2.13.0 以太网 STP、RSTP、MSTP配置、生成树安全保障操作
主要参考:华为S2750, S5700, S6700 V200R005(C00&C01&C02&C03) 产品文档 《命令手册》
MSTP快速生成树
- STP配置
- RSTP配置
- MSTP配置
- 生成树的安全保障操作
- (1)根桥保护
- (2)边缘端口&BPDU保护&BPDU过滤
- 1、配置边缘端口的原因
- 2、边缘端口的作用
- 3、BPDU保护(全局)
- 4、BPDU过滤
- (3)防TC-BPDU报文攻击保护(全局)
- (4)环路保护
STP配置
# 开启STP生成树
[LSW1]stp enable
# 使用STP模式
[LSW1]stp mode stp
# 配置设备优先级
[LSW1]stp priority 0~61440
# 强制设置成为根桥
[LSW1]stp root primary
# 强制设置成为备用根桥
[LSW1]stp root secondary
RSTP配置
# 开启STP生成树
[LSW1]stp enable
# 使用STP模式
[LSW1]stp mode rstp
MSTP配置
# 开启STP生成树
[LSW1]stp enable
# 使用STP模式
[LSW1]stp mode mstp
# 创建MSTP实例(所有开启MSTP的交换机上配置一样)
[LSW1]stp region-configuration \\ 配置生成树区域信息
[LSW1-mst-region]region-name huawei \\ 区域命名
[LSW1-mst-region]instance 1 vlan 10 20 \\ 创建实例1
[LSW1-mst-region]instance 2 vlan 30 40 \\ 创建实例2
[LSW1-mst-region]active region-configuration \\ 激活区域配置文件
[LSW1-mst-region]q
# 设置本设备的在区域实例1的优先级
[LSW1]stp instance 1 priority
# 设置本设备在区域实例1中为根桥
[LSW1]stp instance 1 root primary
生成树的安全保障操作
(1)根桥保护
1、默认情况下STP交换网络中只要出现优先级更高的(指设备优先级高pri=0),STP拓扑的根桥将会发生改变造成网络震荡。
2、为了保护网络的稳定性,可在用户接口与未使用的端口上配置根保护功能,使接入的交换机即使更改成更高的优先级,也不能影响当前网络的根网桥的选举。
- 一旦使能根保护功能的指定端口收到优先级更高的BPDU时,端口状态将进入Discarding状态,不再转发报文。
- 在经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高的BPDU,端口会自动恢复到正常的Forwarding状态。
3、根保护功能一般只在根桥的端口上配置,若在其他类型的端口上执行stp root-protection,根保护功能并不生效。
(2)边缘端口&BPDU保护&BPDU过滤
1、配置边缘端口的原因
-
默认在启用了生成树协议的交换设备,会定时向所有端口发送BPDU,但对于一些连接主机的端口来说是没必要同时也是不允许的。
-
没必要的原因是主机并不能处理BPDU报文。不允许是防止不法主机通过BPDU来侦听交换设备信息与对现网的生成树拓扑造成影响,当不法用户知道存在BPDU之后将主机换成交换机并将优先级调高将有可能影响整个生成树的拓扑变化,导致出现网络故障。
2、边缘端口的作用
-
单独开启:[LSW1-Ethernet0/0/1]stp edged-port enable
-
默认开启:[LSW1]stp edged-port default
-
边缘端口活动之后,直接进入转发状态。
-
防止交换机设备将不必要的BPDU从边缘端口发出,有效避免了不必要的BPDU产生。
-
但边缘端口有个很奇葩的特性就是:只要收到了BPDU那么边缘端口将变回正常的交换接口,又能收发BPDU了。
-
通过命令stp edged-port enable将当前端口配置成边缘端口,该端口便不再参与生成树计算,从而帮助加快网络拓扑的收敛时间以及加强网络的稳定性。
3、BPDU保护(全局)
-
[LSW1]stp bpdu-protection
-
[LSW1]error-down auto-recovery cause bpdu-protection interval 30~86400
-
边缘端口收到BPDU报文会失去其边缘端口属性。为防止攻击者仿造BPDU报文导致边缘端口属性变成非边缘端口,可通过执行命令stp bpdu-protection配置交换设备的BPDU保护功能。
-
配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口将会被shutdown,边缘端口属性不变。
-
在配置了BPDU保护功能后关闭端口的情况下,被关闭的端口默认不会自动恢复,只能由网管先执行shutdown命令再执行undo shutdown命令手动恢复,也可以在接口视图下执行restart命令重启端口。
-
如果用户希望被关闭的端口可以自动恢复,则可以通过在系统视图下执行error-down auto-recovery cause bpdu-protection interval 恢复时间 命令使被关闭的端口经过延时时间后能够自动恢复。
4、BPDU过滤
-
单独开启:**[LSW1-Ethernet0/0/1]stp bpdu-filter enable **
-
默认开启:**[LSW1]stp bpdu-filter default **
-
边缘端口仍然会可以接收BPDU报文,接收BPDU之后变成非边缘端口,引起网络震荡。
-
为了解决这个问题,除了BPDU保护,还能通过在该端口上配置命令stp bpdu-filter enable将BPDU过滤,使边缘端口不处理、不发送BPDU报文,该端口即为BPDU filter端口。
-
与BPDU保护不同的是该功能过滤BPDU并不会像BPDU保护那样关闭接口。
(3)防TC-BPDU报文攻击保护(全局)
- [LSW1] stp tc-protection
1、在运行生成树协议的二层网络中,设备在接收到拓扑变化报文后,会执行MAC地址表项和ARP表项的删除操作,如果频繁操作则会对CPU的冲击很大,可能造成CPU占用率过高。
2、设备默认启用防拓扑变化攻击功能,通过执行stp tc-protection 间隔时间 命令,设置设备在间隔时间内,交换设备处理最大的TC BPDU数量。对于其他超出阈值的拓扑变化报文,定时器到期后设备只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。
(4)环路保护
- [LSW1-GigabitEthernet0/0/1] stp loop-protection
1、在运行生成树协议的网络中,根端口和其他阻塞端口状态是依靠不断接收来自上游设备的BPDU报文维持。
- 当由于链路拥塞或者单向链路故障导致这些端口收不到来自上游设备的BPDU报文时,交换设备会重新选择根端口。
- 原先的根端口会转变为指定端口,而原先的阻塞端口会迁移到转发状态,导致网络中可能产生环路。
2、为了防止以上情况发生,可部署环路保护功能。
- 在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文时,则向网管发出通知信息。
- 此时根端口会进入Discarding状态,角色切换为指定端口,而Alternate端口则会一直保持在阻塞状态(角色也会切换为指定端口),不转发报文,从而不会在网络中形成环路。
- 直到链路不再拥塞或单向链路故障恢复,端口重新收到BPDU报文进行协商,并恢复到链路拥塞或者单向链路故障前的角色和状态。
