1 BPDU保護
在STP中,如果網橋連接的終端設備,會將連接該終端設備的端口設置為邊緣端口以實現這些端口的快速遷移。正常情況下,邊緣端口不會收到BPDU,但如果有人偽造BPDU發送給交換機的邊緣端口或意外將邊緣端口連接到運行STP的設備時,系統會自動將邊緣端口設置為非邊緣端口,重新進行生產數的計算,這將引起網絡拓撲的振盪。
解決該網絡拓撲振盪的方案是在邊緣端口啟用BPDU保護,在啟用該種保護之后,當邊緣端口再次收到BPDU報文之后,系統會自動關閉着端口。
命令:
在全局視圖:stp bpdu-protection
邊緣端口視圖:stp edged-port enable
2 根橋保護
由於維護人員的錯誤配置或網絡中的惡意攻擊,網絡中的合法根橋有可能會收到優先級更高的BPDU,這樣當前根橋會失去根橋的地位,引起網絡拓撲結構的變動,從而是鏈路負載分配不合理。
解決根橋變動問題得方案是啟用根橋保護機制,在啟用根橋保護機制之后,端口角色只能保持在指定端口,一旦這種端口上收到優先級更高的BPDU,這些端口的狀態將會被設置為Listerning狀態,不再轉發報文(相當於將此端口相連的鏈路斷開)。
端口經歷從Listerning狀態到Forwarding狀態的轉變,在此期間如果端口沒有收到更優的BPDU時,端口會恢復原來的轉發狀態。
開啟根橋保護命令:
在端口視圖下:stp root-protection
3 環路保護
交換機各端口的STP狀態依靠不斷接收上游交換機發送的BPDU來維護,當因鏈路擁塞或單向鏈路故障,根端口會收不到上游的BPDU,此時下游交換機會重新選擇根端口,原來的根端口經過計算之后變為指定端口,而原來的阻塞端口重新計算之后變為根端口而遷移到轉發狀態,從而使得交換機網絡中會產生環路。
解決這個產生環路的方案就是啟用環路保護機制,在啟用環路保護機制之后,當端口保存的BPDU老化之后,環路保護生效。根端口的角色如果發生變化就會變為Discardign狀態,不再發送報文,從而不會在網絡中形成環路。Discarding會一直維持,直到端口再次收到BPDU,重新成為根端口。
在MSTP中,此功能對根端口、Alternate端口和Backup端口有效。
啟用命令:
在端口視圖:stp loop-protection
注:不能再端口上同時啟用 環路保護、根橋保護、邊緣端口 中的任意兩種。
4 TC保護
當交換機在接受到TC-BPDU報文后,會執行MAC地址表項和ARP表項的刪除操作(ARP表項是通過MAC地址的刪除而更新的,不是直接刪除)。在有人偽造TC-BPDU報文惡意攻擊交換機時,交換機短時間內會收到很多的TC-BPDU報文,頻繁的刪除操作會給交換機帶來很大的負擔,給網絡的穩定帶來很大隱患。
解決這個發送惡意TC-BPDU的方案是啟用TC保護機制,TC保護功能使能后,設備再收到TC-BDPU報文的10s內,允許收到的TC-BPDU報文后立即進行地質表項的刪除,操作的次數可以由用戶控制(次數限制為X)。同時系統會監控在該時間段內收到的TC-BPDU報文數是否大於X,如果大於X。則設備再該時間超時后再進行一次地址表項刪除操作,這樣可以避免頻繁地刪除轉發地址表項。
TC保護使能命令:
在全局視圖下:stp tc-protection enable
在全局視圖下:stp tc-protection threshold X (默認為6次)