STP安全优化机制.doc

BPDU安全和优化机制： 一、STP Secuity： 1、BPDU guard：bpdu防护 在sw4的1号端口上做bpdu guard（做之前确保1号口下面接的是pc），当设置bpdu guard之后，如果接口在收到bpdu报文之后，接口将置为一个err-disabled状态（类似于shutdown） 实验：（真实switch 3550上做实验） 当11口设置成bpdu防护收到bpdu之后看效果 Show ip int f0/11 //会显示接口双down， //查看err-disabled的原因有哪些 当接口由于某种原因被置为err-disable状态之后，默认是不能自动恢复的，只能手动恢复或者修改某种errdisable自动恢复时间： 1）手工恢复在接口上shutdown 和no shutdown 2）自动恢复： //300s之后接口自动恢复 //30s后恢复 //查看errdisable类型自动恢复情况 //交换机所有端口都设置成bpduguard //在将某个接口打开 2、bpdu filtering ：bpdu过滤 接口收到bpdu之后，只是把接口收到的bpdu报文drop掉，接口还是好的，不会关闭。 接口做的bpdu过滤，接口即不发bpdu也不收bpdu 配置如下： 1）接口下设置 2）全局配置 //全局开启 //某个接口关闭 3、Root Guard 原理：SwitchC与switchD连接的端口设置成根桥的防护，当switchC在收到更优质的BPDU的时候，swichC会将端口设置成不一致的状态，状态为broken（类似于坏掉了），broken和errdisable状态不一样，当至于broken状态的接口在一定的时间内收不到了更优质的BPDU的时候，接口就会自动的up，但是errdisable状态的接口不行 //在接口上做根桥的防护，并且只能在接口上配置，不能在全局配置。 二、STP LOOP 1、阻止Stp Forward Loop 原因：单向链路检测失败，双绞线的单向链路出现问题，网线中1 3 或2 6线坏了 解决办法： 1）udld 如果单向链路出问题，启用UDLD之后会把整个接口全部阻断 。 //全局启用 //单独某个接口启用 2）loop guard UDLD与Loop Guard区别： 翻译： Loop Guard UDLD 配置 基于接口 基于接口和全局 动作执行 基于vlan 基于端口 能否在动恢复 能 能，但是会errdisable状态手动设置恢复时间 配置在哪里 建议配置RP和AP 上 所有接口启用，（全局启用） 什么时候使用（software问题） 使用 不使用 什么时候使用（hard问题） 不使用 使用