Proteccin de configuraciones STP y STP avanzado.

Tomando en cuanta una red acomodada en switchblocks (recordemos que los

switchblocks son la acomodacin del diseo de la red en Core, acceso y
distrubicin, ver contexto en libros CCNA y CCNP), hay varias herramientas
para que la red sea ms estable y quede protegida contra fallas en el tema de
Spanning Tree.
Experiencia personal: Spanning tree, al ser uno de los temas ms
bsicos de CCNA, a m me sonaba muy poco importante Ya saben si
ya configuras ruteo y algo avanzado, crees que regresar a Spanning tree
es como regresar a ver sumas y restas, cuando ests en clculo
integral
Pero estaba muuuy equivocado En el trabajo he visto como una mala
configuracin o por ejemplo, un Port fast o un BPDU Guard que
nadie configur pum adis red. Si a un usuario ocioso se le ocurre
jugar con las conexiones y cosas as, el switch se aprende as mismo, le
sube el CPU, comienza a agonizar, hasta que se prende en llamas, se
incendia el Data Center y la gente muere
Bueno algo as.. :P
Muy importante:
Estas configuraciones aplican a Spanning Tree tradicional (802.1D), no
a Rapid Spanning Tree (802.1W). La red funciona bien en 802.1D, pero el
tiempo que tarda en reaccionar es enorme (hablamos de unos 20 segundos
para reestablecer la convergencia en caso de un cambio), sin embargo, en
Rapid Spanning Tree, estos mecanismos ya no son necesarios, pues el tiempo
de reconvergencia ya baja como a 6 segundos.

Hay dos tipos de BPDUs:

1. Configuration BPDU
a. En realidad son los Hello que son emitidos cada 2 segundos por
default, avisando a su vecino que sigue vivo. (En caso de que no
lleguen en 20 segundos, se toma en cuenta que el vecino ha
muerto .)
2. Topology Chance Notification
a. Son emitidos cuando hay un cambio en la topologa.

Herramientas que podemos usar para hacer nuestra red ms segura (hablando
puuuuro lenguaje de capa 2).

1. PortFast
Se aplica en switches de acceso, para puertos que conectan ya haca
el usuario final (a lo que en adelante llamar Edge port). Esto acorta los
timers de spanning tree, pues el switch confa en que no va a recibir BPDUs.
Por eso, cuando prendemos nuestra compu en la red de la escuela o el trabajo,
no tarda 30 segundos en darnos red.
Cito del libro:
Catalyst switches offer the PortFast feature, which shortend the Listening and
Learning states to a neglibible amount of time. When a workstation link comes
up, the switch immediately moves the PortFast into the Forwarding state. Loop
detection is still in operation and the port moves into Blocking state if a loop is
ever detected on the port.
Se puede habilitar de manera global o por interfaz
Switch (config)#

spanning-tree portfast default.

Switch (config-if)# spanning-tree portfast

2. UplinkFast.
Se aplica en switches de acceso, para puertos que conectan ya haca
los switches de distribucin. (a ms de uno)
Lo importante es que: Mantiene un registro de los caminos que van hacia el
root brige.
Esto es por si el primario falla, el secundario toma el trfico.
UplinkFast no puede ser utilizado en el rootswitch, motivo por el cual eleva la
prioridad (en el bridge ID) hasta 49,152 y tambin el costo de los puertos lo
incrementa en 3000, todo esto para evitar que este sea el root bridge, pues no
tendra sentido usarlo en el root bridge.
(Y para que vean que los quiero, hasta con dibujitos les doy la informacin):

(Esta imagen fue obtenida del Curso CCNP Switch, de la GNS3 Academy. El
curso es de Chris Briant y lo pueden encontrar aqu:
http://academy.gns3.com/courses/ccnp-switch-video-bootcamp/lectures/159553)
Pueden ver como el costo de las interfaces es superior a 3000 y se indica
Uplinkfast enabled.
Aqu les pido usar un poco la imaginacin.

Si tenemos arriba 2 switches de distribucin y abajo uno de acceso, entonces,

el de acceso est enviando la informacin por uno de ellos, ya que el otro est
bloqueado por Spanning tree (est en Blocking state).
Cuando el que est en Forward State, muere, entonces, el que est en Blocking
State debe empezar a mandar la informacin rpido.
Para que esto funcione, el switch de acceso bombardea con frames de
multicast el link que estaba en blocking, para informar al switch de distribucin
que ahora el ser el camino que tomar.

Este bombardeo de multicast ocupa bastante ancho de banda, motivo por el

cual lo podemos moderar con una parte del comando.
Uplink fast lo configuramos con:
Switch(config)# spanning-teee uplinkfast [max-update-rate packets-persecond]
3. BackboneFast
Este tambin mantiene un registro de los caminos alternativos que van hacia el
root switch, pero en este caso, funciona para detector fallos indirectos (o sea
que no estn directamente conectados al switch, son que pasan en otra parte
de ese mismo switch-block)
Esto ocurre as:
El switch enva a la red unas solicitudes llamadas: RLQ request (Root Link
Query), el ella le pregunta a los siwtches:
Este es mi root, Tienes el mismo root, t tambin lo alcanzas?
Si la respuesta es negativa, este otro switch le contesta.
Si nuestro switch encuentra algn problema en la red, entonces reestructura su
convergencia de STP quitando su Max Age Timer, solo teniendo que pasar por
el Forward Delay timer.
4. Root Guard
Una vez que un non-root switch haya aprendido quien es su root, podemos
proteger esto con Root Guard.
La intencin es que no se le conecte otro switch que proclame ser el root en
vez del que ya tenemos como root, entonces despus de activar Root Guard en
cierto puerto, si le conectamos un bridge cuyo Bridge ID sea superior ( o sea,
menor), entonces el puerto donde lo estamos conectando, se ir a errordisabled, por root inconsistancy.

5. Loop Guard y UDLD

Cada uno de estos es un tema, pero como a m me cost mucho trabajo
encontrar la diferencia, entonces los pongo juntos para recalcar esa diferencia.
Ambos se encargan de encontrar un problema en un enlace.
a. Loopguard. Est a la espera de BPDUs de su switch vecino. Al no
detectarlos tira el link dejndolo en err-disabled.

i. Lo podemos configurar de manera general con

switch(config)#spanning-tree loopguard default.
ii. O de manera especfica en la interfaz switch(config-if)# [no]
spanning-tree guard loop
b. UDLD.
Unidirectional Link Detection.
i. Detecta comunicacin unidireccional. Esto se utiliza para
fibra ptica (puede usarse tambin en cobre, pero no tiene
ninguuuuuun sentido), cuando se cae un hilo de la fibra
ptica, entonces sucede una comunicacin unidireccional,
lo que hace que puedan haber loops, as que para evitar
esto, debemos activar UDLD de ambos lados, con esto,
UDLD estar enviando Layer 2 special UDLD frames de un
lado a otro en intervalos regulares.
ii. Si no se ven los Layer 2 special UDLD frames de regreso
(como un eco digamos), esto indica que la comunicacin
se torn unidireccional.
iii. Los Layer 2 special UDLD frames son emitidos cada 45
segundos, por default.
iv. Puede configurarse de manera global o por interfaz.
Y opera de dos maneras.
1. Normal:
Con switch(config)#udld enable Esto
solo avisa en el log.
2. Agresivo:
Con switch(config)#udld aggressive Esto
tira la interfaz
La diferencia entre ambos, es que uno espera BPDUs y el otro espera el eco
de sus propios Layer 2 special UDLD frames.
Uno enva sus UDLD y espera el eco, mientras que su otro peer, tambin enva
sus UDLDs y espera su eco.
Cuando se dan cuenta de que no lo recibieron, entonces comienza a enviar sus
UDLDs cada segundo. Si no recibe su eco, entonces tira el link. (Esto es
en modo agresivo).
UDLD puede (s, s puede) trabajar con timers diferentes, ah no hay problema.
Otro detalle importante es que si configuramos UDLD de un lado, este no
empieza a funcionar hasta que detecta que el peer tambin habla ya UDLD, de
lo contrario no se activar en el link.
Si UDLD tira un link (teniendo que haber estado de manera agresiva), la
manera apropiada de levantarlo es con:
Swich# udld reset
6. BPDU Guard

Creo que este se me hace el ms fcil Se configura el puertos de acceso y

sirve simplemente para que si el puerto recibe un BPDU Pum!, lo tumba
bye.
Este es el que mencionaba al principio, es uno de los ms importantes, porque
si un usuario astuto conecta un switch en su lugar, nuestro switch al
momento de detectar su BPDU, le dice; no eres bienvenido; muere
Y pone el puerto en err-disabled
Si ve un BPDU, mata el puerto.
7. BPDU filter
Personalmente, creo que este es de los que ms trabajo me han costado
(aunque ya le entend).
Lo que hace simplemente es: Dejar de hablar idioma BPDU.
Deja re enviar y de recibir BPDUs.
Entiendo que su utilizacin es en s como slo para pruebas.
Lo podemos activar de manera global o especfica, pero hay un detalle
importante.
Si lo activamos de manera global, tiene que ir includo el PortFast:
Switch(config)# spanning-tree portfast bpdufilter.
Si lo activamos de manera especfica, no es necesario.

Luego de esto seguira el tema de RSTP, donde cambia:

Los timers son menos, los detalles de los puertos son diferentes.
Las diferencias son varias, pero en realidad; son cambios tan importantes, que
son fciles de aprender. RSTP es muy eficiente, rpido y no es difcil.
Y luego viene Multiple Spanning Tree, el cual es bastante complejo, pero es un
nivel superior a CCNP.
Espero que esto les sirva.