STP中的保护机制

2.16   配置交换机的保护功能
支持MSTP的交换机提供BPDU保护功能、Root保护功能、环路保护功能和防止TC-BPDU报文攻击的保护功能。

1. BPDU保护功能
对于接入层设备，接入端口一般直接与用户终端（如PC机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接收到配置消息（BPDU报文）时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。
当端口被配置为边缘
端口或非边缘端口时，该端口在所有生成树实例上都被设置为边缘端口或非边缘端
口。
如果交换机使能了BPDU 保护，当被设置为边缘端口收到来自用户的BPDU 报文，
则该边缘端口会被关闭，仅有网络管理员能将它重新打开。
缺省情况下，交换机所有以太网端口均被配置为非边缘端口。

2. Root保护功能
生成树的根桥及备份交换机应该处于同一个域内，特别是对于CIST的根桥和备份交换机，由于网络设计时一般会把CIST的根桥和备份交换机放在一个高带宽的核心域内。但是由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。Root保护功能可以防止这种情况的发生。

3. 环路保护功能
依靠不断接收上游交换机发送的BPDU，交换机可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障，这些端口会收不到上游交换机的BPDU。此时下游交换机会重新选择端口角色，收不到BPDU的下游桥端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。

&   说明：

对于配置了环路保护的端口，当接收不到上游交换机发送的BPDU，环路保护生效时，如果该端口参与了STP计算，则不论其角色如何， 该端口上的所有实例将一直被设置为Discarding状态。

4. 防止TC-BPDU报文攻击的保护功能
交换机在接收到TC-BPDU报文后，会执行MAC地址表项和ARP表项的删除操作。在有人伪造TC-BPDU报文恶意攻击交换机时，交换机短时间内会收到很多的TC-BPDU报文，频繁的删除操作给交换机带来很大负担，给网络的稳定带来很大隐患。

防止TC-BPDU报文攻击的保护功能使能后，交换机在收到TC-BPDU报文后的一定时间内（一般为15秒），只进行一次删除操作，同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文，则交换机在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。