登录站点

用户名

密码

STP security

1已有 1558 次阅读  2013-06-16 17:09   标签security  安全防护 

STP安全防护机制:
1、BPDU Guard:

Sw2的边缘端口(接入层端口)接PC或路由器,当该端口改为接新的交换机,且新加入额交换机优先级比原拓扑根桥低时,会打破原STP已收敛的稳定性,根桥将产生变化。将该边缘端口配上BPDU Guard特性,该端口将不再发送BPDU。当收到BPDU时,会将端口置为error-disable状态(类似于shutdown)

)#spanning-tree portfast bpduguard       // (default)默认交换机所有端口启用BPDU防护 
  if)#spanning-tree bpduguard disable    //将不是边缘端口的端口禁用该特性
 或 if)#spanning-tree bpduguard enabe

恢复error-disable端口状态方法:
1、手工,进入该端口先shutdown,再no shutdown
2、自动,需配置(默认不恢复)
)#errdisable recovery cause bpduguard //(恢复原因参数)默认300s,300s后端口自动恢复,可更改恢复时间
)#errdisable recovery interval xx  //(最低30s)   
show spanning-tree summary total   
show errdisabe reconvery

 

2、BPDU Filter
类似于BPDU Guard,一般也用于接入层端口,但置为该特性的端口既不发送也不接收BPDU,收到BPDU后执行的动作为drop。
)#spanning-tree portfast bpdufilter default
或 if)#spanning-tree bpdufilter enable
show spanning-tree summary totals

 

3、Root Guard
维护根桥位置和稳定性,通常在外部接口作防护。若外部接口新接入一台交换机,当收到更优质BPDU时,会将该端口置为不一致状态(inconsistent),端口标识为broken,使该端口在一定时间内不工作,当不再收到优质BPDU时,会恢复原状态。
if)#spanning-tree guard root
show spanning-tree interface interface xx
查看root guard配置
show running-config interface interface xx
show spanning-tree inconsistentports

Preventing STP Forwarding Loops:
运行STP依然有特殊情况会出现环路。原因是单向链路检测失败。如图:

用于接收数据的两根线失效,会引发单向链路问题。一般以太网双绞线不易出问题,较可能出现在光纤传输上

经过STP收敛后,交换机C的C口状态为阻塞口。假如此时B口与C口链路发生单点收效,C口不能收到B发过来的BPDU,20s后阻塞口由blocking -> listening ,发送BPDU给B,B收到后与B的BPDU比较,发现B的BPDU更优,B口状态不变(DP口),C口由于不能收到BPDU,最后经过->learning -> forwarding状态后成为DP口。显然,A、B、C之间链路都通,成环。

防环机制:
(1)、UniDirectional Link Detection  检测单向失效,会将该端口阻塞。
)#udld enable(针对交换机所有端口) 或  if)#udld port(针对某个端口)
show udld interface xx 
(2)、Loop Guard
)#spanning-tree global-default loopguard enable 或  if)#spanning-tree guard loop 
show spanning-tree guard loop
UDLD与Loop Guard使用位置:
UDLD一般用于硬件问题,Loop Guard一般用于软件可能发生的问题,如端口用塞、CPU资源占用导致无法转发数据

 




 

分享 举报