STP网络保护机制简介.pptx

STP网络保护机制简介,技术创新，变革未来,,实际应用中，STP需要配合一些保护机制提升网络的可靠性,引入,,,了解STP包含哪些保护机制 掌握各种保护机制的原理及配置,课程目标,学习完本课程，您应该能够：,BPDU保护 根桥保护 环路保护 TC保护,目录,边缘端口受到攻击,如果一个边缘端口接收到配置消息，将从边缘端口转换成非边缘端口，从而导致生成树重新计算,,,,,,,,,,,,Edge Port,,BPDU,BPDU保护机制,启动了BPDU保护功能后，如果边缘端口收到了配置消息，MSTP就将这些端口关闭,,,,,,,,,,,,,BPDU,Edge Port,配置BPDU保护,,,,,,,,,,,,E1/0/1,SWA stp bpdu-protection SWA-Ethernet1/0/1 stp edged-port enable,,BPDU保护命令,H3C stp bpdu-protection,SWA,BPDU保护 根桥保护 环路保护 TC保护,目录,根桥的错误切换,合法根桥收到优先级更高的配置消息，失去根桥的地位，引起网络拓扑结构的变动BPDU,SWA BID=4096.MAC A,根桥,SWB BID=0.MAC B,,新根端口,SWC,E1/0/1,根桥保护机制,对于设置了根保护功能的端口，一旦该端口收到某实例优先级更高的配置消息，立即将该实例端口设置为侦听状态，不再转发报文,,,,,,,,,,,,,BPDU,SWA BID=4096.MAC A,根桥,SWB BID=0.MAC B,,端口状态转为Listening,SWC,E1/0/1,配置根桥保护,SWC-Ethernet1/0/1 stp root-protection,根桥保护命令,H3C-Ethernet1/0/1 stp root-protection,,,,,,,,,,,,,BPDU,SWA BID=4096.MAC A,根桥,SWB BID=0.MAC B,,SWC,E1/0/1,BPDU保护 根桥保护 环路保护 TC保护,目录,环路的产生,由于链路拥塞或者单向链路故障，端口会收不到上游设备的BPDU报文，此时下游设备重新选择端口角色，会导致环路的产生,,,,,,,,,,,,网络拥塞导致BPDU丢失,光纤链路单通,RP,AP,Root,RP,AP,Root,,BPDU,,,,,,,,,,,SWA,SWB,SWC,SWA,SWB,SWC,环路保护机制,配置了环路保护的端口，当接收不到上游设备发送的BPDU报文时，环路保护生效。

如果该端口参与了STP计算，则不论其角色如何，该端口在所有实例都将处于Discarding状态,配置环路保护,环路保护命令,,,,,Root,H3C-Ethernet1/0/1 stp loop-protection,E1/0/2,E1/0/1,H3C-Ethernet1/0/1 stp loop-protection,H3C-Ethernet1/0/2 stp loop-protection,,,,,SWA,SWB,SWC,BPDU保护 根桥保护 环路保护 TC保护,目录,TC攻击,在有伪造的TC-BPDU报文恶意攻击设备时，设备短时间内会收到很多的TC-BPDU报文，频繁的删除操作给设备带来很大负担，给网络的稳定带来很大隐患TC-BPDU,TC保护机制,设置设备在收到TC-BPDU报文后的10秒内，进行地址表项删除操作的最多次数 监控在该时间段内收到的TC-BPDU报文数是否大于门限值配置TC保护,使能防止TC-BPDU报文攻击的保护功能 配置门限值,H3C stp tc-protection enable,H3C stp tc-protection threshold number,介绍了BPDU保护机制及配置 介绍了根桥保护机制及配置 介绍了环路保护机制及配置 介绍了TC保护机制及配置,本章总结,P A G E 43,,THANKS,。