurar a proteção de BPDU em interfaces configuradas para uma árvore de abrangência.

Veja também

Entenda a proteção de BPDU para STP, RSTP e MSTP

As redes costumam usar vários protocolos simultaneamente para atingir diferentes metas e, em alguns casos, esses protocolos podem entrar em conflito entre si. Um desses casos é quando os protocolos de spanning tree estão ativos na rede, onde um tipo especial de quadro de comutação chamado unidade de dados de protocolo de ponte (BPDU) pode entrar em conflito com as BPDUs geradas em outros dispositivos, como PCs. Os diferentes tipos de BPDUs não são compatíveis, mas ainda podem ser reconhecidos por outros dispositivos que usam BPDUs e causam interrupções na rede. Você precisa proteger qualquer dispositivo que reconheça as BPDUs contra a coleta de BPDUs incompatíveis.

Diferentes tipos de BPDUs

Protocolos de spanning tree, como Spanning Tree Protocol (STP), Rapid Spanning Tree Protocol (RSTP), VLAN Spanning Tree Protocol (VSTP) e Multiple Spanning Tree Protocol (MSTP) geram suas próprias BPDUs. Esses aplicativos STP peer usam suas BPDUs para comunicar e, em última análise, a troca de BPDUs determina quais interfaces bloqueiam o tráfego e quais interfaces se tornam portas raiz. As portas raiz e as portas designadas encaminham o tráfego; as portas alternativas e de backup bloqueiam o tráfego.

Configuração da proteção de BPDU para interfaces individuais de instâncias de spanning tree

Para configurar a proteção de BPDU em uma ou mais interfaces de instâncias de spanning tree, inclua a bpdu-block declaração:

Nota:

Se você também incluir a declaração opcional disable-timeout seconds , as interfaces protegidas serão liberadas automaticamente após o intervalo de tempo especificado, a menos que o intervalo seja 0.

Entendendo as BPDUs usadas para trocar informações entre pontes

Em um ambiente de ponte de Camada 2, os protocolos de árvores de abrangência usam quadros de dados chamados Unidades de dados de protocolo de ponte (BPDUs) para trocar informações entre pontes.

Protocolos de spanning tree em peer systems trocam BPDUs, que contêm informações sobre funções de porta, IDs de ponte e custos de caminho raiz. Em cada roteador ou switch, o protocolo de spanning tree usa essas informações para eleger uma ponte raiz, identificar portas raiz para cada switch, identificar portas designadas para cada segmento de LAN física e podar links redundantes específicos para criar uma topologia de árvore sem loop. A topologia de árvore resultante oferece um único caminho de dados ativo de Camada 2 entre qualquer duas estações finais.

Nota:

Em discussões sobre protocolos de árvores de abrangência, os termos bridge e switch são frequentemente usados de forma intercambiável.

A transmissão de BPDUs é controlada pelo processo de protocolo de controle de camada 2 (l2cpd) em plataformas de roteamento universal 5G da Série MX.

A transmissão de pacotes periódicos em nome do processo l2cpd é realizada pelo gerenciamento periódico de pacotes (PPM), que, por padrão, está configurado para ser executado no Mecanismo de encaminhamento de pacotes. O processo ppmd no Mecanismo de encaminhamento de pacotes garante que as BPDUs sejam transmitidas mesmo quando o l2cpd não estiver disponível, e mantém as adjacências remotas vivas durante uma atualização unificada de software em serviço (ISSU unificada). No entanto, se você quiser que o processo de PPM distribuído (ppmd) seja executado no Mecanismo de Roteamento em vez do Mecanismo de encaminhamento de pacotes, você pode desabilitar o processo ppmd no Mecanismo de encaminhamento de pacotes.

Em roteadores e switches com mecanismos de roteamento redundantes (dois mecanismos de roteamento que estão instalados no mesmo roteador), você pode configurar a ponte sem interrupções. A ponte sem interrupções permite que o roteador mude de um mecanismo de roteamento primário para um mecanismo de roteamento de backup sem perder as informações do Protocolo de Controle de Camada 2 (L2CP). A ponte sem interrupções usa a mesma infraestrutura que o gracioso switchover do Mecanismo de Roteamento (GRES) para preservar as informações de interface e kernel. No entanto, a ponte sem interrupções também economiza informações de L2CP executando o processo l2cpd no mecanismo de roteamento de backup.

Nota:

Para usar a ponte sem interrupções, você deve primeiro habilitar o GRES.

A ponte sem interrupções é suportada para os seguintes protocolos de controle de Camada 2:

  • Protocolo spanning-tree (STP)

  • Protocolo de spanning tree rápida (RSTP)

  • Protocolo de múltiplas árvores de abrangência (MSTP)

Entendendo a proteção de BPDU para EVPN-VXLAN

As malhas de data center EVPN-VXLAN têm uma série de mecanismos de prevenção de loop Ethernet integrados, como o horizonte dividido e o encaminhamento designado e a eleição de encaminhamento não designado. Em alguns ambientes de data center existentes onde uma nova malha IP EVPN está sendo implantada, você pode precisar configurar a proteção de BPDU na interface leaf-to-server, a fim de evitar interrupções de rede devido a erros de cálculo do xSTP. O cabeamento incorreto entre as interfaces de servidor e leaf, ou qualquer enlace de camada 2 de porta traseira entre duas ou mais interfaces ESI-LAG, pode causar erros de cálculo e, em seguida, resultar em loops Ethernet. Sem a proteção de BPDU, as BPDUs podem não ser reconhecidas e serão inundadas como pacotes de Camada 2 desconhecidos nas interfaces VXLAN. Com a proteção de BPDU, quando um BPDU é recebido em uma porta de borda em um ambiente EVPN-VXLAN, a porta de borda é desativada e para de encaminhar todo o tráfego. Você também pode configurar a proteção de BPDU para soltar o tráfego BPDU, mas ter todo o outro tráfego encaminhado nas interfaces sem precisar configurar um protocolo de árvores de abrangência.

Configuração de interface para proteção de BPDU com modo de fechamento de portas

Para configurar a proteção de BPDU em uma interface de borda de um switch:

Nota:

Certifique-se de que o switch esteja conectado a um dispositivo final.
  1. Configure qualquer protocolo de spanning tree no switch se ainda não estiver configurado. O RSTP está configurado neste procedimento.
  2. Habilite o RSTP em uma interface específica e defina uma prioridade para a interface — por exemplo, et-0/0/0,0:
  3. Habilite a proteção de BPDU na et-0/0/0.0 interface:
  4. Confirmar a configuração:
  5. Verifique se a proteção de BPDU está configurada corretamente na interface (et-0/0/0.0):

    • Execute o comando do show ethernet-switching interfaces modo operacional para ver o estado do STP configurado na interface:

      Nesta saída, observe que a interface et-0/0/0.0 está em estado bloqueado porque recebeu BPDUs do dispositivo final.

    • Execute o comando do show spanning-tree interfaces modo operacional para garantir que a interface et-0/0/0.0 esteja bloqueada:

    • Execute o comando do show interfaces interface-name modo operacional para verificar se a interface está desativada:

    O link físico está desativado e detecta um erro de BPDU.

Configuração de interface para proteção de BPDU com modo de queda de BPDU

Para determinados switches de acesso, você pode querer que as interfaces no switch não se encerrem ao encontrar pacotes BPDU incompatíveis; em vez disso, apenas solte pacotes BPDU incompatíveis enquanto permite que o tráfego restante passe. Essa interface não deve ter um protocolo de spanning tree configurado nele, de modo que os pacotes que passam pela interface não causarão configuração incorreta de STP e consequentes interrupções de rede.

Configurar a proteção de BPDU para uma interface para apenas soltar pacotes BPDU incompatíveis e permitir que o tráfego restante passe, mantendo o status da interface como atualizado:

Nota:

Certifique-se de que o switch no qual você está configurando a proteção BPDU esteja conectado a um dispositivo peer.
  1. Exclua ou desabile qualquer protocolo de spanning tree (por exemplo, RSTP como neste procedimento) configurado no switch ou em qualquer interface.

    • Para excluir um protocolo de spanning tree em todo o switch:

      Ou

    • Para excluir um protocolo de spanning tree em uma interface específica (por exemplo, et-0/0/0.0) no switch:

  2. Habilite a proteção de BPDU na interface (et-0/0/0,0 neste procedimento) para soltar pacotes de BPDU:
  3. Confirmar a configuração:
  4. Verifique se a queda de ação da proteção do BPDU está configurada na interface:

    • Execute o comando do show ethernet-switching interfaces modo operacional para garantir que o estado STP da interface esteja sendo encaminhado:

      Nesta saída, observe que a interface et-0/0/0.0 está ativa, embora tenha recebido pacotes BPDU incompatíveis porque o recurso de queda está configurado para esta interface.

    • Execute o comando de show interfaces interface-name modo operacional para garantir que a interface et-0/0/0.0 seja exibida na saída e que o estado da interface esteja ativo:

    O enlace físico está ligado e não há erro de BPDU.

Configuração da proteção de BPDU para interfaces de borda

Em uma topologia de spanning tree, se um switch é um switch de acesso, então as interfaces nesse switch serão conectadas a dispositivos finais, como PCs, servidores, roteadores ou hubs, que não estão conectados a outros switches. Você configura essas interfaces como interfaces de borda porque elas se conectam diretamente aos dispositivos finais.

Interfaces configuradas como interfaces de borda podem fazer a transição para um estado de encaminhamento imediatamente porque não podem criar loops de rede. Um switch detecta portas de borda observando a ausência de comunicação das estações finais. Como as portas de borda estão conectadas a dispositivos finais, é imperativo que você configure a proteção de BPDU em portas de borda para evitar loops. Se a proteção de BPDU for habilitada em uma interface de borda, a interface será desligada ao encontrar ae BPDU, impedindo assim qualquer tráfego de passar pela interface. Você pode re habilitar a interface emitindo o comando do clear error bpdu interface interface-name modo operacional. O clear error bpdu interface interface-name comando só habilitará novamente uma interface, mas a configuração de BPDU para a interface continuará a existir a menos que você remova explicitamente a configuração da BPDU.

Para configurar a proteção de BPDU em uma interface de borda de um switch:

Nota:

Certifique-se de que o switch esteja conectado a um dispositivo final.
  1. Configure qualquer protocolo de spanning tree no switch se ainda não estiver configurado. O RSTP está configurado neste procedimento.
  2. Habilite o RSTP em uma interface específica e defina uma prioridade para a interface — por exemplo, et-0/0/0,0:
  3. Configure a et-0/0/0.0 interface como uma interface de borda e habilite a proteção de BPDU nessa interface:
  4. Confirmar a configuração:
  5. Verifique se a proteção de BPDU está configurada corretamente na interface de borda (et-0/0/0.0):

    • Execute o comando do show ethernet-switching interfaces modo operacional para ver o estado do STP configurado na interface:

      Nesta saída, você observa que a interface et-0/0/0.0 está bloqueada porque recebeu BPDUs do dispositivo final.

    • Execute o comando do show spanning-tree interfaces modo operacional para garantir que a interface et-0/0/0.0 esteja bloqueada:

    • Execute o comando do show interfaces interface-name modo operacional para verificar se a interface está desativada:

    O link físico está desativado e detecta um erro de BPDU.

Exemplo: bloqueio de BPDUs em uma interface por 600 segundos

O exemplo a seguir, quando usado com uma configuração de ponte completa com ethernet agregada, bloqueia as BPDUs na interface ae0 por 10 minutos (600 segundos) antes de habilitar a interface novamente:

Veja também

Exemplo: Configuração da proteção de BPDU em interfaces

Nota:

Este exemplo usa o Junos OS para switches da Série EX sem suporte para o estilo de configuração do Software de Camada 2 (ELS). Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.

Quando a proteção de BPDU é habilitada, uma interface desativa ou derruba pacotes de BPDU quando qualquer BPDU incompatível é encontrada, impedindo assim que as BPDUs geradas por protocolos de árvores de abrangência cheguem ao switch. Quando uma interface é configurada para soltar pacotes BPDU, todo o tráfego, exceto as BPDUs incompatíveis, podem passar pela interface.

Nota:

O recurso de queda de BPDU pode ser especificado apenas em interfaces nas quais nenhum protocolo de spanning tree está configurado.

Este exemplo configura a proteção de BPDU em interfaces downstream do switch STP que se conectam a dois PCs:

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch da Série EX em uma topologia RSTP

  • Um switch da Série EX que não esteja em nenhuma topologia de árvore de abrangência

  • Versão 9.1 ou posterior do Junos OS para switches da Série EX

Antes de configurar as interfaces no Switch 2 para proteção de BPDU, certifique-se de ter:

  • Garantimos que o RSTP esteja operando no Switch 1.

  • RSTP desativado ou habilitado no Switch 2 (dependendo da configuração que você planeja implementar.)

    Se você quiser habilitar o recurso de desligamento do BPDU, então é opcional desativar protocolos de árvores de abrangência na interface.

Nota:

Por padrão, o RSTP é habilitado em todos os switches da Série EX.

Visão geral e topologia

Este exemplo explica como configurar a proteção de BPDU em uma interface.

A Figura 1 mostra a topologia para este exemplo. O Switch 1 e o Switch 2 são conectados por meio de uma interface de tronco. O Switch 1 está configurado para RSTP, enquanto o Switch 2 tem um protocolo de spanning tree configurado nele para o primeiro cenário, e não tem um protocolo de spanning tree configurado nele para o segundo cenário.

No primeiro cenário, este exemplo configura a proteção BPDU downstream nas interfaces do Switch 2 ge-0/0/5.0 e ge-0/0/6.0 quando o protocolo padrão de spanning tree (RSTP) não é desativado nessas interfaces. Quando a proteção de BPDU é habilitada, a shutdown declaração é habilitada por padrão, e as interfaces de switch serão desligadas se as BPDUs geradas pelos laptops tentarem acessar o Switch 2.

No segundo cenário, este exemplo configura a proteção de BPDU downstream nas interfaces do Switch 2 ge-0/0/5.0 e ge-0/0/6.0 quando não há nenhum protocolo de spanning tree configurado nessas interfaces. Quando a proteção de BPDU é habilitada com a drop declaração, as interfaces de switch baixam apenas as BPDUs enquanto permitem que o tráfego restante passe e mantenha seu status como se as BPDUs geradas pelos laptops tentarem acessar o Switch 2.

CUIDADO:

Ao configurar a proteção de BPDU em uma interface sem abranger árvores conectadas a um switch com árvores de abrangência, tenha cuidado para não configurar a proteção de BPDU em todas as interfaces. Isso poderia evitar que as BPDUs fossem recebidas em interfaces de switch (como uma interface de tronco) que você pretendia ter recebido BPDUs de um switch com árvores de abrangência.

Topologia

Figura 1: Topologia BPDU Protection Topology de proteção de BPDU

A Tabela 1 mostra os componentes que serão configurados para a proteção de BPDU.

Tabela 1: Componentes da topologia para configurar a proteção de BPDU em switches da Série EX

Propriedade

Configurações

Switch 1 (Camada de Distribuição)

O Switch 1 está conectado ao Switch 2 por uma interface de tronco. O Switch 1 está configurado para RSTP.

Switch 2 (Camada de acesso)

O Switch 2 tem duas portas de acesso downstream conectadas a laptops:

  • ge-0/0/5,0

  • ge-0/0/6,0

Configuração

Para configurar a proteção de BPDU nas interfaces:

Procedimento

Configuração rápida da CLI

Este é o primeiro cenário que explica a configuração do bloco BPDU padrão (ação: shutdown). Para configurar rapidamente a proteção de BPDU no Switch 2, copie os seguintes comandos e cole-os na janela de terminal do switch:

Procedimento passo a passo

Para configurar a proteção do BPDU para a shutdown declaração:

  1. Configure o bloco BPDU (ação: shutdown) na interface de downstream ge-0/0/5 no Switch 2:

  2. Configure o bloco BPDU (ação: shutdown) na interface de downstream ge-0/0/6 no Switch 2:

Resultados

Confira os resultados da configuração:

Procedimento

Configuração rápida da CLI

Este é o segundo cenário que explica a configuração para a drop declaração. Para configurar rapidamente a proteção de BPDU no Switch 2 para a drop declaração, copie os seguintes comandos e cole-os na janela de terminal do switch:

Nota:

Se o xSTP estiver habilitado na interface, você deve desabilitar antes de configurar a ação de queda de BPDU: bloqueie. Você pode desabilitar o RSTP globalmente usando o delete protocols rstp, o set protocols rstp disable, ou o set protocols rstp interface all disable comando.
Procedimento passo a passo

Para configurar a proteção do BPDU para a drop declaração:

  1. Configure a declaração de BPDU drop na interface de downstream ge-0/0/5 no Switch 2:

  2. Configure a declaração de BPDU drop na interface de downstream ge-0/0/6 no Switch 2:

Resultados

Confira os resultados da configuração: