交换机边缘端口的BPDU报文过滤功能和BPDU端口保护功能记录

原创 捌栢科  2022-10-23 19:01  阅读 203 次
阿里云免费代金券,购买阿里云产品前先领券更优惠!

一、边缘端口的BPDU报文过滤功能

配置为边缘端口后,端口仍然会发送BPDU报文,这可能导致BPDU报文发送到其他网络,引起其他网络产生震荡。因此可以配置边缘端口的BPDU报文过滤功能,使边缘端口不处理、不发送BPDU报文。

全局模式下

配置边缘端口和BPDU报文过滤功能:stp bpdu-filter default

<Huawei>sys  //进入系统视图
[Huawei]stp edged-port default  //配置全局边缘端口
[Huawei]stp bpdu-filter default  //开启全局报文过滤

注:在全局模式下配置边缘端口和BPDU报文过滤功能后,设备上所有的端口不会主动发送BPDU报文,且均不会主动与对端设备直连端口协商,所有端口均处于转发状态。这将可能导致网络成环,引起广播风暴,请用户慎用。

接口模式下

配置边缘端口和BPDU报文过滤功能:stp bpdu-filter enable

[Huawei]int g0/0/1    //进入接口视图
[Huawei-GigabitEthernet0/0/1]stp edged-port enable   //配置边缘端口
[Huawei-GigabitEthernet0/0/1]stp bpdu-filter enable  //开启报文过滤

注:在端口模式下配置边缘端口和BPDU报文过滤功能后,端口将不处理、不发送BPDU报文。该端口将无法成功与对端设备直连端口协商STP协议状态,请慎用。

二、BPDU保护功能

什么是BPDU保护?

在二层网络中,运行生成树协议(STP/RSTP/MSTP/VBST)的交换机之间通过交互BPDU报文进行生成树计算,将环形网络修剪成无环路的树形拓扑。生成树协议部署时通常将交换机与用户终端(如PC)或文件服务器等非交换设备相连的端口配置为边缘端口。边缘端口不参与生成树计算,可以由Disable直接转到Forwarding状态,且不经历时延,就像在端口上将生成树协议禁用。网络中用户终端频繁上下线时,部署边缘端口可以避免交换机不断地重新计算生成树拓扑,增强网络的可靠性。

正常情况下,边缘端口不会收到BPDU。但如果有人伪造BPDU恶意攻击交换机,当边缘端口接收到BPDU时,交换机会自动将边缘端口设置为非边缘端口,并重新进行生成树计算。当攻击者发送的BPDU报文中的桥优先级高于现有网络中根桥优先级时会改变当前网络拓扑,可能会导致业务流量中断。

交换机上启动了BPDU保护功能后,如果边缘端口收到BPDU,边缘端口将被shutdown,但是边缘端口属性不变,因此不会影响网络中生成树拓扑,从而避免业务中断。

实例命令:

<Huawei>sys  //进入系统视图
[Huawei]stp bpdu-protection //开启BPDU保护功能

 

BPDU保护后恢复方式

配置BPDU保护功能后,如果希望边缘端口收到BPDU报文后恢复Up状态,可通过如下两种方式实现:

  • 手工恢复(适用于边缘端口收到BPDU报文后已经shutdown的情况)

    在接口视图下执行命令restart或者undo shutdown

  • 自动恢复(适用于边缘端口收到BPDU报文前预先配置)

    在系统视图下执行命令error-down auto-recovery cause bpdu-protection interval interval-value(nterval-value:数值,单位:s),使能端口自动恢复为Up的功能,并设置端口自动恢复为Up的延迟时间。

    配置自动恢复功能后,边缘端口收到BPDU报文会先切换到error-down状态,经过延迟时间interval-value后自动恢复为Up状态。interval-value的取值设置越小,端口自动恢复为Up的延迟时间越短,端口Up/Down状态震荡频率越高;interval-value的取值设置越大,端口自动恢复为Up的延迟时间越长,端口流量中断时间越长。

本文地址:https://8ik.cn/archives/480
关注我们:请关注一下我们的微信公众号:扫描二维码捌佰科的公众号,公众号:Hey_MrBoss
版权声明:本文为原创文章,版权归 捌栢科 所有,欢迎分享本文,转载请保留出处!
【腾讯云】买云服务器,参与礼品兑换、抽奖,最高送价值8000元IPad,还有Bose耳机、千元京东卡等您来!

发表评论


表情