生成树安全

做难事,必有所得。

文章目录

      • 一、生成树的保护特性集合
      • 二、拓扑
      • 三、基础配置
      • 四、实验测试
      • 五、STP保护特性概述

一、生成树的保护特性集合

① Root保护
② BPDU保护
③ 环路保护
④ TC-BPDU保护
⑤ BPDU过滤

1、root-protection----Root保护

1.1 特性

启用Root保护功能的指定端口,器端口角色只能保持为指定接口;一旦处于Roott保护功能的接口收到优先级更高的BPDU,端口角色不会发生变化,端口状态将进入Discarding状态,不再任何报文(包括BPDU在内的任何数据)。如果在一段时间(通常为两倍的Forward Delay)内,如果端口没有再收到优先级更高的BPDU,端口角色不会发生变化,端口状态会自动恢复到Forwarding。

1.2 作用

避免指定根桥的位置的易位—导致网络(转发链路的)拓扑发生变化,造成的次优路径及网络中断。避免BPDU攻击(BPDU攻击会导致根桥发生变化而影响全网拓扑变更导致的网络中断)

1.3 恢复

通常为两倍的Forward Delay)内,如果端口没有再收到优先级更高的RST BPDU,端口会自动恢复到正常的Forwarding状态。

注意:

根保护功能仅在指定端口上生效;
环路保护功能和根保护功能不能同时配置在同一端口。

2、bpdu-protection----BPDU保护

2.1 特性

对edge-port 开启BPDU保护,此类型的接口收到BPDU后会立刻进入err-disabled(错误原因导致的接口关闭),等同于shutdown,不再转发数据。当接口err-disabled或者重新恢复后接口的edge-port特性不会丢失,继续生效。

2.2 作用

避免错接导致的环路和BPDU攻击(BPDU攻击会导致根桥发生变化而影响全网拓扑变更导致的网络中断)

2.3 恢复

(1)手动shutdown后再undoshutdown处于错误关闭的接口,重新激活此接口。
(2)配置自动恢复时间,当借口进入错误关闭后进入倒计时状态,倒计时完成后会自动恢复接口状态

注意:

自动恢复只对在没有err-disabled接口之前配置自动恢复功能的接口有效。

3、loop-protection----环路保护

3.1 特性

(1)生成树依靠定时接收上游SW(根桥方向)来判断当前链路是否需要被激活(RP接口在超时内收到BPDU不会失去端口角色与端口状态)或者阻塞(AP和BP在超时内接收BPDU来保持端口角色与阻塞状态)。
(2)当运行生成树的SW因为链路故障(光纤单链路故障,聚合链路单物理成员故障)或者SW系统软件故障及转发链路的阻塞导致阻塞链路接收不到上游SW的BPDU,因为错误判断当前环境不存在环路;备份的阻塞链路被错误激活而生成的环路的防护措施

3.1.1 SW判断环路故障的依据

启动了环路保护功能后,如果RP–根端口或Alternate–替代端口长时间(默认为标准MAX-Age时间20S,RSTP和MSTP是在3个BPDU发送时间)收不到来自上游设备的BPDU报文。

3.2 作用

配置环路保护的接口当SW判断出现环路故障后接口角色切换为Des–指定端口,接口状态会处于Discarding-阻塞状态不转发报文环路保护主要为了阻止在单向链路故障中AP或者BP进入转发状态,所以此配置在AP及BP上部署。

3.3 恢复

SW判断网络内为环路故障后自动恢复接口角色和接口状态。

注意:

配置Root保护的接口不能再配置环路保护功能。

4、TC-BPDU保护

4.1 特性

配置TC-BPDU的保护,避免因为网络某些链路的震荡(频繁up/down)和网络攻击发送TC-BPDU导致本SW的MAC地址表频繁重置(依据RSTP/MSTP特性,SW收到TC-BPDU会重置响应的MAC表和ARP表项,MAC表重置会导致此时间针对目的地址的泛洪,增加SW的转发压力和网络的不稳定性)

4.2 作用

配置TC-BPDU后本SW的接口在规定时间内收到的TC-BPDU超过定义的阀值后,对于其他超出阈值的拓扑变化报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。

5、bpdu-filter----BPDU过滤

5.1 作用

配合边缘端口的BPDU报文过滤功能,使边缘端口不处理、不发送BPDU报文。

注意:

(1)在全局模式下配置边缘端口和BPDU报文过滤功能后,设备上所有的端口不会主动发送BPDU报文,且均不会主动与对端设备直连端口协商,所有端口均处于转发状态。这将可能导致网络成环,引起广播风暴,请用户慎用。
(2)在接口模式下配置边缘端口和BPDU报文过滤功能后,端口将不处理、不发送BPDU报文。该端口将无法成功与对端设备直连端口协商STP协议状态,请慎用。

二、拓扑

生成树安全_第1张图片

三、基础配置

SW-1

[SW-1]stp priority 4096

[SW-1]int g0/0/24
[SW-1-GigabitEthernet0/0/24]stp root-protection 
//开启本接口的root-根桥保护功能,此接口收到桥ID信息高于本SW的BPDU后接口进入Discarding状态,不在转发数据。
//根桥保护只能在DES-指定接口配置,触发根桥保护后接口在2个forwarding delay-转发等待时间时间恢复为Forwarding-转发状态。

SW-2

[SW-2]stp priority 8192

[SW-2]int g0/0/24
[SW-2-GigabitEthernet0/0/24]stp edged-port enable 
//开启本接口的边缘接口功能(边缘接口激活后此接口的生成树状态会立刻由discarding状态跳跃至Forwarding)
[SW-2-GigabitEthernet0/0/24]stp bpdu-filter enable
//开启本接口的BPDU过滤功能

[SW-2]stp bpdu-protection
//开启本SW的BPDU保护功能(仅对edge接口有效),边缘接口收到BPDU后会立刻进入err-disabled(错误原因导致的接口关闭)

SW-3

[SW-3]stp bpdu-protection
[SW-3]int g0/0/24
[SW-3-GigabitEthernet0/0/24]stp edged-port  enable 
[SW-3-GigabitEthernet0/0/24]int g0/0/3
[SW-3-GigabitEthernet0/0/3]stp loop-protection 
//开启本接口环路保护功能,出现环路故障后将此接口角色置位为Des-指定接口,状态为Discarding-阻塞状态

SW-4

[SW-4]stp priority 0

四、实验测试

实验测试时开启SW-4

1、Root保护

开启根桥保护功能的接口收到比当前根桥优先级更高的BPDU后会将接口状态调整为Discarding,端口角色维持为指定接口;

观察SW-1的G0/0/24接口生成树信息

[SW-1]dis stp brief
生成树安全_第2张图片

2、BPDU保护

开启BPDU保护功能后,当边缘接口收到任何BPDU会立刻进入err-down状态(可手动或者设置自动恢复)

观察SW-3的G0/0/24接口状态

生成树安全_第3张图片
配置因为触发BPDU保护而导致关闭的接口自动恢复时间为30S(修改范围30–86400S)

[SW-3]error-down auto-recovery  cause bpdu-protection  interval 30
//配置因为触发BPDU保护而导致关闭的接口自动恢复时间为30S(修改范围30--86400S)

生成树安全_第4张图片

3、BPDU过滤

开启BPDU过滤功能后,边缘接口不在发送及接收BPDU;

在SW-2的G0/0/24接口抓包观察是否存在BPDU

[SW-2]dis stp int g0/0/24
生成树安全_第5张图片
生成树安全_第6张图片
抓包
生成树安全_第7张图片
不存在BPDU

4、环路保护

开启环路保护功能后,AP及BP接口在MAX age时间到后收不到对端的BPDU后,虽然会将接口角色更改为DP–指定接口,但接口状态继续停留在Discarding不再上升,当可以正常收到对方BPDU后将接口角色和状态恢复为之前的AP或者BP以及Discarding;

断开Hub-1和Hub2的中间链路,使用dis stp brief不断刷新观察SW-3的接口角色和接口状态

没断开Hub-1和Hub2的中间链路之前

dis stp brief
在这里插入图片描述
断开Hub-1和Hub2的中间链路之后

dis stp brief
在这里插入图片描述
注意:根端口保护和环路保护在同一个接口下不能同时开启;在开启了BPDU过滤的接口最好开启BPDU保护,这样能最大程度避免因为误接导致的瞬时环路。

五、STP保护特性概述

1、BPDU保护

作用:针对开启边缘接口,收到BPDU后立刻err - down接口

2、根保护

作用:开启根保护的接口收到更优的BPDU,接口状态进入discard,接口角色保存在DP

3、TC BPDU保护

作用:在开启TC-BPDU保护的接口设定阀值,在一定时间内只处理阀值内数量的PC- BPDU,超过阀值数量的TC- BPDU

4、环路保护

作用:当备份的BPDu超时后,如果R接口存活时,这些备份接口角色会发生变化,但是状态依然保持discarding,主要是针对于AP接口配置

5、BPDU过滤

作用:在配置边缘接口特性的接口开启BPDU过滤,不再向外发送BPDU


生成树安全_第8张图片

我是艺博东!有人说:“你学什么,会什么,分数很高已经不是那么的重要了;重要的是,你有什么样的胸怀,什么样的视野,什么样的品德,什么样的意志力,还有控制好自己(如情绪等等)。"人文知识很重要;你经历了什么也很重要;人要多经历一些失败,因为真正决定一个人成功程度的是逆商。勇于挑战不可能,做难事必有所得。总的来说一个人能往上走这三点很重要:① 选择;② 执念,贵在坚持;③ 思辨。也欢迎你和我一起讨论,我们下期见。

你可能感兴趣的:(路由交换,生成树)