交换机生成树安全特性解析


交换机生成树安全特性解析

文章插图
 
SW1配置
[SW1]stp priority 4096
[SW1-GigabitEthernet0/0/24]stp root-protection
SW2配置
[SW2]stp priority 8192
[SW2-GigabitEthernet0/0/24]stp edged-port enable
[SW2-GigabitEthernet0/0/24]stp bpdu-filter enable
SW3配置
[SW3]stp bpdu-protection
[SW3-GigabitEthernet0/0/24]stp edged-port enable
[SW3-GigabitEthernet0/0/3]stp loop-protection
[SW3]error-down auto-recovery cause bpdu-protection interval 30
 
二---实验测试------------------实验测试时开启SW-41---Root保护
开启根桥保护功能的接口收到比当前根桥优先级更高的BPDU后会将接口状态调整为Discarding , 端口角色维持为指定接口---观察SW-1的G0/0/24接口生成树信息
 
SW4没有启动前查看SW1的生成树信息,G0/0/24端口角色为DP,状态forwarding,开启了根保护.
交换机生成树安全特性解析

文章插图
 
SW4开启后端口角色DP,但是状态变成discarding.
交换机生成树安全特性解析

文章插图
 
 
2---BPDU保护
开启BPDU保护功能后 , 当边缘接口收到任何BPDU会立刻进入err-down状态(可手动或者设置自动恢复)-------------------观察SW-3的G0/0/24接口状态
BUDU保护功能主要是为了保护边缘端口,如果一个没有开启保护的边缘端口收到BPDU后会失去边缘端口特性,重新开始STP计算.开启BPDU保护后端口收到BPDU后会立即shutdown,然后产生日志信息.端口再次UP后依然还是边缘端口.
 
SW4没开启前,接口角色DP,状态forwarding,并且开启了BPDU保护.
交换机生成树安全特性解析

文章插图
 
SW4开启后链路shutdown,由于配置了[SW3]error-down auto-recovery cause bpdu-protection interval 30 BPDU保护shutdown链路自动恢复,关闭R4后30S后链路状态自动恢复.
交换机生成树安全特性解析

文章插图
 
3---BPDU过滤
开启BPDU过滤功能后 , 边缘接口不在发送及接收BPDU---------------------------------------------------------------在SW-2的G0/0/24接口抓包观察是否存在BPDU
开启BPDU过滤的接口不在收到发出BPDU,最好配合BPDU保护使用.
 
交换机生成树安全特性解析

文章插图
 
 
4---环路保护
开启环路保护功能后 , AP及BP接口在MAX age时间到后收不到对端的BPDU后 , 虽然会将接口角色更改为DP--指定接口 , 但接口状态继续停留在Discarding不再上升
【交换机生成树安全特性解析】 
当可以正常收到对方BPDU后将接口角色和状态恢复为之前的AP或者BP以及Discarding------------------------------------断开图示Hub-1和Hub2的中间链路 , 
没断开图示Hub-1和Hub2的中间链路时
交换机生成树安全特性解析

文章插图
 
断开图示Hub-1和Hub2的中间链路,等待20秒的BPDU老化时间后,如果不开启环路保护,接口接口角色变成DP,状态forwarding.开启保护后角色虽然变成DP,但是状态却停留在forwarding.
交换机生成树安全特性解析

文章插图
 
5---TC-BPDU保护
交换设备RSTP和MSTP时收到TC-BPDU会清空mac地址表,如果短时间内收到多个TC-BPDU,交换机就会不停的清空Mac地址表,数据大量泛洪,增加网络造成负担和不稳定性.一般在核心或者边界网络设备上开启TC保护.




    推荐阅读