配置交换设备的BPDU保护功能
背景信息
边缘端口直接和用户终端相连,正常情况下,边缘端口不会收到BPDU报文。如果攻击者伪造BPDU恶意攻击交换设备,当边缘端口接收到BPDU报文时,交换设备会自动将边缘端口设置为非边缘端口,并重新进行生成树计算,从而引起网络震荡。通过使能BPDU保护可以防止伪造BPDU恶意攻击。
请在有边缘端口的交换设备上进行以下配置。
使能设备的BPDU保护功能只对通过stp edged-port或stp edged-port default手工配置的边缘端口生效,对通过系统的边缘端口自动探测功能设置成的边缘端口不生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令stp bpdu-protection,配置交换设备边缘端口的BPDU保护功能。
缺省情况下,交换设备的BPDU保护功能处于禁用状态。
- 执行命令commit,提交配置。
后续处理
配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口将会被Error-Down,但端口角色仍然为边缘端口。Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。可以通过display error-down recovery命令可以查看设备上所有被Error-Down的接口信息。
- 手动恢复(Error-Down发生后)
当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdown和undo shutdown,或者执行命令restart,重启接口。
- 自动恢复(Error-Down发生前)
如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause bpdu-protection interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过display error-down recovery查看接口状态自动恢复信息。
此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。
