Protección de raíz para entornos multihogar VPLS
Descripción de la multiconexión de VPLS
La redundancia está integrada en muchas redes mediante el uso de enlaces y rutas alternativas, que a menudo toman la forma de anillos. Cuando se adjuntan varios hosts a enrutadores perimetrales del cliente (CE) y enrutadores perimetrales de proveedor (PE) para proteger el servicio LAN privada virtual (VPLS), esta técnica suele denominarse multiconexión.
La figura 1 muestra los hosts conectados a enrutadores CE y a una red VPLS a través de dos enrutadores PE. Los enrutadores CE también están conectados, formando una especie de estructura de anillo.
- Beneficios del multihoming
- ¿Cómo funciona el multihoming?
- Tiempo de espera de multiconexión VPLS antes de cambiar a la prioridad principal
- Puente multiconexión VPLS vaciado de caché MAC al cambiar la topología
- Identificadores de sistema de multiconexión VPLS para puentes en el anillo
- Prioridad de multiconexión VPLS del puente de respaldo
Beneficios del multihoming
Multihoming Multihoming es básicamente darle a su dispositivo informático o red una presencia en más de una red. Cuando ambos enlaces están activos, ambos enlaces se utilizan por completo, lo que aumenta el rendimiento general. Si uno de los enlaces falla, el otro todavía transporta tráfico, por lo que tiene redundancia.
La multiconexión se utiliza en puentes de red, repetidores, extensores de alcance, firewalls, servidores proxy, puertas de enlace y, cuando se utiliza una máquina virtual, está configurada para utilizar la traducción de direcciones de red (NAT).
¿Cómo funciona el multihoming?
Los dos enrutadores PE tienen sus propios vínculos a un servicio de red VPLS, como se muestra en la figura 1, pero no están conectados directamente entre sí. Los cuatro enrutadores perimetrales ejecutan algún tipo de protocolo de árbol de expansión con la protección raíz habilitada, y solo una interfaz PE estará en estado de reenvío y la otra bloqueada.
Supongamos que esta interfaz de reenvío es a través de PE1. Si se produce un error en el vínculo entre CE1 y CE2, la interfaz PE2 de bloqueo debe detectar un conmutador de protección raíz y pasar al estado de reenvío. Todas las direcciones MAC aprendidas por CE2 que se conectan al servicio de red VPLS a través de PE1 deben vaciarse. Del mismo modo, cuando se restaura el vínculo entre CE1 y CE2, PE2 vuelve a detectar el conmutador de protección raíz y comienza a bloquear de nuevo. Ahora todas las direcciones MAC aprendidas por CE2 que se conectan a través de PE2 deben vaciarse. Todo esto se controla mediante la configuración de acciones de cambio de topología de protección raíz VPLS en los enrutadores CE.
El anillo de capa 2 se conecta a la infraestructura de conmutación de vínculo multiprotocolo (MPLS) a través de dos enrutadores PE. Las interrupciones de vínculo en el anillo se protegen mediante la ejecución de una versión del protocolo de árbol de expansión con la opción de protección de raíz habilitada.
Sin embargo, los protocolos de red privada virtual (VPN) de la capa 3 no son conscientes del estado de bloqueo resultante de esta configuración de protección raíz (no se permiten anillos o bucles en la capa 2 porque los protocolos de capa 2 no funcionarán correctamente).
Varios hosts se conectan a los enrutadores CE, que están conectados entre sí, así como a los enrutadores PE que acceden a la nube de red VPLS. Cualquier vínculo único entre los enrutadores perimetrales puede fallar sin afectar el acceso de los hosts a los servicios VPLS.
Tiempo de espera de multiconexión VPLS antes de cambiar a la prioridad principal
A nivel global, cada tipo de protocolo de árbol de expansión tiene asociado un tiempo de espera de prioridad. Este es el número de segundos, en el intervalo de 1 a 255 segundos, que el sistema espera para cambiar a la prioridad principal cuando aparece el primer dominio principal. El valor predeterminado es de 2 segundos. Esto permite que aparezca el número máximo de dominios principales, y algunos pueden ser más lentos que otros.
El número predeterminado de segundos que se debe mantener presionado antes de cambiar a la prioridad principal cuando aparece el primer dominio principal es de 2 segundos.
Cuando un enrutador de la serie MX o un conmutador de la serie EX en un anillo de capa 2 de multiconexión VPLS ejecuta un protocolo de árbol de expansión con la protección raíz habilitada, puede modificar las acciones predeterminadas que realiza el enrutador o el conmutador cuando cambie la topología. Para ello, configure las acciones de cambio de topología de protección raíz de VPLS.
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo de árbol de expansión global) o en el nivel de [edit protocols vstp vlan vlan-id] jerarquía (para controlar una VLAN determinada).
Las acciones de cambio de topología raíz de VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Puente multiconexión VPLS vaciado de caché MAC al cambiar la topología
De forma predeterminada, si la protección de raíz está habilitada y, a continuación, la topología cambia, los puentes no vacían la caché de direcciones MAC del control de acceso a medios (MAC) de las direcciones MAC aprendidas cuando se bloquearon otros puertos de interfaz.
Para cambiar el comportamiento predeterminado, puede usar la instrucción vpls-flush-on-topology-change.
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo de árbol de expansión global) o en el nivel de [edit protocols vstp vlan vlan-id] jerarquía (para controlar una VLAN determinada).
En concreto, los mensajes de vaciado de MAC se envían desde el PE bloqueado a los pares LDP en función de la asignación del identificador del sistema a las direcciones IP, tal como se especifica mediante la system-id instrucción.
Las acciones de cambio de topología raíz de VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Sin embargo, para mantener el anillo de capa 2 funcionando en un entorno de multihost con errores de vínculo, el protocolo de árbol de expansión que se ejecuta en los enrutadores de la serie MX requiere la siguiente configuración adicional:
Los protocolos VPN tienen que actuar sobre el bloqueo y desbloqueo de interfaces por el protocolo de árbol de expansión. Específicamente, los mensajes de vaciado del control de acceso a medios (MAC) deben ser enviados por el enrutador PE de bloqueo a los pares LDP para vaciar las direcciones MAC aprendidas cuando se bloquearon otros puertos de interfaz.
Además, si un enrutador PE activo con un puente de protección raíz VPLS habilitado pierde la conectividad VPLS, la protección raíz requiere que el puente cambie al otro enrutador PE para mantener la conectividad. El protocolo de árbol de expansión debe conocer el estado de la conectividad VPLS en el enrutador PE. Si la caché de direcciones MAC no se vacía cuando cambia la topología, es posible que las tramas se envíen al dispositivo incorrecto.
Puede controlar las acciones que realiza el enrutador de la serie MX cuando la topología cambia en un entorno VPLS de anillo de capa 2 de host múltiple mediante la protección raíz de VPLS.
Identificadores de sistema de multiconexión VPLS para puentes en el anillo
Cuando un enrutador de la serie MX o un conmutador de la serie EX en un anillo de capa 2 de multiconexión VPLS ejecuta un protocolo de árbol de expansión con la protección raíz habilitada, puede modificar las acciones predeterminadas que realiza el enrutador o el conmutador cuando cambie la topología. Para ello, configure las acciones de cambio de topología de protección raíz de VPLS.
El identificador del sistema para los puentes del anillo no está configurado de forma predeterminada.
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo de árbol de expansión global) o en el nivel de [edit protocols vstp vlan vlan-id] jerarquía (para controlar una VLAN determinada).
Las acciones de cambio de topología raíz de VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Prioridad de multiconexión VPLS del puente de respaldo
Cuando un enrutador de la serie MX o un conmutador de la serie EX en un anillo de capa 2 de multiconexión VPLS ejecuta un protocolo de árbol de expansión con la protección raíz habilitada, puede modificar las acciones predeterminadas que realiza el enrutador o el conmutador cuando cambie la topología. Para ello, configure las acciones de cambio de topología de protección raíz de VPLS.
El valor predeterminado del puente de reserva es 32.768. Puede establecer la prioridad del puente de reserva en un valor comprendido entre 0 y 61440, en incrementos de 4096.
Para cambiar el valor predeterminado, puede utilizar la instrucción siguiente backup-bridge-priority vpls-ring-backup-bridge-priority
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo de árbol de expansión global) o en el nivel de [edit protocols vstp vlan vlan-id] jerarquía (para controlar una VLAN determinada).
Las acciones de cambio de topología raíz de VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Descripción de la prioridad del puente para la elección del puente raíz y el puente designado
Utilice la prioridad del puente para controlar qué puente se elige como puente raíz y también para controlar qué puente se elige como puente raíz cuando falla el puente raíz inicial.
El puente raíz para cada instancia de protocolo de árbol de expansión viene determinado por el ID del puente. El ID del puente consta de una prioridad de puente configurable y la dirección MAC del puente. El puente con el ID de puente más bajo se elige como puente raíz. Si las prioridades del puente son iguales o si la prioridad del puente no está configurada, el puente con la dirección MAC más baja se elige como puente raíz.
La prioridad del puente también se puede utilizar para determinar qué puente se convierte en el puente designado para un segmento LAN. Si dos puentes tienen el mismo costo de ruta para el puente raíz, el puente con el ID de puente más bajo se convierte en el puente designado.
La prioridad del puente solo se puede establecer en incrementos de 4096.
Considere un escenario de ejemplo en el que un enrutador perimetral de cliente de base dual (CE) está conectado a otros dos enrutadores perimetrales de proveedor (PE), que funcionan como enrutadores VPLS PE, con MSTP habilitado en todos estos enrutadores y con el enrutador CE funcionando como puente raíz. La interfaz de enrutamiento y puente integrados (IRB) está configurada para las instancias de enrutamiento VPLS en los enrutadores. En una red de este tipo, las direcciones MAC que se aprenden en el dominio VPLS se mueven continuamente entre las interfaces LSI o túnel virtual (VT) y las interfaces VPLS en ambos enrutadores PE. Para evitar el movimiento continuo de las direcciones MAC, debe configurar la protección raíz incluyendo la no-root-port instrucción en el [edit routing-instances routing-instance-name protocols mstp interface interface-name] nivel de jerarquía y configurar la prioridad de puente como cero incluyendo la bridge priority 0 instrucción en el [edit routing-instances routing-instance-name protocols mstp] nivel de jerarquía en los enrutadores PE. Esta configuración en los enrutadores PE es necesaria para evitar que las interfaces orientadas al lado CE se conviertan en el puente raíz.
Descripción de la protección raíz para interfaces de instancia de árbol de expansión en una red conmutada de capa 2
Las aplicaciones STP del mismo nivel que se ejecutan en interfaces utilizan BPDU para comunicarse. En última instancia, el intercambio de BPDU determina qué interfaces bloquean el tráfico y qué interfaces se convierten en puertos raíz y reenvían tráfico.
Un puerto raíz elegido a través de este proceso tiene la posibilidad de ser elegido erróneamente. Una aplicación puente de usuario que se ejecuta en un PC también puede generar BPDU e interferir con la elección del puerto raíz. Aquí es cuando la protección de raíz es útil.
- Beneficios de la protección raíz del protocolo de árbol de expansión
- Cómo funciona la protección de raíz
- ¿Dónde debo habilitar la protección de raíz?
Beneficios de la protección raíz del protocolo de árbol de expansión
La protección raíz permite a los administradores de red aplicar manualmente la colocación del puente raíz en una red conmutada de capa 2.
Cómo funciona la protección de raíz
Cuando la protección raíz está habilitada en una interfaz, se habilita para todas las instancias STP de esa interfaz. Si el puente recibe BPDU superiores en un puerto que tiene habilitada la protección de raíz, ese puerto pasa a un estado STP con raíz impedida y la interfaz se bloquea. Esto impide que un puente que no debería ser el puente raíz sea elegido puente raíz. La interfaz se bloquea solo para los casos en los que recibe BPDU superiores. De lo contrario, participa en la topología del árbol de expansión.
Después de que el puente deja de recibir BPDU superiores en el puerto con la protección de raíz habilitada y se agota el tiempo de espera de las BPDU recibidas, ese puerto vuelve al estado de puerto designado por STP.
De forma predeterminada, la protección de raíz está deshabilitada.
Una interfaz se puede configurar para la protección raíz o la protección de bucle, pero no para ambas.
¿Dónde debo habilitar la protección de raíz?
Habilite la protección raíz en interfaces que no deben recibir unidades de datos de protocolo de puente superiores (BPDU) del puente raíz y que no deben elegirse como puerto raíz.
Las interfaces que se convierten en puertos designados suelen encontrarse en un límite administrativo. Si el puente recibe BPDU STP superiores en un puerto que tiene habilitada la protección raíz, ese puerto pasa a un estado STP prevenido por raíz (estado de inconsistencia) y la interfaz se bloquea. Este bloqueo impide que un puente que no debería ser el puente raíz sea elegido puente raíz. Después de que el puente deja de recibir BPDU STP superiores en la interfaz con protección de raíz, la interfaz vuelve a un estado de escucha, seguido de un estado de aprendizaje y, en última instancia, de vuelta a un estado de reenvío. La recuperación al estado de reenvío es automática.
Ejemplo: configuración de acciones de cambio de topología raíz de VPLS
En este ejemplo se configura una prioridad de puente de 36k, una prioridad de puente de reserva de 44k, un valor de tiempo de espera de prioridad de 60 segundos, un identificador de sistema de 000203:040506 para la dirección IP 10.1.1.1/32 y se establece que el puente vacíe la caché de MAC en un cambio de topología solo para MSTP.
[edit]
protocols {
mstp {
bridge-priority 36k;
backup-bridge-priority 44k;
priority-hold-time 60;
system-id 000203:040506 {
10.1.1.1/32;
}
vpls-flush-on-topology-change;
}
}
Esta no es una configuración completa.
Habilitación de la protección raíz para una interfaz de instancia de árbol de expansión
Para habilitar la protección de raíz para una interfaz de instancia de árbol de expansión:
Configuración de las acciones de cambio de la topología de protección raíz de VPLS para controlar el comportamiento del árbol de expansión de VLAN individual
Para configurar las acciones de cambio de topología de protección raíz de VPLS para controlar una VLAN determinada:
Ejemplo: Configuración de la protección raíz para aplicar la colocación del puente raíz en árboles de expansión en conmutadores que no son de la serie EX de ELS
Los conmutadores de la serie EX proporcionan prevención de bucle de capa 2 mediante el protocolo de árbol de expansión (STP), el protocolo de árbol de expansión rápida (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). La protección raíz aumenta la eficiencia de STP, RSTP y MSTP al permitir que los administradores de red apliquen manualmente la colocación del puente raíz en la red.
En este ejemplo se describe cómo configurar la protección raíz en una interfaz de un conmutador de la serie EX:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.1 o posterior para conmutadores serie EX
Cuatro conmutadores de la serie EX en una topología RSTP
Antes de configurar la interfaz para la protección raíz, asegúrese de tener:
RSTP funcionando en los conmutadores.
De forma predeterminada, RSTP está habilitado en todos los conmutadores de la serie EX.
Descripción general y topología
Las aplicaciones STP del mismo nivel que se ejecutan en interfaces de conmutador intercambian un tipo especial de trama denominada unidad de datos de protocolo de puente (BPDU). Los conmutadores comunican información de la interfaz mediante BPDU para crear una topología sin bucles que, en última instancia, determina el puente raíz y qué interfaces bloquean o reenvían el tráfico en el árbol de expansión.
Sin embargo, un puerto raíz elegido a través de este proceso tiene la posibilidad de ser elegido erróneamente. Una aplicación puente de usuario que se ejecuta en un PC también puede generar BPDU e interferir con la elección del puerto raíz.
Para evitar que esto suceda, habilite la protección raíz en interfaces que no deben recibir BPDU superiores del puente raíz y que no deben elegirse como puerto raíz. Estas interfaces suelen encontrarse en un límite administrativo y son puertos designados.
Cuando la protección raíz está habilitada en una interfaz:
La interfaz está bloqueada para que no se convierta en el puerto raíz.
La protección raíz está habilitada para todas las instancias STP en esa interfaz.
La interfaz se bloquea solo para los casos en los que recibe BPDU superiores. De lo contrario, participa en la topología del árbol de expansión.
Una interfaz se puede configurar para la protección raíz o la protección de bucle, pero no para ambas.
En la figura 2 se muestran cuatro conmutadores de la serie EX. En este ejemplo, se configuran para RSTP y crean una topología sin bucles. La interfaz ge-0/0/7 del conmutador 1 es un puerto designado en una frontera administrativa. Se conecta al conmutador 4. El conmutador 3 es el puente raíz. La interfaz ge-0/0/6 en el conmutador 1 es el puerto raíz.
En este ejemplo se muestra cómo configurar la protección raíz en la interfaz ge-0/0/7 para evitar que se convierta en el puerto raíz.
raíz
En la tabla 1 se muestran los componentes que se configurarán para la protección de raíz.
Propiedad |
Configuración |
|---|---|
Conmutador 1 |
El conmutador 1 está conectado al conmutador 4 mediante la interfaz ge-0/0/7. |
Conmutador 2 |
El conmutador 2 está conectado al conmutador 1 y al conmutador 3. La interfaz ge-0/0/4 es el puerto alternativo en la topología RSTP. |
Conmutador 3 |
El conmutador 3 es el puente raíz y está conectado al conmutador 1 y al conmutador 2. |
Conmutador 4 |
El conmutador 4 está conectado al conmutador 1. Después de configurar la protección raíz en la interfaz ge-0/0/7, el conmutador 4 enviará BPDU superiores que activarán la protección raíz en la interfaz ge-0/0/7. |
Una topología de árbol de expansión contiene puertos que tienen funciones específicas:
El puerto raíz es responsable de reenviar los datos al puente raíz.
El puerto alternativo es un puerto de espera para el puerto raíz. Cuando un puerto raíz deja de funcionar, el puerto alternativo se convierte en el puerto raíz activo.
El puerto designado reenvía los datos al dispositivo o segmento de red descendente.
En este ejemplo de configuración se utiliza una topología RSTP. Sin embargo, también puede configurar la protección raíz para topologías STP o MSTP en [edit protocols (mstp | STP)] nivel jerárquico.
Topología
Configuración
Para configurar la protección raíz en una interfaz:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección raíz en la interfaz ge-0/0/7, copie el siguiente comando y péguelo en la ventana terminal del conmutador:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Procedimiento paso a paso
Para configurar la protección de raíz:
Configure la interfaz ge-0/0/7:
[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols rstp
interface ge-0/0/7.0 {
no-root-port;
}
Verificación
Para confirmar que la configuración funciona correctamente:
- Visualización del estado de la interfaz antes de activar la protección raíz
- Comprobar que la protección raíz funciona en la interfaz
Visualización del estado de la interfaz antes de activar la protección raíz
Propósito
Antes de activar la protección raíz en la interfaz ge-0/0/7, confirme el estado de la interfaz.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Significado
El resultado del comando show spanning-tree interface del modo operativo muestra que ge-0/0/7.0 es un puerto designado en estado de reenvío.
Comprobar que la protección raíz funciona en la interfaz
Propósito
Se produce un cambio de configuración en el conmutador 4. Una prioridad de puente más pequeña en el conmutador 4 hace que envíe BPDU superiores a la interfaz ge-0/0/7. La recepción de BPDU superiores en la interfaz ge-0/0/7 activará la protección de raíz. Verifique que la protección raíz esté funcionando en la interfaz ge-0/0/7.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Significado
El comando del modo operativo show spanning-tree interface muestra que la interfaz ge-0/0/7.0 ha pasado a un estado raíz incoherente. El estado raíz incoherente hace que la interfaz se bloquee, descartando cualquier BPDU recibida, e impide que la interfaz se convierta en candidata para el puerto raíz. Cuando el puente raíz ya no recibe BPDU STP superiores de la interfaz, la interfaz se recuperará y volverá a un estado de reenvío. La recuperación es automática.
Ejemplo: Configuración de la protección raíz para aplicar la colocación del puente raíz en árboles de expansión en conmutadores de la serie EX con ELS
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Los conmutadores de la serie EX proporcionan prevención de bucle de capa 2 mediante el protocolo de árbol de expansión (STP), el protocolo de árbol de expansión rápida (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). La protección raíz aumenta la eficiencia de STP, RSTP y MSTP al permitir que los administradores de red apliquen manualmente la colocación del puente raíz en la red.
En este ejemplo se describe cómo configurar la protección raíz en una interfaz de un conmutador de la serie EX:
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Junos OS versión 13.2X50-D10 o posterior o posterior para conmutadores serie EX
Cuatro conmutadores de la serie EX en una topología RSTP
Antes de configurar la interfaz para la protección raíz, asegúrese de tener:
RSTP funcionando en los conmutadores.
De forma predeterminada, RSTP está habilitado en todos los conmutadores de la serie EX.
Descripción general y topología
Las aplicaciones STP del mismo nivel que se ejecutan en interfaces de conmutador intercambian un tipo especial de trama denominada unidad de datos de protocolo de puente (BPDU). Los conmutadores comunican información de la interfaz mediante BPDU para crear una topología sin bucles que, en última instancia, determina el puente raíz y qué interfaces bloquean o reenvían el tráfico en el árbol de expansión.
Sin embargo, un puerto raíz elegido a través de este proceso tiene la posibilidad de ser elegido erróneamente. Una aplicación puente de usuario que se ejecuta en un PC también puede generar BPDU e interferir con la elección del puerto raíz.
Para evitar que esto suceda, habilite la protección raíz en interfaces que no deben recibir BPDU superiores del puente raíz y que no deben elegirse como puerto raíz. Estas interfaces suelen encontrarse en un límite administrativo y son puertos designados.
Cuando la protección raíz está habilitada en una interfaz:
La interfaz está bloqueada para que no se convierta en el puerto raíz.
La protección raíz está habilitada para todas las instancias STP en esa interfaz.
La interfaz se bloquea solo para los casos en los que recibe BPDU superiores. De lo contrario, participa en la topología del árbol de expansión.
Una interfaz se puede configurar para la protección raíz o la protección de bucle, pero no para ambas.
En la figura 3 se muestran cuatro conmutadores de la serie EX. En este ejemplo, se configuran para RSTP y crean una topología sin bucles. La interfaz ge-0/0/7 del conmutador 1 es un puerto designado en un límite administrativo. Se conecta al conmutador 4. El conmutador 3 es el puente raíz. La interfaz ge-0/0/6 del conmutador 1 es el puerto raíz.
En este ejemplo se muestra cómo configurar la protección raíz en la interfaz ge-0/0/7 para evitar que se convierta en el puerto raíz.
raíz
En la tabla 2 se muestran los componentes que se configurarán para la protección raíz.
Propiedad |
Configuración |
|---|---|
Conmutador 1 |
El conmutador 1 está conectado al conmutador 4 a través de la interfaz |
Conmutador 2 |
El conmutador 2 está conectado al conmutador 1 y al conmutador 3. La interfaz |
Conmutador 3 |
El conmutador 3 es el puente raíz y está conectado al conmutador 1 y al conmutador 2. |
Conmutador 4 |
El conmutador 4 está conectado al conmutador 1. Una vez configurada la protección raíz en la interfaz |
Una topología de árbol de expansión contiene puertos que tienen funciones específicas:
El puerto raíz es responsable de reenviar los datos al puente raíz.
El puerto alternativo es un puerto de espera para el puerto raíz. Cuando un puerto raíz deja de funcionar, el puerto alternativo se convierte en el puerto raíz activo.
El puerto designado reenvía los datos al dispositivo o segmento de red descendente.
En este ejemplo de configuración se utiliza una topología RSTP. Sin embargo, también puede configurar la protección raíz para topologías STP o MSTP en el nivel jerárquico [edit protocols mstp ].
Topología
Configuración
Para configurar la protección raíz en una interfaz:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección raíz en la interfaz ge-0/0/7, copie el comando siguiente y péguelo en la ventana terminal del conmutador:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Procedimiento paso a paso
Para configurar la protección de raíz:
Configurar interfaz
ge-0/0/7:[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols rstp
interface ge-0/0/7 {
no-root-port;
}
Verificación
Para confirmar que la configuración funciona correctamente:
- Visualización del estado de la interfaz antes de activar la protección raíz
- Comprobar que la protección raíz funciona en la interfaz
Visualización del estado de la interfaz antes de activar la protección raíz
Propósito
Antes de activar la protección raíz en la interfaz ge-0/0/7, confirme el estado de la interfaz.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Significado
El resultado del comando del modo show spanning-tree interface operativo muestra que ge-0/0/7 es un puerto designado en estado de reenvío.
Comprobar que la protección raíz funciona en la interfaz
Propósito
Se produce un cambio de configuración en el conmutador 4. Una prioridad de puente menor en el conmutador 4 hace que envíe BPDU superiores a la interfaz ge-0/0/7. La recepción de BPDU superiores en la interfaz ge-0/0/7 activará la protección de raíz. Compruebe que la protección raíz funciona en la interfaz ge-0/0/7.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Significado
El comando show spanning-tree interface del modo operativo muestra que la interfaz ge-0/0/7 ha pasado a un estado raíz incoherente. El estado raíz incoherente hace que la interfaz se bloquee, descartando cualquier BPDU recibida, e impide que la interfaz se convierta en candidata para el puerto raíz. Cuando el puente raíz ya no recibe BPDU STP superiores de la interfaz, la interfaz se recuperará y volverá a un estado de reenvío. La recuperación es automática.