我們知道RSTP優化了STP收斂速度,同時也加入了邊緣端口的機制,但是如果有人惡意使用stp特有的屬性發起攻擊,對于STP網絡來說它也會造成網絡不穩定;為了更好的保證RSTP協定在網絡不穩定情況下,盡可能的保證流量的正常轉發,在标準協定中新增了4中保護功能;
前文我們了解了RSTP相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/16240348.html;今天我們來聊一聊RSTP保護相關話題;
我們知道RSTP優化了STP收斂速度,同時也加入了邊緣端口的機制,但是如果有人惡意使用stp特有的屬性發起攻擊,對于STP網絡來說它也會造成網絡不穩定;為了更好的保證RSTP協定在網絡不穩定情況下,盡可能的保證流量的正常轉發,在标準協定中新增了4中保護功能;
1、BPDU保護
提示:我們知道邊緣端口的屬性就是不參與stp計算,但是它一旦收到了BPDU,該屬性也就失效;邊緣端口正常情況下是不可能收到BPDU封包的,如果說邊緣端口收到BPDU,說明要麼是我們鍊鋸接線有問題,要麼是有人惡意攻擊我們;如果我們沒有開啟邊緣端口BPDU保護,對應邊緣端口參與STP計算就會造成網絡的震蕩不穩定;
提示:所謂BPDU保護就是針對邊緣端口的,開啟了邊緣端口的BPDU保護,對應邊緣端口一旦收到BPDU封包後,會立即把該端口shutdown;進而實作保護現有的stp網絡不受邊緣端口的影響而造成網絡震蕩;
實驗:如下拓撲,配置RSTP
sw1的配置
sys
sys sw1
stp mode rstp
stp priority 4096 View Code
sw2的配置
sys
sys sw2
stp mode rstp
int g0/0/3
stp edged-port en View Code
sw3的配置
sys
sys sw3
stp mode rstp
stp priority 8192 View Code
驗證rstp個端口角色和狀态
提示:可以看到現在三個交換機RSTP的角色和狀态都符合我們的拓撲;
插拔邊緣端口,看看對應是否會對stp網絡造成影響?
提示:可以看到現在模拟插拔邊緣端口,并不會對stp網絡造成影響,因為邊緣端口不參與stp計算;
向邊緣端口發送bpdu,看看對應端口是否會對stp網絡造成影響呢?
提示:我們使用sw4來發送bpdu,看看對應邊緣端口收到bpdu後,是否會參與stp計算?
提示:感覺開機配置SW4以後,對應沒有發生什麼變化;我們把sw4配置成root看看對應會發生變化嗎?
提示:可以看到現在我們插拔邊緣接口,對應stp網絡就會發生震蕩;這說明 邊緣接口收到BPUD後會參與計算;
開啟邊緣接口BPDU保護
驗證:現在打開sw4的g0/0/1,看看對應鍊路是否會自動shutdown呢?
提示:可以看到當我們把sw4的端口打開以後,對應sw2連接配接hub的鍊路就會down,這是sw2上開啟了bpdu保護,對應邊緣端口收到bpdu後,會立即将對應邊緣端口軟down;
關閉sw4的1口,看看對應sw2的邊緣接口會不會自動up起來呢?
提示:可以看到對應關閉了Sw4的1口,對應sw2的邊緣接口并沒有up起來;這是因為預設我們沒有配置error-down自動恢複;
配置error-down自動恢複時間為30秒
提示:系統預設error-down自動恢複時間範圍是30-86400秒;
檢視error-down自動恢複
提示:可以看到配置了error-down自動恢複時間,并開啟了sw4接口後,對應sw2的邊緣接口在30秒鐘後啟動一次邊緣接口,如果邊緣接口再次收到bpdu封包,對應又會産生error-down,對應端口又會shutdown,是以我們可以看到當error-down倒計時完了以後,對應鍊路會啟動馬上又斷掉;
2、根保護
提示:我們知道如果在一個穩定的stp拓撲中加入一台交換機,并開啟stp,對應拓撲就會發生變化,進而導緻stp網絡震蕩;根對于stp來說尤其重要,所有跨交換機的通路流量都會經由根,如果有人惡意冒充stp的根不但對stp網絡會造成震蕩、次優路徑,同時資訊安全也得不到保障,為此RSTP協定中加入了根保護機制;
提示:所謂根保護機制是指配置了根保護的接口,如果收到更優的RST BPDU,對應端口會進入阻塞狀态,不再轉發封包;如果一段時間内該端口沒有收到更優的RST BPDU,對應端口又會恢複到正常轉發狀态;
實驗:還是以上拓撲,我們在sw2的g0/0/3口配置根保護
提示:邊緣接口不能配置根保護;
删除sw2的邊緣接口屬性
驗證:開啟sw4的g0/0/1口,發送更有的RST BPDU,看看對應端口是否會阻塞?
提示:可以看到但我們把sw4口up起來後,對應sw2的3口就從轉發變成了阻塞;這是因為sw2的3口配置了根保護,它收到更優的RST BPDU後,對應會觸發根保護機制,将轉發狀态變成阻塞狀态,不再轉發資料,進而實作保護現有stp網絡;
關閉sw4的g0/0/1口,看看對應sw2的g0/0/3口是否會自動将狀态恢複成轉發狀态呢?
提示:可以看到當把sw4的g0/0/1口shutdown以後,對應sw2的g0/0/3口會等待一段時間,确定沒有收到更優的RST BPDU以後,對應端口又會參與到stp計算中;這裡需要注意,指定端口從阻塞狀态轉變為forwarding狀态,會經由learning狀态,而不是直接轉變成forwarding狀态;
3、環路保護
提示:所謂環路保護是指由于鍊路擁塞導緻BPDU丢失,為了避免因鍊路擁塞導緻stp拓撲發生變化,進而引起stp網絡震蕩;設定環路保護的端口當收不到上遊交換機發送的BPDU封包時,環路保護機制就會生效;如果該端口參與了stp計算,則不論其角色如何,該端口在所有執行個體都處于discarding狀态;
配置環路保護的指令
提示:環路保護和根保護是互斥的,配置了根保護的端口不能再配置環路保護;環路保護和根保護都是在對應端口模式下開啟;開啟了環路保護的端口,在檢視端口狀态的後面會有一個保護機制從none變為loop;
4、TC保護
提示:我們知道隻要往STP拓撲上接入交換機并開啟stp,對應stp網絡都會發生拓撲變化進而引起網絡震蕩;拓撲變化對應交換機就會發送tc,大量的TC封包會導緻整個網絡的交換機頻繁删除mac位址表項,進而給交換機和鍊路帶來隐患;為了防止過多的TC封包影響網絡穩定,RSTP協定中增加了tc保護;
提示:所謂TC保護是指我們配置交換機在機關時間内處理機關數量的TC封包,如果超出配置機關時間處理的tc封包個數,對應交換機就處理TC封包;
配置TC保護
1、全局開啟TC保護
2、配置機關時間(處理頻率),預設是2秒
stp tc-protection interval 10,這個指令在華為的模拟器上沒有,但真機有的機型是有的
3、配置閥值(要處理的tc封包數量)預設是1個
總結:各保護機制和應用的端口和作用
RSTP保護推薦方案
提示:在主根橋和備用根橋上開啟根保護,在接入終端的交換機上開啟邊緣端口和BPDU保護,環路保護在交換機與交換機相連的根端口或備份端口上開啟;
作者:Linux-1874
出處:https://www.cnblogs.com/qiuhom-1874/
本文版權歸作者和部落格園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接配接,否則保留追究法律責任的權利.