STP Toolkit
快速收斂:
- Port Fast
生成樹安全:
- Root Guard
- BPDU Guard
- BPDU Filter
- Port Security
防環:
- Loop Guard
Port Fast
該功能的配置分為全域性和介面配置,在全域性模式下,交換機的所有Access埠均會啟用Port Fast功能。埠配置只對單一埠生效。
該功能不能配置在Trunk鏈路上,若配置在Trunk鏈路上,極有可能導致生成樹環路的產生。
BPDU Filter
該功能同樣也有全域性與介面配置:
- 全域性(spanning-tree portfast bpdufilter default——Cisco命令)
- 介面(spanning-tree bpdufilter enable——Cisco命令)
全域性配置只會在啟用了Port Fast功能的介面上啟用,在全域性模式下,交換機不會過濾傳入的BPDU,但會過濾大多數(並不是全部)傳出的BPDU。
當埠啟動時,會發出一些BPDU,若收到了BPDU,Port Fast和BPDU Filter功能將被關閉,交換機將參與生成樹計算。
介面配置將無條件的過濾傳入和傳出的BPDU,無論是PortFast狀態還是Access或Trunk模式。這相當於在該埠關閉了STP,這十分危險。
BPDU Guard
該功能阻止埠接受BPDU。如果埠仍然受到BPDU,則將該埠置於err-disabled狀態,如果配置的Port Fast埠收到了BPDU,則說明存在無效配置,該功能提供了對無效配置的安全響應,因為管理員需要手動設定才能才能將埠重新投入使用(該功能也能夠防止外來的惡意BPDU攻擊)。
該功能具有兩種配置方法:
- 全域性配置(spanning-tree portfast bpduguard default——Cisco命令)
- 啟用狀態取決於Port Fast狀態。
- 介面配置(spanning-tree bpduguard enable——Cisco命令)
- 無條件啟用BPDU Guard,無論是PortFast狀態還是Access或Trunk模式。
有兩種辦法可以將埠從err-disabled狀態轉變為正常狀態
- 手動開啟埠(no shutdown)
- 使用 errdisable recovery cause bpduguard,配置err-disable狀態自動恢復。 預設恢復間隔為 300 秒,但可以使用 errdisable recovery interval
命令更改。
Root Guard
根保護功能只能啟用在指定埠上,該功能能夠防止外來的惡意BPDU攻擊。
- 如果交換機在啟用根保護的埠上收到更優的BPDU,根保護將會把埠移動到根不一致(root-inconsistent)的STP狀態。
- 這種根不一致狀態處於實際上是Listening狀態,沒有流量能夠通過這個埠轉發,通過這個方式來守護根橋的位置。
Root Guard vs BPDU Guard
如果裝置上啟用了Port Fast,那麼BPDU Guard會在接受BPDU時禁用此埠。它有效的禁用了此埠後面的裝置參與STP。只有手動重新啟用阻塞狀態的埠,或者配置自動恢復的時間。
而Root Guard的作用是,只要裝置不嘗試成為根,就允許裝置參與STP,該功能對埠阻塞的恢復是自動的,一旦違規裝置停止傳送更優的BPDU,埠就會被恢復。
Loop Guard
STP將物理拓撲上的冗餘分解為無環路、樹狀拓撲。STP的最大問題是某些軟體故障會導致它失敗。
在下圖的情況中,交換機B傳送的BPDU無法到達交換機C,交換機C的埠轉變為指定埠並開始轉發資料,則形成了網路環路。
如果開啟了Loop Guard功能,交換機C上的埠將在Max_age計時器到達後轉換為loop-inconsistent的狀態,該狀態無法通過使用者流量,自然也就不會產生環路(loop-inconsistent狀態實際上就是Blocking狀態)。該功能應開啟在根埠和備用埠上。
