Root Guard

Viendo 7 entradas - de la 1 a la 7 (de un total de 7)
  • Autor
    Entradas
  • #27027
    AdminNG
    Superadministrador
    #27060
    cguzman81
    Participante

    Buenas noches, la característica de root guard en que tipos de puertos es recomendable aplicar para no permitir que otros switches con menor BID se conviertan en root bridge ?

    designated port, ? y puertos de accesos ?

    y puedes ser tanto en swtches distribucion y en switches de acceso ?

    saludos.

    #27074
    AlvaroM
    Superadministrador

    Hola Claudio!

    La idea es que los configures en puertos donde no quieres ver otros switches con mejores valores de BID de manera que no afecten tu topología de capa 2. Eso ya es a tu criterio, en primera instancia podrías configurarlos en los puertos de acceso para evitar que en esos puertos se conecte un switch con mejor valor de BID, esto considerando el caso que no tengas en esos puertos la característica de BPDU Guard, si tienes BPDU Guard ya no importaría Root Guard porque tus puertos se deshabilitarían al recibir BPDUs. Una recomendación de Cisco es crear un «perímetro» alrededor de la parte de la red donde el Root bridge estará localizado, por ejemplo si tienes una capa de distribución y acceso, lo recomendable sería configurar root guard en los puertos de tus switches de distribución que se conectan a los switches de acceso… para que nunca un switch de acceso se convierta en un root bridge; si tienes una topología conmutada hasta la capa de núcleo, root guard debería estar configurado en todos tus puertos hacia los switches de distribución y hacia los switches de acceso.

    Ahora lógicamente esta característica pierde utilidad si tú sabes que NADIE se conectara con un switch que no está bajo tu control a tu red conmutada; yo la utilizaría en puertos donde sé que se van a conectar switches de redes externas o de proveedores para garantizar que esos switches no se conviertan en root bridges en mi red.

    Espero haberte aclarado el panorama.

    Atento a cualquier otro comentario.

    Saludos cordiales.

    #36404

    Buenos días,

    No entiendo el por qué de las respuestas de las preguntas 1, 7 y 11. No se que debo ver en las imágenes. ¿Me lo puedes indicar?

    Un saludo

    #36409

    Buenos días,

    Añado la pregunta 9 a la consulta anterior.

    Un saludo

    #36415
    AlvaroM
    Superadministrador

    Buenos días José!

    Respecto a la pregunta 1.

    Nos indican que analicemos el comando que se ha ejecutado en el switch, de manera que se tengan los resultados que son mostrados al ejecutar “show spanning-tree”.
    De acuerdo al resultado mostrado, podemos evidenciar que no se muestran las configuraciones por defecto de Spanning-tree; puedes notar que el “Type” de todos los puertos es del tipo “Edge”, esto significa que se ha implementado en todos esos puertos la característica de Portfast; los comandos “spanning-tree vlan 1 root primary”, “mst 1 root primary”, o “spanning-tree vlan 1 port primary” no logran esos resultados.
    Después tenemos como opción al comando “spanning-tree portfast trunk”, este comando podría lograr el resultado de “Edge” port, pero solo en 1 interface. El único comando que volvería a todos los puertos al tipo “Edge”, es el comando “spanning-tree portfast default”. De ahí que la respuesta es esa.

    Respecto a la pregunta 7.

    Por la imagen puedes darte cuenta que en la VLAN 1 tenemos habilitado el protocolo PVST+, eso lo sabes de acuerdo a la parte que dice “Spanning tree enabled protocol ieee”.
    Por otro lado, sabemos que los timers por defecto de STP son 2 segundos para el Hello, 15 para el Forward delay, y 20 segundos para el Max age; gracias a la imagen te das cuenta que se ha modificado el Max age en el switch actual, puedes ver sus valores en la sección de “Bridge ID” , podemos evidenciar “Hello Time 2 sec Max Age 15 sec Forward Delay 15 sec“, ahí ya te das cuenta que se tiene el valor modificado de Max age a 15 segundos, por lo tanto NO se manejan los valores por defecto.
    Después sabemos que el valor por defecto de prioridad de puerto es 128, por lo tanto, en el switch NO se están manejando los valores por defecto.
    Finalmente tenemos la opción correcta donde nos indican que se maneja la prioridad por defecto de 32768.

    Respecto a la pregunta 9.

    Lo peculiar en el resultado, es que te están mostrando la presencia de varias VLANs en una interface, esto significa que se trata de un puerto troncal, además ves que el puerto troncal esta categorizado como “Edge”, esto significa que está funcionando como puerto Portfast.
    De acuerdo a todo lo anterior, el único comando que puede volver a los puertos troncales en puertos “Edge”, es el comando spanning-tree portfast trunk.

    Respecto a la pregunta 11.

    Lo más destacado que puedes observar en la imagen, es que en el switch actual se ha cambiado la prioridad por defecto a 49158, pero además los costos de los puertos están con un valor de 3019; en la pregunta solo puedes elegir una opción, y el único comando que logra esto es “spanning-tree uplink fast”.

    Espero que ahora quede claro.

    ¡Saludos! =)

    • Esta respuesta fue modificada hace 1 año, 2 meses por AlvaroM.
    #36478

    Buenos días,

    Perfecto, muchas gracias, ahora lo veo claro.

    Un saludo

Viendo 7 entradas - de la 1 a la 7 (de un total de 7)
  • Debes estar registrado para responder a este debate.