13 de mayo de 2024

Root Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)


STP es el responsable de calcular la topología activa de la red conmutada a nivel de enlaces capa 2. Ese cálculo se basa en la posición del bridge raíz, entre otros parámetros. Cualquier switch puede, en principio, ser el bridge raíz en la red. 
Una topología activa óptima es la que selecciona como bridge raíz el switch que ocupa una ubicación específica determinada por diseño de la red para optimizar los flujos de tráfico. Con el STP estándar, cualquier switch con un Bridge ID más bajo puede tomar el rol de bridge raíz. El Bridge ID es la única herramienta con la que cuenta el Administrador para plasmar ese diseño a través de la selección del bridge raíz.
La función Root Guard nos proporciona una manera de forzar la elección del bridge raíz en la red para que responda siempre al diseño inicial.
Root Guard garantiza que el puerto en el que está habilitado sea el puerto designado del switch no raíz. Si un switch no raíz recibe BPDUs STP con un ID de bridge raíz mejor (más bajo) en un puerto en el que se ha habilitado Root Guard, ese puerto transiciona a un estado STP denominado “root-inconsistent”. Este estado es efectivamente equivalente a un estado de listening. No se reenvía tráfico a través de este puerto. De esta manera, Root Guard obliga a respetar la posición original del bridge raíz.
De esta forma, si se agrega un switch intruso cuya prioridad es cero (o cualquier valor inferior a la prioridad del bridge raíz) para forzar presentarse como el nuevo Bridge Root, los enlaces que conectan con ese dispositivo se bloquearán automáticamente.
Root Guard no permite que el puerto en que se ha configurado se convierta en un puerto raíz STP. Si una BPDU con un ID de bridge raíz más bajo llega a ese puerto, Root Guard no tiene en cuenta esa BPDU y coloca el puerto en estado STP root-inconsistent. 
Root Guard debería activarse en todos los puertos donde que de acuerdo al diseño de la red no deben convertirse en puertos raíz. El puerto recupera su estado forwarding cuando cesa la llegada de BPDUs maliciosas.
Este mensaje aparece cuando Root Guard bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state.

Root Guard se implementa mejor en puertos que se conectan a switches que no deberían ser el switch raíz de la topología. El feature se habilita mediante el comando spanning-tree guard root en el modo de configuración de la interfaz.

Configuración de Root Guard
La configuración de Root Guard se realiza por puerto.
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# interface GigabitEthernet 0/8
Switch(config-if)#spanning-tree rootguard
Switch(config-if)#^Z
*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on port GigabitEthernet0/8 VLAN 1.
Switch#


Diferencia entre STP BPDU Guard y STP Root Guard
BPDU Guard y Root Guard son similares pero su impacto es diferente. BPDU Guard opera sobre puertos en los que se implementa PorftFast y desactiva el puerto si recibe una BPDU. A partir de esta desactivación niega efectivamente a los dispositivos detrás de dichos puertos la participación en el cálculo STP de la topología. Para que el puerto sea activo nuevamente deberá ser habilitado manualmente
BPDU Guard colocará el puerto en estado de error. Se deberá reactivar manualmente o configurar errdisable-timeout .
Root Guard, en cambio, permite que un dispositivo agregado a la red participe en STP siempre que ese dispositivo no intente convertirse en el bridge root. Si Root Guard bloquea el puerto, la recuperación posterior es automática; ocurrirá tan pronto como el dispositivo que origina el problema deje de enviar BPDUs con un mejor ID de bridge root.



Los manuales que publico podés adquirirlos en el sitio web de EduBookshttps://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educáticahttps://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

 O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.