0

Spanning Tree Portfast

Bei der Inbetriebnahme neuer IOS-basierter Switches ist bestimmt jedem schon einmal aufgefallen, dass sobald ein Rechner eingesteckt wird der Switchport zunächst nur orange leuchtet und sich erst nach einigen Sekunden auf gelb umstellt. Während der Switchport orange leuchtet, leitet dieser noch keine Pakete weiter. Häufig führt dies dazu, dass Arbeitsplatzrechner nicht in der Lage sind eine DHCP-Adresse zu beziehen, falls diese „zu schnell“ starten. Dieses Verhalten weist jedoch in keiner Weise auf einen Fehler hin, sondern ist beabsichtigt.

Auf qualitativ höherwertigen Switches läuft das Spanning Tree Protocol, welches für eine schleifenfreie Topologie trotz physikalischer Redundanzen in der Verkabelung sorgt. Die Switches unterhalten sich untereinander auf dem Data-Link-Layer über sogenannte BPDUs (Bride Protocol Data Units), mit deren Hilfe die Topologie berechnet wird.

Wird ein Switchport aktiv, weil ein Gerät eingesteck wurde wechselt der Switchport über den Blocking State in den Learning- und anschließend in den Forwarding State. Im Blocking und Learning State leitet der Switch noch keine Pakete von angeschlossenen Geräten weiter, sondern beschränkt sich darauf BPDUs zu versenden und zu verarbeiten. Sobald die schleifenfreie Topologie berechnet und der Forwarding State erreicht ist leitet der Switch auch Pakete von angeschlossenen Geräten weiter.

Dieses Verfahren garantiert stets eine schleifenfrei Topologie, führt jedoch mitunter zu unerwünschten Verzögerungen die weitere Probleme mit sich bringen.

Zur Abhilfe können Switchports als „Portfast“ konfiguriert werden. Diese Switchports nehmen dann nicht mehr an der Berechung der schleifenfreien Topologie teil und wechseln erheblich schneller in den Forwarding State. Die Konfiguration von Switchports als Portfast erfolgt entweder global über:

access-switch> enable
access-switch# configure terminal
access-switch(config)#spanning-tree portfast default

oder pro Interface über:

access-switch(config)#interface fastethernet 0/1
access-switch(config-if-range)#spanning-tree portfast

Interfaces sollten jedoch nur dann als Portfast konfiguriert werden wenn sichergestellt werden kann, dass an diesen kein weiterer Switch angeschlossen wird. Diese Ports sind nur für den Anschluss von Endgeräten, wie Rechnern, Servern oder Druckern geeignet. Ansonsten besteht die Gefahr einer Schleife in der Topologie, die sich beispielsweise mit Broadcaststorms oder dem Ausfall eines Netzwerksegments bemerkbar macht (DoS).

Da jedoch in der Regel nicht garantiert werden kann, dass niemand an einen Switchport, der als Postfast konfiguriert ist, einen weiteren Switch anschließt oder ein Angriff auf das Spanning Tree Protocol erfolgen könnte, gibt es ein Feature namens BPDU Guard. Dieses prüft den Erhalt von BPDUs. Sollte eine BPDU auf einem Switchport, der Portfast konfiguriert ist, empfangen werden so wird dieser sofort deaktiviert. Eventuelle Schleifen oder Angriffe auf das Spanning Tree Protocol werden somit abgewehrt.

Die Konfiguration des BPDU Guards pro Interface erfolgt folgendermaßen:

access-switch#configure terminal
access-switch(config)#interface range fastEthernet 0/1 – 20
access-switch(config-if-range)#spanning-tree bpduguard enable

Verbindet man nun einen Rechner oder Drucker mit dem Interface wird dieses sehr schnell aktiv und der Rechner besitzt die volle Konnektivität. Falls ein Switch angeschlossen wird, der selbst BPDUs verschickt, wird der Port abgeschaltet. Dies passiert auch wenn ein Switch selbst keine BPDUs verschickt, aber durch eine Schleife in der Topologie eine BPDU des konfigurierten Switches wieder an diesen zurück schickt. Die Schleife hat dadurch nur lokale Auswirkungen und gefährdet nicht die Topologie als Ganzes.

Abgelegt unter: Netzwerk

Letzte Artikel

Bookmarke uns!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© 2017 IT-Dienstleistungen. All rights reserved. XHTML / CSS Valid.