1、STP保护机制,构建H3C高性能园区网络 1.0,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,实际应用中,STP需要配合一些保护机制提升网络的可靠性,引入,了解STP包含哪些保护机制掌握各种保护机制的原理及配置,课程目标,学习完本课程,您应该能够:,BPDU保护根桥保护环路保护TC保护,目录,边缘端口受到攻击,如果一个边缘端口接收到配置消息,将从边缘端口转换成非边缘端口,从而导致生成树重新计算,Edge Port,BPDU,BPDU保护机制,启动了BPDU保护功能后,如果边缘端口收到了配置消息,MSTP就将这些端口关闭,BPDU,Edge Port,配置BPDU保护,E1/0/
2、1,SWA stp bpdu-protectionSWA-Ethernet1/0/1 stp edged-port enable,BPDU保护命令,H3C stp bpdu-protection,SWA,BPDU保护根桥保护环路保护TC保护,目录,根桥的错误切换,合法根桥收到优先级更高的配置消息,失去根桥的地位,引起网络拓扑结构的变动。,BPDU,SWABID=4096.MAC A,根桥,SWBBID=0.MAC B,新根端口,SWC,E1/0/1,根桥保护机制,对于设置了根保护功能的端口,一旦该端口收到某实例优先级更高的配置消息,立即将该实例端口设置为侦听状态,不再转发报文,BPDU,SWA
3、BID=4096.MAC A,根桥,SWBBID=0.MAC B,端口状态转为Listening,SWC,E1/0/1,配置根桥保护,SWC-Ethernet1/0/1 stp root-protection,根桥保护命令,H3C-Ethernet1/0/1 stp root-protection,BPDU,SWABID=4096.MAC A,根桥,SWBBID=0.MAC B,SWC,E1/0/1,BPDU保护根桥保护环路保护TC保护,目录,环路的产生,由于链路拥塞或者单向链路故障,端口会收不到上游设备的BPDU报文,此时下游设备重新选择端口角色,会导致环路的产生,网络拥塞导致BPDU丢失,
4、光纤链路单通,RP,AP,Root,RP,AP,Root,BPDU,SWA,SWB,SWC,SWA,SWB,SWC,环路保护机制,配置了环路保护的端口,当接收不到上游设备发送的BPDU报文时,环路保护生效。如果该端口参与了STP计算,则不论其角色如何,该端口在所有实例都将处于Discarding状态,配置环路保护,环路保护命令,Root,H3C-Ethernet1/0/1 stp loop-protection,E1/0/2,E1/0/1,H3C-Ethernet1/0/1 stp loop-protection,H3C-Ethernet1/0/2 stp loop-protection,SW
5、A,SWB,SWC,BPDU保护根桥保护环路保护TC保护,目录,TC攻击,在有伪造的TC-BPDU报文恶意攻击设备时,设备短时间内会收到很多的TC-BPDU报文,频繁的删除操作给设备带来很大负担,给网络的稳定带来很大隐患。,TC-BPDU,TC保护机制,设置设备在收到TC-BPDU报文后的10秒内,进行地址表项删除操作的最多次数监控在该时间段内收到的TC-BPDU报文数是否大于门限值。,配置TC保护,使能防止TC-BPDU报文攻击的保护功能 配置门限值,H3C stp tc-protection enable,H3C stp tc-protection threshold number,介绍了BPDU保护机制及配置介绍了根桥保护机制及配置介绍了环路保护机制及配置介绍了TC保护机制及配置,本章总结,
