Uma das melhores formas de diminuir o tempo de convergencia do STP é evitar a convergência como um todo. O EtherChannel oferece uma forma de evitar que a convergência do STP seja necessária quando ocorre a falha somente de uma única porta ou cabo.
O EtherChannel combina vários segmentos paralelos de velocidade igual (até oito) entre o mesmo par de switches, embutido em EtherChannel.
Os switches tratam o EtherChannel como uma única interface com relação ao processo de encaminhamento de frames bem como para o STP. Por conseguinte, se um dos links falhar, mas pelo menos um dos links estiver funcionando, a convergência do STP não tem necessariamente que ocorrer.
Por exemplo, a seguinte figura mostra uma rede composta de três switches, mas agora com duas conexoes Gigabit Ethernet entre cada par de switches.
Com cada par de links Ethernet configurado como um EtherChannel, o STP trata cada EtherChannel como um único link. Em outras palavras, para que um switch precise causar convergência do STP tem de haver a falha dos dois links que levam ao mesmo switch. Sem o EtherChannel, se você tiver vários links paralelos entre dois switches, o STP bloqueia todos os links exceto um. Com o EtherChannel, todos os links paralelos podem estar funcionando perfeitamente ao mesmo tempo e reduzir o número de vezes que o STP deve convergir, o que, por sua vez, torna a rede mais disponível.
O EtherChannel também fornece uma maior largura de banda de rede. Todos os trunks em um EtherChannel estão encaminhando ou bloqueados, por que o STP trata todos os trunks de um mesmo EtherChannel como um único trunk.
Quando um EtherChannel está em Estado de encaminhamento, os switches balanceiam a carga de tráfego atráves de todos os trunks, oferencendo uma maior largura de banda.
Ativando o EtherChannel:
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#int range f0/11 - 12
Switch(config-if-range)#cha?
channel-group channel-protocol
Switch(config-if-range)#channel-group ?
<1-6> Channel group number
Switch(config-if-range)#channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected
Switch(config-if-range)#channel-group 1 mode on
%LINK-5-CHANGED: Interface Port-channel 1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel 1, changed state to up
Switch(config-if-range)#^Z
Switch#
%SYS-5-CONFIG_I: Configured from console by console
Switch#sh etherchannel summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------
1 Po1(SU) PAgP Fa0/11(D) Fa0/12(D)
Switch#
PORTFAST
O PortFast permite que um switche imediatamente coloque uma porta em estado de encaminhamento quando a porta se torna fisicamente ativa, ignorando qualquer opção de topologia do STP e não passando pelos estados de escuta e aprendizado. Entretanto, as únicas portas em que você pode ativar o PortFast com segurança são as portas em que você sabe que não há nenhuma bridge, switch ou outro dispositivo STP conectado.
O PortFast é mais adequado para conexões com dispositivos do usuário final. Se você acionar o PortFast em portas conectadas à dispositivos do usuário final, quando o PC do usuário final inicializar, tão logo a NIC do PC esteja ativa, a porta do switch pode passar para o estado STP de encaminhamento e encaminhar o tráfego. Sem o PortFast, cada porta deve esperar enquanto o switch confirma se a porta é uma PD (Porta Designada) e esperar enquanto a interface permanece nos estados temporários de escuta e aprendizado até entrar no estado de encaminhamento.
Ativando o PortFast:
Switch>en
Switch#
Switch# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# int f0/1
Switch(config-if)# spanning-tree ?
bpduguard Don't accept BPDUs on this interface
guard Change an interface's spanning tree guard mode
link-type Specify a link type for spanning tree protocol use
portfast Enable an interface to move directly to forwarding
on link up
vlan VLAN Switch Spanning Tree
Switch(config-if)#spanning-tree portfast ?
disable Disable portfast for this interface
trunk Enable portfast on the interface even in trunk mode
Switch(config-if)# spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to
%Portfast has been configured on FastEthernet0/1 but will only
have effect when the interface is in a non-trunking mode.
Switch(config-if)#
Ou em todo o switch:
Switch(config)# spanning-tree portfast default
Segurança do STP
Interfaces de switches que se conectam com dispositivos locais do usuário final na LAN ficam expostas em termos de segurança. Um cracker poderia conectar um switch a uma dessas portas, com um baixo valor de prioridade STP, e se tornar o switch raiz. Além disso, ao conectar o switch do cracker a vários switches legítimos, o switch do cracker pode acabar enviando uma grande quantidade de tráfego na LAN, e também poderia ser utilizado um analisador de LAN para copiar grandes quantidades de frames de dados enviados atráves da LAN. Além disso, os usuários poderiam inocentemente danificar a LAN. Por exemplo, um usuário poderia comprar e conectar um switch barato a um switch existente, possivelmente criando um loop ou fazendo com que o novo switch, com potência relativamente baixa, se tornasse a raiz.
O recurso BPDU Guard da cisco ajuda a combater esses tipos de problemas desativando a porta, caso BPDUs sejam recebidos na naquela porta. Portanto, esse recurso é especialmente útil em portas que devam ser usadas somente como porta de acesso e nunca conectadas a outro switch. Além disso, o recurso BPDU Guard é, muitas vezes, usado na mesma interface que tem o PortFast ativado já que uma porta com o PortFast ativada já estará em estado de encaminhamento, o que aumenta a possibilidade de encaminhar loops.
O recurso Root Guard da cisco ajuda a combater o problema quando o novo switch "malcriado" tenta se tornar o switch raiz. O recurso Root Guard permite que outro switch seja conectado à interface e participa do STP enviando e recebendo BPDUs. Entretanto, quando a interface do switch, que possui o Root Guard ativado, recebe um BPDU superior ao switch vizinho - um BPDU que tenha um bridge ID menor/melhor, o switch com o Root Guard reage.
Náo só o switch ignora o BPDU superior mas também desativa a interface, não enviando nem recebendo frames, desde que os BPDUs superiores continuem chegando. Se os BPDUs superiores pararem de chegar, o switch pode começar a utilizar a interface novamente.
Switch>en
Switch# conf t
Enter configuration commands, one per line.
End with CNTL/Z.
Switch(config)# int f0/10
Switch(config-if)# spanning-tree bpduguard ?
disable Disable BPDU guard for this interface
enableEnable BPDU guard for this interface
Switch(config-if)# spanning-tree bpduguard enable
Switch(config-if)# exit
bi0os
No comments:
Post a Comment