Vídeo: Switches ArubaOS-CX – Configurando STP Root-Guard e Loop-Guard no EVE-NG

Nesse video, montamos um laboratório no EVE-NG com Switches ArubaOS-CX demonstrando a configuração do Spanning-Tree e das funcionalidades Root-Guard e Loop-Guard.

Root Guard: A configuração da porta como Root Guard permite à uma porta Designada a prevenção do recebimento de BPDU’s superiores, que indicariam outro Switch com melhor prioridade para tornar-se Root, forçando a porta a cessar comunicação, isolando assim o segmento. Após encerrar o recebimento desses BPDU’s a interface voltará à comunicação normalmente.

Loop Guard: A configuração da porta como Loop Guard possibilita aos Switches não-Root, com caminhos redundantes ao Switch Raiz, evitar situações de Loop na falha de recebimentos de BPDU’s em portas com caminhos redundantes. Em um cenátio atípico, quando uma porta alternativa parar de receber BPDU (mas ainda UP) ela identificará o caminho como livre de Loop e entrará em modo de encaminhamento criando assim um Loop lógico em toda a LAN. Nesse caso a funcionalidade deixará a porta alternativa sem comunicação (como blocking em loop-inconsistent) até voltar a receber BPDU’s do Switch Root

Switches ArubaOS – BPDU Protection

O BPDU Protection é um recurso de segurança projetado para proteger a topologia do STP impedindo que pacotes BPDU não esperados/planejados entrem no domínio STP.

Em uma implementação típica, a proteção BPDU seria aplicada a portas conectadas a dispositivos de usuário final que não executam STP. Se os pacotes STP BPDU forem recebidos em uma porta protegida, o recurso desabilitará essa porta e alertará o gerenciador de rede por meio de um trap SNMP.

Configuração

  1. Habilitar o BPDU Guard na interface A4 do switch e configurar timeout do BPDU para 60s.
spanning-tree A4 bpdu-protection
spanning-tree bpdu-protection-timeout 60
spanning-tree trap errant-bpdu

Conectar um notebook na porta A4 e verificar que a porta fica em forwarding.

  HP-5406zl(config)# show spanning-tree | i A4
BPDU Protected Ports : A4    
A4     100/1000T  | 20000     128  Forwarding   | c09134-eeec00 2    Yes No 
  • Conectando um switch de acesso no lugar do notebook na porta A4 e validando o bloqueio da porta
  HP-5406zl(config)# show spanning-tree | i A4
  BPDU Protected Ports : A4                                    
   A4     100/1000T  | 20000     128  BpduError   | 2    Yes No 
  • Remover o switch e conectar o notebook na porta A4. A porta deve retornar a forwarding após o timeout do BPDU configurado.

No log temos a indicação da porta desabilitando ao receber um BPDU. Em um segundo momento, após desconectar o switch de acesso e conectar o notebook) a porta voltou após o timeout configurado:

W 11/05/22 18:12:34 00840 stp: port A4 disabled - BPDU received on protected port.
I 11/05/22 18:12:34 00898 ports: BPDU protect(5) has disabled port A4 for 60  seconds
I 11/05/15 18:12:34 00077 ports: port A4 is now off-line
I 11/05/22 18:13:34 00900 ports: port A4 timer (5) has expired
I 11/05/22 18:13:38 00435 ports: port A4 is Blocked by STP
I 11/05/22 18:13:41 00076 ports: port A4 is now on-line

Switches ArubaOS-CX: Portas em admin-edge / portfast

O protocolo Spanning-Tree utiliza um algoritmo para detecção de caminhos alternativos colocando as interfaces redundantes em modo temporário de bloqueio, eliminando o loop lógico.

Um switch da rede local com o Spanning-Tree habilitado e conectado a outros switches que utilizam o protocolo, trocam informações STP por mensagens chamadas de BPDUs (Bridge Protocol Data Units). Os BPDU’s são os responsáveis pelo correto funcionamento do algoritmo do Spanning-Tree e são encaminhados a cada 2 segundos para todas as portas.

O objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do switch root (raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino, com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.

O algoritmo do Spanning-Tree (chamado STA) deve encontrar um ponto de referência na rede (root) e determinar os caminhos disponíveis, além de detectar os enlaces redundantes e bloqueá-los.

Com o objetivo de detectar loop na rede,  o spanning-tree necessita que o processo de detecção de BPDUs ocorra em todas as portas do Switch, inclusive em portas destinadas aos computadores, servidores, impressoras etc.


Em razão disso as portas do Switch conectadas aos dispositivos finais precisam de uma configuração manual para rápida transição do modo de discarding para o forwarding e assim iniciar imediatamente, visto que não há previsão para conectividade entre Switches naquela porta e espera todo o processo do spanning-tree que poderá deixar a porta em espera por alguns segundos.
Portas Edges enviam BPDU, mas não devem receber (não devem ser conectadas à switches). Se uma porta Edge receber BPDU, o Portfast é “desabilitado” e a porta faz o processo normal do STP.

Durante qualquer alteração da topologia do Spanning-tree a porta Edge não participará do Spanning-Tree, mas gerará BPDU’s por segurança.

A recomendação, uma vez utilizando o spanning-tree em Switches Aruba CX é habilitar o admin-edge em todas as portas de hosts.

Configurando uma interface como admin-edge:

interface 1/1/n
spanning-tree port-type admin-edge 
spanning-tree tcn-guard
exit

O comando tcn-guard desabilita a propagação de notificações de alteração de topologia (TCNs) para outras portas STP. Use isso quando você não quiser que as alterações de topologia sejam percebidas pelos dispositivos STP vizinhos.

Referências:

https://techhub.hpe.com/eginfolib/Aruba/OS-CX_10.04/5200-6704/index.html#GUID-CDF72645-BB14-41DE-B0B6-4404A42E46FD.html

http://www.comutadores.com.br/rapid-spanning-tree-802-1w/

https://community.arubanetworks.com/community-home/digestviewer/viewthread?MID=32043

Switches ArubaOS: Spanning-Tree desabilitado

Os switches ArubaOS, vem de fábrica com o protocolo STP desabilitado, assim como a maioria dos protocolos e serviços do equipamento. Nesse caso, sempre verifique o status do Spanning-Tree antes de colocar o equipamento em uma rede de produção e se necessário, habilite.

Switch# show spanning-tree
 Multiple Spanning Tree (MST) Information
  STP Enabled   : No

Switch# configure
Switch(config)# spanning-tree
 Habilitando o STP

Switch(config)# show spanning-tree
 Multiple Spanning Tree (MST) Information
  STP Enabled   : Yes
  Force Version : MSTP-operation
  IST Mapped VLANs : 1-4094
  Switch MAC Address : a01d48-37aaaa
  Switch Priority    : 32768
  Max Age  : 20
  Max Hops : 20
  Forward Delay : 15

  

Vídeo: Configurando BPDU Protection

Nesse vídeo mostramos a configuração e logs dos Switches com a utilização do comando ‘BPDU-Protection’.

A feature edged-port (portfast) permite a interface saltar os estados Listening e Learning do Spanning-Tree Protocol (STP), colocando as portas imediatamente em estado Forwarding (Encaminhamento). A configuração do ‘stp edged-port enable’ força a interface a ignorar os estados de convergência do STP, incluindo as mensagens de notificação de mudança na topologia (mensagens TCN ).

A utilização da feature ‘edged-port’ com a configuração do comando ‘stp bpdu-protection’, protege as portas configuradas como edged-port de receberem BPDUs. Ao receber um BPDU a porta entrará em shutdown.

Até o próximo vídeo!

Resumo Spanning-Tree

O Objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do Switch Root (Raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino mas com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.
Nesse vídeos fazemos um resumo do Spanning-Tree e suas configurações.

Até logo!