H3CSE园区-STP保护机制

PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。

BPDU保护

根桥保护
环路保护

TC保护

 

边缘端口受到攻击:如果一个边缘端口接收到配置消息,将从边缘端口转换成非边缘端口,从而导致生成树重新计算

比如说终端恶意伪造BPDU消息发送给端口

BPDU保护:启动了BPDU保护功能后,如果边缘端口收到了配置消息,MSTP就将这些端口关闭

配置:[H3C] stp bpdu-protection 

 

根桥的错误切换:合法根桥收到优先级更高的配置消息,失去根桥的地位,引起网络拓扑结构的变动。

根桥保护:对于设置了根保护功能的端口,一旦该端口收到某实例优先级更高的配置消息,立即将该实例端口设置为侦听状态,不再转发报文

配置:[H3C-Ethernet1/0/1] stp root-protection 

 

环路的产生:

由于链路拥塞或者单向链路故障,端口会收不到上游设备的BPDU报文,此时下游设备重新选择端口角色,会导致环路的产生 

环路保护机制:

配置了环路保护的端口,当接收不到上游设备发送的BPDU报文时,环路保护生效。

如果该端口参与了STP计算,则不论其角色如何,该端口在所有实例都将处于Discarding状态 。

一般不用,因为现在交换机上由很多技术能检测线路是否有单通故障。

配置:[H3C-Ethernet1/0/1] stp loop-protection 

 

TC攻击:在有伪造的TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的删除操作给设备带来很大负担,给网络的稳定带来很大隐患。

TC保护机制:

设置设备在收到TC-BPDU报文后的10秒内,进行地址表项删除操作的最多次数

监控在该时间段内收到的TC-BPDU报文数是否大于门限值。 

配置:

使能防止TC-BPDU报文攻击的保护功能 :[H3C] stp tc-protection 
配置门限值:[H3C] stp tc-protection threshold number 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值