Cisco Packet Tracer思科模拟器STP优先级（生成树）含安全特性

Super鸣_

已于 2023-03-26 17:39:06 修改

阅读量4.5k

点赞数 6

分类专栏：二、交换机的VLAN划分文章标签：网络服务器网络协议 http python

于 2022-09-18 17:25:23 首次发布

本文链接：https://blog.csdn.net/weixin_59507792/article/details/126920149

版权

二、交换机的VLAN划分专栏收录该内容

5 篇文章

订阅专栏

本篇文章主要讲解生成树协议中的优先级
SW2-B配置步骤：

SW2-B(config)#spanning-tree mo rapid-pvst   开启快速生成树协议
SW2-B#show spanning-tree    查看根网桥ID

VLAN0020
  Spanning tree enabled protocol rstp
  Root ID    Priority    32788            根网桥ID为32788
             Address     0090.0C87.C508
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

把VLAN10的优先值改小，这样他的优先级就变高了（默认优先值32788）

SW2-B(config)#spanning-tree vlan 20 root primary   配置本地交换机为vlan 20的主根桥
SW2-B(config)#spanning-tree vlan 20 priority 4096  更改VLAN20的优先值
SW2-B#show spanning-tree 
VLAN0020
  Spanning tree enabled protocol rstp
  Root ID    Priority    4116     这样就改好了，他的优先值比VLAN10的小
             Address     0090.0C87.C508
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

验证在SWITCH-B上开启生成树模式rapid-pvst(快速每VLAN生成树)的结果。

SWITCH-B#show  spanning-tree

VLAN0001

  Spanning tree enabled protocol rstp   !生成树协议版本为rstp

  Root ID    Priority    32769             !根桥优先级（默认优先级32768+VLAN ID）

             Address     0000.0C84.1692  !根桥MAC地址

             Cost        19              !本地网桥到达根桥开销

             Port        23(FastEthernet0/23) !与根桥互连端口

             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

 !hello时间老化时间及转发延迟

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)  !本网桥优先级

             Address     00D0.FF65.029B    !本网桥MAC地址

             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------

Fa0/24           Altn BLK 19        128.24   P2p  !端口状态为阻塞，即不转发数据

Fa0/23           Root FWD 19        128.23   P2p !端口状态为转发

附生成树协议中的两条安全特性命令：

1.Router(config)#spanning-tree portfast bpduguard   
在缺省情况下在所有端口上开启 portfast 功能

2.Router(config)#spanning-tree portfast bpduguard default 
在缺省情况下在所有portfast端口上自动开启 bpduguard功能


接口下配置bpdugrard,此接口一旦受到BPDU报文会自动把此接口置为err-disable状态，err-disable相当于接口down状态，如果想把此接口重新启用需要进入这个接口执行shutdown再执行no shutdown;此命令一般用在连接PC或者服务器的接口上面启用
一般情况下，须在sw4的f0/4接口启用Portfast技术（速端口），省略省略15秒侦听时间和15秒学习时间，直接进入到转发状态。

正常情况下，PC、服务器.是不可能发送BPDU报文的，如果有黑客的恶意攻击行为，在PC上安装攻击软件Yersinia攻击软件） 从而可以使PC发送BPDU报文，并且可以指定一定时间一定数量的BPDU报文，也可以把BPDU中BID中优先级修改。（假设每分钟10000个，则发送速率过大会导致二层广播风暴的产生 ，如果交换机性能差的话，还会导致整个网络的瘫痪。而且如果BID中优先级为1，则会使PC成为根桥（ROOT）而当BID中优先级假设更改为65535的话，PC又丧失了ROOT地位，生成树会重新选举（重新收敛）{！！而在生成树收敛的时候所有接口是不能转发用户的数据帧，所以就形成了一种基于BPDU报文的拒绝访问式DOS攻击}，使生成树时时刻刻处于收敛状态）而在生成树收敛的时候所有接口是不能转发用户的数据帧，相当于客户的整个内网就全部瘫痪了。还有一种DDOS攻击（分布式拒绝服务攻击）。

总结：

1.spanning-tree mo rapid-pvst 开启快速生成树协议

2.SW2-B(config)#spanning-tree vlan 20 root primary 配置本地交换机为vlan 20的主根桥

SW2-B(config)#spanning-tree vlan 20 priority 4096 更改VLAN20的优先值

3.也可在SWITCH-A上使用命令spanning-tree vlan 20 root secondary 使交换机SWITCH-A成为VLAN20的次根桥（备份根桥）

4.Router(config)#spanning-tree portfast bpduguard default 在缺省情况下在所有portfast端口上开启 bpduguard功能

5.Router(config)#spanning-tree portfast bpduguard 在缺省情况下在所有端口上开启 portfast 功能

由于本文主要讲解生成树协议优先级，生成树就不展开讲解了，详情可查看http://t.csdn.cn/rVpxh