生成树的保护机制
目录
BPDU保护
根桥保护
环路保护
TC保护
对于STP、RSTP、MSTP都具有效用。防止已经计算好的生成树被多次重新计算,浪费链路资源。
BPDU保护
也叫做边缘端口的保护。
背景:如果一个边缘端口收到了配置BPDU,将从边缘端口转换为非边缘端口,从而导致生成树重新计算。使用PC伪造的BPDU报文恶意攻击,将导致频繁参与生成树计算,导致网络不稳定。
方案:启动BPDU保护功能,如果边缘端口收到了配置消息,MSTP就将这些端口自动关闭。
根桥保护
背景:合法根桥收到优先级更高的BPDU,将失去根桥的角色,并重新引起STP计算。
方案:设置根桥保护端口,一旦收到优先级更高的BPDU,则立刻将端口设置为lestening状态,不再转发优先级更高的BPDU。
环路保护
背景:环形链路拥塞,导致没及时收到BPDU,从而重新计算STP。开启阻塞端口后,会形成逻辑环路。
方案:配置环路保护端口,当接受不到对端交换机的BPDU时,若端口参与了STP计算,则该端口进入discarding状态。
TC保护
背景:在有伪造的TC BPDU报文恶意攻击设备时,设备短时间会收到很多TC BPDU报文,频繁的删除操作会给设备带来很大负担,给网络的稳定带来很大隐患。
方案:设置设备在收到TC BPDU报文后的10秒内,记录地址表项删除操作的最大次数。监控在该时间内收到的TC BPDU报文树是否大于门限值。