Enabling BPDU Guard

Last Updated on Wed, 28 Jun 2023 | Global Configuration

When you globally enable BPDU guard on ports that are Port Fast-enabled (the ports are in a Port Fast-operational state), spanning tree shuts down Port Fast-enabled ports that receive BPDUs.

In a valid configuration, Port Fast-enabled ports do not receive BPDUs. Receiving a BPDU on a Port Fast-enabled port signals an invalid configuration, such as the connection of an unauthorized device, and the BPDU guard feature puts the port in the error-disabled state. The BPDU guard feature provides a secure response to invalid configurations because you must manually put the port back in service. Use the BPDU guard feature in a service-provider network to prevent an access port from participating in the spanning tree.

Caution Configure Port Fast only on ports that connect to end stations; otherwise, an accidental topology loop could cause a data packet loop and disrupt switch and network operation.

You can also use the spanning-tree bpduguard enable interface configuration command to enable BPDU guard on any port without also enabling the Port Fast feature. When the port receives a BPDU, it is put in the error-disabled state.

You can enable the BPDU guard feature if your switch is running PVST or MSTP. The MSTP is available only if you have the enhanced software image installed on your switch.

Beginning in privileged EXEC mode, follow these steps to globally enable the BPDU guard feature on the switch:

Command	Purpose
configure terminal	Enter global configuration mode.
spanning-tree portfast bpduguard default	Globally enable BPDU guard on the switch. By default, BPDU guard is disabled.
interface interface-id	Enter interface configuration mode, and specify the interface connected to an end station.
spanning-tree portfast	Enable the Port Fast feature.
end	Return to privileged EXEC mode.
Catalyst 2950 Desktop Switch Software Configuration Guide g

	Command		Purpose
Step 6	show running-config		Verify your entries.
Step 7	copy running-config startup-config		(Optional) Save your entries in the configuration file.
		To disable BPDU guard, use the no spanning-tree portfast bpduguard default global configuration command.
		You can override the setting of the no spanning-tree portfast bpduguard default global configuration command by using the spanning-tree bpduguard enable interface configuration command.
Enabling BPDU Filtering
		When you globally enable BPDU filtering on Port Fast-enabled ports, it prevents ports that are in a Port Fast-operational state from sending or receiving BPDUs. The ports still send a few BPDUs at link-up before the switch begins to filter outbound BPDUs. You should globally enable BPDU filtering on a switch so that hosts connected to these ports do not receive BPDUs. If a BPDU is received on a Port Fast-enabled port, the port loses its Port Fast-operational status, and BPDU filtering is disabled.
	Caution	Configure Port Fast only on ports that connect to end stations; otherwise, an accidental topology loop could cause a data packet loop and disrupt switch and network operation.
		You can also use the spanning-tree bpdufilter enable interface configuration command to enable BPDU filtering on any port without also enabling the Port Fast feature. This command prevents the port from sending or receiving BPDUs.
	A
	Caution	Enabling BPDU filtering on an interface is the same as disabling spanning tree on it and can result in spanning-tree loops.
		You can enable the BPDU filtering feature if your switch is running PVST or MSTP. The MSTP is available only if you have the enhanced software image installed on your switch.
		Beginning in privileged EXEC mode, follow these steps to globally enable the BPDU filtering feature on the switch:
	Command		Purpose
Step 1	configure terminal		Enter global configuration mode.
Step 2	spanning-tree portfast bpdufilter default		Globally enable BPDU filtering on the switch.
			By default, BPDU filtering is disabled.
Step 3	interface interface-id		Enter interface configuration mode, and specify the interface connected to an end station.
Step 4	spanning-tree portfast		Enable the Port Fast feature.
Step 5	end		Return to privileged EXEC mode.
Step 6	show running-config		Verify your entries.
Step 7	copy running-config startup-config		(Optional) Save your entries in the configuration file.

To disable BPDU filtering, use the no spanning-tree portfast bpdufilter default global configuration command.

You can override the setting of the no spanning-tree portfast bpdufilter default global configuration command by using the spanning-tree bpdufilter enable interface configuration command.

Continue reading here: Enabling Root Guard

fonte: https://www.ccexpert.us/global-configuration/enabling-bpdu-guard.html

Read More

Proteção da Topologia STP em Switches Cisco

 

Proteção da Topologia STP em Switches Cisco

Os switches da infraestrutura de uma rede se comunicam entre si através da troca de quadros denominados BPDUs (Bridge Protocol Data Units), permitindo que, através da lógica do protocolo STP (Spanning-Tree Protocol), todos os switches conheçam a topologia da ligação entre eles. A figura abaixo apresenta uma topologia em que o leitor pode observar o ponto em que alguns recursos avançados podem ser configurados para proteger a topologia STP.

Em uma porta que não esteja conectada a outro switch não é esperado o recebimento de BPDUs, por isso o recebimento repentino de BPDUs quer dizer que nela foi conectado um switch e a topologia STP precisa reconvergir, o que pode levar a resultados inesperados. Essa situação pode ser mitigada através dos recursos: (1) Root Guard e (2) BPDU Guard. Em contrapartida é esperado o recebimento de BPDUs em uma porta conectada a outro switch e a interrupção repentina na recepção desses quadros pode levar o switch a tomar decisões incorretas que criam loops temporários, situação que pode ser mitigada através dos recursos: (3) Loop Guard e (4) UDLD.

Fonte: CCNP SWITCH 642-813 - Official Certification Guide (Cisco Press)

---

1. Proteção ao Recebimento Inesperado de BPDUs

Na lógica do STP é eleito um switch raiz que fica responsável por enviar mensagens "hello" a cada 2 segundos para todos os demais switches da rede com o intuito de manter uma topologia estável e sem loops. Para que essa topologia seja eficiente é importante que o switch raíz seja previsível e configurado de maneira estratégica naquele(s) switch(es) responsável(eis) pela agregação dos demais switches de acesso, assegurando uma topologia simétrica e com menor diâmetro.

O problema é que o STP é um protocolo que opera com base na confiança e "nada" impede que um switch falso seja conectado na rede e venha a assumir o papel de raíz, já que o processo de eleição do raíz basicamente consiste em escolher aquele com o menor número de prioridade configurado na caixa (padrão 32.768) e, em caso de empate, aquele com o menor endereço físico (MAC). Como resolver esse problema? Através dos recursos abaixo...

1.1 ROOT GUARD

Quando um switch com número de prioridade menor é inserido na rede, a topologia STP passa pelo processo de reconvergência assumindo esse switch como o novo raíz, algo que pode ser péssimo porque "bagunça" a organização lógica e torna parte da rede de produção indisponível durante o período de convergência.

O recurso Root Guard foi desenvolvido para controlar onde os switches raízes podem ser conectados na rede. Um switch aprende o Bridge ID do switch raíz da topologia e fica monitorando se algum outro switch anunciará um BPDU mais atrativo nas portas em que o recurso estiver ativado. Caso seja anunciado um BPDU superior em alguma porta ativada com esse recurso, o switch local não permite que esse outro switch se torne raíz e coloca a porta em modo root-inconsistent. Assim que os BPDUs param de ser recebidos, então a porta volta para o estado normal automaticamente.

O recurso root guard deve ser ativado individualmente por porta:

Switch(config-if)# spanning-tree guard root

Para exibir as portas colocadas em estado root-inconsistent:

Switch# show spanning-tree inconsistentports

1.2 BPDU GUARD

O recurso BPDU Guard tem relação direta com o PortFast, outro recurso comumente ativado nas portas dos switches. O STP provê o recurso PortFast para que algumas portas sejam capazes de entrar diretamente em modo forwarding assim que o link é ativo. Ao fazê-lo o PortFast provê um mecanismo rápido de acesso à rede para dispositivos terminais que jamais poderiam ocasionar um loop. O comando para ativar uma interface com PortFast é:  

Switch(config-if)# spanning-tree portfast

Assim, por definição, em uma porta onde o PortFast foi ativado não se espera que seja conectado qualquer tipo de dispositivo capaz de causar loop. Caso um switch seja conectado por engano em uma porta com o PortFast ativado, então passa a existir um grande risco de ocorrência de loop na rede, o que é grave!

O recurso BPDU Guard foi desenvolvido para impedir o recebimento de qualquer BPDU nas portas em que foi ativado, fazendo com que  essa porta seja desativada e colocada em modo errdisable. Uma porta em estado errdisable deve ser reativada manualmente pelo administrador ou será reativada automaticamente apenas depois do timeout. Esse recurso pode ser ativado de maneira global em todas as portas ou individualmente por porta.

Para ativá-lo de maneira global o comando é:

Switch(config)# spanning-tree portfast bpduguard enable

Para ativá-lo individualmente na interface o comando é:

Switch(config-if)# spanning-tree bpduguard enable

---

2. Proteção à Interrupção Repentina de BPDUs

Quando temos uma topologia STP estável, periodicamente devem existir BPDUs enviadas pelo switch raíz e propagadas por todos os demais switches. O que ocorre quando uma porta de switch deixa de receber BPDUs repentinamente? A princípio pode ser que o switch conectado na outra ponta daquela porta tenha sido removido e então a topologia STP tem que passar pelo processo de reconvergência até que a porta seja liberada para encaminhar frames (forwarding). Essa seria a situação normal, mas a interrupção repentina de BPDUs também pode significar um erro no link entre os switches e é possível que ocorram loops. Os recursos explicados abaixo são úteis nesse caso...

2.1 LOOP GUARD

Se um switch possui um uplink para o switch raíz em que sua porta esteja bloqueada, isso quer dizer que há outro caminho redundante ativo e que a porta bloqueada continua recebendo as mensagens BPDU normalmente. Se por alguma falha a comunicação entre os switches cessar até que seja expirado o tempo limite do último BPDU válido, então o switch assume que não há mais necessidade de bloquear a porta porque não existe um dispositivo STP na outra ponta e um loop pode ocorrer.

Com o Loop Guard essa situação pode ser previnida, fazendo com que o switch fique monitorando a atividade de BPDUs nas portas não designadas (bloqueadas) onde existem uplinks para outros switches. Quando uma porta de uplink deixa de receber BPDUs, então ela é colocada em estado loop-inconsistent. A porta retorna automaticamente para seu estado anterior assim que o recebimento de BPDUs é normalizado.

Para ativá-lo de maneira global em todas as portas:

Switch(config)# spanning-tree loopguard default

Para ativá-lo de maneira individual por porta:

Switch(config-if)# spanning-tree guard loop

2.2 UDLD (Unidirectional Link Detection)

Normalmente são utilizadas fibras ópticas nos uplinks entre os switches principais que agregam os demais switches de acesso da rede. Esses links bidirecionais possuem um canal físico para transmissão (TX) e outro para recepção (RX), de forma que o tráfego pode fluir em duas direções. É muito comum a ocorrência de problemas físicos em apenas uma das direções do link, o que faz com que, em alguns casos, o switch entenda que o link esteja ativo. Essa situação cria um link unidirecional, uma situação potencialmente perigosa para a lógica do STP porque os quadros BPDUs somente serão recebidos em um dos lados. Ao parar de receber BPDUs em um dos lados é possível que ocorra um loop sem que o switch entenda sua causa.

O UDLD é um recurso proprietário da Cisco para detecção de links unidirecionais. Quando esse recurso é ativado o switch envia um quadro especial em intervalos regulares (de 7s ou 15s) e espera que a outra ponta ecoe os quadros de volta pelo outro canal, o que garante que o link é bidirecional. Esse recurso pode ser configurado para operar em dois modos: (i) normal e (ii) agressivo. A diferença é que a detecção de um link unidirecional implica apenas na geração de um registro syslog no modo normal, enquanto que no modo agressivo a porta e colocada em estado errdisable. O UDLD deve ser configurado em ambas as pontas e individualmente por porta, exceto para switches com todas as portas de fibra óptica que têm a opção de ativar esse recurso globalmente. 

!--- Modo Normal
Switch(config-if)# udld port

!-- Modo Agressivo
Switch(config-if)# udld aggressive

---

fonte: http://labcisco.blogspot.com/2014/10/protecao-da-topologia-stp-em-switches.html

Read More