stp的保护机制分析和总结.docxVIP

.2.16 配置交换机的保护功能 支持MSTP 的交换机提供BPDU 保护功能、Root 保护功能、环路保护功能和防止TC-BPDU 报文攻击的保护功能。 BPDU 保护功能 对于接入层设备，接入端口一般直接与用户终端（如PC 机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁 移；当这些端口接收到配 置消息（BPDU 报文）时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置 消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU 保护功能可以防止这种网络攻击。 当端口被配置为边缘 端口或非边缘端口时，该端口在所有生成树实例上都被设置为边缘端口或非边缘端 口。 如果交换机使能了BPDU 保护，当被设置为边缘端口收到来自用户的 BPDU 报文， 则该边缘端口会被关闭，仅有网络管理员能将它重新打开。 缺省情况下，交换机所有以太网端口均被配置为非边缘端口。 Root 保护功能 生成树的根桥及备份交换机应该处于同一个域内，特别是对于CIST 的 根桥和备份交换机，由于网络设计时一般会把CIST 的根桥和备份交换机放在一个高带宽 的核心域内。但是由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消 息，这样当前根桥会失去根桥的地位，引起网 络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。Root 保护功能可以防止这种情况的发 生。 环路保护功能 依靠不断接收上游交换机发送的BPDU，交换机可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障，这些端口会收不 到上游交换机的 BPDU。此时下游交换机会重新选择端口角色，收不到BPDU 的下游桥端口会转变为指定端口，而阻塞端口会迁移到转发状态， 从而交换网络中会产生环路。环 路保护功能会抑制这种环路的产生。 说明： 对于配置了环路保护的端口，当接收不到上游交换机发送的 BPDU，环路 保护生效时，如果该端口参与了STP 计算，则不论其角色如何， 该端口上的所有实例将一直被设置为Discarding 状态。 防止TC-BPDU 报文攻击的保护功能 交换机在接收到TC-BPDU 报文后，会执行 MAC 地址表项和ARP 表项的删除操作。在有人伪造 TC-BPDU 报文恶意攻击交换机时，交换机短时间内 会收到很多的TC-BPDU 报文，频繁的删除操作给交换机带来很大负担， 给网络的稳定带来很大隐患。 防止TC-BPDU 报文攻击的保护功能使能后， 交换机在收到TC-BPDU 报文后的一定时间内（一般为 15 秒），只进行一次删除操作，同时监控该时间段内是否收到TC-BPDU 报文。如果在该时间段内 收到了TC-BPDU 报文，则交换机在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC 地址表项和ARP 表项。