所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

BPDU保护

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
BPDU保护

BPDU保护

简介

本文档介绍了BPDU保护功能的作用以及如何配置BPDU保护功能。BPDU保护功能是生成树协议STP的增强协议之一,可以提高交换网络的可靠性、可管理性和安全性。

BPDU保护

边缘端口的引入

在RSTP里面,如果某一个指定端口位于整个网络的边缘,即不再与其他交换设备连接,而是直接与终端设备直连,这种端口叫做边缘端口。

边缘端口不参与RSTP运算,可以由Disable直接转到Forwarding状态,且不经历时延,就像在端口上将STP禁用。但是一旦边缘端口收到配置BPDU,就丧失了边缘端口属性,成为普通STP端口,并重新进行生成树计算,从而引起网络震荡。

BPDU保护

交换机上通常将直接与用户终端(如PC机)或文件服务器等非交换设备相连的端口配置为边缘端口。如图1-1所示,S3上将与PC相连的端口设置为边缘端口。正常情况下,边缘端口不会收到RST BPDU。但如果有人伪造RST BPDU恶意攻击交换机,当边缘端口接收到RST BPDU时,交换机会自动将边缘端口设置为非边缘端口,并重新进行生成树计算。当攻击者发送的RST BPDU报文中的桥优先级高于现有网络中根桥优先级时会改变当前网络拓扑,可能会导致业务流量中断。这是网络中一种简单的拒绝服务DoS(Denial of Service)攻击方式。

图1-1 BPDU保护

交换机上启动了BPDU保护功能后,如果边缘端口收到RST BPDU,边缘端口将被error-down,但是边缘端口属性不变,同时通知网管系统。交换机上会打印如下日志信息:

MSTP/4/BPDU_PROTECTION:This edged-port [port-name] that enabled BPDU-Protection will be shutdown, because it received BPDU packet!

配置BPDU保护

# 使能交换机的BPDU保护功能
<HUAWEI> system-view
[HUAWEI] stp bpdu-protection

配置完成后,可以在任意视图下执行命令display stp active,根据回显中BPDU-Protection字段查看BPDU保护功能的使能状态。

<HUAWEI> display stp active
-------[CIST Global Info][Mode MSTP]-------
CIST Bridge         :61440.781d-ba56-f06c
Config Times        :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
Active Times        :Hello 2s MaxAge 20s FwDly 15s MaxHop 20
CIST Root/ERPC      :61440.781d-ba56-f06c / 0 (This bridge is the root)
CIST RegRoot/IRPC   :61440.781d-ba56-f06c / 0 (This bridge is the root)
CIST RootPortId     :0.0
BPDU-Protection     :Disabled
…
翻译
下载文档
更新时间:2019-06-29

文档编号:EDOC1100090440

浏览量:3447

下载量:165

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页