Protección raíz para entornos multihome VPLS
Descripción de la multiconexión VPLS
La redundancia se integra en muchas redes mediante el uso de vínculos y rutas alternativos, que a menudo toman la forma de anillos. Cuando se conectan varios hosts a enrutadores de borde del cliente (CE) y enrutadores de borde de proveedor (PE) para proteger el servicio LAN privado virtual (VPLS), esta técnica a menudo se denomina multiconexión.
La Figura 1 muestra hosts conectados a enrutadores CE y a una red VPLS a través de dos enrutadores PE. Los enrutadores CE también están conectados, formando una especie de estructura de anillo.
- Ventajas de la multiconexión
- ¿Cómo funciona la multiconexión?
- Tiempo de espera de multiconexión VPLS antes de cambiar a prioridad principal
- Puente multiconexión VPLS vaciado de caché MAC en cambio de topología
- Identificadores de sistema multiconexión VPLS para puentes en el anillo
- Prioridad de multiconexión VPLS del puente de respaldo
Ventajas de la multiconexión
La multiconexión multiconexión básicamente le está dando a su dispositivo de computación o red una presencia en más de una red. Cuando ambos vínculos están en marcha, ambos vínculos se utilizan completamente, lo que aumenta la transferencia de datos general. Si se produce un error en uno de los vínculos, el otro sigue llevando tráfico para que tenga redundancia.
La multiconexión se utiliza en puentes de red, repetidores, extensores de rango, firewalls, servidores proxy, puertas de enlace y cuando se utiliza una máquina virtual, configurado para usar la traducción de direcciones de red (TDR).
¿Cómo funciona la multiconexión?
Los dos enrutadores PE tienen sus propios vínculos a un servicio de red VPLS como se muestra en la figura 1, pero no están conectados directamente entre sí. Los cuatro enrutadores de borde ejecutan algún tipo de protocolo de árbol de expansión con protección raíz habilitada, y solo una interfaz pe estará en estado de reenvío y la otra se bloqueará.
Suponga que esta interfaz de reenvío está a través de PE1. Si el vínculo entre CE1 y CE2 falla, entonces la interfaz pe2 de bloqueo debe detectar un conmutador de protección raíz y moverse al estado de reenvío. Todas las direcciones MAC aprendidas por CE2 que se conectan al servicio de red VPLS mediante PE1 deben vaciarse. Del mismo modo, cuando se restaura el vínculo entre CE1 y CE2, el PE2 detecta de nuevo el conmutador de protección raíz y comienza a bloquear de nuevo. Ahora todas las direcciones MAC aprendidas por CE2 que se conectan a través de PE2 deben vaciarse. Todo esto se controla mediante la configuración de acciones de cambio de topología de protección raíz VPLS en los enrutadores CE.
El anillo de capa 2 se conecta a la infraestructura de conmutación de vínculos multiprotocolo (MPLS) a través de dos enrutadores pe. Los saltos de vínculo en el anillo se protegen mediante la ejecución de una versión del protocolo de árbol de expansión con la opción root-protect habilitada.
Los protocolos de red privada virtual (VPN) en la capa 3, sin embargo, no son conscientes del estado de bloqueo que resulta de esta configuración de protección raíz (no se permiten anillos o bucles en la capa 2 porque los protocolos de capa 2 no funcionarán correctamente).
Varios hosts se conectan a enrutadores CE, que se conectan entre sí, así como a los enrutadores de PE que acceden a la nube de red VPLS. Cualquier vínculo único entre los enrutadores de borde puede fallar sin afectar el acceso de los hosts a los servicios VPLS.
Tiempo de espera de multiconexión VPLS antes de cambiar a prioridad principal
A nivel global, cada tipo de protocolo de árbol de expansión tiene un tiempo de espera de prioridad asociado con él. Este es el número de segundos, en el intervalo de 1 a 255 segundos, que el sistema espera para cambiar a la prioridad principal cuando aparece el primer dominio de núcleo. El valor predeterminado es de 2 segundos. Esto permite que el número máximo de dominios principales suba, y algunos podrían ser más lentos que otros.
El número predeterminado de segundos que debe mantenerse pulsado antes de cambiar a la prioridad principal cuando aparece el primer dominio principal es de 2 segundos.
Cuando un enrutador de la serie MX o un conmutador de la serie EX en un anillo de capa 2 multiconexión VPLS ejecuta un protocolo de árbol de expansión con protección raíz habilitada, puede modificar las acciones predeterminadas realizadas por el enrutador o conmutador cuando cambie la topología. Para ello, configure las acciones de cambio de la topología de protección de raíz VPLS.
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo global de árbol de expansión) o en el [edit protocols vstp vlan vlan-id] nivel jerárquico (para controlar una VLAN determinada).
Las acciones de cambio de topología raíz VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Puente multiconexión VPLS vaciado de caché MAC en cambio de topología
De forma predeterminada, si la protección raíz está habilitada y la topología cambia, los puentes no vaciarán la caché de direcciones de control de acceso de medios (MAC) de las direcciones MAC aprendidas cuando se bloquearon otros puertos de interfaz.
Para cambiar el comportamiento predeterminado, puede usar la instrucción vpls-flush-on-topology-change.
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo global de árbol de expansión) o en el [edit protocols vstp vlan vlan-id] nivel jerárquico (para controlar una VLAN determinada).
Específicamente, los mensajes de vaciado MAC se envían desde el PE bloqueado a pares LDP según la asignación del identificador del sistema a las direcciones IP especificadas mediante la system-id instrucción.
Las acciones de cambio de topología raíz VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Sin embargo, para mantener el anillo de capa 2 funcionando en un entorno multiconexión con fallas de vínculo, el protocolo de árbol de expansión que se ejecuta en los enrutadores de la serie MX requiere la siguiente configuración adicional:
Los protocolos VPN tienen que actuar sobre el bloqueo y desbloqueo de interfaces mediante el protocolo de árbol de expansión. Específicamente, los mensajes de vaciado del control de acceso de medios (MAC) deben ser enviados por el enrutador de PE de bloqueo a los pares LDP para vaciar las direcciones MAC aprendidas cuando otros puertos de interfaz se bloquearon.
Además, si un enrutador de PE activo con puente de protección raíz VPLS habilitado pierde conectividad VPLS, la protección raíz requiere que el conmutador de puente al otro enrutador de PE mantenga la conectividad. El protocolo de árbol de expansión debe ser consciente del estado de la conectividad VPLS en el enrutador pe. Si la caché de direcciones MAC no se vacía cuando cambia la topología, se pueden enviar tramas al dispositivo incorrecto.
Puede controlar las acciones realizadas por el enrutador de la serie MX cuando la topología cambia en un entorno VPLS de anillo de capa 2 multiconexión mediante la protección de raíz VPLS.
Identificadores de sistema multiconexión VPLS para puentes en el anillo
Cuando un enrutador de la serie MX o un conmutador de la serie EX en un anillo de capa 2 multiconexión VPLS ejecuta un protocolo de árbol de expansión con protección raíz habilitada, puede modificar las acciones predeterminadas realizadas por el enrutador o conmutador cuando cambie la topología. Para ello, configure las acciones de cambio de la topología de protección de raíz VPLS.
El identificador del sistema para puentes en el anillo no está configurado de forma predeterminada.
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo global de árbol de expansión) o en el [edit protocols vstp vlan vlan-id] nivel jerárquico (para controlar una VLAN determinada).
Las acciones de cambio de topología raíz VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Prioridad de multiconexión VPLS del puente de respaldo
Cuando un enrutador serie MX o un conmutador de la serie EX en un anillo de capa 2 multiconexión VPLS ejecuta un protocolo de árbol de expansión con protección raíz habilitada, puede modificar las acciones predeterminadas realizadas por el enrutador o conmutador cuando cambie la topología. Para ello, configure las acciones de cambio de la topología de protección de raíz VPLS.
El valor predeterminado del puente de respaldo es 32 768. Puede establecer la prioridad del puente de respaldo en un valor del 0 al 61440, en incrementos de 4096.
Para cambiar el valor predeterminado, puede usar la siguiente instrucción backup-bridge-priority vpls-ring-backup-bridge-priority
Puede incluir la instrucción en el nivel de jerarquía (para controlar el [edit protocols (mstp | rstp | vstp)] comportamiento del protocolo global de árbol de expansión) o en el [edit protocols vstp vlan vlan-id] nivel jerárquico (para controlar una VLAN determinada).
Las acciones de cambio de topología raíz VPLS se configuran independientemente de VPLS, el protocolo de árbol de expansión o la opción de protección raíz del protocolo de árbol de expansión.
Descripción de la prioridad del puente para la elección del puente raíz y el puente designado
Utilice la prioridad del puente para controlar qué puente se elige como puente raíz y también para controlar qué puente se elige el puente raíz cuando falla el puente raíz inicial.
El id de puente determina el puente raíz para cada instancia de protocolo de árbol de expansión. El ID de puente consta de una prioridad de puente configurable y la dirección MAC del puente. El puente con el ID de puente más bajo se elige como puente raíz. Si las prioridades de puente son iguales o si la prioridad de puente no está configurada, el puente con la dirección MAC más baja se elige como puente raíz.
La prioridad del puente también se puede utilizar para determinar qué puente se convierte en el puente designado para un segmento LAN. Si dos puentes tienen el mismo costo de ruta al puente raíz, el puente con el ID de puente más bajo se convierte en el puente designado.
La prioridad del puente solo se puede establecer en incrementos de 4096.
Considere una situación de ejemplo en la que un enrutador de borde de cliente (CE) de doble casa está conectado a otros dos enrutadores de borde de proveedor (PE), que funcionan como enrutadores VPLS PE, con MSTP habilitado en todos estos enrutadores y con el enrutador CE funcionando como puente raíz. La interfaz de enrutamiento y puente integrados (IRB) está configurada para las instancias de enrutamiento VPLS en los enrutadores. En dicha red, las direcciones MAC aprendidas en el dominio VPLS se mueven continuamente entre las interfaces de LSI o túnel virtual (VT) y las interfaces VPLS en ambos enrutadores de PE. Para evitar el movimiento continuo de las direcciones MAC, debe configurar la protección raíz incluyendo la no-root-port instrucción en el [edit routing-instances routing-instance-name protocols mstp interface interface-name] nivel de jerarquía y configurar la prioridad del puente como cero mediante la inclusión de la bridge priority 0 instrucción en el [edit routing-instances routing-instance-name protocols mstp] nivel de jerarquía en los enrutadores de PE. Esta configuración en los enrutadores PE se requiere para evitar que las interfaces orientadas al lado CE se conviertan en el puente raíz.
Descripción de la protección raíz para interfaces de instancia de árbol de expansión en una red conmutada de capa 2
Las aplicaciones de STP par que se ejecutan en interfaces usan BPDU para comunicarse. En última instancia, el intercambio de BPDU determina qué interfaces bloquean el tráfico y qué interfaces se convierten en puertos raíz y reenvían el tráfico.
Un puerto raíz elegido a través de este proceso tiene la posibilidad de ser elegido erróneamente. Una aplicación de puente de usuario que se ejecuta en una PC también puede generar BPDU e interferir con la elección del puerto raíz. Esto es cuando la protección de raíz es útil.
- Beneficios de la protección raíz del protocolo de árbol de expansión
- Cómo funciona la protección raíz
- ¿Dónde debo habilitar la protección raíz?
Beneficios de la protección raíz del protocolo de árbol de expansión
La protección raíz permite a los administradores de red aplicar manualmente la colocación del puente raíz en una red conmutada de capa 2.
Cómo funciona la protección raíz
Cuando se habilita la protección raíz en una interfaz, está habilitada para todas las instancias de STP de esa interfaz. Si el puente recibe BPDU superiores en un puerto que tiene habilitada la protección raíz, ese puerto pasa a un estado STP prevenido por raíz y la interfaz está bloqueada. Esto impide que un puente que no debe ser el puente raíz sea elegido como puente raíz. La interfaz solo se bloquea para las instancias para las que recibe BPDU superiores. De lo contrario, participa en la topología de árbol de expansión.
Después de que el puente deje de recibir BPDU superiores en el puerto con protección raíz habilitada y el tiempo de espera de las BPDU recibidas, ese puerto vuelve al estado de puerto designado por STP.
De forma predeterminada, la protección raíz está deshabilitada.
Una interfaz se puede configurar para protección de raíz o de bucle, pero no para ambos.
¿Dónde debo habilitar la protección raíz?
Habilite la protección raíz en interfaces que no deben recibir unidades de datos de protocolo de puente superior (BPDU) desde el puente raíz y no se deben elegir como puerto raíz.
Las interfaces que se convierten en puertos designados normalmente se encuentran en un límite administrativo. Si el puente recibe BPDU STP superiores en un puerto que tiene habilitada la protección raíz, ese puerto pasa a un estado STP prevenido por raíz (estado de inconsistencia) y la interfaz está bloqueada. Este bloqueo impide que un puente que no debe ser el puente raíz sea elegido como puente raíz. Cuando el puente deja de recibir BPDU STP superiores en la interfaz con protección raíz, la interfaz vuelve a un estado de escucha, seguido de un estado de aprendizaje y, en última instancia, de vuelta a un estado de reenvío. La recuperación de vuelta al estado de reenvío es automática.
Ejemplo: Configurar acciones de cambio de topología raíz VPLS
En este ejemplo, se configura una prioridad de puente de 36 k, una prioridad de puente de respaldo de 44 k, un valor de tiempo de espera de prioridad de 60 segundos, un identificador de sistema de 000203:040506 para la dirección IP 10.1.1.1/32, y establece el puente para vaciar la caché MAC en un cambio de topología solo para MSTP.
[edit]
protocols {
mstp {
bridge-priority 36k;
backup-bridge-priority 44k;
priority-hold-time 60;
system-id 000203:040506 {
10.1.1.1/32;
}
vpls-flush-on-topology-change;
}
}
Esta no es una configuración completa.
Habilitación de la protección raíz para una interfaz de instancia de árbol de expansión
Para habilitar la protección raíz para una interfaz de instancia de árbol de expansión:
Configurar acciones de cambio de topología de protección raíz VPLS para controlar el comportamiento individual del árbol de expansión de VLAN
Para configurar la topología de protección raíz VPLS, cambie las acciones para controlar una VLAN determinada:
Ejemplo: Configurar la protección raíz para aplicar la colocación de puente raíz en árboles de expansión en conmutadores de la serie EX que no sean ELS
Los conmutadores de la serie EX proporcionan prevención de bucles de capa 2 mediante el protocolo de árbol de expansión (STP), el protocolo de árbol de expansión rápida (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). La protección de raíz aumenta la eficiencia de STP, RSTP y MSTP, ya que permite a los administradores de red aplicar manualmente la colocación del puente raíz en la red.
En este ejemplo, se describe cómo configurar la protección raíz en una interfaz en un conmutador de la serie EX:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.1 o posterior para conmutadores de la serie EX
Cuatro conmutadores serie EX en una topología RSTP
Antes de configurar la interfaz para la protección raíz, asegúrese de tener lo siguiente:
RSTP funcionando en los conmutadores.
De forma predeterminada, RSTP está habilitado en todos los conmutadores de la serie EX.
Descripción general y topología
Las aplicaciones STP par que se ejecutan en interfaces de conmutador intercambian un tipo especial de trama llamado unidad de datos de protocolo de puente (BPDU). Los conmutadores comunican información de interfaz mediante BPDU para crear una topología sin bucles que, en última instancia, determina el puente raíz y qué interfaces bloquean o reenvían el tráfico en el árbol de expansión.
Sin embargo, un puerto raíz elegido a través de este proceso tiene la posibilidad de ser elegido erróneamente. Una aplicación de puente de usuario que se ejecuta en una PC también puede generar BPDU e interferir con la elección del puerto raíz.
Para evitar que esto suceda, habilite la protección raíz en interfaces que no deben recibir BPDU superiores desde el puente raíz y no se deben elegir como puerto raíz. Estas interfaces suelen estar ubicadas en un límite administrativo y son puertos designados.
Cuando se habilita la protección raíz en una interfaz:
La interfaz está bloqueada para que no se convierta en el puerto raíz.
La protección raíz está habilitada para todas las instancias de STP en esa interfaz.
La interfaz solo se bloquea para las instancias para las que recibe BPDU superiores. De lo contrario, participa en la topología de árbol de expansión.
Una interfaz se puede configurar para protección de raíz o de bucle, pero no para ambos.
Cuatro conmutadores de la serie EX se muestran en la Figura 2. En este ejemplo, se configuran para RSTP y crean una topología sin bucles. La interfaz ge-0/0/7 en el conmutador 1 es un puerto designado en un límite administrativo. Se conecta al conmutador 4. El conmutador 3 es el puente raíz. La interfaz ge-0/0/6 en el conmutador 1 es el puerto raíz.
En este ejemplo, se muestra cómo configurar la protección raíz en la interfaz ge-0/0/7 para evitar que pase a convertirse en el puerto raíz.
de raíz
La tabla 1 muestra los componentes que se configurarán para la protección raíz.
Propiedad |
Configuración |
|---|---|
Conmutador 1 |
El conmutador 1 está conectado al conmutador 4 a través de la interfaz ge-0/0/7. |
Conmutador 2 |
El conmutador 2 está conectado al conmutador 1 y al conmutador 3. La interfaz ge-0/0/4 es el puerto alternativo en la topología RSTP. |
Conmutador 3 |
El conmutador 3 es el puente raíz y está conectado al conmutador 1 y al conmutador 2. |
Conmutador 4 |
El conmutador 4 está conectado al conmutador 1. Después de configurar la protección raíz en la interfaz ge-0/0/7, el conmutador 4 enviará BPDU superiores que activarán la protección raíz en la interfaz ge-0/0/7. |
Una topología de árbol de expansión contiene puertos que tienen roles específicos:
El puerto raíz es responsable de reenviar datos al puente raíz.
El puerto alternativo es un puerto en espera para el puerto raíz. Cuando un puerto raíz se cae, el puerto alternativo se convierte en el puerto raíz activo.
El puerto designado reenvía los datos al segmento o dispositivo de red descendente.
En este ejemplo de configuración se utiliza una topología RSTP. Sin embargo, también puede configurar la protección raíz para topologías STP o MSTP en [editar protocolos (mstp | stp)] nivel jerárquico.
Topología
Configuración
Para configurar la protección raíz en una interfaz:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección raíz en la interfaz ge-0/0/7, copie el siguiente comando y péguelo en la ventana terminal del conmutador:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Procedimiento paso a paso
Para configurar la protección raíz:
Configure la interfaz ge-0/0/7:
[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols rstp
interface ge-0/0/7.0 {
no-root-port;
}
Verificación
Para confirmar que la configuración funciona correctamente:
- Visualización del estado de la interfaz antes de activar la protección raíz
- Verificar que la protección raíz funciona en la interfaz
Visualización del estado de la interfaz antes de activar la protección raíz
Propósito
Antes de activar la protección raíz en la interfaz ge-0/0/7, confirme el estado de la interfaz.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Significado
El resultado del comando show spanning-tree interface del modo operativo muestra que ge-0/0/7.0 es un puerto designado en estado de reenvío.
Verificar que la protección raíz funciona en la interfaz
Propósito
Un cambio de configuración tiene lugar en el conmutador 4. Una prioridad de puente más pequeña en el conmutador 4 hace que envíe BPDU superiores a la interfaz ge-0/0/7. La recepción de BPDU superiores en la interfaz ge-0/0/7 activará la protección raíz. Verifique que la protección raíz funcione en la interfaz ge-0/0/7.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0.0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1.0 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2.0 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3.0 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4.0 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5.0 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6.0 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7.0 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Significado
El comando del modo operativo muestra la interfaz del árbol de expansión muestra que la interfaz ge-0/0/7.0 ha hecho la transición a un estado de raíz incoherente. El estado incoherente de raíz hace que la interfaz bloquee, descartando cualquier BPDU recibida, e impide que la interfaz se convierta en candidata para el puerto raíz. Cuando el puente raíz ya no recibe bpDU STP superiores de la interfaz, la interfaz se recuperará y volverá a un estado de reenvío. La recuperación es automática.
Ejemplo: Configurar la protección raíz para aplicar la colocación de puente raíz en árboles de expansión en conmutadores de la serie EX con ELS
En este ejemplo, se utiliza Junos OS para conmutadores de la serie EX con compatibilidad con el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener más información sobre ELS, consulte Uso de la CLI mejorada de software de capa 2.
Los conmutadores de la serie EX proporcionan prevención de bucles de capa 2 mediante el protocolo de árbol de expansión (STP), el protocolo de árbol de expansión rápida (RSTP) y el protocolo de árbol de expansión múltiple (MSTP). La protección de raíz aumenta la eficiencia de STP, RSTP y MSTP, ya que permite a los administradores de red aplicar manualmente la colocación del puente raíz en la red.
En este ejemplo, se describe cómo configurar la protección raíz en una interfaz en un conmutador de la serie EX:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Junos OS versión 13.2X50-D10 o posterior o posterior para conmutadores de la serie EX
Cuatro conmutadores serie EX en una topología RSTP
Antes de configurar la interfaz para la protección raíz, asegúrese de tener lo siguiente:
RSTP funcionando en los conmutadores.
De forma predeterminada, RSTP está habilitado en todos los conmutadores de la serie EX.
Descripción general y topología
Las aplicaciones STP par que se ejecutan en interfaces de conmutador intercambian un tipo especial de trama llamado unidad de datos de protocolo de puente (BPDU). Los conmutadores comunican información de interfaz mediante BPDU para crear una topología sin bucles que, en última instancia, determina el puente raíz y qué interfaces bloquean o reenvían el tráfico en el árbol de expansión.
Sin embargo, un puerto raíz elegido a través de este proceso tiene la posibilidad de ser elegido erróneamente. Una aplicación de puente de usuario que se ejecuta en una PC también puede generar BPDU e interferir con la elección del puerto raíz.
Para evitar que esto suceda, habilite la protección raíz en interfaces que no deben recibir BPDU superiores desde el puente raíz y no se deben elegir como puerto raíz. Estas interfaces suelen estar ubicadas en un límite administrativo y son puertos designados.
Cuando se habilita la protección raíz en una interfaz:
La interfaz está bloqueada para que no se convierta en el puerto raíz.
La protección raíz está habilitada para todas las instancias de STP en esa interfaz.
La interfaz solo se bloquea para las instancias para las que recibe BPDU superiores. De lo contrario, participa en la topología de árbol de expansión.
Una interfaz se puede configurar para protección de raíz o de bucle, pero no para ambos.
Cuatro conmutadores de la serie EX se muestran en la Figura 3. En este ejemplo, se configuran para RSTP y crean una topología sin bucles. La interfaz ge-0/0/7 en el conmutador 1 es un puerto designado en un límite administrativo. Se conecta al conmutador 4. El conmutador 3 es el puente raíz. La interfaz ge-0/0/6 en el conmutador 1 es el puerto raíz.
En este ejemplo, se muestra cómo configurar la protección raíz en la interfaz ge-0/0/7 para evitar que pase a convertirse en el puerto raíz.
raíz
La tabla 2 muestra los componentes que se configurarán para la protección raíz.
Propiedad |
Configuración |
|---|---|
Conmutador 1 |
El conmutador 1 está conectado al conmutador 4 a través de la interfaz |
Conmutador 2 |
El conmutador 2 está conectado al conmutador 1 y al conmutador 3. La interfaz |
Conmutador 3 |
El conmutador 3 es el puente raíz y está conectado al conmutador 1 y al conmutador 2. |
Conmutador 4 |
El conmutador 4 está conectado al conmutador 1. Después de configurar la protección raíz en la interfaz |
Una topología de árbol de expansión contiene puertos que tienen roles específicos:
El puerto raíz es responsable de reenviar datos al puente raíz.
El puerto alternativo es un puerto en espera para el puerto raíz. Cuando un puerto raíz se cae, el puerto alternativo se convierte en el puerto raíz activo.
El puerto designado reenvía los datos al segmento o dispositivo de red descendente.
En este ejemplo de configuración se utiliza una topología RSTP. Sin embargo, también puede configurar la protección raíz para topologías STP o MSTP en el nivel de jerarquía [edit protocols mstp ].
Topología
Configuración
Para configurar la protección raíz en una interfaz:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la protección raíz en la interfaz ge-0/0/7, copie el siguiente comando y péguelo en la ventana terminal del conmutador:
[edit]
set protocols rstp interface ge-0/0/7 no-root-port
Procedimiento paso a paso
Para configurar la protección raíz:
Configurar interfaz
ge-0/0/7:[edit protocols rstp] user@switch# set interface ge-0/0/7 no-root-port
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration protocols rstp
interface ge-0/0/7 {
no-root-port;
}
Verificación
Para confirmar que la configuración funciona correctamente:
- Visualización del estado de la interfaz antes de activar la protección raíz
- Verificar que la protección raíz funciona en la interfaz
Visualización del estado de la interfaz antes de activar la protección raíz
Propósito
Antes de activar la protección raíz en la interfaz ge-0/0/7, confirme el estado de la interfaz.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 FWD DESG
[output truncated]
Significado
El resultado del comando show spanning-tree interface de modo operativo muestra que ge-0/0/7 es un puerto designado en un estado de reenvío.
Verificar que la protección raíz funciona en la interfaz
Propósito
Un cambio de configuración tiene lugar en el conmutador 4. Una prioridad de puente más pequeña en el conmutador 4 hace que envíe BPDU superiores a la interfaz ge-0/0/7. La recepción de BPDU superiores en la interfaz ge-0/0/7 activará la protección raíz. Verifique que la protección raíz funcione en la interfaz ge-0/0/7.
Acción
Utilice el comando del modo operativo:
user@switch> show spanning-tree interface
Spanning tree interface parameters for instance 0
Interface Port ID Designated Designated Port State Role
port ID bridge ID Cost
ge-0/0/0 128:513 128:513 32768.0019e2503f00 20000 BLK DIS
ge-0/0/1 128:514 128:514 32768.0019e2503f00 20000 BLK DIS
ge-0/0/2 128:515 128:515 32768.0019e2503f00 20000 BLK DIS
ge-0/0/3 128:516 128:516 32768.0019e2503f00 20000 FWD DESG
ge-0/0/4 128:517 128:517 32768.0019e2503f00 20000 FWD DESG
ge-0/0/5 128:518 128:2 16384.00aabbcc0348 20000 BLK ALT
ge-0/0/6 128:519 128:1 16384.00aabbcc0348 20000 FWD ROOT
ge-0/0/7 128:520 128:520 32768.0019e2503f00 20000 BLK DIS (Root—Incon)
[output truncated]
Significado
El comando show spanning-tree interface de modo operativo muestra que la interfaz ge-0/0/7 ha hecho una transición a un estado raíz incoherente. El estado incoherente de raíz hace que la interfaz bloquee, descartando cualquier BPDU recibida, e impide que la interfaz se convierta en candidata para el puerto raíz. Cuando el puente raíz ya no recibe bpDU STP superiores de la interfaz, la interfaz se recuperará y volverá a un estado de reenvío. La recuperación es automática.