RSTP的安全特性

最新推荐文章于 2023-10-31 15:40:53 发布
最新推荐文章于 2023-10-31 15:40:53 发布
阅读量303 收藏
点赞数
分类专栏: 网络工程师 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013454194/article/details/130583905
版权

  1. 边缘端口-BPDU保护

作用:不参与生成树的计算,可使端口快速过渡到转发状态

应用场景:在正常的网络中,边缘端口是不可能收到任何BPDU报文的,一旦EP收到BPDU,那么就意味着网络产生了不在管理范围内的变化,或者是产生了攻击,此时会导致二层网络产生不必要的问题。

防止:交换机边缘端口开启BPDU保护,一旦收到BPDU报文,端口会down掉。开启命令为[huawei]stp bpdu-protection,然后进入端口下 stp edged-port enable

恢复:Down掉的端口不会自动回复,但可以设置自动恢复时间,命令为

[Huawei]error-down auto-recovery cause bpdu-protection interval 30  (秒)

2.根保护

只能在DP接口上开启

应用场景:当一个接口不是EP的时候,BPDU保护无法在此接口上使用。如果接入优先级更高的交换机,将会导致二层网络中产生震荡。此时可以使用根保护解决该问题。如果接入次优的BPDU,不会发生改变。

作用:强制一个接口永远为DP端口,不能变为RP端口,防止周围交换机成为根桥。

恢复:当接口不再收更优的BPDU以后,等待两个转发延迟,进入转发状态。

[Huawei-GigabitEthernet0/0/1]stp root-protection //开启根保护

3.环路保护

只能在AP和RP上开启

场景:当网络发生拥塞或者出现单项故障的时候,很有可能导致AP和RP在BPDU超时之后,依然没有收到任何BPDU报文,那么此时可能导致网络中出现单向环路的风险。此时可以在AP或者RP上开启环路保护功能。

作用:当一个接口开启环路保护功能之后,接口在BPDU超时之后,没有收到任何BPDU报文,将会把接口变为DP处于Discarding状态。

恢复:直到端口重新收到BPDU,或者单向故障恢复会进行P/A的协商,之后进入转发状态。

[Huawei-GigabitEthernet0/0/1]stp loop-protection //接口下开启环路保护

4.TC-BPDU保护

场景:交换设备在接受到TC BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。如果有人伪造TC BPDU报文恶意攻击交换设备,交换设备短时间会收到很多的TC BPDU报文,频繁的删除操作会给设备造成很大的负担,给网络的稳定带来很大隐患,类似于DDOS攻击。

作用:启用防TC-BPDU报文攻击功能以后,单位时间内,交换设备处理TC BPD报文的次数可以配置。可以在交换机上配置单位时间内处理TC BPDU报文的次数,比如10S内处理2次TC BPDU,其他超出处理次数的TC BPDU交换机不再处理,只会在定时器超时以后,处理一次。

命令功能:[Huawei]stp tc-protection threshold x //设置单位时间内处理的次数(默认为1)

[Huawei]stp tc-protection interval x //设置单位时间(默认为2s)

[Huawei-GigabitEthernet0/0/1]stp tc-restriction enable //接口下开启防止TC BPDU攻击

网络设计ensp-eve-pt-hcl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为eNSP生成树基础实验配置
weixin_44712781的博客
11-28 5463
STP(Spanning Tree Protocol)是生成树协议的英文缩写,可应用于计算机网络中树形拓扑结构建立,主要作用是防止网桥网络中的冗余链路形成环路工作。为什么要有生成树:因为当有环路存在时,广播的发送会引起全网的广播风暴,因此需要打破环路生成的条件,而生成树协议就是解决。二层广播风暴的重要手段,另外我们会阻塞-些端口,打破环路生成条件,当链路出现问题时,这些被阻塞的端口可以过渡到转发状态,实现链路的备份的作用。BPDU (Bridge Protocol Data Unit) 网桥协议数据单元。
【闲聊STP/RSTP
Ksxiaobailong的博客
03-04 4146
浅谈STP(Spanning Tree Protocol) STP(Spanning Tree Protocol),1998年IEEE提出的802.1D协议,它是一种二层(数据链路层)管理协议,通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路的备份功能。说白了就是解决以太网中的防环,和顺带解决链路备份。 一、建立STP STP协议它是通过形成一棵无环的树。树形的网络结构必须有树,于是STP引入了桥(Root Bridge)概念。STP网络桥在全网中只有一个,它是整个网络的逻辑
RSTP 保护机制
最新发布
weixin_59446813的博客
10-31 750
在交换机启用了bpdu保护功能后,边缘端口如果接收RST BPDU的报文时候,边缘端口会自动shutdown,边缘端口的属性不变化,同时通知网管系统,接口需要需要手动开启。如果有需要可配置error-down命令,可以配置自动开启延时时间,但是边缘端口要是再次接到RST BPDU报文时候会再次自动shutdown,启动保护功能。
华为生成树安全特性
DREW德鲁
07-26 965
边缘端口特性 作用:一般连接终端设备,比如PC 打印机 iphone 摄像机等 边缘端口不会发BPDU报文,但可以接受BPDU,一旦接收到BPDU就会失去边缘端口特性 全局配置:华为会将所有端 口全部开启,如果在全局开启了边缘端口,需要 将Trunk端 口关闭边缘端口功能 [SW4]stp edged-port default interface GigabitEthernet0/0/1 接口配置优于全局配置 port link-type trunk stp edged-port disable 边缘端口
ensp-RSTP的基本配置与验证
西部壮仔的博客
04-13 8936
网络拓扑如下: 在图中,三台交换机SWA、SWB和SWC两两相连,其中SWB通过两条链路连接SWC。 需求:将三台交换机中的SWA指定为网桥,并且确保当SWA失效时,SWB会接替SWA成为网桥。 使用系统视图的配置命令stp mode rstp,将交换机的STP模式从默认的MSTP更改为RSTP。 命令stp root primary,这条命令的作用是指定这台本地交换机为网桥,并且这条命令会...
HCNA之华为ensp基本操作总结
热门推荐
WillWinwin
05-26 6万+
本文主要介绍的是华为ENSP的一些基本配置,主要包括链路聚合(手动模式和lacp模式)、vlan配置、hybrid端口配置、三层路由、生成树协议(MSTP、RSTP)、静态路由OSPF以及基于防火墙的安全策略配置(基于ip的转发策略、nat-policy等)1、修改路由器时钟(用户视图) clock timezone Local add 08:00:00(东八区,因此加8,如果西八区则是minus
STP、RSTP、MSTP的区别与应用场景
G_uo_的博客
05-22 1810
可以说是结合了STP跟RSTP的优点,并弥补了他们的缺陷。它既可以快速收敛,也能够使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。不同的VLAN通过不同的生成树转发流量,每棵生成树之间相互独立。不能使端口状态快速的迁移,即使是在点对点链路或边缘端口,也必须等待2倍的Forward delay的时间延迟,端口才能迁移到转发状态,但是跟STP一样有缺陷:局域网内所有的网桥共享一颗生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一颗生成树转发。特点:形成一棵无环路的树,
华为----2-生成树协议
weixin_62693307的博客
03-13 2050
-在单位时间内,交换设备处理拓扑变化报文的次数可配置(缺省的单位时间是2,缺省的处理次数是1次)。--在运行生成树协议的网络中,端口和其他阻塞端口状态是依靠不断接收来自上游设备的BPDU维持。stp cost 1000000 #设置端口为阻塞端口(一般情况下不开启--一般为禁用模式,要进入端口设置)当交换机从网络中收到其他设备发送过来的BPDU的时候,会比较BPDU中的桥BID和自己的BID,较小的BID将作为桥BID。
RSTP协议
m0_64563100的博客
02-07 846
1)所有非边缘指定端口和端口启动一个TC while timer(hello time的两倍),在这个时间内,清除所有端口上学习到的Mac地址,同时,由非边缘端口向外发送rst BPDU,其中TC置位,当TC while time超时停止发送RST BPDU。Proposal=1,前提:接口状态discarding,接口角色DP------- bit5-2: 0011。2)边缘端口一旦收到BPDU,就会丧失边缘端口的功能,变成一个普通stp端口参与stp计算(防环)
RSTP保护功能
Jian Sun_的博客
08-29 7064
简介 本文档介绍了RSTP协议中的保护功能以及如何配置保护功能,配置此功能有助于提高交换网络的可靠性、可管理性和安全性。 前提条件 本文档适用于S系列交换机所有版本的所有产品。 了解保护 由于维护人员的错误配置或网络中的恶意攻击,网络中合法桥有可能会收到优先级更高的RST BPDU,使得合法桥失去地位,从而引起网络拓扑结构的错误变动。这种不合法的拓扑变化,会导致原来应该通过高速链路的流量被牵引到低速链路上,造成网络拥塞。 如图1所示,DeviceA和DeviceB处于网络核心
ensp命令
小卜的博客
10-18 2247
“RIP ,hybrid ,telnet ,DHCP ,PPP ,ospf ,vrrp ,stp ,NAT ,创建 子接口 ,链路聚合 ,访问控制列表, 接口上绑定MAC地址 ,查看MAC地址”配置命令,ensp 命令大全,华为命令
RSTP基础要点(上)
ssslq的博客
03-05 1568
RSTP精华,没有废话,通俗易懂
HCIA-RS实验-STP和RSTP(1)
兔子的博客
04-27 1464
本文介绍了STP和RSTP的基本原理、优缺点以及应用场景。以及STP的实验,RSTP实验会在下一篇文章
STP、RSTP、MSTP
qq_40787900的博客
04-12 1万+
目录 STP 一、STP的常用术语 二、STP的数据包 三,关于桥,端口的修改 四、拓扑变化时STP的更新 RSTP 一、RSTP的基本常识 二、RSTP的快速收敛机制 (一)P/A机制 (二)端口快速切换机制 (三)次级BPDU立即处理 (四)边缘端口(EP) 三、RSTP保护 1、BPDU保护 2、保护 3、环路保护 4、TC-BPDU保护 MSTP 一、MSTP的基本配置。 二、MSTP实验 STP STP(Spanning Tree Proto
思科模拟器如何给端口启用保护
weixin_50746407的博客
03-14 1961
Cisco思科模拟器如何进行端口的防护配置
理解并演示:Root Guard(保护
weixin_34265814的博客
07-08 1031
理解并演示:Root Guard(保护)                              本文截自于博主CCNP交换技术稿件内容     Root Guard是一种强制的保护措施,它的作用是防止意外(或者非法)加入的交换机成为网络中的桥,如图所示,原本交换环路中只存在S1、S2、S3时,正确的桥应该是S1,因为它有最优势的BID(一般而言是因为MAC地址最小),如果此时在原本的交...
网络笔记_RSTP保护
大嘴先生
03-18 2792
目录 技术背景 BPDU保护 解决办法 命令 保护 解决办法 命令 环路的产生 环路保护机制 命令 TC保护 命令 推荐方案 技术背景 为了更好的保证RSTP协议在网络不稳定的情况下,尽可能的保证流量的正常转发,在标准协议中新增了4种保护功能。 保护机制 应用端口 作用 BPDU保护 边缘端口 边缘端口收到BPDU后,把边缘端口shutdown ...
STP/RSTP/MSTP 精华详解
遥远的她的博客
05-16 8715
文章目录STP/RSTP/MSTP 精华详解:STP 概述 :BPDU:端口状态:STP快速收敛会造成临时环路STP拓扑变更通知:RSTP 概述:RSTP端口状态:RSTP新增属性:边缘端口:快速收敛:拓扑变更通知:华为实现:MSTP概述:MSTP标识:STP保护技术:BPDU保护保护:环路保护:TC保护:BPDU过滤: STP/RSTP/MSTP 精华详解: STP 概述 : 因为二层设备...
STP_防护
weixin_34409741的博客
05-08 1788
转载自:http://linzhibin824.blog.163.com/blog/static/73557710201112001416130/RootGuardguardroot能够强制让接口成为designatedport,进而能够防止周围的交换机成为rootbridge。当端口启用防护特性的时候,交换机将不允许端口成为STProotport。端口仍将作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值