前言
本文介绍了RSTP协议中的根保护功能以及如何配置根保护功能,配置此功能有助于提高交换网络的可靠性、可管理性和安全性。
01
关于根保护
由于维护人员的错误配置或网络中的恶意攻击,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动。这种不合法的拓扑变化,会导致原来应该通过高速链路的流量被牵引到低速链路上,造成网络拥塞。
如图1所示,DeviceA和DeviceB处于网络核心层,两者间的链路带宽为1000M,DeviceA为网络中的根桥。DeviceC处于接入层,DeviceC和DeviceA、DeviceC和DeviceB之间的链路带宽为100M。正常情况下,DeviceB和DeviceC之间的链路被阻塞。
当DeviceD新接入DeviceC时,如果DeviceD的桥优先级高于DeviceA,此时DeviceD会被选举为新的根桥,如果两个核心交换机DeviceA和DeviceB之间的千兆链路被阻塞,会导致VLAN中的流量都通过两条100M链路传输,可能会引起网络拥塞及流量丢失。
图1-1 根保护
此时可以在DeviceC连接DeviceD的端口上,配置根保护。对于启用根保护功能的指定端口,其端口角色只能保持为指定端口。一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU,端口状态将进入Discarding状态,不再转发报文。如果在一段时间(通常为两倍的Forward Delay)内,如果端口没有再收到优先级更高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
-
根保护功能仅在指定端口上生效。
-
环路保护功能和根保护功能不能同时配置在同一端口。
-
MSTP、VBST协议中的环路保护功能与RSTP协议类似。三种协议的区别在于RSTP中所有VLAN共享一棵生成树,所有VLAN的流量按照同样的路径转发,而MSTP和VBST可以实现不同VLAN的流量按照不同路径转发。
02
配置根保护功能
-
执行命令system-view,进入系统视图。
-
执行命令interface interface-type interface-number,进入参与生成树协议计算的接口视图。
-
执行命令stp root-protection,配置交换设备的根保护功能。
缺省情况下,端口的根保护功能处于去使能状态。当端口的角色是指定端口时,配置的根保护功能才生效。配置了根保护的端口,不可以配置环路保护。
下面这个示例显示了如何在接口GigabitEthernet0/0/1下配置根保护功能,并查看是否配置成功。
<HUAWEI> system-view
[HUAWEI] interface GigabitEthernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] stp root-protection
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] display stp brief
MSTID Port Role STP State Protection
0 GigabitEthernet0/0/1 DESI FORWARDING ROOT
0 GigabitEthernet0/0/2 DESI FORWARDING NONE
0 GigabitEthernet0/0/4 ROOT FORWARDING NONE
由上述信息可以看出,GigabitEthernet0/0/1的“Protection”字段显示为“ROOT”,说明此接口下已经配置了根保护功能。
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
欢迎关注LemonSec
觉得不错点个“赞”、“在看”哦
原文始发于微信公众号(LemonSec):关于RSTP中根保护功能的用法,原来这么简单!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论