Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Protección BPDU para protocolos de árbol de expansión

Descripción de la protección BPDU para interfaces de instancia de árbol de expansión

Los enrutadores serie ACX, los enrutadores serie MX, los enrutadores serie PTX, los conmutadores serie EX y los conmutadores serie QFX admiten protocolos de árbol de expansión que evitan bucles en una red mediante la creación de una topología de árbol (árbol de expansión) de toda la red en puente. Todos los protocolos de árbol de expansión utilizan un tipo especial de trama llamada unidades de datos de protocolo de puente (BPDU) para comunicarse entre sí.

La familia Spanning Tree Protocol (STP) está diseñada para romper posibles bucles en una red de puente de capa 2. La prevención de bucles evita tormentas de difusión dañinas que podrían inutilizar la red. Los procesos STP en puentes intercambian BPDU para determinar la topología de LAN, decidir el puente raíz, detener el reenvío en algunos puertos, etc. Sin embargo, una aplicación o dispositivo de usuario que se comporte mal puede interferir con el funcionamiento de los protocolos STP y causar problemas de red.

BPDU-block es una característica que defiende la topología STP de una aplicación o dispositivo de usuario que se comporta mal o de una amenaza. Debe habilitar la protección BPDU en las interfaces que se supone que no deben recibir ninguna BPDU.

Si una interfaz está configurada para ser puerto perimetral, pasará directamente al estado de reenvío. Estos puertos están conectados a dispositivos finales y no se espera que reciban BPDU. Por lo tanto, para evitar bucles, debe proteger los puertos de borde habilitando bpdu-block-on-edge.

En los enrutadores y conmutadores que admiten STP, puede configurar la protección BPDU para omitir las BPDU recibidas en interfaces en las que no se debe esperar ninguna (por ejemplo, una interfaz LAN en un borde de red sin otros puentes presentes). Si se recibe una BPDU en una interfaz protegida, la interfaz se deshabilita y detiene el reenvío de tramas. De forma predeterminada, todas las BPDU se aceptan y procesan en todas las interfaces.

Puede lograr la protección BPDU de varias maneras. De forma predeterminada, si bpdu-block está habilitado en la interfaz, al recibir BPDU, la interfaz se deshabilitará y todo el reenvío de tráfico se detendrá en la interfaz. Sin embargo, si no desea deshabilitar la interfaz y no desea que dicha interfaz participe en el cálculo del STP, puede configurar la caída de acciones. Si configura action drop, la interfaz permanece en funcionamiento y el tráfico sigue fluyendo; sin embargo, las BPDU se eliminan.

Los puertos de borde no admiten la caída de acción. BPDU-block-on-edge deshabilita la interfaz si los puertos de borde reciben BPDU. Debe borrar el error para que la interfaz vuelva a funcionar.

Puede configurar la protección BPDU en interfaces con los siguientes tipos de encapsulación:

  • Puente Ethernet

  • Ethernet-VPLS

  • Puente VLAN extendido

  • VLAN-VPLS

  • Puente VLAN

  • extended-vlan-vpls

Puede configurar la protección BPDU en interfaces individuales o en todos los puertos perimetrales del puente.

Habilite la protección BPDU en interfaces configuradas como puertos perimetrales mediante el bpdu-block-on-edge comando de la set protocols (mstp|rstp|vstp) jerarquía. Si no ha configurado un puerto como puerto perimetral, aún puede configurar la protección BPDU en la interfaz mediante el comando situado bpdu-block en la set protocols layer2-control jerarquía. También puede utilizar el comando para configurar la bpdu-block protección BPDU en interfaces configuradas para un árbol de expansión.

Ver también

Descripción de la protección BPDU para STP, RSTP y MSTP

Las redes suelen utilizar varios protocolos simultáneamente para lograr diferentes objetivos y, en algunos casos, esos protocolos pueden entrar en conflicto entre sí. Uno de estos casos es cuando los protocolos de árbol de expansión están activos en la red, donde un tipo especial de trama de conmutación llamada unidad de datos de protocolo de puente (BPDU) puede entrar en conflicto con las BPDU generadas en otros dispositivos, como las PC. Los diferentes tipos de BPDU no son compatibles, pero aún pueden ser reconocidos por otros dispositivos que usan BPDU y causan interrupciones en la red. Debe proteger cualquier dispositivo que reconozca las BPDU para que no detecte BPDU incompatibles.

Diferentes tipos de BPDU

Los protocolos de árbol de expansión, como el protocolo de árbol de expansión (STP), el protocolo de árbol de expansión rápida (RSTP), el protocolo de árbol de expansión de VLAN (VSTP) y el protocolo de árbol de expansión múltiple (MSTP) generan sus propias BPDU. Estas aplicaciones STP del mismo nivel utilizan sus BPDU para comunicarse y, en última instancia, el intercambio de BPDU determina qué interfaces bloquean el tráfico y qué interfaces se convierten en puertos raíz. Los puertos raíz y los puertos designados reenvían el tráfico; Los puertos alternativos y de copia de seguridad bloquean el tráfico.

Configuración de la protección BPDU para interfaces de instancia de árbol de expansión individuales

Para configurar la protección BPDU en una o más interfaces de instancia de árbol de expansión, incluya la bpdu-block instrucción:

Nota:

Si también incluye la instrucción opcional disable-timeout seconds , las interfaces protegidas se borran automáticamente después del intervalo de tiempo especificado, a menos que el intervalo sea 0.

Descripción de las BPDU utilizadas para intercambiar información entre puentes

En un entorno de puente de capa 2, los protocolos de árbol de expansión utilizan tramas de datos denominadas unidades de datos de protocolo de puente (BPDU) para intercambiar información entre puentes.

Los protocolos de árbol de expansión en sistemas pares intercambian BPDU, que contienen información sobre roles de puerto, ID de puente y costos de rutas raíz. En cada enrutador o conmutador, el protocolo de árbol de expansión utiliza esta información para elegir un puente raíz, identificar los puertos raíz para cada conmutador, identificar los puertos designados para cada segmento de LAN física y podar vínculos redundantes específicos para crear una topología de árbol sin bucles. La topología de árbol resultante proporciona una única ruta de datos activa de capa 2 entre dos estaciones finales.

Nota:

En las discusiones de los protocolos de árbol de expansión, los términos bridge y switch a menudo se usan indistintamente.

La transmisión de BPDU está controlada por el proceso del Protocolo de control de capa 2 (l2cpd) en las plataformas de enrutamiento universal 5G de la serie MX.

La transmisión de paquetes periódicos en nombre del proceso l2cpd se lleva a cabo mediante la gestión periódica de paquetes (PPM), que, de forma predeterminada, está configurada para ejecutarse en el motor de reenvío de paquetes. El proceso ppmd en el motor de reenvío de paquetes garantiza que las BPDU se transmitan incluso cuando la l2cpd no está disponible y mantiene vivas las adyacencias remotas durante una actualización unificada de software en servicio (ISSU unificada). Sin embargo, si desea que el proceso PPM distribuido (ppmd) se ejecute en el motor de enrutamiento en lugar del motor de reenvío de paquetes, puede deshabilitar el proceso ppmd en el motor de reenvío de paquetes.

En enrutadores y conmutadores con motores de enrutamiento redundantes (dos motores de enrutamiento instalados en el mismo enrutador), puede configurar puentes sin interrupciones. El puente sin interrupciones permite que el enrutador cambie de un motor de enrutamiento primario a un motor de enrutamiento de respaldo sin perder información del protocolo de control de capa 2 (L2CP). El puente sin interrupciones usa la misma infraestructura que el cambio de motor de enrutamiento (GRES) para conservar la información de la interfaz y del kernel. Sin embargo, el puente sin interrupciones también ahorra información L2CP al ejecutar el proceso l2cpd en el motor de enrutamiento de respaldo.

Nota:

Para usar puentes sin parar, primero debe habilitar GRES.

El puente sin interrupción es compatible con los siguientes protocolos de control de capa 2:

  • Protocolo de árbol de expansión (STP)

  • Protocolo de árbol de expansión rápida (RSTP)

  • Protocolo de árbol de expansión múltiple (MSTP)

Descripción de la protección BPDU para EVPN-VXLAN

Las estructuras del centro de datos EVPN-VXLAN tienen varios mecanismos integrados de prevención de bucle Ethernet, como la elección de horizonte dividido y reenviador designado y reenviador no designado. En algunos entornos de centros de datos existentes donde se está implementando una nueva estructura IP EVPN, es posible que deba configurar la protección BPDU en la interfaz leaf-to-server para evitar interrupciones de la red debidas a errores de cálculo de xSTP. Un cableado incorrecto entre las interfaces de servidor y leaf, o cualquier vínculo de puerta trasera de capa 2 entre dos o más interfaces ESI-LAG, puede provocar errores de cálculo y, a continuación, dar lugar a bucles Ethernet. Sin la protección BPDU, es posible que las BPDU no se reconozcan y se inunden como paquetes de capa 2 desconocidos en las interfaces VXLAN. Con la protección BPDU, cuando se recibe una BPDU en un puerto perimetral en un entorno EVPN-VXLAN, el puerto perimetral se deshabilita y deja de reenviar todo el tráfico. También puede configurar la protección BPDU para que elimine el tráfico de BPDU, pero que todo el resto del tráfico se reenvíe en las interfaces sin tener que configurar un protocolo de árbol de expansión.

Configuración de la interfaz para la protección BPDU con el modo de apagado de puerto

Para configurar la protección BPDU en una interfaz perimetral de un conmutador:

Nota:

Asegúrese de que el conmutador esté conectado a un dispositivo final.
  1. Configure cualquier protocolo de árbol de expansión en el conmutador si aún no está configurado. RSTP se configura en este procedimiento.
  2. Habilite RSTP en una interfaz específica y establezca una prioridad para la interfaz, por ejemplo, et-0/0/0.0:
  3. Habilite la protección BPDU en la et-0/0/0.0 interfaz:
  4. Confirme la configuración:
  5. Compruebe que la protección BPDU esté configurada correctamente en la interfaz (et-0/0/0.0):

    • Ejecute el comando de show ethernet-switching interfaces modo operativo para ver el estado de STP configurado en la interfaz:

      En este resultado, observe que la interfaz et-0/0/0.0 está bloqueada porque ha recibido BPDU del dispositivo final.

    • Ejecute el comando de show spanning-tree interfaces modo operativo para asegurarse de que la interfaz et-0/0/0.0 esté bloqueada:

    • Ejecute el comando de show interfaces interface-name modo operativo para comprobar que la interfaz está deshabilitada:

    El vínculo físico está inactivo y se detecta un error de BPDU.

Configuración de la interfaz para la protección BPDU con el modo de caída de BPDU

En el caso de ciertos conmutadores de acceso, es posible que desee que las interfaces del conmutador no se apaguen al encontrar paquetes BPDU incompatibles; en su lugar, solo elimine los paquetes BPDU incompatibles mientras permite que pase el tráfico restante. Dicha interfaz no debe tener un protocolo de árbol de expansión configurado en ella, de modo que los paquetes que pasan a través de la interfaz no causen una configuración incorrecta de STP y las consiguientes interrupciones de la red.

Para configurar la protección BPDU para que una interfaz solo descarte paquetes BPDU incompatibles y permita que pase el tráfico restante, conservando el estado de la interfaz como activo:

Nota:

Asegúrese de que el conmutador en el que está configurando la protección BPDU esté conectado a un dispositivo par.
  1. Elimine o deshabilite cualquier protocolo de árbol de expansión (por ejemplo, RSTP como en este procedimiento) configurado en el conmutador o en cualquier interfaz.

    • Para eliminar un protocolo de árbol de expansión en todo el conmutador:

      O

    • Para eliminar un protocolo de árbol de expansión en una interfaz específica (por ejemplo, et-0/0/0.0) en el conmutador:

  2. Habilite la protección BPDU en la interfaz (et-0/0/0.0 en este procedimiento) para descartar paquetes BPDU:
  3. Confirme la configuración:
  4. Compruebe que la opción action-drop de protección BPDU esté configurada en la interfaz:

    • Ejecute el comando de show ethernet-switching interfaces modo operativo para asegurarse de que el estado STP de la interfaz se está reenviando:

      En este resultado, observe que la interfaz et-0/0/0.0 está activa aunque haya recibido paquetes BPDU incompatibles porque la función de colocación está configurada para esta interfaz.

    • Ejecute el comando de show interfaces interface-name modo operativo para asegurarse de que la interfaz et-0/0/0.0 se muestra en la salida y que el estado de la interfaz está Activo:

    El vínculo físico está activo y no hay ningún error de BPDU.

Configuración de la protección BPDU para interfaces perimetrales

En una topología de árbol de expansión, si un conmutador es un conmutador de acceso, las interfaces de ese conmutador se conectarán a dispositivos finales, como PC, servidores, enrutadores o concentradores, que no estén conectados a otros conmutadores. Estas interfaces se configuran como interfaces perimetrales porque se conectan directamente a los dispositivos finales.

Las interfaces configuradas como interfaces perimetrales pueden pasar a un estado de reenvío inmediatamente porque no pueden crear bucles de red. Un conmutador detecta los puertos de borde al observar la ausencia de comunicación de las estaciones finales. Dado que los puertos perimetrales están conectados a dispositivos finales, es imperativo que configure la protección BPDU en los puertos perimetrales para evitar bucles. Si la protección BPDU está habilitada en una interfaz perimetral, la interfaz se apaga al encontrarse con ae BPDU, lo que impide que cualquier tráfico pase a través de la interfaz. Puede volver a habilitar la interfaz emitiendo el comando de clear error bpdu interface interface-name modo operativo. El clear error bpdu interface interface-name comando solo volverá a habilitar una interfaz, pero la configuración de BPDU para la interfaz seguirá existiendo a menos que quite explícitamente la configuración de BPDU.

Para configurar la protección BPDU en una interfaz perimetral de un conmutador:

Nota:

Asegúrese de que el conmutador esté conectado a un dispositivo final.
  1. Configure cualquier protocolo de árbol de expansión en el conmutador si aún no está configurado. RSTP se configura en este procedimiento.
  2. Habilite RSTP en una interfaz específica y establezca una prioridad para la interfaz, por ejemplo, et-0/0/0.0:
  3. Configure la interfaz como interfaz perimetral y habilite la et-0/0/0.0 protección BPDU en esa interfaz:
  4. Confirme la configuración:
  5. Compruebe que la protección BPDU esté configurada correctamente en la interfaz perimetral (et-0/0/0.0):

    • Ejecute el comando de show ethernet-switching interfaces modo operativo para ver el estado de STP configurado en la interfaz:

      En este resultado, observa que la interfaz et-0/0/0.0 está bloqueada porque ha recibido BPDU del dispositivo final.

    • Ejecute el comando de show spanning-tree interfaces modo operativo para asegurarse de que la interfaz et-0/0/0.0 esté bloqueada:

    • Ejecute el comando de show interfaces interface-name modo operativo para comprobar que la interfaz está deshabilitada:

    El vínculo físico está inactivo y se detecta un error de BPDU.

Ejemplo: bloqueo de BPDU en una interfaz durante 600 segundos

El ejemplo siguiente, cuando se utiliza con una configuración de puente completo con Ethernet agregada, bloquea las BPDU en la interfaz ae0 durante 10 minutos (600 segundos) antes de volver a habilitar la interfaz:

Ver también

Ejemplo: configuración de la protección BPDU en interfaces

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX sin compatibilidad con el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Cuando la protección BPDU está habilitada, una interfaz apaga o descarta los paquetes BPDU cuando se encuentra alguna BPDU incompatible, lo que impide que las BPDU generadas por los protocolos de árbol de expansión lleguen al conmutador. Cuando una interfaz está configurada para descartar paquetes BPDU, todo el tráfico, excepto las BPDU incompatibles, puede pasar a través de la interfaz.

Nota:

La función de caída de BPDU solo se puede especificar en interfaces en las que no se haya configurado ningún protocolo de árbol de expansión.

En este ejemplo se configura la protección BPDU en interfaces descendentes del conmutador STP que se conectan a dos equipos:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un conmutador serie EX en una topología RSTP

  • Un conmutador de la serie EX que no pertenezca a ninguna topología de árbol de expansión

  • Junos OS versión 9.1 o posterior para conmutadores serie EX

Antes de configurar las interfaces en el conmutador 2 para la protección BPDU, asegúrese de tener:

  • Se ha asegurado de que el RSTP funcione en el conmutador 1.

  • RSTP deshabilitado o habilitado en el conmutador 2 (dependiendo de la configuración que planee implementar).

    Si desea habilitar la función de apagado de BPDU, es opcional deshabilitar los protocolos de árbol de expansión en la interfaz.

Nota:

De forma predeterminada, RSTP está habilitado en todos los conmutadores de la serie EX.

Descripción general y topología

En este ejemplo se explica cómo configurar la protección BPDU en una interfaz.

La figura 1 muestra la topología de este ejemplo. Los conmutadores 1 y 2 están conectados a través de una interfaz troncal. El conmutador 1 está configurado para RSTP, mientras que el conmutador 2 tiene un protocolo de árbol de expansión configurado para el primer escenario y no tiene un protocolo de árbol de expansión configurado para el segundo escenario.

En el primer escenario, en este ejemplo se configura la protección BPDU descendente en las interfaces del conmutador 2 ge-0/0/5.0 y ge-0/0/6.0 cuando el protocolo de árbol de expansión (RSTP) predeterminado no está deshabilitado en estas interfaces. Cuando la protección BPDU está habilitada, la shutdown instrucción se habilita de forma predeterminada y las interfaces del conmutador se apagarán si las BPDU generadas por los equipos portátiles intentan acceder al conmutador 2.

En el segundo escenario, en este ejemplo se configura la protección BPDU descendente en las interfaces del conmutador 2 ge-0/0/5.0 y ge-0/0/6.0 cuando no hay ningún protocolo de árbol de expansión configurado en estas interfaces. Cuando la protección BPDU está habilitada con la drop instrucción, las interfaces del conmutador eliminan solo las BPDU, mientras permiten que pase el tráfico restante y conservan su estado como activas si las BPDU generadas por los equipos portátiles intentan acceder al conmutador 2.

CAUTELA:

Al configurar la protección BPDU en una interfaz sin árboles de expansión conectados a un conmutador con árboles de expansión, tenga cuidado de no configurar la protección BPDU en todas las interfaces. Si lo hace, podría impedir que se reciban BPDU en las interfaces de conmutador (como una interfaz troncal) que pretendía recibir BPDU de un conmutador con árboles de expansión.

Topología

Figura 1: Topología BPDU Protection Topology de protección BPDU

La Tabla 1 muestra los componentes que se configurarán para la protección BPDU.

Tabla 1: Componentes de la topología para configurar la protección BPDU en conmutadores de la serie EX

Propiedad

Configuración

Conmutador 1 (capa de distribución)

El conmutador 1 está conectado al conmutador 2 a través de una interfaz troncal. El conmutador 1 está configurado para RSTP.

Conmutador 2 (capa de acceso)

El conmutador 2 tiene dos puertos de acceso descendente conectados a las computadoras portátiles:

  • ge-0/0/5.0

  • GE-0/0/6.0

Configuración

Para configurar la protección BPDU en las interfaces:

Procedimiento

Configuración rápida de CLI

Este es el primer escenario que explica la configuración del bloque BPDU predeterminado (acción: shutdown). Para configurar rápidamente la protección BPDU en el conmutador 2, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar la protección BPDU para la shutdown instrucción:

  1. Configure el bloque BPDU (acción: shutdown) en la interfaz descendente ge-0/0/5 en el conmutador 2:

  2. Configure el bloque BPDU (acción: shutdown) en la interfaz descendente ge-0/0/6 en el conmutador 2:

Resultados

Compruebe los resultados de la configuración:

Procedimiento

Configuración rápida de CLI

Este es el segundo escenario que explica la configuración de la drop instrucción. Para configurar rápidamente la protección BPDU en el conmutador 2 para la drop instrucción, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Nota:

Si xSTP está habilitado en la interfaz, debe deshabilitarlo antes de configurar la acción de colocación de BPDU: bloquear. Puede deshabilitar RSTP globalmente mediante el delete protocols rstpcomando , el set protocols rstp disableo el set protocols rstp interface all disable comando.
Procedimiento paso a paso

Para configurar la protección BPDU para la drop instrucción:

  1. Configure la instrucción BPDU drop en la interfaz descendente ge-0/0/5 del conmutador 2:

  2. Configure la instrucción BPDU drop en la interfaz descendente ge-0/0/6 en el conmutador 2:

Resultados

Compruebe los resultados de la configuración: