精华内容
下载资源
问答
  • 计算机网络基础07--无STP协议网络协议引发的问题,STP的工作...配置边缘端口STP根保护STP BPDU保护,单臂路由
    2020-07-29 19:40:22

    STP:
    STP:生成树协议(Spannning-tree-protocol),可以解决集线器的部分问题

    STP产生的背景:
    为了提高网络可靠性,交换网络中通常会使用冗余链路,然而冗余链路会给交换网络带来环路风险,并且导致广播风暴,以及MAC地址表不稳定的问题,进而映像到用户的通信质量。STP可以在提高可靠性的同时,又避免环路带来的各种问题。

    STP的作用:
    1.防止交换环路(消除环路)和链路备份

    无STP配置的问题(网络环路引发的问题):
    1.广播风暴
    2.导致MAC表震荡
    3.多帧复制

    MAC地址表有一个300s的维持时间
    一旦有广播泛洪—未知单播,组播,广播

    关闭STP功能命令:Stp disable
    开启STP功能命令:Stp enable
    查看STP端口的状态:Display stp br
    FORWARDING:正常端口
    DISCARDING:阻塞端口

    STP的工作原理:

    STP基本计算过程:
    1.选出整个网络的根桥(桥:就是交换机的意思),根桥就是根交换机,选个老大出来。
    选择跟桥的方法:通过优先级+MAC地址比较进行选择,越小越优先。
    BID=优先级+MAC,
    Dis stp查询BID

    2.在每个非根桥上选举一个根端口RP(只有一个)。
    简单的选择标准:离根最近的端口就是根端口
    复杂的选择标准:
    2.1依据该端口的根路径开销
    2.2依据对端的BID(桥ID)
    2.3依据对端的PID(port + 接口号)
    2.4依据本端的PID

    3.在每个段的链路中选择一个指定端口DP(每个段就是两台设备之间的链路,直连的纸条线就叫段)。
    简单的选择标准:离根最近的端口就是指定端口
    复杂的选择标准:
    3.1依据该端口的根路径开销
    3.2依据对端的BID(桥ID)
    3.3依据对端的PID(port + 接口号)
    3.4依据本端的PID

    4.剩下的就是阻塞端口,也叫非指定端口(预备端口),用于端口出现故障的冗余。

    通过这几个步骤,我们可以确定交换机端口的角色:
    根端口:
    指定端口:BPDU(桥协议数据单元),是我们交换专门生成树协议的数据包
    预备端口:会接收BPDU

    修改优先级的命令:stp priority 0 最高有限级别是0

    端口状态:
    根桥每隔2s就会发送一个BPDU用于检测链路指定端口是在正常工作。
    通过实验可以看到,端口开启大概需要(30s-50s)的时间。

    1.端口未启用状态,默认情况下所有端口都参与生成数规则,不管对端接的是交换机还是主机。
    2.阻塞状态(Blocking):预备端口和非指定端口状态。
    这个状态下它不会转发数据帧的,也不会学习MAC地址表,会接收和处理BPDU报文,但是不会向外发送BPDU。–关注BPDU的目的是为了随时启用备用端口。
    3.侦听状态(Listening):它是不会转发数据帧,也不会学习MAC地址表它会接收并发送BPDU报文(维持15s)。在15s的过程中,通过PBDU确定我们的根桥,确定端口角色后,非指定端口的角色的状态马上就回到Block状态。其他的端口,就会直接进入下一个状态,学习状态。
    4.学习状态(Learning):不会转发数据帧,会学习MAC地址表,同时接收并发送BPDU。这个过程会维持15s。15s之后我们的根端口和指定端口就会进入到转发状态。
    5.准发状态:正常转发数据帧,学习MAC地址表,接收并发送BPDU;最终根端口和指定端口就会停留在转发状态。

    故障情况:
    1.如果是和阻塞端口的直连链路断掉了,要历经30s,开启阻塞端口。
    2.对端链路有问题,这个过程要50s。

    如何实现真正的冗余:
    在生成数里面,对BPDU报文是由两种:
    1.上面提到的是标准的BPDU(配置BPDU),用来反映端口在正常通信。
    2.特殊的BPDU(TCN BPDU) --拓扑变更通告(TCN),当一条链路无法通信,对应的交换机收不到回应的标准BPDU,那么就会向根桥发送特殊的BPDU,然后根桥再重新泛洪(广播)找到新的路由再启动非指定端口,从而实现冗余。

    配置端口:
    1.配置边缘端口目的:
    目的是为了减少收敛的时间。
    配置命令:stp edged-port enable
    2.STP根保护功能:
    配置命令(进入接口模式):stp root-protection
    3.STP BPDU防护:因为上面那个保护机制,不能限制用户不能接交换机。STP BPDU机制可以检测到接的是PC还是交换机。
    配置之前进行边缘端口配置
    配置命令:Stp bpdu-protection
    自动恢复机制:
    Error-down auto-recovery cause bpdu-protection interval 30

    单臂路由:
    在路由器的物理接口上
    路由器配置:进入接口 int gi 0/0/0.10
    配置网关 IP add
    Dotlq termination vid 10:指明这个端口是属于vlan 10
    然后开启ARP的广播功能:arp broadcast enable

    更多相关内容
  • STP保护机制

    2021-05-29 21:27:04
    实际应用中,STP需要配合一些保护机制提升网络的可靠性。 一、BPDU保护 说明:在实际应环境中,BPDU保护STP保护机制中应用最多的,一般在开启边缘端口的交换机都配置BPDU保护。这样可以有效避免BPDU攻击,保障...

    实际应用中,STP需要配合一些保护机制提升网络的可靠性。

     

    一、BPDU保护

    说明:在实际应环境中,BPDU保护是STP保护机制中应用最多的,一般在开启边缘端口的交换机都配置BPDU保护。这样可以有效避免BPDU攻击,保障网络的可靠性。

     

    1. 技术背景

    当边缘端口收到BPDU后,将转换成非边缘端口,重新参与生成树计算,使用PC伪造BPDU报文恶意攻击,将导致STP频繁重计算,最终造成网络拥塞甚至瘫痪。

     

    2. 解决方案

    开启BPDU保护后,边缘端口收到BPDU,则MSTP会关闭该端口。

     

     

    二、根桥保护

    1. 技术背景

    合法根网桥收到优先级更高的BPDU,将失去根网桥角色,并引起STP重计算。

     

    2. 解决方案

    设置根桥保护的端口,一旦收到优先级更高的BPDU,则立即将端口设置为Listening状态,不在转发报文。

     

    、环路保护

    说明:如果配置了环路保护,正常链路如果发生故障,备用链路也不会自动开启,这样就起不到链路冗余的作用。所以环路保护机制有好有坏,需要慎重选择。

    1. 技术背景

    合法根网桥收到优先级更高的BPDU,将失去根网桥角色,并引起STP重计算。

     

    2. 解决方案

    设置根桥保护的端口,一旦收到优先级更高的BPDU,则立即将端口设置为Listening状态,不在转发报文。

     

     

     

    TC保护

    1. 技术背景

    使用PC伪造TC-BPDU发送,将导致交换机频繁清除MAC地址表,导致网络不稳定。

     

    2. 解决方案

    设置交换机在收到TC-BPDU的10秒内,MAC地址表删除的最大次数。

     

     

     

    相关命令

     

     

     

     

     

    附:

     关注我,获取此次配置工程、更多配置案例、最新影视及常用办公软件

    展开全文
  • STP保护机制

    千次阅读 2018-11-29 17:15:51
    BPDU保护: 为了保护边缘端口,因为当一个边缘端口收到一个BPDU时,会状变为非边缘端口,会参与...保护:当网络中出现优先级更高的网桥时,网桥可能会发生变化,导致闭塞端口发生变化,导致网络流量路径的转...
    1. BPDU保护:
      为了保护边缘端口,因为当一个边缘端口收到一个BPDU时,会状变为非边缘端口,会参与生成树的计算,如果频繁的UP/DOWN,就使网络一直处于生成树的计算。解决方法:在交换机的端口开启BPDU保护,当设置为BPDU保护的端口收到BPDU时,系统会将该端口变为down状态。配置:在这里插入图片描述
    2. 根桥保护:当网络中出现优先级更高的网桥时,根网桥可能会发生变化,导致闭塞端口发生变化,导致网络流量路径的转变,高速链路状变为低速链路。解决办法,根桥保护
      在端口下开启根桥保护,该端口收到一个优先级更高的BPDU时,该端口马上将变为侦听(Listening)状态,不在收发数据报文,如果在此期间,没有收到更高的BPDU时,则会恢复原来的转发状态。配置:在这里插入图片描述
    3. 环路保护:当由于网络拥塞,导致下游交换机收不到上游交换机的配置BPDU,在规定时间内,下游交换机没有收到,则会开启闭塞端口,选定端口角色,可能会导致临时环路。解决办法:环路保护,如果在规定周期内,没有收到上游交换机的BPDU则会闭塞上游端口。在这里插入图片描述
      4.TC保护:交换机收到TCN置位的BPDU时,会删除除接收外的所有指定端口mac地址和ARP表,立即进行生成树的计算,导致网络频繁的计算。解决办法:配置TC保护,设置交换机在10秒内交换机删除mac地址表的次数。配置:在这里插入图片描述
    展开全文
  • 交换机STP的安全保护措施

    千次阅读 2020-03-26 19:06:26
    交换机STP的安全保护措施 本篇讲一下交换机生成树的安全保护措施,防止不法分子利用STP的特性来截取流量的走向和破坏网络的稳定性,也能有效的防止环路的形成。 安全原理 我们知道,STP的选举规则是在一个广播域中...

    交换机STP的安全保护措施

    本篇讲一下交换机生成树的安全保护措施,防止不法分子利用STP的特性来截取流量的走向和破坏网络的稳定性,也能有效的防止环路的形成。

    安全原理

    我们知道,STP的选举规则是在一个广播域中优先级小的选举为根桥,因此决定了流量的走向。那么只需在其对应的网络加入一台交换机,修改该交换机的优先级,使其抢占根桥,那么该广播域的流量走向将由该交换机决定,该交换机就能对流量进行监控等等非法活动。
    那么我们对应的解决办法也是围绕着不能使其抢占根桥,从而不对我们原来的网络环境造成影响。

    STP的保护措施及命令

    BPDU保护:在对应的接口开启该功能,该功能会直接将收到BPDU的接口down掉。此时接口处于双down状态,并且若是想重新启动,则需先shutdown再no shutdown。原因是此时是处于err-disabled状态。也可以设置一段时间之后自动启动。
    SW2(config)#int e0/0
    SW2(config-if)#spanning-tree bpduguard enable //开启STP保护
    SW2(cofig)#errdisable recovery cause bpduguard //开启BPUD导致的端口关闭恢复起来
    SW2(cofig)#errdisable recovery interval 30 //设置接口恢复时间为30秒(最低30秒)
    sw2(config)#spanning-tree portfast bpduguard default //在所有portfast接口开启BPDU保护,配置之前需配置好protfast接口

    STP桥保护:在接口开启根桥保活后,若交换机的接口接收到了更优BPDU时,将该接口阻塞;直到该接口不再收到更优BPDU才恢复,从而保护根桥不会被抢。此时接口处于双UP,只是接口生成树状态为BKN。
    sw2(config)#interface e0/0
    sw2(config-if)#spanning-tree guard root 接口开启根网保护

    BPDU过滤:开启BPDU过滤后,若接入层接口收到BPDU信息,将仅丢弃BPDU数据帧,正常转发用户流量(不参与生成树)
    sw2(config)#interface e0/0 接口开启或关闭
    sw2(config-if)#spanning-tree bpdufilter enable

    实例举例

    在这里插入图片描述
    配置前提:在SW2,SW3,SW4形成的生成树基础上,加入一个SW5,并修改SW5优先级为最小,使得SW5抢占根桥。
    需求:要求对SW2做STP保护,使得SW5无法抢占根桥,即无法对SW2上面的链路造成影响。要求使用三种STP保护措施分别分析。

    配置:
    先将SW5得e0/0接口down掉,由于这里是EVE做测试,不支持热插拔。
    SW5(config)#spanning-tree vlan 1 priority 4096 //修改SW5优先级
    做保护之前,我们先来查看SW2与SW5的生成树状况。
    在这里插入图片描述
    在这里插入图片描述
    可以看出,此时SW2作为(SW2,SW3,SW4)这个区域的根桥。
    SW5作为(SW5)区域的根桥。

    倘若将SW5的接口e0/0打开,SW5就会抢占根桥。
    Interesting e0/0
    no shutdown
    在这里插入图片描述
    关闭SW5接口e0/0,开始做STP配置
    第一种保护方式,BPDU保护:直接将收到BPDU的接口down掉。
    Interesting e0/0
    no shutdown
    SW2(config)#int e0/0
    SW2(config-if)#spanning-tree bpduguard enable //开启STP保护

    配置完成,将SW5的e0/0接口打开,查看是否能抢占根桥。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    可以看到STP保护生效,由于检测在e0/0接口检测到BPDU报文,所以直接把e0/0接口直接down掉,并且SW5也无法抢占根桥。(这也是这种STP保护的特性)
    补充配置:
    sw2(config)#spanning-tree portfast bpduguard default //在所有portfast接口开启BPDU保护,配置之前需配置好protfast接口
    SW2(cofig)#errdisable recovery cause bpduguard //开启BPUD导致的端口关闭恢复起来
    SW2(cofig)#errdisable recovery interval 30 //设置恢复时间30秒(最低30秒)
    配置完成,我们等待30秒
    在这里插入图片描述
    可以看到,30秒后,SW2的f0/0将重新变为UP,但是由于SW5还是继续发BPDU问题,所以又变为DOWN,若是此时将SW5的e0/0接口关掉,可以清楚的看到SW2的接口重新UP起来。
    在这里插入图片描述
    第二种保护方式
    STP桥保护:在接口开启根桥保活后,若交换机的接口接收到了更优BPDU时,将该接口阻塞;直到该接口不再收到更优BPDU才恢复,从而保护根桥不会被抢。
    配置:
    sw2(config)#interface e0/0
    sw2(config-if)#spanning-tree guard root 接口开启根网保护
    配置完成,来查看SW2的生成树状态
    在这里插入图片描述
    在这里插入图片描述
    可以看出,SW5也无法抢到根桥,并且将e0/0直接给阻塞掉。但是这里不会down掉接口,与第一种方法又有所区别。

    第三种方法
    BPDU过滤:开启BPDU过滤后,若接入层接口收到BPDU信息,将仅丢弃BPDU数据帧,正常转发用户流量(不参与生成树)
    sw2(config)#interface e0/0 接口开启或关闭
    sw2(config-if)#spanning-tree bpdufilter enable
    sw2(config)#spanning-tree portfast bpdufilter default //在所有portfast接口开启BPDU过滤,配置之前需配置好protfast接口
    配置完成,打开接口SW5的e0/0接口,查看SW2生成树状态。
    在这里插入图片描述
    可以看出生成树没被抢,而且也没发生端口状态变化,这种STP保护方法就是启动过滤BPDU的效果。

    最后

    到此,三种STP保护方法介绍完毕,各有所长,重点看需求如何再考虑运用。感谢观看!谢谢!

    展开全文
  • H3CSE园区-STP保护机制

    千次阅读 2018-03-04 17:02:53
    BPDU保护根保护环路保护TC保护边缘端口受到攻击:如果一个边缘端口接收到配置消息,将从边缘端口转换成非边缘端口,从而导致生成树重新计算比如说终端恶意伪造BPDU消息发送给端口BPDU保护:启动了BPDU保护功能后,...
  • 华三 h3c STP生成树保护配置

    千次阅读 2020-12-26 17:30:51
    一:BPDU保护 边缘端口正常情况下是不会收到BPDU的,如果有黑客伪造BPDU发送给交换机边缘端口或者将边缘端口意外地连接STP设备时,系统会自动将边缘...[SWC]stp bpdu-protection----BPDU保护要在系统视图下开启 ...
  • STP_防护

    千次阅读 2014-05-08 09:47:48
    转载自:http://linzhibin824.blog.163.com/blog/static/73557710201112001416130/RootGuardguardroot能够强制让接口成为...当端口启用防护特性的时候,交换机将不允许端口成为STProotport。端口仍将作为...
  • STP 生成树协议 RSTP 快速生成树协议 MSTP 多生成树协议 一、原理 stp:Spanning Tree Protocol (生成树协议) 交换网络广播风暴 ●交换机物理布局是环状(线路备份) ●交换机之间互相转发未知地址的数据帧 ...
  • 开启STP/RSTP [HUAWEI] stp enable [HUAWEI-GigabitEthernet0/0/1] stp enable 关闭STP/RSTP [HUAWEI] undo stp enable [HUAWEI-GigabitEthernet0/0/1] undo stp enable ...4.配置根保护 [HUAWEI-GigabitEthernet0/0/1]
  • eNSP、Cisco STP 的相关配置

    千次阅读 2020-08-04 17:09:54
    [Huawei]stp priority 0 #配置当前设备为桥设备。缺省情况下,交换设备不作为任何生成树的桥。配置后该设备优先级BID值自动为0,并且不能更改设备优先级。 [Huawei]stp root primary #配置当前交换机设备为备份...
  • STP有关的选择

    千次阅读 2019-04-25 19:54:14
    STP基本配置 转载▼ STP(生成树协议 SpanningTreepProtocol)能够提供路径冗余,使用STP可以使两个终端中只有一条有效路径。在实际的网络环境中,物理环路可以提高网络的可靠性,当一条线路断掉的时候,另一条...
  • RSTP的根保护功能

    千次阅读 2021-08-29 18:07:14
    本文档介绍了RSTP协议中的根保护功能以及如何配置根保护功能,配置此功能有助于提高交换网络的可靠性、可管理性和安全性。 前提条件 本文档适用于S系列交换机所有版本的所有产品。 了解根保护 由于维护人员...
  • STP笔记

    2021-10-08 14:34:16
    STP从初始状态到完全收敛至少需要经过30s: 2、交换机有BP端口,RP端口down掉场景 ·SWC与SWA的直连链路down掉,其BP端口切换成RP端口并进入转发状态至少需要经过30s: 3、交换机无BP端口,RP端口down掉场景 ·S
  • STP的安全特性详解与环路保护机制

    千次阅读 2018-12-22 22:39:22
    一、STP的安全 [1]BPDU保护 当一开始D为电脑或路由器 端口为DP指定端口 ,将D模拟成交换机 (优先级低) 发送BPDU,此时D会抢走网桥 汇聚层断结构被破坏 B端口为阻塞端口 而网桥应该放置在汇聚层,若在接入层...
  • STP生成树/BPDU保护小实验

    千次阅读 2020-07-24 17:55:41
    HCIA部分—STP生成树小实验 实验环境如图所示,要求: 1.在SW1上配置为桥,使SW3的G0/0/1...确认SW1为非交换机,此时可以通过修改stp优先级来让SW1成为桥: 优先级数值缺省为32768,数值越小,优先级越高,数值
  • STP-16-防护,BPDU防护和BPDU过滤

    千次阅读 2019-05-29 19:04:00
    网络设计者很可能并不打算让终端用户在用于连接...STP拓扑可能会因为这些意外增加到网络中的交换机而发生变化。例如,新交换机可能拥有最低的网桥ID并成为。为了避免这种情况,工程师可以在Access端口上启用BPD...
  • 3. STP的安全(BPDU保护,BPDU过滤,网桥保护) 4. 环路保护(单向链路故障,UDLD,Loop Guard) 5. 三层交换机如何配置为网关 复习: STP生成树:构建一个树形结构,特点:从到每一个节点是唯一的一个路径,...
  • STP概述

    2022-01-24 17:32:19
    stp基本概念: 1.桥id ...对于这棵树而言,树根是非常重要的,树根一旦明确了,“树枝”才能沿着网络拓扑进行延展,STP桥就是这棵树的树根,树根的角色至关重要,STP的一系列计算均以树根为参考
  • STP、RSTP、MSTP

    2022-04-12 22:31:58
    目录 STP 一、STP的常用术语 二、STP的数据包 三,关于根桥,根端口的修改 ...2、根保护 3、环路保护 4、TC-BPDU保护 MSTP 一、MSTP的基本配置。 二、MSTP实验 STP STP(Spanning Tree Proto
  • STP 保护

    2016-07-01 16:22:59
    主要介绍root guard 和bpdu guardroot guard 和bpdu guard 是在access端口上配置,其目的是防止用户非法接入其它交换机,从而...当没有配置任何防护措施时,SW3一旦接入网络,将会造成原有网络stp根的变化。此时的...
  • 保护STP

    2020-03-31 16:23:54
    STP也可能遭受到各种类型的攻击,所以STP保护工作也非常重要 对接入端口的保护:Root Guard和BPDU Guard 对于接入端口而言,可能临时新连接一台交换机在其下,而这可能会引起STP拓扑不必要的变化。要防止此问题,...
  • STP

    2020-07-18 19:21:57
    端口优先级可以影响端口在指定生成树实例上的角色,详细介绍请见STP拓扑计算。
  • 华为生成树协议 STP 分析过程与配置方法 一学习目的 1掌握配置 STP的方法 2掌握修改网桥优先级影响选举的方法 3掌握修改端口优先级影响端口与指定端口选举的方法 4掌握配置 RSTP的方法 5掌握 STP与 RSTP的相互...
  • STP详解-STP、RSTP、MSTP

    2022-03-16 19:35:37
    STP详解 01 冗余链路中存在的问题 如图所示LSW1和LSW2之间有两条线路相连,它们之间任何一条链路出现故障另外一条线路可以马上顶替出现故障的那条链路,这样可以很好的解决单链路故障引起的网络中断,但在...
  • STP原理与防护

    千次阅读 2017-11-26 20:35:47
    STP 1.作用:解决二层网络中...3.桥ID:用于在STP中唯一的表示一台网桥,分为两部分,前面是桥优先级,后面是桥mac地址,桥优先级是16位,桥mac地址是48位,在进行桥选举的时候,先比较桥优先级,优先级值小的最优
  • 一、环路保护 单向链路故障:尤其在光纤网络中,很可能会出现可以接收但不能发送现象;一旦出现单向链路故障,网络即使存在STP,也可能出现环路 解决方法: 【1】UDLD --当一网线出现单向链路故障时,直接关闭...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,389
精华内容 955
关键字:

stp根保护

友情链接: DSP_2.rar