目录
原理概述
在RSTP或MSTP交换网络中,为了防止恶意攻击或临时环路的产生,可配置保护功能来增强网络的健壮性和安全性。
BPDU 保护:在交换设备上,通常将直接与用户终端或文件服务器等非交换设备相连的端口配置为边缘端口,边缘端口一般不会收到 BPDU 。如果有人伪造 BPDU 恶意攻击交换设备,边缘端口接收到 BPDU 后,交换设备会自动将边缘端口设置为非边缘端口,并重新进行生成树计算,从而引起网络震荡。交换设备上启动了 BPDU 保护功能后,如果边缘端口收到 BPDU ,那么边缘端口将被关闭,但是边缘端口属性不变,同时通知网管系统。被关闭的边缘端口只能由网络管理员手动恢复。如果需要被关闭的边缘端口自动恢复,可以配置端口自动恢复功能,并设置延迟时间。
根保护:由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根交换机有可能会收到优先级更高的 BPDU ,使得合法根交换机失去根交换机的地位,从而引起网络拓扑结构的错误变动。这种不合法的拓扑变化,可能会导致原来应该通过高速链路的流量被牵引到低速链路上,造成网络拥塞。对于启用了根保护功能的指定端口,其端口角色不能成为根端口。一旦启用根保护功能的指定端口收到优先级更高的 BPDU 时,端口将进入 Discarding 状态,不再转发报文。在经过一段时间(通常为两倍的 Forward Delay )后,如果端口一直没有再收到优先级更高的 BPDU ,端口会自动恢复到正常的 Forwarding 状态。
环路保护:在运行 RSTP 或 MSTP 协议的网络中,根端口和其他阻塞端口的状态是依靠上游交换设备不断发来的 BPDU 进行维持的。当由于链路拥塞或者单向链路故障导致这些端口收不到来自上游交换设备的 BPDU 时,交换设备就会重新选择根端口。原先的根端口会转变为指定端口,而原先的阻塞端口会迁移到转发状态,从而造成交换网络中可能产生环路。在启动了环路保护功能后,如果根端口或 Alternate 端口长时间收不到来自上游的 BPDU ,则会向网管发送通知信息。如果是根端口则进入 Discarding 状态,阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路。直到根端口或 Alternate 端口收到 BPDU 后,端口状态才恢复到 Forwarding 状态。
防止 TC - BPDU 攻击:交换设备在接收到 TC BPDU 报文后,会执行 MAC 地址表项和 ARP 表项的删除操作。如果有人伪造 TC BPDU 报文恶意攻击交换设备,交换设备在短时间内会收到很多 TC BPDU 报文,频繁的删除操作会给设备造成很大的负担,给网络的稳定性会带来很大隐患。启用防 TC - BPDU 报文攻击功能后,可以配置交换设备在单位时间内处理 TC BPDU 报文的次数。如果在单位时间内,交换设备收到的 TC BPDU 报文数量大于配置的阈值,交换设备只会处理阈值指定的次数。对于其他超出阈值的 TCN BPDU 报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁地删除 MAC 地址表项和 ARP 表项,从而达到保护设备的目的。
实验目的
理解MSTP/RSTP保护功能的工作原理
理解MSTP/RSTP保护功能的应用场景
掌握MSTP/RSTP保护功能的配置方法
实验内容
实验拓扑如图所示,本实验网络中,四台交换机组成了一个环形网络,交换机运行RSTP或MSTP。为了增强网络的健壮性和安全性,需要配置MSTP/RSTP的保护功能。
实验拓扑
1.配置RSTP/MSTP
根据上面拓扑图进行相应的配置,在所有的交换机上配置生成树模式为RSTP,并配置优先级使S1为主根交换机,S2为备份根交换机。
[s1]stp mode rstp
[s1]stp priority 4096[s2]stp mode rstp
[s2]stp priority 8192
[s3]stp mode rstp
[s4]stp mode rstp
使用display stp brief查看交换机的各个端口状态。
最低0.47元/天 解锁文章
扫一扫
1126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
