生成树安全
做难事,必有所得。
文章目录
- 一、生成树的保护特性集合
- 二、拓扑
- 三、基础配置
- 四、实验测试
- 五、STP保护特性概述
一、生成树的保护特性集合
① Root保护
② BPDU保护
③ 环路保护
④ TC-BPDU保护
⑤ BPDU过滤
1、root-protection----Root保护
1.1 特性
启用Root保护功能的指定端口,器端口角色只能保持为指定接口;一旦处于Roott保护功能的接口收到优先级更高的BPDU,端口角色不会发生变化,端口状态将进入Discarding状态,不再任何报文(包括BPDU在内的任何数据)。如果在一段时间(通常为两倍的Forward Delay)内,如果端口没有再收到优先级更高的BPDU,端口角色不会发生变化,端口状态会自动恢复到Forwarding。
1.2 作用
避免指定根桥的位置的易位—导致网络(转发链路的)拓扑发生变化,造成的次优路径及网络中断。避免BPDU攻击(BPDU攻击会导致根桥发生变化而影响全网拓扑变更导致的网络中断)
1.3 恢复
通常为两倍的Forward Delay)内,如果端口没有再收到优先级更高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
注意:
根保护功能仅在指定端口上生效;
环路保护功能和根保护功能不能同时配置在同一端口。
2、bpdu-protection----BPDU保护
2.1 特性
对edge-port 开启BPDU保护,此类型的接口收到BPDU后会立刻进入err-disabled(错误原因导致的接口关闭),等同于shutdown,不再转发数据。当接口err-disabled或者重新恢复后接口的edge-port特性不会丢失,继续生效。
2.2 作用
避免错接导致的环路和BPDU攻击(BPDU攻击会导致根桥发生变化而影响全网拓扑变更导致的网络中断)
2.3 恢复
(1)手动shutdown后再undoshutdown处于错误关闭的接口,重新激活此接口。
(2)配置自动恢复时间,当借口进入错误关闭后进入倒计时状态,倒计时完成后会自动恢复接口状态
注意:
自动恢复只对在没有err-disabled接口之前配置自动恢复功能的接口有效。
3、loop-protection----环路保护
3.1 特性
(1)生成树依靠定时接收上游SW(根桥方向)来判断当前链路是否需要被激活(RP接口在超时内收到BPDU不会失去端口角色与端口状态)或者阻塞(AP和BP在超时内接收BPDU来保持端口角色与阻塞状态)。
(2)当运行生成树的SW因为链路故障(光纤单链路故障,聚合链路单物理成员故障)或者SW系统软件故障及转发链路的阻塞导致阻塞链路接收不到上游SW的BPDU,因为错误判断当前环境不存在环路;备份的阻塞链路被错误激活而生成的环路的防护措施
3.1.1 SW判断环路故障的依据
启动了环路保护功能后,如果RP–根端口或Alternate–替代端口长时间(默认为标准MAX-Age时间20S,RSTP和MSTP是在3个BPDU发送时间)收不到来自上游设备的BPDU报文。
3.2 作用
配置环路保护的接口当SW判断出现环路故障后接口角色切换为Des–指定端口,接口状态会处于Discarding-阻塞状态不转发报文环路保护主要为了阻止在单向链路故障中AP或者BP进入转发状态,所以此配置在AP及BP上部署。
3.3 恢复
SW判断网络内为环路故障后自动恢复接口角色和接口状态。
注意:
配置Root保护的接口不能再配置环路保护功能。
4、TC-BPDU保护
4.1 特性
配置TC-BPDU的保护,避免因为网络某些链路的震荡(频繁up/down)和网络攻击发送TC-BPDU导致本SW的MAC地址表频繁重置(依据RSTP/MSTP特性,SW收到TC-BPDU会重置响应的MAC表和ARP表项,MAC表重置会导致此时间针对目的地址的泛洪,增加SW的转发压力和网络的不稳定性)
4.2 作用
配置TC-BPDU后本SW的接口在规定时间内收到的TC-BPDU超过定义的阀值后,对于其他超出阈值的拓扑变化报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。
5、bpdu-filter----BPDU过滤
5.1 作用
配合边缘端口的BPDU报文过滤功能,使边缘端口不处理、不发送BPDU报文。
注意:
(1)在全局模式下配置边缘端口和BPDU报文过滤功能后,设备上所有的端口不会主动发送BPDU报文,且均不会主动与对端设备直连端口协商,所有端口均处于转发状态。这将可能导致网络成环,引起广播风暴,请用户慎用。
(2)在接口模式下配置边缘端口和BPDU报文过滤功能后,端口将不处理、不发送BPDU报文。该端口将无法成功与对端设备直连端口协商STP协议状态,请慎用。
二、拓扑
三、基础配置
SW-1
[SW-1]stp priority 4096
[SW-1]int g0/0/24
[SW-1-GigabitEthernet0/0/24]stp root-protection
//开启本接口的root-根桥保护功能,此接口收到桥ID信息高于本SW的BPDU后接口进入Discarding状态,不在转发数据。
//根桥保护只能在DES-指定接口配置,触发根桥保护后接口在2个forwarding delay-转发等待时间时间恢复为Forwarding-转发状态。
SW-2
[SW-2]stp priority 8192
[SW-2]int g0/0/24
[SW-2-GigabitEthernet0/0/24]stp edged-port enable
//开启本接口的边缘接口功能(边缘接口激活后此接口的生成树状态会立刻由discarding状态跳跃至Forwarding)
[SW-2-GigabitEthernet0/0/24]stp bpdu-filter enable
//开启本接口的BPDU过滤功能
[SW-2]stp bpdu-protection
//开启本SW的BPDU保护功能(仅对edge接口有效),边缘接口收到BPDU后会立刻进入err-disabled(错误原因导致的接口关闭)
SW-3
[SW-3]stp bpdu-protection
[SW-3]int g0/0/24
[SW-3-GigabitEthernet0/0/24]stp edged-port enable
[SW-3-GigabitEthernet0/0/24]int g0/0/3
[SW-3-GigabitEthernet0/0/3]stp loop-protection
//开启本接口环路保护功能,出现环路故障后将此接口角色置位为Des-指定接口,状态为Discarding-阻塞状态
SW-4
[SW-4]stp priority 0
四、实验测试
实验测试时开启SW-4
1、Root保护
开启根桥保护功能的接口收到比当前根桥优先级更高的BPDU后会将接口状态调整为Discarding,端口角色维持为指定接口;
观察SW-1的G0/0/24接口生成树信息
[SW-1]dis stp brief
2、BPDU保护
开启BPDU保护功能后,当边缘接口收到任何BPDU会立刻进入err-down状态(可手动或者设置自动恢复)
观察SW-3的G0/0/24接口状态
配置因为触发BPDU保护而导致关闭的接口自动恢复时间为30S(修改范围30–86400S)
[SW-3]error-down auto-recovery cause bpdu-protection interval 30
//配置因为触发BPDU保护而导致关闭的接口自动恢复时间为30S(修改范围30--86400S)
3、BPDU过滤
开启BPDU过滤功能后,边缘接口不在发送及接收BPDU;
在SW-2的G0/0/24接口抓包观察是否存在BPDU
[SW-2]dis stp int g0/0/24
抓包
不存在BPDU
4、环路保护
开启环路保护功能后,AP及BP接口在MAX age时间到后收不到对端的BPDU后,虽然会将接口角色更改为DP–指定接口,但接口状态继续停留在Discarding不再上升,当可以正常收到对方BPDU后将接口角色和状态恢复为之前的AP或者BP以及Discarding;
断开Hub-1和Hub2的中间链路,使用dis stp brief不断刷新观察SW-3的接口角色和接口状态
没断开Hub-1和Hub2的中间链路之前
dis stp brief
断开Hub-1和Hub2的中间链路之后
dis stp brief
注意:根端口保护和环路保护在同一个接口下不能同时开启;在开启了BPDU过滤的接口最好开启BPDU保护,这样能最大程度避免因为误接导致的瞬时环路。
五、STP保护特性概述
1、BPDU保护
作用:针对开启边缘接口,收到BPDU后立刻err - down接口
2、根保护
作用:开启根保护的接口收到更优的BPDU,接口状态进入discard,接口角色保存在DP
3、TC BPDU保护
作用:在开启TC-BPDU保护的接口设定阀值,在一定时间内只处理阀值内数量的PC- BPDU,超过阀值数量的TC- BPDU
4、环路保护
作用:当备份的BPDu超时后,如果R接口存活时,这些备份接口角色会发生变化,但是状态依然保持discarding,主要是针对于AP接口配置
5、BPDU过滤
作用:在配置边缘接口特性的接口开启BPDU过滤,不再向外发送BPDU
我是艺博东!有人说:“你学什么,会什么,分数很高已经不是那么的重要了;重要的是,你有什么样的胸怀,什么样的视野,什么样的品德,什么样的意志力,还有控制好自己(如情绪等等)。"人文知识很重要;你经历了什么也很重要;人要多经历一些失败,因为真正决定一个人成功程度的是逆商。勇于挑战不可能,做难事必有所得。总的来说一个人能往上走这三点很重要:① 选择;② 执念,贵在坚持;③ 思辨。也欢迎你和我一起讨论,我们下期见。