STP mit Root Guard verbessern

Einleitung

In diesem Dokument wird die STP-Root-Guard-Funktion (Spanning Tree Protocol) beschrieben, die die Zuverlässigkeit und Verwaltbarkeit des Switched-Netzwerks verbessert. 

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Beschreibung

Das Standard-STP bietet dem Netzwerkadministrator keine Möglichkeit, die Topologie des L2-Netzwerks (Layer 2) mit Switching auf sichere Weise durchzusetzen. Ein Mittel zur Durchsetzung der Topologie kann besonders in Netzwerken mit geteilter administrativer Kontrolle wichtig sein, in denen verschiedene Verwaltungseinheiten oder Unternehmen ein Switch-Netzwerk kontrollieren.

Die Weiterleitungstopologie des Switch-Netzwerks wird berechnet. Die Berechnung basiert neben weiteren Parametern auf der Root-Bridge-Position. Jeder Switch kann die Root-Bridge in einem Netzwerk sein. Bei einer optimierten Weiterleitungstopologie wird die Root-Bridge an einem bestimmten vordefinierten Standort platziert. Beim Standard-STP übernimmt jede Bridge im Netzwerk mit einer niedrigeren Bridge-ID die Rolle der Root-Bridge. Der Administrator kann die Position der Root-Bridge nicht erzwingen.

Anmerkung: Der Administrator kann die Root-Bridge-Priorität auf 0 setzen, um die Root-Bridge-Position zu sichern. Es gibt jedoch keine Garantie für eine Bridge mit der Priorität 0 und einer niedrigeren MAC-Adresse.

Mit der Funktion "Root Guard" können Sie die Root Bridge-Platzierung im Netzwerk erzwingen.

Durch Root Guard stellen Sie sicher, dass es sich bei dem Port, auf dem Root Guard aktiviert ist, um den designierten Port handelt. Üblicherweise sind alle Root Bridge-Ports designierte Ports, es sei denn, zwei oder mehr Ports der Root-Bridge sind miteinander verbunden. Wenn die Bridge an einem Port, an dem Root Guard aktiviert ist, höherrangige STP-Bridge-Protokoll-Dateneinheiten (BPDUs) empfängt, weist Root Guard diesem Port den Status "Root inkonsistent" zu. Der Status "Root inkonsistent" entspricht effektiv einem Mithörstatus. Über diesen Port wird kein Verkehr weitergeleitet. Auf diese Weise setzt Root Guard die Position der Root-Bridge durch.

Das Beispiel in diesem Abschnitt zeigt, wie eine nicht autorisierte Root-Bridge Probleme im Netzwerk verursachen kann und wie Root Guard helfen kann.

In Image 1 bilden die Switches A und B den Kern (Core) des Netzwerks, und A ist die Root-Bridge für ein VLAN. Switch C ist ein Access Layer Switch. Die Verbindung zwischen B und C ist auf der C-Seite blockiert. Die Pfeile zeigen den Datenstrom der STP-BPDUs an.

Image 1

Switch A ist die Root-Bridge

In Image 2 beginnt Gerät D, an STP teilzunehmen. Beispielsweise können Software-basierte Bridge-Anwendungen auf PCs oder anderen Switches gestartet werden, die Sie mit einem Service-Provider-Netzwerk verbinden. Wenn die Priorität von Bridge D den Wert 0 oder einen niedrigeren Wert als die Priorität der Root-Bridge hat, wird Gerät D als Root-Bridge für dieses VLAN gewählt. Wenn die Verbindung zwischen Gerät A und B 1 Gigabit und die Verbindungen zwischen A und C sowie B und C 100 Mbit/s schnell sind, führt die Wahl von D als Root dazu, dass die Gigabit-Ethernet-Verbindung, die die beiden Core-Switches verbindet, blockiert wird.

Diese Blockierung bewirkt, dass alle Daten in diesem VLAN über eine 100-Mbit/s-Verbindung durch die Zugriffsschicht fließen. Wenn mehr Daten über den Core im VLAN fließen, als diese Verbindung aufnehmen kann, werden manche Frames verworfen. Diese Verwerfung von Frames führt zu Leistungseinbußen oder einem Verbindungsausfall.

Image 2

Switch D ist die neue Root-Bridge

Die Root Guard-Funktion schützt das Netzwerk vor solchen Problemen.

Die Konfiguration von Root Guard erfolgt pro Port. Root Guard verhindert, dass der Port zu einem STP-Root-Port wird, sodass der Port immer STP-designiert ist. Wenn eine bessere Bridge-Protokoll-Dateneinheit (BPDU) an diesem Port eingeht, berücksichtigt Root Guard die BPDU nicht und wählt einen neuen STP-Root aus. Stattdessen versetzt Root Guard den Port in den STP-Status "Root inkonsistent". Sie müssen Root Guard auf allen Ports aktivieren, auf denen die Root-Bridge nicht angezeigt werden darf. Sie können gewissermaßen einen Umkreis um den Teil des Netzwerks konfigurieren, in dem sich die STP-Root befinden kann.

Aktivieren Sie in Abbildung 2 Root Guard auf dem Switch C-Port, der mit Switch D verbunden ist.

Switch C in Image 2 blockiert den Port, der mit Switch D verbunden wird, nachdem der Switch eine überlegene BPDU erhalten hat. Root Guard versetzt den Port in den STP-Status "Root inkonsistent". In diesem Status wird kein Datenverkehr über den Port geleitet. Sobald das Gerät D keine höherrangigen BPDUs mehr sendet, wird die Blockierung des Ports aufgehoben. Über STP wechselt der Port vom Listening-Status (Mithörstatus) in den Lernstatus und wechselt schließlich in den Weiterleitungsstatus. Die Wiederherstellung erfolgt automatisch. kein Eingreifen durch den Menschen erforderlich ist.

Nachdem Root Guard einen Port blockiert hat, wird die folgende Nachricht angezeigt:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. 
Moved to root-inconsistent state

Verfügbarkeit

Root Guard ist auf einem Catalyst 6500/6000 verfügbar, auf dem die Cisco IOS®-Systemsoftware ausgeführt wird. Diese Funktion wurde erstmals mit Cisco IOS Software Release 12.0(7)XE eingeführt. Für den Catalyst 4500/4000, auf dem die Cisco IOS-Systemsoftware ausgeführt wird, ist diese Funktion in allen Releases verfügbar.

Für Switches der Catalyst 2900XL- und 3500XL-Serie ist Root Guard in Cisco IOS Software Release 12.0(5)XU und höher verfügbar. Die Switches der Catalyst 2950-Serie unterstützen die Root Guard-Funktion in Cisco IOS Software Release 12.0(5.2)WC(1) und höher. Die Switches der Catalyst 3550-Serie unterstützen die Root Guard-Funktion in Cisco IOS Software Release 12.1(4)EA1 und höher. 

Diese Funktion ist auch auf neueren Cisco Catalyst-Switches verfügbar.

Konfiguration

Konfiguration der Cisco IOS Software für Catalyst 6500/6000 und Catalyst 4500/4000

Geben Sie auf den Switches der Catalyst 6500/6000- oder Catalyst 4500/4000-Serie, auf denen die Cisco IOS-Systemsoftware ausgeführt wird, den folgenden Befehlssatz aus, um STP Root Guard zu konfigurieren:

Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
!
Switch#(config)#interface fastethernet 3/1
Switch#(config-if)#spanning-tree guard root
!

Anmerkung: In der Cisco IOS Software-Version 12.1(3a)E3 für Catalyst 6500/6000, die Cisco IOS-Systemsoftware ausführt, wurde dieser Befehl von "spanning-tree rootguard" in "spanning-tree guard root" geändert. Der Catalyst 4500/4000, auf dem die Cisco IOS-Systemsoftware ausgeführt wird, verwendet in allen Releases den Befehl spanning-tree guard root.

Konfiguration der Cisco IOS Software für Catalyst 2900XL/3500XL, 2950 und 3550

Konfigurieren Sie auf den Switches der Catalyst-Serien 2900XL, 3500XL, 2950 und 3550 den Root Guard im Modus der Schnittstellenkonfiguration, wie in diesem Beispiel gezeigt:

Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# interface fastethernet 0/8
Switch(config-if)# spanning-tree rootguard
Switch(config-if)# ^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on 
port FastEthernet0/8 VLAN 1.
Switch#

Was ist der Unterschied zwischen STP BPDU Guard und STP Root Guard?

BPDU Guard und Root Guard sind ähnlich, unterscheiden sich aber in ihren Auswirkungen. BPDU Guard deaktiviert den Port beim BPDU-Empfang, wenn PortFast für den Port aktiviert ist. Durch die Deaktivierung wird den Geräten hinter diesen Ports die Teilnahme an STP verweigert. Sie müssen den Port, der in den Status "errdisable" versetzt wurde, manuell erneut aktivieren oder errdisable-timeout konfigurieren.

Root Guard ermöglicht dem Gerät die Teilnahme an STP, solange es nicht versucht, Root zu werden. Wenn Root Guard den Port blockiert, erfolgt die nachfolgende Wiederherstellung automatisch. Die Wiederherstellung erfolgt, sobald das abweichende Gerät keine höherrangigen BPDUs mehr sendet.

Weitere Informationen zu BPDU Guard finden Sie unter Spanning Tree PortFast BPDU Guard-Erweiterung.

Hilft Root Guard bei dem Problem der zwei Roots?

Es kann zu einer unidirektionalen Verbindung zwischen zwei Bridges in einem Netzwerk kommen. Aufgrund des Fehlers empfängt eine Bridge die BPDUs von der Root-Bridge nicht. Bei einem solchen Fehler empfängt der Root-Switch Frames, die von anderen Switches gesendet werden, aber die anderen Switches empfangen keine BPDUs, die der Root-Switch sendet. Dies kann zu einer STP-Schleife führen. Da die anderen Switches keine BPDUs vom Root erhalten, gehen diese Switches davon aus, dass sie der Root sind und beginnen mit dem Senden von BPDUs.

Wenn die echte Root-Bridge beginnt, BPDUs zu empfangen, verwirft sie die BPDUs, da sie nicht höherrangig sind. Die Root-Bridge ändert sich nicht. Daher trägt Root Guard nicht zur Behebung dieses Problems bei. Die Funktionen UniDirectional Link Detection (UDLD) und Loop Guard beheben dieses Problem.

Weitere Informationen zu STP-Fehlerszenarien und zur Fehlerbehebung finden Sie unter Spanning Tree Protocol-Probleme und zugehörige Überlegungen zum Design.

Zugehörige Informationen

• Verstehen und Konfigurieren der UDLD-Protokollfunktion
• Wiederherstellung aus dem errdisable-Portstatus auf Cisco IOS-Plattformen
• Technischer Support und Downloads von Cisco