Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Protection BPDU pour les protocoles Spanning-Tree

Présentation de la protection BPDU pour les interfaces d’instance Spanning-Tree

Les routeurs ACX Series, les routeurs MX Series, les routeurs PTX Series, les commutateurs EX Series et QFX Series prennent en charge les protocoles spanning-tree qui empêchent les boucles dans un réseau en créant une topologie arborescente (spanning-tree) de l’ensemble du réseau ponté. Tous les protocoles Spanning-Tree utilisent un type spécial de trames appelées unités de données de protocole de pont (BPDU) pour communiquer entre eux.

La famille des protocoles Spanning Tree (STP) est conçue pour rompre les boucles possibles dans un réseau ponté de couche 2. La prévention des boucles permet d’éviter les tempêtes de diffusion dommageables qui peuvent potentiellement rendre le réseau inutilisable. Les processus STP sur les ponts échangent des BPDU pour déterminer la topologie du réseau local, décider du pont racine, arrêter le transfert sur certains ports, etc. Toutefois, une application ou un équipement utilisateur qui se comporte mal peut interférer avec le fonctionnement des protocoles STP et causer des problèmes de réseau.

Le blocage BPDU est une fonctionnalité qui défend la topologie STP contre un utilisateur, une application ou un appareil qui se comporte mal ou contre une menace. Vous devez activer BPDU Guard sur les interfaces qui ne sont pas censées recevoir de BPDU.

Si une interface est configurée pour être un port périphérique, elle passe directement à l’état Transfert. Ces ports sont connectés à des terminaux et ne sont pas censés recevoir de BPDU. Par conséquent, pour éviter les boucles, vous devez protéger les ports périphériques en activant bpdu-block-on-edge.

Sur les routeurs et commutateurs qui prennent en charge STP, vous pouvez configurer la protection BPDU afin d’ignorer les BPDU reçus sur des interfaces où aucun ne devrait être attendu (par exemple, une interface LAN sur une périphérie de réseau sans autre pont présent). Si une BPDU est reçue sur une interface protégée, l’interface est désactivée et cesse de transférer les trames. Par défaut, toutes les BPDU sont acceptées et traitées sur toutes les interfaces.

Vous pouvez obtenir une protection BPDU de plusieurs manières. Par défaut, si bpdu-block est activé sur l’interface, à la réception de BPDU, l’interface sera désactivée et tout le transfert de trafic s’arrêtera sur l’interface. Toutefois, si vous ne souhaitez pas désactiver l’interface et que vous ne souhaitez pas que cette interface participe au calcul STP, vous pouvez configurer la suppression de l’action. Si vous configurez l’abandon d’actions, l’interface reste opérationnelle et le trafic continue de circuler. cependant, les BPDU sont abandonnés.

Les ports de périphérie ne prennent pas en charge l’interruption d’action. BPDU-block-on-edge désactive l’interface si les ports Edge reçoivent des BPDU. Vous devez effacer l’erreur pour rétablir l’interface.

Vous pouvez configurer la protection BPDU sur les interfaces avec les types d’encapsulation suivants :

  • pont ethernet

  • ethernet-vpls

  • pont VLAN étendu

  • vlan-vpls

  • pont VLAN

  • vpls vlan étendu

Vous pouvez configurer la protection BPDU sur des interfaces individuelles ou sur tous les ports périphériques du pont.

Activez la protection BPDU sur les interfaces configurées en tant que ports périphériques à l’aide de la bpdu-block-on-edge commande située sous la set protocols (mstp|rstp|vstp) hiérarchie. Si vous n’avez pas configuré un port en tant que port périphérique, vous pouvez toujours configurer la protection BPDU sur l’interface à l’aide de la bpdu-block commande située dans la set protocols layer2-control hiérarchie. Vous pouvez également utiliser la commande pour configurer la bpdu-block protection BPDU sur les interfaces configurées pour un spanning-tree.

Voir aussi

Comprendre la protection BPDU pour STP, RSTP et MSTP

Les réseaux utilisent souvent plusieurs protocoles simultanément pour atteindre des objectifs différents et, dans certains cas, ces protocoles peuvent entrer en conflit les uns avec les autres. C’est le cas lorsque des protocoles Spanning Tree sont actifs sur le réseau, où un type spécial de trame de commutation appelé unité de données de protocole de pont (BPDU) peut entrer en conflit avec des BPDU générés sur d’autres périphériques tels que des PC. Les différents types de BPDU ne sont pas compatibles, mais ils peuvent tout de même être reconnus par d’autres appareils qui utilisent des BPDU et provoquent des pannes de réseau. Vous devez protéger tout appareil qui reconnaît les BPDU contre la détection de BPDU incompatibles.

Différents types de BPDU

Les protocoles Spanning-Tree tels que le protocole STP (Spanning Tree Protocol), le protocole RSTP (Rapid Spanning Tree Protocol), le protocole VSTP (VLAN) et le protocole MSTP (Multiple Spanning Tree Protocol) génèrent leurs propres BPDU. Ces applications homologues STP utilisent leurs BPDU pour communiquer et, en fin de compte, l’échange de BPDU détermine quelles interfaces bloquent le trafic et quelles interfaces deviennent des ports racines. Les ports racine et les ports désignés acheminent le trafic ; Les ports alternatifs et secondaires bloquent le trafic.

Configuration de la protection BPDU pour les interfaces d’instance Spanning-Tree individuelles

Pour configurer la protection BPDU sur une ou plusieurs interfaces d’instance Spanning-Tree, incluez l’instruction bpdu-block suivante :

Note:

Si vous incluez également l’instruction facultative disable-timeout seconds , les interfaces protégées sont automatiquement effacées après l’intervalle de temps spécifié, sauf si l’intervalle est égal à 0.

Comprendre les BPDU utilisés pour l’échange d’informations entre les ponts

Dans un environnement de pont de couche 2, les protocoles Spanning Tree utilisent des trames de données appelées unités de données de protocole de pont (BPDU) pour échanger des informations entre les ponts.

Les protocoles Spanning-Tree sur les systèmes homologues échangent des BPDU, qui contiennent des informations sur les rôles de port, les ID de pont et les coûts des chemins racines. Sur chaque routeur ou commutateur, le protocole Spanning Tree utilise ces informations pour sélectionner un pont racine, identifier les ports racine de chaque commutateur, identifier les ports désignés pour chaque segment LAN physique et élaguer des liens redondants spécifiques pour créer une topologie d’arborescence sans boucle. La topologie arborescente résultante fournit un seul chemin de données actif de couche 2 entre deux stations d’extrémité quelconques.

Note:

Dans les discussions sur les protocoles spanning-tree, les termes bridge et switch sont souvent utilisés de manière interchangeable.

La transmission des BPDU est contrôlée par le processus l2cpd (Layer 2 Control Protocol) sur les plates-formes de routage universelles 5G MX Series.

La transmission de paquets périodiques pour le compte du processus l2cpd est effectuée par la gestion périodique des paquets (PPM), qui, par défaut, est configurée pour s’exécuter sur le moteur de transfert de paquets. Le processus ppmd sur le moteur de transfert de paquets garantit que les BPDU sont transmis même lorsque l2cpd n’est pas disponible, et maintient les adjacences distantes actives pendant une mise à niveau logicielle unifiée en service (ISSU unifiée). Toutefois, si vous souhaitez que le processus PPM distribué (ppmd) s’exécute sur le moteur de routage au lieu du moteur de transfert de paquets, vous pouvez désactiver le processus ppmd sur le moteur de transfert de paquets.

Sur les routeurs et les commutateurs dotés de moteurs de routage redondants (deux moteurs de routage installés dans le même routeur), vous pouvez configurer un pontage ininterrompu. Le pontage ininterrompu permet au routeur de passer d’un moteur de routage principal à un moteur de routage de secours sans perdre les informations du protocole de contrôle de couche 2 (L2CP). Le pontage ininterrompu utilise la même infrastructure que GRES (Graceful Moteur de Routage Switchover) pour préserver les informations de l’interface et du noyau. Toutefois, le pontage ininterrompu enregistre également les informations L2CP en exécutant le processus l2cpd sur le moteur de routage de secours.

Note:

Pour utiliser le pontage non-stop, vous devez d’abord activer GRES.

Le pontage non-stop est pris en charge pour les protocoles de contrôle de couche 2 suivants :

  • Protocole STP (Spanning-Tree Protocol)

  • Protocole RSTP (Rapid Spanning-Tree Protocol)

  • Protocole MSTP (Multiple Spanning-Tree Protocol)

Comprendre la protection BPDU pour EVPN-VXLAN

Les fabrics de centre de données EVPN-VXLAN intègrent un certain nombre de mécanismes de prévention des boucles Ethernet, tels que l’horizon fractionné, le choix d’un redirecteur désigné ou d’un redirecteur non désigné. Dans certains environnements de centre de données existants dans lesquels une nouvelle fabric IP EVPN est déployée, vous devrez peut-être configurer la protection BPDU au niveau de l’interface leaf-serveur afin d’éviter les pannes de réseau dues à des erreurs de calcul xSTP. Un câblage incorrect entre le serveur et les interfaces Leaf, ou toute liaison de couche 2 par une porte dérobée entre deux ou plusieurs interfaces ESI-LAG, peut entraîner des erreurs de calcul et entraîner des boucles Ethernet. Sans protection BPDU, les BPDU risquent de ne pas être reconnus et d’être inondés en tant que paquets de couche 2 inconnus sur les interfaces VXLAN. Avec la protection BPDU, lorsqu’une BPDU est reçue sur un port périphérique dans un environnement EVPN-VXLAN, le port périphérique est désactivé et cesse de transférer tout le trafic. Vous pouvez également configurer la protection BPDU pour qu’elle abandonne le trafic BPDU, mais que tout le reste du trafic soit transféré sur les interfaces sans avoir à configurer de protocole Spanning Tree.

Configuration de l’interface pour la protection BPDU avec le mode d’arrêt de port

Pour configurer la protection BPDU sur une interface de périphérie d’un commutateur :

Note:

Assurez-vous que le commutateur est connecté à un terminal.
  1. Configurez n’importe quel protocole Spanning-Tree sur le commutateur s’il n’est pas déjà configuré. RSTP est configuré dans cette procédure.
  2. Activez RSTP sur une interface spécifique et définissez une priorité pour l’interface, par exemple, et-0/0/0.0 :
  3. Activez la protection BPDU sur l’interface et-0/0/0.0 :
  4. Validez la configuration :
  5. Vérifiez que la protection BPDU est correctement configurée sur l’interface () :et-0/0/0.0

    • Exécutez la show ethernet-switching interfaces commande mode opérationnel pour voir l’état de STP configuré sur l’interface :

      Dans cette sortie, notez que l’interface et-0/0/0.0 est à l’état bloqué car elle a reçu des BPDU de l’appareil final.

    • Exécutez la show spanning-tree interfaces commande mode opérationnel pour vous assurer que l’interface et-0/0/0.0 est bloquée :

    • Exécutez la show interfaces interface-name commande mode opérationnel pour vérifier que l’interface est désactivée :

    La liaison physique est inactive et une erreur BPDU est détectée.

Configuration de l’interface pour la protection BPDU avec le mode d’abandon BPDU

Pour certains commutateurs d’accès, vous souhaiterez peut-être que les interfaces du commutateur ne s’arrêtent pas en cas de rencontre de paquets BPDU incompatibles. au lieu de cela, ne supprimez que les paquets BPDU incompatibles tout en laissant passer le trafic restant. Un protocole Spanning Tree ne doit pas être configuré sur une telle interface, afin que les paquets qui passent par l’interface n’entraînent pas d’erreur de configuration STP et de pannes de réseau conséquentes.

Pour configurer la protection BPDU d’une interface afin de n’abandonner que les paquets BPDU incompatibles et de laisser passer le trafic restant, tout en conservant l’état de l’interface activé :

Note:

Assurez-vous que le commutateur sur lequel vous configurez la protection BPDU est connecté à un périphérique homologue.
  1. Supprimez ou désactivez tout protocole Spanning Tree (par exemple, RSTP comme dans cette procédure) configuré sur le commutateur ou sur n’importe quelle interface.

    • Pour supprimer un protocole Spanning Tree sur l’ensemble du commutateur :

      Ou

    • Pour supprimer un protocole Spanning-Tree sur une interface spécifique (par exemple, et-0/0/0.0) sur le commutateur :

  2. Activez la protection BPDU sur l’interface (et-0/0/0.0 dans cette procédure) pour supprimer les paquets BPDU :
  3. Validez la configuration :
  4. Vérifiez que l’action de suppression de la protection BPDU est configurée sur l’interface :

    • Exécutez la show ethernet-switching interfaces commande en mode opérationnel pour vous assurer que l’état STP de l’interface est en cours de transfert :

      Dans cette sortie, notez que l’interface et-0/0/0.0 est active même si elle a reçu des paquets BPDU incompatibles, car la fonction d’abandon est configurée pour cette interface.

    • Exécutez la show interfaces interface-name commande mode opérationnel pour vous assurer que l’interface et-0/0/0.0 est affichée dans la sortie et que l’état de l’interface est Actif :

    La liaison physique est active et il n’y a pas d’erreur BPDU.

Configuration de la protection BPDU pour les interfaces Edge

Dans une topologie spanning-tree, si un commutateur est un commutateur d’accès, les interfaces de ce commutateur sont connectées à des périphériques finaux tels que des PC, des serveurs, des routeurs ou des concentrateurs, qui ne sont pas connectés à d’autres commutateurs. Vous configurez ces interfaces en tant qu’interfaces de périphérie, car elles se connectent directement aux équipements finaux.

Les interfaces configurées en tant qu’interfaces de périphérie peuvent passer immédiatement à un état de transfert, car elles ne peuvent pas créer de boucles réseau. Un commutateur détecte les ports périphériques en notant l’absence de communication depuis les stations d’extrémité. Étant donné que des ports de périphérie sont connectés à des équipements finaux, il est impératif de configurer la protection BPDU sur les ports de périphérie pour éviter les boucles. Si la protection BPDU est activée sur une interface périphérique, celle-ci s’arrête dès qu’elle rencontre un BPDU ae, empêchant ainsi le trafic de passer par l’interface. Vous pouvez réactiver l’interface en exécutant la clear error bpdu interface interface-name commande mode opérationnel. La clear error bpdu interface interface-name commande réactivera uniquement une interface, mais la configuration BPDU de l’interface continuera d’exister à moins que vous ne supprimiez explicitement la configuration BPDU.

Pour configurer la protection BPDU sur une interface de périphérie d’un commutateur :

Note:

Assurez-vous que le commutateur est connecté à un terminal.
  1. Configurez n’importe quel protocole Spanning-Tree sur le commutateur s’il n’est pas déjà configuré. RSTP est configuré dans cette procédure.
  2. Activez RSTP sur une interface spécifique et définissez une priorité pour l’interface, par exemple, et-0/0/0.0 :
  3. Configurez l’interface en tant qu’interface de périphérie et activez la et-0/0/0.0 protection BPDU sur cette interface :
  4. Validez la configuration :
  5. Vérifiez que la protection BPDU est correctement configurée sur l’interface Edge () :et-0/0/0.0

    • Exécutez la show ethernet-switching interfaces commande mode opérationnel pour voir l’état de STP configuré sur l’interface :

      Dans cette sortie, vous notez que l’interface et-0/0/0.0 est à l’état bloqué car elle a reçu des BPDU du périphérique final.

    • Exécutez la show spanning-tree interfaces commande mode opérationnel pour vous assurer que l’interface et-0/0/0.0 est bloquée :

    • Exécutez la show interfaces interface-name commande mode opérationnel pour vérifier que l’interface est désactivée :

    La liaison physique est inactive et une erreur BPDU est détectée.

Exemple : blocage de BPDU sur une interface pendant 600 secondes

L’exemple suivant, lorsqu’il est utilisé avec une configuration de pont complet avec Ethernet agrégé, bloque les BPDU sur l’interface ae0 pendant 10 minutes (600 secondes) avant de réactiver l’interface :

Voir aussi

Exemple : Configuration de la protection BPDU sur les interfaces

Note:

Cet exemple utilise Junos OS pour les commutateurs EX Series sans prendre en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.

Lorsque la protection BPDU est activée, une interface arrête ou abandonne les paquets BPDU lorsqu’une BPDU incompatible est rencontrée, empêchant ainsi les BPDU générées par les protocoles Spanning-Tree d’atteindre le commutateur. Lorsqu’une interface est configurée pour supprimer des paquets BPDU, tout le trafic, à l’exception des BPDU incompatibles, peut passer par l’interface.

Note:

La fonctionnalité d’abandon BPDU ne peut être spécifiée que sur les interfaces sur lesquelles aucun protocole Spanning-Tree n’est configuré.

Cet exemple configure la protection BPDU sur les interfaces en aval du commutateur STP qui se connectent à deux PC :

Exigences

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur EX Series dans une topologie RSTP

  • Un commutateur EX Series ne faisant partie d’aucune topologie Spanning Tree

  • Junos OS version 9.1 ou ultérieure pour les commutateurs EX Series

Avant de configurer les interfaces sur le commutateur 2 pour la protection BPDU, assurez-vous d’avoir :

  • Assurez-vous que RSTP fonctionne sur le commutateur 1 - effectué.

  • RSTP désactivé ou activé sur le commutateur 2 (en fonction de la configuration que vous prévoyez d’implémenter.)

    Si vous souhaitez activer la fonctionnalité d’arrêt BPDU, il est facultatif de désactiver les protocoles spanning-tree sur l’interface.

Note:

Par défaut, RSTP est activé sur tous les commutateurs EX Series.

Vue d’ensemble et topologie

Cet exemple explique comment configurer la protection BPDU sur une interface.

La figure 1 illustre la topologie de cet exemple. Les commutateurs 1 et 2 sont connectés via une interface trunk. Le commutateur 1 est configuré pour RSTP, tandis que le commutateur 2 dispose d’un protocole spanning-tree configuré pour le premier scénario et n’a pas de protocole spanning-tree configuré pour le second scénario.

Dans le premier scénario, cet exemple configure la protection BPDU en aval sur les interfaces ge-0/0/5.0 et ge-0/0/6.0 du commutateur 2 lorsque le protocole RSTP (Spanning-Tree Protocol) par défaut n’est pas désactivé sur ces interfaces. Lorsque la protection BPDU est activée, l’instruction shutdown est activée par défaut et les interfaces du commutateur s’arrêtent si les BPDU générées par les ordinateurs portables tentent d’accéder au commutateur 2.

Dans le second scénario, cet exemple configure la protection BPDU en aval sur les interfaces ge-0/0/5.0 et ge-0/0/6.0 du commutateur 2 lorsqu’aucun protocole spanning-tree n’est configuré sur ces interfaces. Lorsque la protection BPDU est activée avec l’instruction drop , les interfaces du commutateur abandonnent uniquement les BPDU tout en permettant au trafic restant de passer et en conservant leur état activé si les BPDU générés par les ordinateurs portables tentent d’accéder au commutateur 2.

PRUDENCE:

Lorsque vous configurez la protection BPDU sur une interface sans spanning trees connectée à un commutateur avec des spanning trees, veillez à ne pas configurer la protection BPDU sur toutes les interfaces. Cela pourrait empêcher la réception de BPDU sur des interfaces de commutateur (telles qu’une interface principale) alors que vous aviez l’intention de recevoir des BPDU d’un commutateur avec spanning trees.

Topologie

Figure 1 : topologie BPDU Protection Topology de protection BPDU

Le Tableau 1 présente les composants qui seront configurés pour la protection BPDU.

Tableau 1 : Composants de la topologie de configuration de la protection BPDU sur les commutateurs EX Series

Propriété

Paramètres

Commutateur 1 (couche de distribution)

Le commutateur 1 est connecté au commutateur 2 via une interface trunk. Le commutateur 1 est configuré pour RSTP.

Commutateur 2 (couche d’accès)

Le commutateur 2 dispose de deux ports d’accès en aval connectés aux ordinateurs portables :

  • GE-0/0/5.0

  • GE-0/0/6.0

Configuration

Pour configurer la protection BPDU sur les interfaces :

Procédure

Configuration rapide de l’interface de ligne de commande

Il s’agit du premier scénario qui explique la configuration du bloc BPDU par défaut (action : shutdown). Pour configurer rapidement la protection BPDU sur le commutateur 2, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer la protection BPDU pour l’instruction shutdown :

  1. Configurez le bloc BPDU (action : shutdown) sur l’interface aval ge-0/0/5 sur le commutateur 2 :

  2. Configurez le bloc BPDU (action : shutdown) sur l’interface en aval ge-0/0/6 sur le commutateur 2 :

Résultats

Vérifiez les résultats de la configuration :

Procédure

Configuration rapide de l’interface de ligne de commande

Il s’agit du deuxième scénario qui explique la configuration de l’instruction drop . Pour configurer rapidement la protection BPDU sur le commutateur 2 pour l’instruction drop , copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Note:

Si xSTP est activé sur l’interface, vous devez le désactiver avant de configurer l’action de suppression BPDU : bloquer. Vous pouvez désactiver RSTP globalement à l’aide de la delete protocols rstpcommande , la commande , la set protocols rstp disablecommande ou la commande .set protocols rstp interface all disable
Procédure étape par étape

Pour configurer la protection BPDU pour l’instruction drop :

  1. Configurez l’instruction BPDU drop sur l’interface en aval ge-0/0/5 sur le commutateur 2 :

  2. Configurez l’instruction BPDU drop sur l’interface en aval ge-0/0/6 sur le commutateur 2 :

Résultats

Vérifiez les résultats de la configuration :