martes, 25 de abril de 2017

Que es el Power over Ethernet? (PoE)


Por Oscar Gerometta


Una tecnología a la que no prestamos siempre la debida atención es la que popularmente denominamos de modo genérico PoE.
 
Es decir, el suministro de alimentación eléctrica a través del cableado Ethernet tradicional (UTP).
 
Hoy ya no lo podemos considerar un "opcional" que puede o no estar presente en un switch corporativo. Teléfonos, cámaras IP, access points e incluso terminales pueden recibir su suministro de energía a través del cableado de red. Y este "pueden" toma mayor fuerza cuando consideramos que para el despliege de dispositivos conectados puede ser suficiente el cableado de datos y que por lo tanto no exigiría despliegue de tendido eléctrico.
 
El tema es que no todo PoE es PoE.
 
Es decir... lo que llamamos genéricamente PoE es un conjunto de tecnologías diferentes, cada una de las cuales da prestaciones específicas y diferentes.
 
En dispositivos Cisco hay al menos 5 categorías que debemos considerar:

  • Inline Power
  • PoE (IEEE 802.3af)
  • Enhanced PoE
  • PoE+ (IEEE 802.3at)
  • Universal PoE
 

Paso a continuación a revisar cada una de estas opciones.

Cisco Inline Power

  • Pre-estándar propietario de Cisco.
  • Proporciona hasta 6,3 Watts por puerto.
  • Diseñado para dar soporte a teléfonos IP como los Cisco 7906G, 7911G, 7941G, etc.

IEEE 802.3af (PoE)

  • Primer estándar definido por la IEEE en el junio de 2003.
  • Proporciona hasta 15,4 W por puerto.
  • Son 12,95 W al dispositivo considerando la pérdida de 100 m. de UTP.
  • Utiliza solamente 2 pares del cable UTP categoría 5e.
  • Permite dar alimentación eléctrica a  teléfonos 7941G-GE, 7985G y access points.

Enhanced PoE

  • Extensión del estándar 802.3af propietaria de Cisco.
  • Proporciona hasta 20 W por puerto.

IEEE 802.3at (PoE+)

  • Nuevo estándar presentado por la IEEE en el año 2009.
  • Proporciona hasta 30 W por puerto.
  • Son 25,5 W al dispositivo considerando la pérdida de 100 m. de UTP.
  • Utiliza solamente 2 pares del cable UTP categoría 5e.
  • Extiende la posibilidad de suministro eléctrico a access points 802.11n, cámaras de seguridad, etc.

Universal PoE

  • Desarrollo propietario presentado por Cisco en el año 2011.
  • Proporciona hasta 60 W por puerto.
  • Son 51 W al dispositivo considerando la pérdida de 100 m. de UTP.
  • Utiliza los 4 pares del cable UTP categoría 5e.
  • Puede implementarse en sistemas cableados estándar que soportan 802.3at.
  • Soporta la alimentación eléctrica de switches Catalyst compactos, sistemas de telepresencia personales, etc.

Más allá de la variante de PoE que implemente cada switch, es importante considerar la capacidad de alimentación eléctrica del dispositivo ya que no depende exclusivamente de la cantidad de puertos con capacidad PoE, sino también de la fuente de alimentación eléctrica implementada.

Tomado de: http://librosnetworking.blogspot.com/2017/04/power-over-ethernet.html

lunes, 10 de abril de 2017

Voz sobre IPv6, TV sobre IPv6 y la implementación empresaria


Tecnologías que se benefician con IPv6


Mas allá de la necesidad impuesta por el agotamiento de direcciones IPv4 y la incorporación de algunas mejoras, hay tecnologías o servicios que se han implementado en los últimos años en Internet que se ven particularmente beneficiados por el despliegue de IPv6.

Voz sobre IPv6


La implementación de IPv6 simplifica significativamente la implementación de sistemas de telefonía IP en redes de gran despliegue. Adicionalmente los sistemas de telefonía sobre IP se ven beneficiados con la posibilidad de transferencia directa entre terminales, la mejora de los tiempos de configuración de la llamada y la reducción de la cantidad de señalización requerida.

Televisión sobre IPv6


El despliegue de IPTV es semejante al despliegue de telefonía IP. Pero en este caso, es un despliegue generalmente realizado por el service provider, para lo cual se dedica una red separada para asegurar la calidad de la imagen y sonido.



En este caso, el paso a IPv6 de las redes IPTV permite aprovechar la multiplicidad de grupos de multicast disponibles y la facilidad para el diseño del direccionamiento.

Como contrapartida, la implementación de CPEs con soporte IPv6 no supone desafíos mayores, con lo que es posible plantear el reemplazo progresivo de los CPEs en uso por CPEs con soporte IPv6.

La implementación empresaria


La implementación de IPv6 en redes corporativas tiene desafíos importantes que se deben sortear: problemas con la compatibilidad de equipamiento (Balanceadores de tráfico, firewalls, etc.) y de software, aplicaciones que no soportan IPv6 como sistemas de gestión, servidores de autenticación, etc. Esto puede no ser causa de la postergación de la implementación pero si de la extensión del periodo de mantenimiento de estructuras dual stack.

Pero por otra parte, la implementación de nuevas aplicaciones de negocios, el despliegue de la virtualización de escritorio, la implementación del IoE y otras tecnologías de última generación empujan hacia la implementación de IPv6. En este punto, la escalabilidad y simplicidad lógica son sumamente importantes por su impacto en el costo operativo de la red.

Fragmento tomado del libro: Protocolo de Internet Versión 6 v3.1 de Oscar Gerometta



Quieres aprender mas sobre IPv6? ... Mira las opciones para comprar el libro aqui: https://ccnabolivia.blogspot.com/2017/01/aprende-todo-sobre.html

domingo, 2 de abril de 2017

Características avanzadas de SpanningTree: PortFast, BPDU Guard y BPDU Filter


Las características avanzadas del protocolo STP es, posiblemente, uno de los temas menos comprendidos en cualquiera de los niveles de estudio de certificación Cisco. Por lo que se ha podido ver, estas características no han sido claramente documentadas o incluso la documentación existente presenta errores. En este post se describe la operación de PortFast, BPDU guard, y BPDU filter en detalle.

PortFast

La característica de PortFast fue originalmente desarrollada para resolver una situación donde una PC no logra obtener una dirección mediante DHCP debido a que el puerto del Switch no logra una transición al estado de reenvío (Forwarding) a tiempo. Esto se debe al STP que pasa por los estados de escuchar (Listening) y apreder (Learning), los cuales normalmente toman 30 segundos.

 


PortFast permite que el puerto entre en un estado de Forwarding inmediatamente, pasando por alto los estados Listening y Learning. 

Debido a que el objetivo del PortFast es minimizar el tiempo que el puerto debe esperar a que el STP converja pasando por alto los estados de la transición normal solo debe ser configurado en puertos de borde (Edge ports) conectados a dispositivos finales.

Si PortFast está conectada a una interface conectada otro Switch, un bucle (loop) temporal de STP puede crearse. Esto es potencialmente perjudicial para la red. Por eso, el IOS de Cisco muestra un mensaje de advertencia cuando PortFast es habilitado.


Existe mucha desinformación sobre los detalles operacionales de PortFast circulando por la Internet.

Uno de los errores mas comunes es que el PortFast efectivamente deshabilita el STP y no se envían, ni reciben, BPDUs . Absolutamente todo en esta declaración es equivocado. 

El puerto habilitado con PortFast no solamente TRANSMITE BPDUs, sino que el estado operacional del PortFast de hecho depende de los BPDUs de entrada. Si el puerto recibe BPDUs, la característica de PortFast queda deshabilitada.

Ahora, es importante entender la diferencia entre el estado administrativo y operacional del PortFast. El estado administrativo se refiera a que es lo que está configurado en el dispositivo y el estado operacional define si la característica realmente está habilitada o deshabilitada.

Existen básicamente dos formas de habilitar el PortFast: Globalmente (spanning-tree portfast default) o por interface (spanning-tree portfast). Ambos comandos habilitan el PortFast en puertos que están operacionalmente como puertos de acceso. Por ejemplo, un puerto que es configurado administrativamente para negociar un enlace troncal pero falla en hacerlo, entonces opera en modo acceso.

Demos un vistazo a la línea de comandos. Una PC está conectada al Switch S1 en Eth0/2. El puerto está configurado en modo dynamic desirable y el PortFast está configurado en esa interface. Este es el estado administrativo. El Switch S1 no va a establecer un enlace troncal con la PC, entonces el puerto va a volver a modo de acceso y el PortFast va a estar habilitado. Este es el estado operacional.

S1#show run interface eth0/2
interface Ethernet0/2  
switchport mode dynamic desirable
spanning-tree portfast

S1#show interface eth0/2 switchport
Name: Et0/2
Switchport: Enabled
Administrative Mode: dynamic desirable

Operational Mode: static access

S1#show spanning-tree interface eth0/2 portfast
VLAN0001           
enabled  


Y que acerca de los BPDUs? Todavía son enviados desde este puerto? Vamos a averiguarlo!.

S1#show spanning-tree interface eth0/2 detail | include BPDU
  BPDU: sent 580, received 0

Claramente el puerto está enviando BPDUs. El STP está activo y corriendo.
Y que pasa si conectamos temporalmente un Switch Root a este puerto? El puerto va a recibir BPDU y la característica PortFast es efectivamente deshabilitada.

S1#show spanning-tree interface eth0/2 detail | include BPDU
BPDU: sent 724, received 10   

S1#show spanning-tree interface eth0/2 portfast
VLAN0001            disabled

Para el siguiente ejemplo, la PC es nuevamente conectada al S1 Eth0/2. Que ocurre si explícitamente configuramos la interface como troncal?  La característica de PortFast ya no va a estar habilitada.

S1#show run interface eth0/2
interface Ethernet0/2               
switchport trunk encapsulation dot1q                                         
switchport mode trunk
spanning-tree portfast 

S1#show interface eth0/2 switchport               
Name: Et0/2
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk

S1#show spanning-tree interface eth0/2 portfast
VLAN0001            disabled

Existe un comando adicional de nivel de interface, spanning-tree portfast trunk, el cual habilita PortFast en enlaces troncales. La documentación puede ser un poco engañosa respecto de este comando. El documento dice, "Este comando habilita PortFast en la interface incluso en modo troncal," y luego dice, "Este comando permite configurar PortFast en enlaces troncales.". La primera frase es precisa. La segunda podría ser interpretada como habilitar PortFast solo en enlaces troncales, lo cual no es cierto y, de hecho, no es posible. No existe un comando para configurar PortFast solamente en puertos troncales operacionales.

S1(config)#interface eth0/2
S1(config-if)#no spanning-tree portfast
S1(config-if)#spanning-tree portfast trunk   

S1#show interface eth0/2 switchport
Name: Et0/2
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk

S1#show spanning-tree interface eth0/2 portfast
VLAN0001            enabled

Si se cambia la interface a modo acceso, la característica PortFast va a permanecer habilitada.

S1#show run interface eth0/2
interface Ethernet0/2
switchport mode access
spanning-tree portfast trunk

S1#show interface eth0/2 switchport       
Name: Et0/2
Switchport: Enabled
Administrative Mode: static access                     
Operational Mode: static access

S1#show spanning-tree interface eth0/2 portfast   
VLAN0001            enabled

Una convergencia más rápida es, posiblemente, el principal beneficio de la característica PortFast, pero no es la única. El Switch nunca genera una Notificación de Cambio de Topología (TCN) cuando el estado de un puerto habilitado con PortFast cambia. En redes muy grandes (y planas) se puede llegar a un punto en el que la red está en un constante cambio de topología. Esto puede derivar en grandes problemas como una inundación excesiva de tráfico unicast, el cual puede hacer que la red se ponga lenta. Por eso es importante implementar correctamente el PortFast en la red.

BPDU Guard

 

BPDU guard previene que un puerto reciba BPDUs. Si el puerto recibe un BPDU, el puerto es colocado en un estado de error-disabled como una manera de proteger el puerto.

De la misma manera que la característica PortFast, el BPDU Guard tiene dos opciones de configuración: Global (spanning-tree portfast bpduguard default) y por interface (spanning-tree bpduguard enable). Como ya se puede observar de la sintaxis del comando, si es configurado globalmente  BPDU Guard dependerá del estado operacional del  PortFast. Sin importar como PortFast fue configurado, a partir de que ha sido habilitado el BPDU Guard va a estar activo. En el caso de la configuración por interface esta habilita incondicionalmente  BPDU Guard en el puerto, independientemente del PortFast o del modo access/trunk.


Vamos a ver este comportamiento en la línea de comandos.

Los Switches S1 (root) y S2 estan directamente conectados en ambos extremos en el puerto Eth0/0. Vamos a verificar que el comando global no tiene efecto a no ser que esté relacionado con la característica con el PortFast.

Las interfaces están configuradas en modo de acceso, el BPDU Guard está habilitado globalmente, y portfast no está configurado. La configuración es idéntica en ambos switches.

S2#show interface eth0/0 switchport
Name: Et0/0
Switchport: Enabled
Administrative Mode: static access                  
Operational Mode: static access

S2#show spanning-tree interface eth0/0 portfast
VLAN0001            disabled

S2(config)#spanning-tree portfast bpduguard default
S2#show spanning-tree summary
Switch is in pvst mode
Root bridge for:            none
Extended system ID          is enabled
Portfast Default            is disabled
PortFast BPDU Guard Default is enabled
Como puede verse, el BPDU Guard está habilitado globalmente. Solamente mirando el resultado de este comando podría sacarse una conclusión equivocada porque podría esperarse que el puerto esté en err-disabled después de recibir BPDUs. De todos modos, se están recibiendo BPDUs, pero el puerto todavía está transmitiendo. En este caso el PortFast no está habilitado, entonces el BPDU Guard nunca dispara el puerto hacia el estado de err-disable.

S2#show spanning-tree interface eth0/0 detail | include BPDU
  BPDU: sent 0, received 136    

S2#show spanning-tree interface eth0/0 portfast
VLAN0001            disabled

S2#show spanning-tree | begin Interface           
Interface          Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- ------
Et0/0              Root FWD 100      128.1    Shr

Vamos a activar el PortFast globalmente en S1.

S1(config)#spanning-tree portfast default

S1#show spanning-tree summary
Switch is in pvst mode          
Root bridge for: VLAN0001
Extended system ID           is enabled   
Portfast Default             is enabled
PortFast BPDU Guard Default  is enabled                                       
S1#show spanning-tree interface eth0/0 portfast   
VLAN0001            enabled

S1#show spanning-tree | begin Interface

Interface          Role Sts Cost      Prio.Nbr Type     
------------------- ---- --- --------- -------- ----------
Et0/0              Desg FWD 100      128.1 Shr Edge       

En este punto pueden surgir algunas preguntas: Porque el puerto está todavía reenviando tramas después que la característica PortFast ha sido habilitada? Porque no hay mensajes de log?. La respuesta recae en la operación normal del STP. El Switch está corriendo PVST+, y solamente el root switch envía BPDUs a cada intervalo Hello a no ser que ocurra un cambio en la topología. Debido a que S1 el el root switch y no han ocurrido eventos que provoquen que el S2 envíe un TCN, el S1 no ha recibido ningún BPDUs.

S1#show spanning-tree interface eth0/0 detail | include BPDU|Bpdu 
  Bpdu guard is enabled by default                      BPDU: sent 631, received 0

Ejecutemos el mismo comando en el S2.

S2(config)#spanning-tree portfast default

Tan pronto como el S2 ha recibido el siguiente BPDU del S1, el puerto cambia a err-disabled y los mesajes de error se presentan en la consola.

*Mar  3 11:26:15.503: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Ethernet0/0 with BPDU Guard enabled. Disabling port.
*Mar  3 11:26:15.503: %PM-4-ERR_DISABLE: bpduguard error detected on Et0/0, putting Et0/0 in err-disable state
*Mar  3 11:26:16.504: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
*Mar  3 11:26:17.503: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down

S2#show interface status err-disabled
Port      Name    Status        Reason      Err-disabled Vlans
Et0/0              err-disabled  bpduguard

Existen dos formas de recuperar un puerto en estado de err-disabled, una es ingresando manualmente los comandos shutdown y no shutdown y la otra forma es con el comando errdisable recovery cause bpduguard. El intervalo de recuperación por defecto es de 300 segundos, pero puede cambiarse con el comando errdisable recovery interval.

S2#show errdisable recovery
ErrDisable Reason           Timer Status
-----------------           --------------
arp-inspection               Disabled
bpduguard                    Enabled
channel-misconfig (STP)      Disabled       

--- output omitted ---                                       
                                                                               
Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------      -----------------      --------------
Et0/0                  bpduguard          275

Obviamente, la recuperación automática no arregla la causa del problema. Después de 300 segundos el puerto debe ser rehabilitado por un breve periodo de tiempo hasta que entre nuevamente en estado de err-disabled cuando el siguiente BPDU desde el root switch sea recibido.

Ahora probemos rápidamente que la configuración de nivel de interface BPDU Guard es de hecho independiente del estado operacional PortFast o el modo access/trunk.

S2(config)#no spanning-tree portfast default
S2(config)#no spanning-tree portfast bpduguard default
S2(config)#interface Eth0/0
S2(config-if)#spanning-tree bpduguard enable

S2#show spanning-tree interface eth0/0 portfast
VLAN0001            disabled  

S2#show spanning-tree interface eth0/0 detail | include Bpdu|BPDU
Bpdu guard is enabled
BPDU: sent 0, received 140

Cuando el primer BPDU es recibido, la interface se coloca en err-disabled.

*Mar  3 12:55:33.953: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Et0/0 with BPDU Guard enabled. Disabling port.
*Mar  3 12:55:33.953: %PM-4-ERR_DISABLE: bpduguard error detected on Et0/0, putting Et0/0 in err-disable state
*Mar  3 12:55:35.325: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down

S2#show interface status err-disabled

Port      Name    Status        Reason      Err-disabled Vlans
Et0/0            err-disabled  bpduguard

BPDU Filter


La función BPDU Filter previene que ciertos puertos específicos envíen o reciban  BPDUs. 

Nuevamente, existen dos metodos para configurar esta característica: Globalmente (spanning-tree portfast bpdufilter default) y por interface (spanning-tree bpdufilter enable). La configuración por interface filtra incondicionalmente BPDUs en ambos sentidos, de ingreso y de salida - Independientemente del estado operacional del PortFast o del modo access/trunk.

Este es efectivamente el equivalente a apagar el STP. Pero hacer esto puede ser muy peligroso porque se puede crear fácilmente un loop permanente. Llama la atención que el IOS no muestre un mensaje de advertencia cuando este comando se aplica. Habilitar PortFast en la interface equivocada no representa un gran riesgo como en el caso del BDPU Filter, pero el IOS en ese caso si manda una advertencia al administrador.

Vamos a ver esto en acción. Los Switches S1 (root) y S2 están conectadas con los enlaces. Eth0/1 en S2 está bloqueado.

S1#show spanning-tree | begin Interface
                                       
Interface          Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------
Et0/0              Desg FWD 100      128.1    Shr
Et0/1              Desg FWD 100      128.2    Shr

S2#show spanning-tree | begin Interface
Interface          Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------
Et0/0              Root FWD 100      128.1    Shr
Et0/1              Altn BLK 100      128.2    Shr

Que ocurre si se habilita BPDU Filter en el S2?

S2(config)#interface range eth0/0 - 1
S2(config-if-range)#spanning-tree bpdufilter enable

S1#show spanning-tree
                                     
VLAN0001                                          
  Spanning tree enabled protocol ieee
  Root ID   Priority    32769 
            Address aabb.cc00.1f00                  
            This bridge is the root
            Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
                                                                               
  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
            Address    aabb.cc00.1f00
            Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
            Aging Time  300 sec
                                                                               
Interface          Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- -----------------------
Et0/0              Desg FWD 100      128.1    Shr                   
Et0/1              Desg FWD 100      128.2    Shr

S2#show spanning-tree
VLAN0001                                                                       
  Spanning tree enabled protocol ieee                        
  Root ID    Priority    32769                  
             Address    aabb.cc00.2000
            This bridge is the root
            Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
                                                                               
  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
            Address    aabb.cc00.2000
            Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
            Aging Time  300 sec
                                                                               
Interface          Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- -----------------------
Et0/0              Desg FWD 100      128.1    Shr
Et0/1              Desg FWD 100      128.2    Shr

Ambos Switches ahora piensan que son el root y todas sus interfaces están en estado de forwarding. Las BPDUs no se envían ni reciben en S2.

S2#show spanning-tree interface eth0/0 detail | include Bpdu|BPDU
  Bpdu filter is enabled
  BPDU: sent 0, received 0

S2#show spanning-tree interface eth0/1 detail | include Bpdu|BPDU
  Bpdu filter is enabled
  BPDU: sent 0, received 0

Demos un vistazo a la utilización del ancho de banda. Son muchos paquetes!.

S2#show interface eth0/0
Ethernet0/0 is up, line protocol is up (connected)
  30 second input rate 12481000 bits/sec, 20262 packets/sec
  30 second output rate 12482000 bits/sec, 20264 packets/sec

S2#show interface eth0/1 
Ethernet0/1 is up, line protocol is up (connected)
  30 second input rate 12477000 bits/sec, 20256 packets/sec
  30 second output rate 12474000 bits/sec, 20250 packets/sec

Este es un ejercicio emulado en IOL. Además de los dos switches, no existen otros dispositivos y ningún otro tráfico. Entonces usted se puede imaginar como esta configuración podría rápidamente colapsar la red. Use con mucha precaución este comando.

La configuración global es mas intrincada. De manera similar a la característica BPDU Guard, el BPDU Filter global es habilitado en las interfaces que tiene el estado PortFast operational. En modo global, el switch no filtra los BPDUs de entrada, pero la mayoría (aunque no todas) las BPDUs de salida son filtradas. Cuando un puerto se enciende, se mandan 11 BPDUs. Si se reciben BPDUs las características PortFast y BPDU Filter se deshabilitan.

Vamos a ver como trabaja esto. Ambas interfaces en S1 han sido configuradas con BPDU Filter de interface. Ambas interfaces en S2 tienen el spanning-tree portfast trunk configurado entonces PortFast va a estar operacional y BPDU Filter está habilitado globalmente.

S1#show spanning-tree interface eth0/0 detail | include Bpdu|BPDU
  Bpdu filter is enabled
  BPDU: sent 0, received 0
                                                                         
S1#show spanning-tree interface eth0/1 detail | include Bpdu|BPDU
  Bpdu filter is enabled
  BPDU: sent 0, received 0

S2#show spanning-tree summary
Switch is in pvst mode
Root bridge for: VLAN0001
Extended system ID           is enabled
Portfast Default             is disabled
PortFast BPDU Guard Default  is disabled        
Portfast BPDU Filter Default is enabled

El puerto manda 11 BPDUs y se detiene.

S2#show spanning-tree interface eth0/0 detail | include Bpdu|BPDU
  Bpdu filter is enabled by default
  BPDU: sent 11, received 0

S2#show spanning-tree interface eth0/1 detail | include Bpdu|BPDU
  Bpdu filter is enabled by default
  BPDU: sent 11, received 0

Note lo que ocurre en S2 cuando el BPDU Filter de interface es deshabilitado en S1.

S1(config)#interface range eth0/0 - 1
S1(config-if-range)#no spanning-tree bpdufilter enable

S2#debug spanning-tree events
*Mar  3 15:01:09.027: STP: VLAN0001 heard root 32769-aabb.cc00.1f00 on Et0/1
*Mar  3 15:01:09.027: supersedes 32769-aabb.cc00.2000
*Mar  3 15:01:09.027: STP: VLAN0001 new root is 32769, aabb.cc00.1f00 on port Et0/1, cost 100 *Mar  3 15:01:09.027: STP: VLAN0001 new root port Et0/0, cost 100
*Mar  3 15:01:09.027: STP: VLAN0001 sent Topology Change Notice on Et0/0
*Mar  3 15:01:09.027: STP[1]: Generating TC trap for port Ethernet0/1
*Mar  3 15:01:09.027: STP: VLAN0001 Et0/1 -> blocking

El S2 escucha BPDUs superiores, deshabilita efectivamente el BPDU Filter y retorna el STP a su operación normal. El Eth0/0 se convierte en root port y Eth0/1 queda bloqueado.

S2#show spanning-tree | begin Interface
Interface          Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------
Et0/0              Root FWD 100      128.1    Shr
Et0/1              Altn BLK 100      128.2    Shr

Resumen

En este artículo hemos presentado características avanzadas de STP de manera extensa, pero a continuación nos gustaría resaltar los puntos más importantes:
  • PortFast mueve inmediatamente el puerto al estado de forwarding, pasando por alto los estados listening y learning.
  • Un puerto con PortFast habilitado continua enviando BPDUs.
  • Si se recibe un BPDU, PortFast se deshabilita.
  • El switch nunca genera un TCN cuando un puerto habilitado con PortFast cambia entre up o down.
  • Existe diferencia entre estado administrativo y estado operacional.
  • El comando spanning-tree portfast trunk habilita PortFast en puertos de acceso y troncales.
  • BPDU Guard y BPDU Filter en modo global son dependientes de PortFast operacional.
  • BPDU Guard y BPDU Filter en modo interface es incodicional.
  • Un BPDU Filter mal configurado es mucho mas peligroso que un PortFast mal configurado, aun así el IOS no genera un mensaje de advertencia acerca de esto.
  • PortFast puede crear un loop temporal de maximo 2 segundos (intervalo por defecto del Hello) hasta que el siguiente BPDU se recibe y el PortFast queda deshabilitado. El BPDU Filter puede crear un loop permanente porque todos los BPDUs son ignorados.
  • Recuerde la operación del STP - en que casos los BPDUs son enviados y cuando no
Tomado de: https://learningnetwork.cisco.com/blogs/vip-perspectives/2016/03/10/advanced-stp-features-portfast-bpdu-guard-and-bpdu-filter
Traducido por José R. Torrico Gumucio, Instructor Cisco Networking Academy