Root Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

STP es el responsable de calcular la topología activa de la red conmutada a nivel de enlaces capa 2. Ese cálculo se basa en la posición del bridge raíz, entre otros parámetros. Cualquier switch puede, en principio, ser el bridge raíz en la red. 

Una topología activa óptima es la que selecciona como bridge raíz el switch que ocupa una ubicación específica determinada por diseño de la red para optimizar los flujos de tráfico. Con el STP estándar, cualquier switch con un Bridge ID más bajo puede tomar el rol de bridge raíz. El Bridge ID es la única herramienta con la que cuenta el Administrador para plasmar ese diseño a través de la selección del bridge raíz.

La función Root Guard nos proporciona una manera de forzar la elección del bridge raíz en la red para que responda siempre al diseño inicial.

Root Guard garantiza que el puerto en el que está habilitado sea el puerto designado del switch no raíz. Si un switch no raíz recibe BPDUs STP con un ID de bridge raíz mejor (más bajo) en un puerto en el que se ha habilitado Root Guard, ese puerto transiciona a un estado STP denominado “root-inconsistent”. Este estado es efectivamente equivalente a un estado de listening. No se reenvía tráfico a través de este puerto. De esta manera, Root Guard obliga a respetar la posición original del bridge raíz.

De esta forma, si se agrega un switch intruso cuya prioridad es cero (o cualquier valor inferior a la prioridad del bridge raíz) para forzar presentarse como el nuevo Bridge Root, los enlaces que conectan con ese dispositivo se bloquearán automáticamente.

Root Guard no permite que el puerto en que se ha configurado se convierta en un puerto raíz STP. Si una BPDU con un ID de bridge raíz más bajo llega a ese puerto, Root Guard no tiene en cuenta esa BPDU y coloca el puerto en estado STP root-inconsistent. 

Root Guard debería activarse en todos los puertos donde que de acuerdo al diseño de la red no deben convertirse en puertos raíz. El puerto recupera su estado forwarding cuando cesa la llegada de BPDUs maliciosas.

Este mensaje aparece cuando Root Guard bloquea un puerto:

%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state.

Root Guard se implementa mejor en puertos que se conectan a switches que no deberían ser el switch raíz de la topología. El feature se habilita mediante el comando spanning-tree guard root en el modo de configuración de la interfaz.

Configuración de Root Guard

La configuración de Root Guard se realiza por puerto.

Switch#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)# interface GigabitEthernet 0/8

Switch(config-if)#spanning-tree rootguard

Switch(config-if)#^Z

*Mar 15 20:15:16: %SPANTREE-2-ROOTGUARD_CONFIG_CHANGE: Rootguard enabled on port GigabitEthernet0/8 VLAN 1.

Switch#

Diferencia entre STP BPDU Guard y STP Root Guard

BPDU Guard y Root Guard son similares pero su impacto es diferente. BPDU Guard opera sobre puertos en los que se implementa PorftFast y desactiva el puerto si recibe una BPDU. A partir de esta desactivación niega efectivamente a los dispositivos detrás de dichos puertos la participación en el cálculo STP de la topología. Para que el puerto sea activo nuevamente deberá ser habilitado manualmente

BPDU Guard colocará el puerto en estado de error. Se deberá reactivar manualmente o configurar errdisable-timeout .

Root Guard, en cambio, permite que un dispositivo agregado a la red participe en STP siempre que ese dispositivo no intente convertirse en el bridge root. Si Root Guard bloquea el puerto, la recuperación posterior es automática; ocurrirá tan pronto como el dispositivo que origina el problema deje de enviar BPDUs con un mejor ID de bridge root.

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

BPDU Filter

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo que previene el ingreso o envío de BPDUs en una interfaz específica sin remover su condición operativa de PortFast cuando en ese puerto se recibe una BPDU.

Es una herramienta importante para la seguridad de la red, un atacante podría enviar BPDUs maliciosos para intentar interrumpir el tráfico de red o tomar el control de la topología activa de la red. BPDU Filter puede ayudar a proteger la red de este tipo de ataques al filtrar los BPDUs en puertos que no debieran enviarlos o recibirlos por su rol en la red.

NOTA: BPDU Filter es un mecanismo que debe ser utilizado con cuidado ya que operativamente equivale a desactivar STP en el puerto y por lo tanto puede derivar en la generación de bucles.

Puede decirse que en cierta forma BPDU Filter funciona de manera similar a BPDU Guard ya que bloquea la recepción de BPDUs maliciosas. La diferencia entre ambos es que BPDU Guard colocará la interfaz en modo err-disable cuando recibe una BPDU mientras que BPDU Filter solo filtra. No genera un estado de error.

BPDU Filter se puede configurar globalmente o a nivel de la interfaz:

• Configuración global:
  Si se activa BPDU Filter globalmente, cualquier interfaz con PortFast habilitado no enviará ni recibirá ninguna BPDU.
  
  
• Configuración en la interfaz:
  Si se activa BPDU Filter a nivel de la interfaz, esa interfaz ignorará las BPDUs entrantes, y no enviará BPDUs. Es el equivalente a desactivar STP en esa interfaz.
  Debiera utilizarse en interfaces de acceso destinadas a dar conectividad a dispositivos terminales; nunca en interfaces que conectan a otros switches.
  En este caso el filtrado se efectúa siempre, independientemente del estado de PortFast.

Configuración

Para activar BPDU Filter en la interfaz:

Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#spanning-tree bpdufilter enable

La configuración global es más compleja. Cuando se configura a nivel global se aplica solo en las interfaces que están operando en modo PortFast, y filtra los BPDU que se reciben sin desactivar la operación de PortFast en ese puerto (sin BPDU Filter, si un puerto PortFast recibe una BPDU desactiva PortFast y pasa a operar como puerto STP regular y se bloquea).

Para configurar globalmente BPDU Filter:

Switch(config)#spanning-tree portfast bpdufilter default

Sintetizando

• PortFast coloca inmediatamente el puerto en estado forwarding, pasando por alto los estados listening y learning.
• Un puerto con PortFast habilitado continua enviando BPDUs.
• Si se recibe un BPDU, PortFast se deshabilita y la interfaz pasa a comportarse como una interfaz STP regular.
• El switch nunca genera un TCN cuando un puerto habilitado con PortFast cambia entre up o down.
• Hay una diferencia importante entre estado administrativo (o lo configurado) y estado operacional. No debemos olvidarlo.
• BPDU Guard y BPDU Filter en modo global son dependientes del estado operacional de PortFast.
• BPDU Guard y BPDU Filter en modo interfaz es incondicional.
• Un BPDU Filter mal configurado es mas peligroso que un PortFast mal configurado, aun así IOS no genera un mensaje de advertencia acerca de esto.
• PortFast puede crear un loop temporal de máximo 2 segundos (intervalo por defecto del BPDU) hasta que el siguiente BPDU se recibe y el PortFast queda deshabilitado. 

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Loop Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

Mecanismo de protección de STP destinado a mejorar la estabilidad de las redes de capa 2.

 

Loop Guard proporciona protección adicional para prevenir la formación de bucles de capa 2. Esta posibilidad surge, aún con STP implementado, cuando un puerto STP bloqueado en una topología redundante pasa erróneamente al estado forwarding. Esto generalmente sucede cuando uno de los puertos de una topología físicamente redundante (no necesariamente el puerto STP bloqueado) ya no recibe BPDUs. En su funcionamiento, STP se basa en la recepción o transmisión continua de BPDUs según cual sea el estado del puerto. Los puertos designados transmiten BPDUs, y los puertos no designados reciben BPDUs.

Cuando uno de los puertos de la topología deja de recibir BPDUs, STP interpreta que la topología está libre de bucles y consecuentemente el puerto bloqueado o de backup transiciona al estado de forwarding. Esta situación crea un bucle.

Para evitar esta situación Loop Guard realiza comprobaciones adicionales. Si las BPDUs dejan de recibirse en un puerto no designado, y Loop Guard está habilitado, ese puerto pasa a un estado específico: “loop guard blocking”, en lugar de pasar a listening/learning/forwarding. Sin Loop Guard, el puerto asumiría la función de puerto designado. El puerto se hubiera movido al estado de STP forwarding y podría crear un bucle.

Cuando Loop Guard bloquea un puerto inconsistente, se genera este mensaje:

%SPANTREE-2-LOOPGUARD_BLOCK: Loop guard blocking port FastEthernet0/24 on VLAN0050.

Una vez que la BPDU se recibe nuevamente en un puerto en estado STP inconsistente el puerto cambia a otro estado STP. Cuando se recibe la BPDU la recuperación del puerto es automática y no es necesaria intervención del Administrador. Después de la recuperación, se genera el siguiente mensaje:

%SPANTREE-2-LOOPGUARD_UNBLOCK: Loop guard unblocking port FastEthernet0/24 on VLAN0050.

Configuración

Loop Guard es un feature que se habilita por puerto. Sin embargo, siempre y cuando bloquee el puerto a causa de un fallo de STP, Loop Guard coloca las interfaces en estado inconsistente por VLAN (cuando opera PVST), no la interfaz completa. Es decir, si una BPDU no se reciben en el puerto troncal en una sola VLAN en particular, solo esa VLAN se bloquea (cambia al estado STP inconsistente). Por la misma razón, si está habilitado en una interfaz EtherChannel, todo el canal será bloqueado para esa VLAN específica, no sólo un enlace (porque EtherChannel es considerado como una interfaz lógica desde la perspectiva de STP).

¿En qué puertos se habilitaría Loop Guard? 

Se sugiere que se habilite Loop Guard en los puertos no designados más precisamente, en los puertos raíz y puertos alternativos para todas las combinaciones posibles de topologías activas (considerando las múltiples VLANs en una implementación de PVST.

No se encuentra habilitado por defecto. Para habilitar lo es necesario ingresar la siguiente configuración:

Router(config)#interface gigabitEthernet 1/1

Router(config-if)#spanning-tree guard loop

Loop Guard también puede ser activado globalmente para cambiar la operación por defecto de modo que todos los enlaces punto a punto tengan Loop Guard operativo. Se utiliza el estado de negociación de dúplex para determinar que se trata de un enlace punto a punto; si el enlace está en full dúplex se considera un enlace punto a punto.

Router(config)#spanning-tree loopguard default 

Activa la operación de Loop Guard como opción por defecto para todos los enlaces punto a punto.

Activada esta forma de operación, es posible anularla por interfaz:

Router(config)#interface gigabitEthernet 1/1

Router(config-if)#no spanning-tree guard loop

Desactiva Loop Guard en la interfaz específica en la que se ejecuta.

Verificación

Router#show spanning-tree summary

Switch is in pvst mode

Root bridge for: none

EtherChannel misconfig guard is enabled

Extended system ID           is disabled

Portfast Default             is disabled

PortFast BPDU Guard Default  is disabled

Portfast BPDU Filter Default is disabled

Loopguard Default            is enabled

UplinkFast                   is disabled

BackboneFast                 is disabled

Pathcost method used         is short

Name      Blocking Listening Learning Forwar STP Active

--------- -------- --------- -------- ------ ----------

Total      0         0        0          0          0

 

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

BPDU Guard

Contenido del temario CCNA 200-301 v1.1
Este material ya se encuentra agregado al curso Network Associate (CCNA 200-301)

En redes capa 2 con diseño redundante la implementación de STP es clave para asegurar la estabilidad de la red. STP gestiona la redundancia previendo inconvenientes no deseados por un diseño deficiente.

Sin embargo, aún después de la implementación de STP, pueden generarse rutas subóptimas si el protocolo no cuenta con la protección adecuada contra varios formatos de ataque posibles en entornos STP. La falta de protección adecuada puede dejar la red expuesta a posibles ataques de man-in-the-middle así como a posibles bucles incluso con STP ejecutándose en los switches.

Hay que tener en cuenta que Spanning Tree no considera ningún mecanismo de autenticación o verificación del origen de los BPDUs que se emplean para el intercambio de información, como tampoco mecanismos de cifrado que protejan la información que se transporte. De ahí que, aprovechando las vulnerabilidades de STP, un atacante puede cambiar la topología activa de la red de modo tal que el tráfico circule por donde el atacante lo requiera de acuerdo a sus objetivos. Para esto no es necesario más que generar BPDUs con un bridge ID mejor para cambiar el switch raíz y con ello modificar toda la topología activa.

Estas situaciones pueden prevenirse utilizando mecanismos de protección como Root Guard. Este feature evita que un switch se convierta en switch raíz; para esto controla la posibilidad de que se adopten puertos raíz en los switches, diferentes de los que han sido planificados en el diseño. 

La función Root Guard es un mecanismo que permite controlar la ubicación del switch raíz en la red. Lo hace limitando los puertos de los switches no raíz que se pueden negociar como puerto raíz. .

BPDU Guard

Se trata de una función que se aplica asociada a Port Fast en las interfaces.

BPDU Guard permite preservar la topología activa de la red evitando que dispositivos intrusos conectados a puertos de un switch puedan impactar en la misma. Para esto, cuando el puerto del switch configurado con PortFast y asegurado con BPDU Guard recibe un BPDU, inmediatamente se bloquea pasando a estado de error.

Al colocarse el puerto que recibe la BPDU en error se genera un mensaje de evento:

2020 May 21 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 0/1 

2020 May 21 15:13:32 %PAGP-5-PORTFROMSTP:Port 0/1 left bridge port 0/1

Los manuales que publico podés adquirirlos en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Este post ha sido desarrollado con la asistencia de inteligencia artificial.

Configuración de STP (lab)

Este Laboratorio es parte del curso Network Associate de Educática y muestra el procedimiento para la configuración de PVSTP+.

Se muestra la topología completa de la maqueta y se desarrolla el procedimiento completo tal como se describe en mi Guía de Laboratorios CCNA 200-301.

Para ver el desarrollo con mayor comodidad, sugiero abrir el video a pantalla completa.

Para mayor información sobre el curso: https://www.educatica.com.ar/curso-network-associate

Para información sobre la Guía de Laboratorios: https://www.edubooks.com.ar/biblioteca-ccna

Si te fue útil podés colaborar "comprando un café": https://www.buymeacoffee.com/ogerometta

Los manuales que publico los podés adquirir en el sitio web de EduBooks: https://www.edubooks.com.ar/

Los cursos on line que desarrollo se pueden adquirir a través del sitio web de Educática: https://www.educatica.com.ar/

Estás invitado a seguirme en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook: 
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

TRILL - TRansparent Interconnection of Lots of Links

TRansparent Interconnection of Lots of Links

Estándar desarrollado por la IETF y documentado en el RFC 5556 de mayo de 2009 y posteriormente en el RFC 6325.
Es parte de un conjunto de protocolos elaborados para reemplazar STP, particularmente en el contexto de data centers, maximizando la conectividad al mismo tiempo que se minimiza la cantidad de saltos y la latencia asociada. El objetivo es mantener una topología libre de bucles sin desperdiciar la posibilidad de utilizar múltiples enlaces.
Combina técnicas de bridging y algoritmos de estado de enlace (Dijkstra) para gestionar de modo automático las rutas de capa 2 en una red conmutada.
Por tratarse de un protocolo de capa de enlace es compatible con redes IPv4 e IPv6 y es "invisible" para la red ruteada.

Características generales
Los dispositivos TRILL utilizan mecanismos de análisis de estado de enlace para definir la ruta utilizar entre todas las disponibles en la red.
Cada dispositivo intercambia información sobre los enlaces que tiene directamente conectados de modo que todos los dispositivos de la red tienen información sobre todos los dispositivos que la componen y la conectividad entre ellos. 
A partir de esta información cada dispositivo computa independientemente las rutas óptimas para la propagación del tráfico de unicast y calcula un árbol de distribución de las tramas de multicast y broadcast.

De esta forma, en una red conformada con dispositivos que soportan TRILL, cada uno de esos dispositivos sabe anticipadamente a través de qué interfaz debe reenviarse la trama y a través de qué camino se transportará
Comparación con STP
STP es un protocolo desarrollado en 1985 por Radia Perlman para resolver la problemática que plantean los posibles bucles de enrutamiento en capa 2. Esto lo resuelve bloqueando los caminos redundantes de modo que obliga a utilizar un único camino para resolver todo el tráfico reservando los demás como posibles caminos de respaldo en caso de falla.
Desde la perspectiva de la utilización de los recursos de conectividad disponibles STP es un protocolo ineficiente ya que no permite utilizar todas las rutas posibles para transportar tráfico entre 2 puntos de la red. Por otro lado, dados los mecanismos de control y temporizadores que implementa es un protocolo de convergencia lenta.

En estos aspectos TRILL es más eficiente ya que puede mapear toda la red, descubirla y calcular el camino más corto y conveniente entre dos puntos, permitiendo utilizar múltiples rutas y distribuir el tráfico.
A partir de la construcción de una tabla de rutas para el transporte de las tramas TRILL no bloquea enlaces sino que evita los buches en las rutas y permite utilizar de modo simultáneo múltiples rutas y gestionar potenciales fallos.

Estructura de una trama TRILL
Cuando un dispositivo TRILL recibe un paquete que debe ser reenviado a través de la red lo encapsula con una cabecera TRILL que indica cuál es el punto de salida de la topología TRILL. Ese encabezado es retirado por el dispositivo de salida antes de reenviarlo hacia su destino.

El encabezado TRILL es un encabezado de 32 bits (4 Bytes) compuesto por varios campos entre los que se incluyen una cuenta de saltos y el nickname tanto del dispositivo de entrada como el de salida.

Cuando el dispositivo de ingreso recibe una trama busca en su tabla si tiene una ruta para alcanzar el destino; si lo tiene encapsula con un encabezado TRILL indicando el punto de egreso; si no lo tiene encapsula con un encabezado con el campo multidestino (M) activado y envía la trama a todos los dispositivos conectados.

Cada dispositivo se identifica con un nickname o apodo único que lo idientifica dentro de la red. Este apodo puede definirse de modo dinámico o configurarse manualmente.

La implementación
Los dispositivos que implementan TRILL reciben el nombre de routing bridges (RBridges) y su fabricación supone incorporación de hardware específico a nivel de circuitos ASICs.
Su adopción por diferentes fabricantes es dispar en función de este requerimiento de hardware y la existencia de alternativas para la solución de situaciones semejantes.
Entre las tecnologías cuya utilización reduce o reemplaza se suele mencionar:

• Link aggregation
• Link aggregation multichasis
• SPB (802.1aq)
• IRF
• VSS
• Virtual Chassis
• QFabric
• OpenFlow

Entre los fabricantes que están considerando la implementación de este protocolo se encuentran Extreme, Cisco, Brocade, Dell, HP y Huawei. Como muchas de estas implementaciones son basadas en el pre-estándar, son propietarias y no interoperables.




Para despejar dudas, compartir experiencia con otros, realizar consultas, las redes sociales nos dan una gran herramienta. Para eso están los diferentes grupos asociados a este blog.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Error disabled

Cuando el puerto de un switch se encuentra activo es posible que por diferentes motivos el sistema operativo del dispositivo detecte diferentes situaciones de error que requieren que el puerto se inactive. En estos casos el sistema operativo desactiva el puerto automáticamente.

Este estado de un puerto desactivado automáticamente por el sistema operativo es el que se identifica como error disabled (errdisable).

En los switches Catalyst, cuando un puerto es colocado en estado de error disabled:

• El puerto no envía ni recibe tráfico.
• El LED del puerto se coloca en color naranja.
• Cuando se verifica el estado del puerto se reporta como err-disabled.

Cuando un puerto es automáticamente colocado en modo error disabled se generan mensajes de notificación de eventos como este:

%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

El mensaje que completa la notificación depende de la razón que ha generado la condición de error.

La condición de error disabled apunta a 2 propósitos:

• Poner en conocimiento del Administrador que hay un problema en ese puerto.
• Eliminar la posibilidad de que el problema registrado en ese puerto pueda generar una falla en otros puertos del dispositivo..

Causas de un estado error disabled
Las siguientes condiciones provocan que el puerto sea colocado en error disabled por defecto.

• La detección de un número excesivo de colisiones (más de 16) en el medio o de colisiones tardías (late collisions).
  Una de las causas de colisiones tardías puede ser un error de configuración en el modo dúplex de las interfaces.
• Dúplex mismatch.
• Error de configuración de port channel.
• Condición unidireccional con UDLD
• Detección de flapeo de un enlace.
• Violación de seguridad port-security.
• Flapeo con PAgP.
• L2TP guard.
• Límite de tasa en DHCP snooping.
• GBIC o SFP incorrecto.
• Violación de ARP inspection
• Inline power.

Para desactivar la detección de errores en alguna causa específica, se utiliza el comando

Switch(config)# no errdisable detect cause [causa]

Verificación de puertos en estado error disabled
Los siguientes comando permiten verificar el estado de los puertos del switch:

Switch# show interfaces gigabitethernet 0/1 status 

Port   Name          Status        Vlan   Duplex  Speed Type

Gi0/1                err-disabled  100    full    1000  1000BaseSX

Es posible implementar la recuperación automática de la operación del puerto utilizando el comando errdisable recovery. En este caso se puede utilizar el siguiente comando para determinar cuál ha sido la causa de que un puerto entre en modo error disabled.

Switch# show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Enabled
bpduguard            Enabled
security-violatio    Enabled
channel-misconfig    Enabled
pagp-flap            Enabled
dtp-flap             Enabled
link-flap            Enabled
l2ptguard            Enabled
psecure-violation    Enabled
gbic-invalid         Enabled
dhcp-rate-limit      Enabled
mac-limit            Enabled
unicast-flood        Enabled
arp-inspection       Enabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:
Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------

  Gi0/1                bpduguard          273

El comando show error disabled detect permite verificar en un dispositivo particular las situaciones que pueden colocar un puerto en modo error disabled.

Switch> show errdisable detect
ErrDisable Reason    Detection    Mode
-----------------    ---------    ----
arp-inspection       Enabled      port
bpduguard            Enabled      vlan
channel-misconfig    Enabled      port
community-limit      Enabled      port
dhcp-rate-limit      Enabled      port
dtp-flap             Enabled      port
gbic-invalid         Enabled      port
inline-power         Enabled      port
invalid-policy       Enabled      port
l2ptguard            Enabled      port
link-flap            Enabled      port
loopback             Enabled      port
lsgroup              Enabled      port
pagp-flap            Enabled      port
psecure-violation    Enabled      port/vlan
security-violatio    Enabled      port
sfp-config-mismat    Enabled      port
storm-control        Enabled      port
udld                 Enabled      port

Los comandos presentados en este post
aplican tanto a IOS como a IOS XE.

Podés participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Interfaces en Errdisable

Desde que hacemos nuestras primeras armas en redes que utilizan switches Cisco Catalyst aparece un concepto específico: los puertos en estado "err-disabled".
¿Qué significa eso?

El estado errdisable
El estado errdisable aparece cuando un puerto de un switch se encuentra habilitado por configuración (no shutdown) pero el sistema operativo detecta una situación de error y por lo tanto evalúa que se la debe desactivar.
Un puerto en estado error disabled operativamente está fuera de operación (shutdown) y no envía o recibe tráfico de ningún tipo. El LED del puerto se fija en color ámbar y cuando se lo verifica utilizando el comando show interfaces aparece como err-disabled.

Switch#show interfaces fastethernet 0/1 status 

Port   Name    Status       Vlan     Duplex  Speed Type
Fa0/1          err-disabled 100        auto   auto 10/100BaseTX

Este estado de errdisable tiene 2 propósitos:

• Indica al administrador cuándo y dónde un puerto ha detectado problemas.
• Elimina la posibilidad de que este puerto cause fallos en otros puertos o el módulo en el que se encuentra.
  Un puerto con fallas puede ocupar la totalidad de los buffers de memoria disponibles o sus mensajes pueden causar errores en la red. Esto es evitado al colocar el puerto en error.

Causas del estado errdisable
Este estado se introdujo inicialmente en los puertos de los switches para manejar situaciones especiales provocadas por exceso de colisiones en al red generadas por diferentes causas:

• Un cable Ethernet fuera de especificaciones (p.e. muy largo).
• Una interfaz de red en malas condiciones (p.e. problemas físicos).
• Un error de configuración de dúplex en los puertos.

Más allá de esa implementación inicial hoy el estado errdisable está asociado a múltiples implementaciones comunes en redes conmutadas:

• No coincidencia de dúplex
• Mala configuración del port channel
• Violación de BPDU Guard
• Condición UniDirectional Link Detection (UDLD)
• Detección de colisiones tardías
• Detección de link-flap 
• Violación de seguridad (port-security)
• Flapeo de Port Aggregation Protocol (PAgP) 
• Layer 2 Tunneling Protocol (L2TP) guard
• DHCP snooping rate-limit
• GBIC / Small Form-Factor Pluggable (SFP) módulo o cable incorrecto
• Address Resolution Protocol (ARP) Inspection
• Inline Power

La colocación del puerto en este estado está definida como acción por defecto ante la detección de cualquiera de estas situaciones. El comando show errdisable detect permite verificar cuáles son las acciones que están asociadas a este estado.

Documentación de referencia

• Errdisable Port State Recovery on the Cisco IOS Platforms

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Temporizadores STP - Gráfica

STP utiliza temporizadores para definir diferentes períodos de tiempo.
Esos temporizadores son 3:

• Hello Time.
  Período de tiempo entre envío de BPDUs.
  2 segundos por defecto.
• Forward Delay.
  Tiempo que tarda un puerto en pasar del estado de escuchando al de aprendiendo; o del de aprendiendo al de enviando.
  15 segundos por defecto.
• Max Age.
  Es el tiempo por el cual el dispositivo almacena la información correspondiente a una BPDU.
  20 segundos por defecto.

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.