H3CSE园区-STP保护机制

PS：本篇仅挑选作者认为重要的模块，并不全面仅供复习参考，具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏，敬请关注。

BPDU保护

根桥保护
环路保护

TC保护

边缘端口受到攻击：如果一个边缘端口接收到配置消息，将从边缘端口转换成非边缘端口，从而导致生成树重新计算

比如说终端恶意伪造BPDU消息发送给端口

BPDU保护：启动了BPDU保护功能后，如果边缘端口收到了配置消息，MSTP就将这些端口关闭

配置：[H3C] stp bpdu-protection 

根桥的错误切换：合法根桥收到优先级更高的配置消息，失去根桥的地位，引起网络拓扑结构的变动。

根桥保护：对于设置了根保护功能的端口，一旦该端口收到某实例优先级更高的配置消息，立即将该实例端口设置为侦听状态，不再转发报文

配置：[H3C-Ethernet1/0/1] stp root-protection 

环路的产生：

由于链路拥塞或者单向链路故障，端口会收不到上游设备的BPDU报文，此时下游设备重新选择端口角色，会导致环路的产生 

环路保护机制：

配置了环路保护的端口，当接收不到上游设备发送的BPDU报文时，环路保护生效。

如果该端口参与了STP计算，则不论其角色如何，该端口在所有实例都将处于Discarding状态 。

一般不用，因为现在交换机上由很多技术能检测线路是否有单通故障。

配置：[H3C-Ethernet1/0/1] stp loop-protection 

TC攻击：在有伪造的TC-BPDU报文恶意攻击设备时，设备短时间内会收到很多的TC-BPDU报文，频繁的删除操作给设备带来很大负担，给网络的稳定带来很大隐患。

TC保护机制：

设置设备在收到TC-BPDU报文后的10秒内，进行地址表项删除操作的最多次数

监控在该时间段内收到的TC-BPDU报文数是否大于门限值。 

配置：

使能防止TC-BPDU报文攻击的保护功能 ：[H3C] stp tc-protection 
配置门限值：[H3C] stp tc-protection threshold number