交換機(jī)生成樹安全

生成樹協(xié)議(STP)由BPDU消息檢測(cè)環(huán)路，如果一臺(tái)交換機(jī)不同端口同時(shí)收到另一臺(tái)交換機(jī)的BPDU消息，則判定網(wǎng)絡(luò)存在環(huán)路，然后阻塞冗余端口，達(dá)到消除環(huán)路、維護(hù)網(wǎng)絡(luò)穩(wěn)定目的。

由于生成樹是通過比較交換機(jī)Bridge-ID的優(yōu)先級(jí)，從而選出根交換機(jī)，這一選舉過程是動(dòng)態(tài)進(jìn)行的。根交換機(jī)是可預(yù)見的，一般選擇網(wǎng)絡(luò)核心交換機(jī)為根交換機(jī)。但如果生成樹缺乏防護(hù)，新增交換機(jī)可能會(huì)搶占根交換機(jī)角色；單向鏈路故障可能會(huì)導(dǎo)致網(wǎng)絡(luò)環(huán)路；主機(jī)BPDU欺騙可能造成VLAN信息泄露等。

快速端口

交換機(jī)端口連接設(shè)備后，由于需要生成樹計(jì)算，端口經(jīng)歷關(guān)閉、阻塞、監(jiān)聽、學(xué)習(xí)和轉(zhuǎn)發(fā)五種狀態(tài)，大約需要30秒鐘。如果交換機(jī)端口連接的不是網(wǎng)絡(luò)設(shè)備而是終端主機(jī)，生成樹計(jì)算是沒有必要的。即終端主機(jī)連接交換機(jī)，端口應(yīng)該立即進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，無需等待30秒鐘。如果交換機(jī)連接的是實(shí)時(shí)性要求較高的服務(wù)器系統(tǒng)，在端口需要重啟或者更換線路時(shí)，等待30鈔鐘是災(zāi)難性的，不可接受的。因此，需要將端口配置成快速端口，讓端口繞過監(jiān)聽和學(xué)習(xí)狀態(tài)，直接轉(zhuǎn)發(fā)，實(shí)現(xiàn)“秒開”。

快速端口和后面介紹的幾種防護(hù)一樣，可以全局配置，也可以端口配置，建議使用端口配置，以實(shí)現(xiàn)端口精細(xì)化管理。

使用范圍：與終端主機(jī)相連的接入層交換機(jī)端口。

配置：

BPDU 防護(hù)

前面的快速端口，主要針對(duì)連接終端主機(jī)的交換機(jī)端口。如果快速端口或普通接入端口錯(cuò)誤地連接了交換機(jī)，或者連接的主機(jī)有BPDU欺騙行為等，可能會(huì)對(duì)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)穩(wěn)定造成影響，這是我們不希望看到的。由于生成樹需要BPDU消息來維護(hù)，那么錯(cuò)誤接入的交換機(jī)會(huì)立即發(fā)送BPDU消息，只要接入端口拒絕接收和發(fā)送BPDU消息，即可有效保護(hù)網(wǎng)絡(luò)生成樹。BPDU防護(hù)正是利用這個(gè)原理，當(dāng)受防護(hù)端口接收到BPDU信息，受防護(hù)端口立即做出反應(yīng)，使端口進(jìn)入Shutdown狀態(tài)或者Errdisabled狀態(tài)。BPDU防護(hù)不能和根防護(hù)同時(shí)配置。

使用范圍：與終端主機(jī)相連的接入層交換機(jī)端口和網(wǎng)絡(luò)其他空閑交換機(jī)端口。

配置：

BPDU 過濾

BPDU過濾與BPDU防護(hù)類似，如果接入端口錯(cuò)誤連接了交換機(jī)，或連接的主機(jī)有BPDU欺騙行為等，接入端口將直接丟棄所收到的BPDU消息，從而保護(hù)網(wǎng)絡(luò)生成樹。BPDU過濾與BPDU防護(hù)無需同時(shí)配置，只要其一即可；如果同時(shí)配置，BPDU過濾優(yōu)先于BPDU防護(hù)；BPDU過濾不能和根防護(hù)同時(shí)配置。

使用范圍：與終端主機(jī)相連的接入層交換機(jī)端口和網(wǎng)絡(luò)其他空閑交換機(jī)端口。

配置：

根防護(hù)

一個(gè)穩(wěn)定的生成樹對(duì)網(wǎng)絡(luò)安全至關(guān)重要。由于根交換機(jī)的選舉是動(dòng)態(tài)進(jìn)行的，Bridge-ID值越低則優(yōu)先級(jí)就越高。因此網(wǎng)絡(luò)設(shè)計(jì)時(shí)，根交換機(jī)是可以預(yù)見的。

如果網(wǎng)絡(luò)需要接入新的交換機(jī)，且此交換機(jī)被錯(cuò)誤配置了較低的Bridge-ID值（比根交換機(jī)還低），該交換機(jī)會(huì)被選為根交換機(jī)，網(wǎng)絡(luò)重新收斂會(huì)造成中斷，這是致命的。而且新的根交換機(jī)出現(xiàn)，改變了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可能使網(wǎng)絡(luò)出現(xiàn)嚴(yán)重瓶頸。

如果網(wǎng)絡(luò)需要接入新的交換機(jī)，而這臺(tái)交換機(jī)要成為根交換機(jī)，與之相連的網(wǎng)絡(luò)接口，就必須成為根端口。據(jù)此，只要不讓與之相連的網(wǎng)絡(luò)接口成為根端口，新接入的交換機(jī)就不會(huì)對(duì)網(wǎng)絡(luò)造成影響，這就是根防護(hù)。根防護(hù)和BPDU防護(hù)（BPDU過濾）不能同時(shí)配置，根防護(hù)和環(huán)路防護(hù)也不能同時(shí)配置。

使用范圍：網(wǎng)絡(luò)中可能連接交換機(jī)的端口，一般在匯聚層下行端口啟用。

配置：

環(huán)路防護(hù)

在存在多條冗余鏈路的網(wǎng)絡(luò)中，在生成樹作用下，只保留一條活動(dòng)鏈路，其他冗余鏈路被阻塞，從而保證網(wǎng)絡(luò)沒有環(huán)路。假設(shè)某條被阻塞的冗余鏈路，兩端所連端口分別為端口A和端口B，正常情況端口A和端口B可以相互收發(fā)BPDU消息，其中一個(gè)端口為指定端口，另一個(gè)端口為阻塞端口。如果端口A或端口B出現(xiàn)單向鏈路故障，導(dǎo)致端口只能接收不能發(fā)送BPDU消息，或只能發(fā)送不能接收BPDU消息，其后果是生成樹認(rèn)為網(wǎng)絡(luò)無環(huán)，端口A和端口B都進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，從而引發(fā)網(wǎng)絡(luò)廣播風(fēng)暴。

如果端口A或端口B出現(xiàn)單向鏈路故障，生成樹不會(huì)認(rèn)為網(wǎng)絡(luò)無環(huán)，而是讓相應(yīng)端口進(jìn)入Loopinconsistent狀態(tài)，從而避免網(wǎng)絡(luò)環(huán)路情況發(fā)生，這就是環(huán)路防護(hù)。環(huán)路防護(hù)和根防護(hù)不能同時(shí)配置。

使用范圍：網(wǎng)絡(luò)中所有非指定端口。

配置：