RSTP保护功能详解
BPDU保护边缘端口在收到BPDU以后端口状态将变为非边缘端口,此时就会造成生成树的重新计算,如果攻击者伪造配置消息恶意攻击路由器,就会引起网络震荡。
路由器上启动了BPDU保护功能后,如果边缘端口收到RST BPDU,边缘端口将被Shutdown,但是边缘端口属性不变,同时通知网管系统。
TC保护
路由器在接收到拓扑变化报文后,会执行MAC地址表项和ARP表项的删除操作,如果频繁操作则会对CPU的冲击很大。
启用防TC-BPDU报文攻击功能后,在单位时间内,路由器处理拓扑变化报文的次数可配置。如果在单位时间内,路由器在收到拓扑变化报文数量大于配置的阈值,那么设备只会处理阈值指定的次数。对于其他超出阈值的拓扑变化报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。
根保护
由于维护人员的错误配置或网络中的恶意攻击,根桥收到优先级更高的BPDU,会失去根桥的地位,重新进行生成树的计算,并且由于拓扑结构的变化,可能造成高速流量迁移到低速链路上,引起网络拥塞。
对于启用根保护功能的指定端口,其端口角色只能保持为指定端口。一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
路保护
当出现链路拥塞或者单向链路故障,根端口和Alternate端口会老化。根端口老化,会导致系统重新选择根端口(而这有可能是错误的),Alternate端口老化,将迁移到Forwarding状态,这样会产生环路。
在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游的RST BPDU时,则向网管发出通知信息(如果是根端口则进入Discarding状态)。而阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路。直到根端口收到RST BPDU,端口状态才恢复正常到Forwarding状态。
异常报文过滤
在运行STP/RSTP/MSTP协议的网络中,由于维护人员的错误配置或网络中的恶意攻击,设备可能会收到非预期的STP/RSTP/MSTP报文,这种非预期的报文在网络中透传可能会影响生成树计算,引起网络震荡。
启用异常报文过滤功能后,设备会根据指定的源MAC地址处理相应的协议报文或根据指定的VLAN ID值丢弃相应的协议报文。这样可以避免非预期的报文在网络中透传,从而防止网络震荡。
配置路由器的BPDU保护功能
路由器上启动BPDU(Bridge Protocol Data Unit)保护功能后,如果边缘端口收到BPDU,路由器将关闭这些端口,同时通知网管系统。
背景信息
边缘端口直接和用户终端相连,正常情况下,边缘端口不会收到BPDU报文。如果攻击者伪造BPDU恶意攻击路由器,当边缘端口接收到BPDU报文时,路由器会自动将边缘端口设置为非边缘端口,并重新进行生成树计算,从而引起网络震荡。通过使能BPDU保护可以防止伪造BPDU恶意攻击。
说明:
请在有边缘端口的路由器上进行以下配置。
操作步骤
执行命令system-view,进入系统视图。
执行命令stp bpdu-protection,配置路由器边缘端口的BPDU保护功能。
执行命令commit,提交配置。
后续处理
如果用户希望被Shutdown的边缘端口可自动恢复,可通过配置使能端口自动恢复功能,并设置延迟时间,即在系统视图下执行命令error-down auto-recovery cause cause-item interval interval-value,使能接口管理状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间使被关闭的端口经过延时时间后能够自动恢复。对于参数interval interval-value,取值范围是30~86400,单位是秒,配置时需要注意:
此命令的恢复时间没有缺省值,当用户配置该命令时,必须指定恢复延迟时间。
取值越小表示接口的管理状态自动恢复为Up的延迟时间越短,接口Up/Down状态震荡频率越高。
取值越大表示接口的管理状态自动恢复为Up的延迟时间越长,接口流量中断时间越长。
配置路由器的TC保护功能
启用TC(Topology Change)保护功能后,在指定时间内,路由器处理TC类型BPDU(Bridge Protocol Data Unit)报文的次数可配置,以避免频繁的删除MAC地址表项和ARP表项,从而达到保护路由器的目的。
背景信息
如果攻击者伪造拓扑变化BPDU报文恶意攻击路由器,路由器短时间内会收到很多拓扑变化BPDU报文,频繁的删除操作会给设备造成很大的负担,也给网络的稳定带来很大隐患。
启用TC保护功能后,在指定时间内,路由器处理拓扑变化报文的次数可配置。如果在指定时间内,路由器收到拓扑变化报文的数量大于配置的最大数量,那么设备只会处理指定的报文个数。对于其他超出最大数量的拓扑变化报文,指定时间超时后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。
操作步骤
执行命令system-view,进入系统视图。
执行命令stp tc-protection,使能路由器对TC类型BPDU报文的保护功能。
配置TC保护功能的参数,请选择执行其中一个或多个:
执行命令stp tc-protection interval interval-value,配置设备处理最大数量的拓扑变化报文所需的时间。
执行命令stp tc-protection threshold threshold,配置设备在设定时间内处理拓扑变化报文的最大数量。
说明:
TC保护功能的参数有两个:处理拓扑变化报文的时间和最大数量,即在设定的某段时间内能处理的最大数量的BPDU报文,例如,时间设定为10秒,最大数量设定为5,则设备收到拓扑变化报文后,在10秒内只会处理最开始收到的5个拓扑变化报文,对于后面收到的报文则会等10秒超时后再统一处理。
在stp tc-protection interval指定的时间内,设备只会处理stp tc-protection threshold指定的数量的拓扑变化报文,对于其他的报文会延迟处理,所以可能会影响生成树的收敛速度。
执行命令commit,提交配置。
配置端口的根保护功能
在路由器上配置根保护功能,通过维持指定端口的角色来保护根路由器的地位。
背景信息
由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根路由器有可能会收到优先级更高的BPDU(Bridge Protocol Data Unit)报文,使得合法根路由器失去根路由器的地位,引起网络拓扑结构的错误变动。这种不合法的拓扑变化,可能会导致原来应该通过高速链路的流量被牵引到低速链路上,造成网络拥塞。为了防止这种情况发生,可在路由器上部署根保护功能,通过维持指定端口的角色来保护根路由器的地位。
说明:
根保护是指定端口上的特性。当端口的角色是指定端口时,配置的根保护功能才生效。若在其他类型的端口上配置根保护功能,根保护功能不会生效。
请在根路由器上进行以下配置。
操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入参与生成树协议计算的以太接口视图。
说明:
以下操作任务既支持在二层接口也支持在三层接口上配置。
执行命令stp root-protection,配置路由器的根保护功能。
执行命令commit,提交配置。
配置端口的环路保护功能
环路保护功能会抑制由于链路拥塞等原因产生的环路。
背景信息
在运行RSTP(Rapid Spanning Tree Protocol)协议的网络中,根端口和其他阻塞端口状态是依靠不断接收来自上游路由器的BPDU(Bridge Protocol Data Unit)维持。当由于链路拥塞或者单向链路故障导致这些端口收不到来自上游路由器的BPDU时,路由器会重新选择根端口。原先的根端口会转变为指定端口,而原先的阻塞端口会迁移到转发状态,从而造成交换网络中可能产生环路。为了防止以上情况发生,可部署环路保护功能。
在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游的BPDU时,则向网管发出通知信息(如果是根端口则进入Discarding状态)。而阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路。直到根端口收到BPDU,端口状态才恢复正常为Forwarding状态。
说明:
由于Alternate端口是根端口的备份端口,如果路由器上有Alternate端口,需要在根端口和Alternate端口上同时配置环路保护。
在路由器的根端口和Alternate端口上进行以下的配置。
操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入根端口或Alternate端口的接口视图。
说明:
以下操作任务既支持在二层接口也支持在三层接口上配置。
执行命令stp loop-protection,配置路由器根端口或Alternate端口的环路保护功能。
执行命令commit,提交配置。
配置异常报文过滤功能
在路由器上配置异常报文过滤功能,通过配置可通过或丢弃报文来过滤非预期的报文。
背景信息
在运行STP/RSTP/MSTP协议的网络中,当维护人员配置错误或网络受到恶意攻击时,设备可能会收到非预期的STP/RSTP/MSTP报文,这种非预期的报文在网络中透传可能会影响生成树计算,引起网络震荡。为了防止以上情况的发生,可部署异常报文过滤功能。
操作步骤
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入参与生成树协议计算的接口视图,或执行命令pw pw-name,进入VSI-LDP-PW视图。
说明:
以下操作任务既支持在二层接口也支持在三层接口上配置。
配置异常报文过滤功能,请选择执行其中一个或多个:
执行命令stp permit packet source-mac source-mac source-mac-mask,使能处理指定源MAC地址的STP/RSTP/MSTP协议报文。
执行命令stp deny packet { vlan vlan-id1 [ to vlan-id2 ] } &<1-10>,使能丢弃指定VLAN的STP/RSTP/MSTP协议报文功能。
说明:
此操作步骤若配置错误,可能会导致广播风暴。
同一接口视图或VSI-LDP-PW视图下,若同时配置了以上两条命令,设备优先执行stp deny packet { vlan vlan-id1 [ to vlan-id2 ] } &<1-10>命令。
同一接口视图或VSI-LDP-PW视图下最多支持配置16个指定的源MAC地址或VLAN ID值。
执行命令commit,提交配置。
检查配置结果
完成RSTP(Rapid Spanning Tree Protocol)保护功能配置后,通过检查配置结果可以查看是否生效。
前提条件
已经完成RSTP保护功能的所有配置。
操作步骤
使用命令display stp [ interface interface-type interface-number ] [ brief ],查看生成树的状态信息,包括是否使能路由器的BPDU(Bridge Protocol Data Unit)保护功能、其他保护类型等信息。
华为认证,值得拥有!{:6_269:}{:6_267:}{:6_268:}
页:
[1]