5. 16.2.5 理解TC Guard
95. Tc-Protection功能可以保证网络产生大量tc报文时减少动态MAC地址和ARP的删除,但在遇到TC报文攻击的时候还是会产生很多的删除操作,并且TC报文是可扩散的,将影响整个网络。使用TC Guard功能,我们允许用户在全局或者端口上禁止TC 报文的扩散。当一个端口收到TC报文的时候,如果全局配置了TC Guard或者是端口上配置了TC Guard,则该端口将屏蔽掉该端口接收或者是自己产生的TC报文,使得TC报文不会扩散到其它端口,这样能有效控制网络中可能存在的TC攻击,保持网络的稳定,尤其是在三层设备上,该功能能有效避免接入层设备的振荡引起核心路由中断的问题。
1. ? 错误的使用tc-guard功能会使网络之间的通讯中断。
2. ? 建议在确认网络当中有非法的tc报文攻击的情况下再打开此功能。
? 注意
3. ? 打开全局的tc-guard,则所有端口都不会对外扩散tc报文。适用于桌面接入设
备上开启。 4. ? 打开接口的tc-guard,则对于该接口产生的拓扑变化以及收到的tc报文,将不
向其它端口扩散。适合在上链口,尤其是汇聚接核心的端口开启该功能。
6. 16.2.6 理解BPDU 源MAC检查
96. BPDU源MAC检查是为了防止通过人为发送BPDU报文来恶意攻击设备而使MSTP工作不正常。当确定了某端口点对点链路对端相连的设备时,可通过配置BPDU源MAC检查来达到只接收对端设备发送的BPDU帧,丢弃所有其他BPDU帧,从而达到防止恶意攻击。你可以在interface模式下来为特定的端口配置相应的BPDU源MAC检查MAC地址,一个端口只允许配置一个过滤MAC地址,通过no bpdu src-mac-check来禁止BPDU源MAC检查,此时端口接收任何BPDU帧。
7. 16.2.7 理解BPDU 非法长度过滤
97. BPDU的以太网长度字段超过1500时,该BPDU帧将被丢弃,以防止收到非法BPDU报文。
8. 16.2.8 理解边缘口的自动识别
98. 指派口在一定的时间范围内(为3秒),如果收不到下游端口发送的BPDU,则认为该端口相连的是一台网络设备,从而设置该端口为边缘端口,直接进入Forwarding状态。自动标识为边缘口的端口因收到BPDU而自动识别为非边缘口。 99. 可以通过spanning-tree autoedge disabled命令取消边缘口的自动识别功能。
100. 该功能是缺省打开的。
5. ? 边缘口的自动标识功能与手工的Port Fast冲突时,以手工配置的为准。 6. ? 该功能作用于指派口与下游端口进行快速协商转发的过程中,所以STP协议
不支持该功能。同时如果指派口已经处于转发状态,对该端口进行Autoedge的配置不会生效,只有在重新快速协商的过程中才生效,如拔插网线。
7. ? 端口如果先打开了BPDU Filter,则该端口直接Forwarding,不会自动识别为
边缘口。 8. ? 该功能只适用与指派口。
? 注意 9. 16.2.9 理解ROOT Guard功能
101. 在网络设计中常常将根桥和备份根桥划分在同一个域内,由于维护人员的错误配置或网络中的恶意攻击,根桥有可能收到优先级更高的配置信息,从而失去当前根桥的位置,引起网络拓扑的错误的变动。Root Guard功能就是为了防止这种情况的出现。 102. 接口打开Root Guard功能时,强制其在所有实例上的端口角色为指定端口,一旦该端口收到优先级更高的配置信息时,Root Guard功能会将该接口置为root-inconsistent (blocked)状态,在足够长的时间内没有收到更优的配置信息时,端口会恢复成原来的正常状态。 103. 当端口因Root Guard而处于blocked状态时,可以通过手动恢复为正常状态,即关闭端口的ROOT Guard功能或关闭接口的保护功能(在接口模式下配置spanning-tree guard none)。
9. ? 错误的使用ROOT Guard特性会导致网络链路的断开。
? 注意
10. ? 在非指派口上打开ROOT Guard功能会强制其为指派口,同时端口会进入
BKN状态,该状态表示端口因Root不一致而进入blocked状态。 11. ? 如果端口在MST0因收到更优的配置消息而进入BKN状态,会强制端口在其
它所有的实例中处于BKN状态。
12. ? 端口的ROOT Guard和LOOP Guard同一时刻只能有一个生效。
10. 16.2.10 理解LOOP Guard功能
104. 由于单向链路的故障,根口或备份口由于收不到BPDU会变成指派口进入转发状态,从而导致了网络中环路的产生,LOOP Guard功能防止了这种情况的发生。 105. 对于配置了环路保护的端口,如果收不到BPDU,会进行端口角色的迁移,但端口状态将一直被设成discarding状态。直到重新收到BPDU而进行生成树的重计算。
? 注意
13. ? 可以基于全局或接口打开LOOP Guard特性。
14. ? 端口的ROOT Guard和LOOP Guard同一时刻只能有一个生效。
3. 16.3 配置MSTP
49. ? 16.3.1 缺省的
Spanning Tree设置
Spanning Tree协议
50. ? 16.3.2 打开、关闭51. ? 16.3.3 配置
Spanning Tree的模式
52. ? 16.3.4 配置设备优先级(Switch Priority) 53. ? 16.3.5 配置端口优先级(Port Priority) 54. ? 16.3.6 配置端口的路径花费(Path Cost) 55. ? 16.3.7 配置
Path Cost的缺省计算方法(path cost
method)
56. ? 16.3.8 配置57. ? 16.3.9 配置
Hello Time
Forward-Delay Time Max-Age Time Tx-Hold-Count link-type
Protocol Migration处理 MSTP Region
Maximum-Hop Count
58. ? 16.3.10 配置59. ? 16.3.11 配置60. ? 16.3.12 配置61. ? 16.3.13 配置62. ? 16.3.14 配置63. ? 16.3.15 配置
64. ? 16.3.16 配置接口的兼容性模式
1. 16.3.1 缺省的Spanning Tree设置
106.
下面列出Spanning Tree的缺省配置
项目 Enable State STP MODE STP Priority STP port Priority STP port cost Hello Time Forward-delay Time 缺省值 Disable,不打开STP MSTP 32768 128 根据端口速率自动判断 2秒 15秒
Max-age Time Path Cost的缺省计算方法 Tx-Hold-Count Link-type Maximum hop count vlan 与 实例 对应关系 20秒 长整型 3 根据端口双工状态自动判断 20 所有vlan属于实例0,只存在实例0 107. 可通过spanning-tree reset命令让Spanning Tree参数恢复到缺省配置(不包括关闭Span)。
2. 16.3.2 打开、关闭Spanning Tree协议
108. 打开Spanning-tree协议,设备即开始运行生成树协议,本设备缺省运行的是MSTP协议。 109. 110.
设备的缺省状态是关闭Spanning-tree协议。
进入特权模式,按以下步骤打开Spanning Tree协议:
命令 Ruijie# configure terminal Ruijie(config)# spanning-tree Ruijie(config)# end Ruijie# show spanning-tree Ruijie# copy running-config startup-config 进入全局配置模式。 打开Spanning Tree协议。 退回到特权模式。 核对配置条目。 保存配置。 作用 Step 1 Step 2 Step 3 Step 4 Step 5
111. 如果要关闭Spanning Tree协议,可用no spanning-tree全局配置命令进行设置。
3. 16.3.3 配置Spanning Tree的模式
112. 按802.1相关协议标准,STP、RSTP、MSTP这三个版本的Spanning Tree协议本来就无须管理员再多做设置,版本间自然会互相兼容。但考虑到有些厂家不完全按标准实现,可能会导致一些兼容性的问题。因此我们提供这么一条命令配置,以供管理员在发现其他厂家的设备与本设备不兼容时,能够切换到低版本的Spanning Tree模式,以兼容之。
? 注意 113.
从MSTP模式切换到RSTP或STP模式时,有关MSTP Region的所有的信息将被清空。
设备的缺省模式是MSTP模式。
相关推荐:
loading