@BPDU保护
原理介绍:
在交换机启用了bpdu保护功能后,边缘端口如果接收RST BPDU的报文时候,边缘端口会自动shutdown,边缘端口的属性不变化,同时通知网管系统,接口需要需要手动开启。如果有需要可配置error-down命令,可以配置自动开启延时时间,但是边缘端口要是再次接到RST BPDU报文时候会再次自动shutdown,启动保护功能。
使用场景以及效果:
为防止网络震荡,改变网络拓扑架构,需要将接边缘端口的设备开启bpdu保护。
1、接PC时边缘端口正常:
2、当接入交换机时会自动断掉:
命令展示:
[sw7]stp bpdu-protection //开启bpdu保护功能
[sw7]interface GigabitEthernet 0/0/1 //进入端口1
[sw7-GigabitEthernet0/0/1]stp edged-port enable //开启边缘端口
[sw7]error-down auto-recovery cause bpdu-protection interval 30 //错误down的时候自动开启间隔为30秒
@根保护
原理介绍:
当根交换机指定端口配置根保护功能,其端口只能保持为DP状态,如果端口收到了比根交换机更优的BPDU 则会进入discarding状态,如果没有收到更忧RST bpdu报文,在一段时间内(两倍的forward delay)端口才会自动恢复到forwarding状态。
使用场景以及效果
在RSTP场景中,如果一个根确定了之后,后续如果新加入一些交换机,但是比根交换机优先级更高,则会抢占根交换机角色,为防止角色的变换,从而改变整个网络架构,可能影响次优路径的走向,其中不排除终端的恶意攻击,应当启用跟保护功能。(注意根保护功能只能在指定端口下生效)
没配置根保护时:LSW10会发出更加优的bpdu,
配置更保护后:
命令展示
[SW1-GigabitEthernet0/0/22]interface GigabitEthernet 0/0/22
[SW1-GigabitEthernet0/0/22]stp root-protection
补充:根交换dp口应当全部开启,其他端口不建议开启。如果开启可能引发此类事项:LSW2的g1口会被阻塞导致下游无法转发业务。
SW1是皇帝ROOT:
@环路保护
原理介绍:
当交换机配置了环路保护功能后,交换机的RT和AP端口久久没收到BPDU报文后,与之相邻的端口会进入dp端口的角色并且端口状态为discarding,不转发报文,并且同时通知往网管系统,直到RT或者AP端口接收到BPDU报文,端口状态才会恢复正常的forwarding状态。
由于AP端口是RT端口的备份口,如设备上有ap端口,需要在RT和AP端口同时配置环路保护功能。
注意事项:根保护功能和环路保护功能互斥,配置了环路保护功能的端口不能再配置根保护。
场景使用以及效果
如果ROOT(SW3)的1口上出现单纤故障,比如配置了bpdu过滤,对方就会变成DP角色同时状态为discarding
命令展示:
R7:
interface GigabitEthernet0/0/1
stp loop-protection
interface GigabitEthernet0/0/24
stp loop-protection
SW3:
interface GigabitEthernet0/0/1
stp root-protection
stp bpdu-filter enable
@防止TC攻击保护
如果攻击者伪造拓扑变化BPDU报文恶意攻击设备,设备短时间内会收到很多拓扑变化BPDU报文,频繁的删除MAC或者ARP表项操作会给设备造成很大的负担,也给网络的稳定带来很大隐患。
应当在交换机下开启防TC攻击保护,设置指定时间处理TC报文, 当设备接收到拓扑改变的报文大于设备配置内的报文,那么只会处理当前配置的报文。对于多出来的拓扑改变报文(TC)会在指定时间超时后对其统一处理一次。
命令展示:
[SW7]stp tc-protection threshold 1 //在指定时间的配置数量
[SW7]stp tc-protection interval x //配置设备处理最大数量的拓扑变化报文所需的时间
注意:缺省情况下,设备处理最大数量的拓扑变化报文所需的时间是Hello Time。