H3CSE园区-STP保护机制

PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。

BPDU保护

根桥保护
环路保护

TC保护


边缘端口受到攻击:如果一个边缘端口接收到配置消息,将从边缘端口转换成非边缘端口,从而导致生成树重新计算

比如说终端恶意伪造BPDU消息发送给端口

BPDU保护:启动了BPDU保护功能后,如果边缘端口收到了配置消息,MSTP就将这些端口关闭

配置:[H3C] stp bpdu-protection 


根桥的错误切换:合法根桥收到优先级更高的配置消息,失去根桥的地位,引起网络拓扑结构的变动。

根桥保护:对于设置了根保护功能的端口,一旦该端口收到某实例优先级更高的配置消息,立即将该实例端口设置为侦听状态,不再转发报文

配置:[H3C-Ethernet1/0/1] stp root-protection 


环路的产生:

由于链路拥塞或者单向链路故障,端口会收不到上游设备的BPDU报文,此时下游设备重新选择端口角色,会导致环路的产生 

H3CSE园区-STP保护机制_第1张图片

环路保护机制:

配置了环路保护的端口,当接收不到上游设备发送的BPDU报文时,环路保护生效。

如果该端口参与了STP计算,则不论其角色如何,该端口在所有实例都将处于Discarding状态 。

一般不用,因为现在交换机上由很多技术能检测线路是否有单通故障。

配置:[H3C-Ethernet1/0/1] stp loop-protection 


TC攻击:在有伪造的TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的删除操作给设备带来很大负担,给网络的稳定带来很大隐患。

TC保护机制:

设置设备在收到TC-BPDU报文后的10秒内,进行地址表项删除操作的最多次数

监控在该时间段内收到的TC-BPDU报文数是否大于门限值。 

配置:

使能防止TC-BPDU报文攻击的保护功能 :[H3C] stp tc-protection 
配置门限值:[H3C] stp tc-protection threshold number 





你可能感兴趣的:(H3CSE,H3CNE-H3CTE学习历程)