BPDU保护
应用场景:防止有人伪造RST
BPDU恶意攻击交换设备,当边缘端口接收到PBDU报文时,会自动 设置为非边缘端口,并重新进行生成树计算,引起网络震荡。
实现原理:配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口将会被立即关闭。
配置命名
stp enable //全局开启STP
stp mode rstp //配置STP模式为RSTP
stp root primary //配置SWA为根桥
int g0/0/3
stp edged-port enable //配置端口为边缘端口
q
stp bpdu-protection //开启端口保护(在系统模式下配置,会自动检测有哪些接口是边缘端口,从而开启保护)
要先开启接口再使用这条命令,它才会启动这个机制。
error-down auto-recovery cause bpdu-protection interval 30 //自动恢复因BPDU保护引起的机制30s
dis error-down recovery
根保护(保护指定端口)
应用场景:由于维护人员的错误配置或网络中的恶意攻击,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动。
实现原理:一旦启用Root保护功能的指定端口收到优先级更高的RST
BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST
BPDU,端口会自动恢复到正常的Forwarding状态。
Root保护功能只能在指定端口上配置生效。
stp root-protection //开启根保护(只能在指定端口生效)
环路保护
在运行RSTP协议的网络中,根端口和其他阻塞端口状态是依靠不断接收来自上游交换设备的RST BPDU维持。当由于链路拥塞或者单向链路故障导致这些端口收不到来自上游交换设备的RST BPDU时,交换设备会重新选择根端口。原先的根端口会转变为指定端口,而原先的阻塞端口会迁移到转发状态,从而造成交换网络中可能产生环路。
如图1所示,当BP2-CP1之间的链路发生拥塞时,DeviceC由于根端口CP1在超时时间内收不到来自上游设备的BPDU报文,Alternate端口CP2放开转变成了根端口,根端口CP1转变成指定端口,从而形成了环路。
在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文,则向网管发出通知信息(此时根端口会进入Discarding状态,角色切换为指定端口),而Alternate端口则会一直保持在阻塞状态(角色也会切换为指定端口),不转发报文,从而不会在网络中形成环路。直到链路不再拥塞或单向链路故障恢复,端口重新收到BPDU报文进行协商,并恢复到链路拥塞或者单向链路故障前的角色和状态。
stp loop-protection // 开启端口环路保护保护(主要在根端口和预备端口上配置)
TC-BPDU保护
TC-BPDU攻击:
交换机在接收到TC-BPDU报文后,会执行MAC地址表项的删除操作。如果有人伪造TC-BPDU报文恶意攻击交换机时,交换机短时间内会收到很多TC-BPDU报文,频繁的删除操作会给设备造成很大的负担,给网络的稳定带来很大隐患。
TC-BPDU攻击保护:
启用防TC-BPDU报文攻击功能后,在单位时间内,RSTP进程处理TC类型BPDU报文的次数可配置(缺省的单位时间是2秒,缺省的处理次数是3次)。如果在单位时间内,RSTP进程在收到TC类型BPDU报文数量大于配置的阈值,那么RSTP进程只会处理阈值指定的次数;对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。
有些设备不支持TC保护
stp tc-protection //开启TC保护(全局)
stp tc-protection interval 10 //处理阈值所需的时间(默认为2S)
stp tc-protection threshold 5 //设置阈值 (默认为1)
3374
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
