Protocolo STP (Spanning Tree)

Sirve para evitar posibles bucles de conmutacin. Es un protocolo que est continuamente corriendo en los switches (Nivel 2). Monitoriza los enlaces para evitar bucles, en caso de haberlo cierra el puerto. Funcionamiento: Busca un punto central en el flujo de trfico, lanza las BDPU por todos sus enlaces troncales. Despus queda a la escucha, si vuelve a recibir la BDPU reconoce que hay un bucle. Los puertos pueden tener varios estados: 1 Blocking: Puerto no funcional, bloqueado, ni enva ni recibe datos, solo las BDPUs Es el estado predeterminado. 2 Listening: El switch detecta voltaje. Cuando se conecta un cable se empiezan a mandar las BDPUs, si se detecta bucle vuelve al estado de bloqueo, sino contina al tercer paso. 3 Learning: Aprende direcciones MAC y se empieza a construir la CAM. 4 Forwarding: Puerto totalmente funcional. Esta transicin dura unos 55 segundos segn Cisco, en realidad tarda de 1 minuto a 5. Cada switch tiene un IDBRIDGE, un identificador. Este identificador es la unin de la prioridad del switch ms su direccin MAC. La prioridad por defecto de los switches est ajustada a 32768. Prioridad + MAC Address El switch central, root, para el protocolo STP es el que tenga el idbridge ms bajo. Puertos posibles en los switches: Puerto raz: Es el puerto que nos conecta al switch central. Puerto designado: El otro extremo del cable: Un extremo es el raz y el otro extremo es el designado. Puerto no designado: Este puerto se haya bloqueado para evitar bucles. Solo puede haber un puerto raz por switch. Para elegir el puerto raz nos basamos en el coste hasta el switch raz, contando con estos costes predeterminados: 10 Gb - Coste 2 20 Gb - Coste 4 100 mb (Fastethernet) - Coste 19 10 mb (Ethernet) - Coste 100 En caso de que dos puertos tengan el mismo coste se elige al que tenga el identificador de puerto ms bajo. As Fa0/1 es menor que Fa0/2

Configuracin dinmica de puertos

Adems de configurar los puertos en modo acceso y modo troncal, se puede configurar el puerto en modo dinmico: # switchport mode dynamic {auto | desirable} Est configurado en auto de forma predeterminada. El modo dinmico se usa en el protocolo DTP (Dynamic Trunk Protocol). Hay switches que no usan el protocolo y sus puertos no negocian. Explicacin de los modos: Desirable: El enlace est dispuesto a ser enlace troncal. Se configurar como puerto troncal si el otro extremo est en auto, desirable o troncal. Pero se configurar como access si el otro extremo est configurado como access. Auto: Para que sea troncal el otro extremo debe ser desirable o trunk. Si los dos puertos estn en modo auto se configurarn en modo access. # switchport nonegotiate Evita la propagacin del DTP por ese puerto y configurar el puerto en modo trunk.

Pruning
El pruning est desactivado de forma predeterminada. Sirve para evitar el broadcast irrelevante, los paquetes de capa 2 que sean innecesarios. Se activa en el servidor VTP y se propaga, al igual que las vlans, a todos los miembros del dominio. Para activarlo, se activa globalmente: switch# vlan database switch(vlan)# vtp pruning switch(vlan)# exit Se activa de forma global, para desactivar el pruning lo haremos dentro de la interfaz del puerto en cuestin, quitando las vlanes que no queramos propagar: switch(config-if)# switchport trunk pruning vlan remove N Vlan Solo se pueden desactivar de la vlan 2 a la 1001.

Seguridad en puertos
Para activar la seguridad, entramos en el puerto correspondiente y escribimos: switch(config-if)# switchport portsecurity

Luego configuramos los parmetros: switch(config-if)# switchport portsecurity mac-address MAC-ADDRESS switch(config-if)# switchport portsecurity mac-address sticky switch(config-if)# switchport portsecurity maximum N switch(config-if)# switchport portsecurity violation protect switch(config-if)# switchport portsecurity violation shutdown switch(config-if)# switchport portsecurity violation restrict Explicacin: mac-address: Se especifica qu MAC puede conectarse a ese puerto sticky: Se copiar la direccin MAC del primer dispositivo que se conecte. Maximum N: Especifica el nmero mximo de MACs que se podrn conectar a ese puerto. Por defecto est configurado con el valor 132. Violation: Protect: Opcin predeterminada. Desactiva el puerto y vuelve a activarlo otra vez. Adems notifica el error a syslog. Shutdown: Desactiva el puerto. Con esta opcin hay que levantar el puerto manualmente cuando queramos. Restrict: Deja desactivado el puerto mientras haya un problema de seguridad, cuando desaparece lo activa de nuevo. Cambio de vlan nativa en un puerto troncal: switch(config-if)# switchport trunk native vlan N_de_vlan Balanceo de carga: switch(config-if)# spanning-tree vlan port-priority n[0-240] switch(config-if)# spanning-tree vlan n cost n[0-255] Prioridad switch: switch(config-if)# spanning-tree vlan n priority n switch(config-if)# spanning-tree vlan n root primary As ser root siempre. switch(config-if)# spanning-tree vlan n root secondary Ser root si falla el primary. Proteger el enlace troncal: switch(config-if)# spanning-tree guard {root | none | loop} Opciones: root: Evita que la interfaz cambie de root, deshechando las BPDUs. Loop: Cambia de rol slo si el puerto raz se ha desactivado. 128 por defecto

Proteger inundacin de BPDUs: switch(config)# spanning-tree portfast {BPDUfilter | BPDUguard} Primero hay que activar el portfast. BPDUfilter: No negocia los BPDU, los puertos ni envan ni reciben BPDU, as el puerto no cambia de rol, si es access, se quedar en access, si es trunk, as se quedar. Esto es para evitar ataques. BPDUguard es para activar la proteccin del puerto troncal. Backup, recuperacin y carga de configuracin de switches En la flash del switch encontramos el archivo vlan.dat (BBDD de vlanes y configuracin del VTP) y el archivo config.text, el fichero de configuracin del switch. Para entrar al modo configuracin hay que arrancar el switch manteniendo pulsado el botn MODE. Se encienden todas las luces y entramos al rommon del switch. El prompt por defecto es : (dos puntos). Para trabajar con la flash primero hay que cargarla: :flash_init :load_helper Carga la ayuda :dir flash Nos lista los archivos que haya. :rename flash:config.text flash:config.old Copia la configuracin al archivo .old. :boot Reinicio Una vez arrancado el switch sin configuracin alguna, podemos entrar al nivel privilegiado y cargar de nuevo el archivo de configuracin: switch> enable switch# copy flash: config.old system: running-config Desventajas del Spanning-tree. Cada cierto tiempo el raz se encarga de mandar la BPDU a toda la topologa, con lo que inunda de trfico la red. Se pueden modificar los temporizadores: Paquetes HELLO: Determinan cada cuanto tiempo se envan las BPDUs. Por defecto son 2 segundos Maximum age:Determina cuanto tiempo puede esperar un paquete HELLO de un vecino. Pasado este tiempo buscar otra ruta y considerar cado al vecino. Por defecto este tiempo es cinco veces el tiempo del paquete HELLO. Forward delay: Tiempo que espera un puerto en estado listening para pasar a learning.

Mejoras del STP Backbonefast: Si hay algn error, si cae un troncal, levanta otro rpidamente unos 30 segundos para la convergencia. Configurar en los enlaces troncales de la capa core. Uplinkfast: Configurar en la capa de distribucin. No se puede usar en el puerto raz. Portfast: Solo para los puertos de acceso. Pasan de estado bloqueado a forwarding de forma inmediata. Cuando se activa el porfast el BID del switch se incrementa, la prioridad pasa del 32768 predeterminado a 49152. Adems el coste del puerto cambia a 3000. Para configurar los modos: switch(config)# spanning-tree {backobonefast | uplinkfast | portfast} Para desactivarlo: switch(config-if)# no spanning-tree {backobonefast | uplinkfast | portfast} Cuando configuramos cualquiera de ellos hay que asegurarse de configurar el puerto del otro extremo del cable de la misma forma para que la convergencia sea correcta. Para desactivar spanning-tree: switch(config)# no spanning-tree vlan n El dimetro por defecto de STP es de 7 switches, para modificar este dimetro: switch(config)# spanning-tree vlan root primary diameter n Si aumentamos el dimetro o disminuimos los timpos de maximum age podemos tener un problema de caducidad de paquetes, es mejor no modificar todos estos parmetros.

Canales lgicos
Para agregar canales: Varios puertos fsicos unidos en uno lgico que nos ofrece ms ancho de banda: Se crea una interfaz virtual. Si unimos 4 puertos fastEthernet tendramos un puerto de 400mb en lugar de 100mb. switch(config)# portgroup n switch(config)# port channel [ - / - ] (Para el packet tracer, configurarlo as: channel-group n mode on)