交換機生成樹安全

生成樹協議(STP)由BPDU消息檢測環路，如果一臺交換機不同端口同時收到另一臺交換機的BPDU消息，則判定網絡存在環路，然后阻塞冗余端口，達到消除環路、維護網絡穩定目的。

由于生成樹是通過比較交換機Bridge-ID的優先級，從而選出根交換機，這一選舉過程是動態進行的。根交換機是可預見的，一般選擇網絡核心交換機為根交換機。但如果生成樹缺乏防護，新增交換機可能會搶占根交換機角色；單向鏈路故障可能會導致網絡環路；主機BPDU欺騙可能造成VLAN信息泄露等。

快速端口

交換機端口連接設備后，由于需要生成樹計算，端口經歷關閉、阻塞、監聽、學習和轉發五種狀態，大約需要30秒鐘。如果交換機端口連接的不是網絡設備而是終端主機，生成樹計算是沒有必要的。即終端主機連接交換機，端口應該立即進入轉發狀態，無需等待30秒鐘。如果交換機連接的是實時性要求較高的服務器系統，在端口需要重啟或者更換線路時，等待30鈔鐘是災難性的，不可接受的。因此，需要將端口配置成快速端口，讓端口繞過監聽和學習狀態，直接轉發，實現“秒開”。

快速端口和后面介紹的幾種防護一樣，可以全局配置，也可以端口配置，建議使用端口配置，以實現端口精細化管理。

使用范圍：與終端主機相連的接入層交換機端口。

配置：

BPDU 防護

前面的快速端口，主要針對連接終端主機的交換機端口。如果快速端口或普通接入端口錯誤地連接了交換機，或者連接的主機有BPDU欺騙行為等，可能會對網絡安全和網絡穩定造成影響，這是我們不希望看到的。由于生成樹需要BPDU消息來維護，那么錯誤接入的交換機會立即發送BPDU消息，只要接入端口拒絕接收和發送BPDU消息，即可有效保護網絡生成樹。BPDU防護正是利用這個原理，當受防護端口接收到BPDU信息，受防護端口立即做出反應，使端口進入Shutdown狀態或者Errdisabled狀態。BPDU防護不能和根防護同時配置。

使用范圍：與終端主機相連的接入層交換機端口和網絡其他空閑交換機端口。

配置：

BPDU 過濾

BPDU過濾與BPDU防護類似，如果接入端口錯誤連接了交換機，或連接的主機有BPDU欺騙行為等，接入端口將直接丟棄所收到的BPDU消息，從而保護網絡生成樹。BPDU過濾與BPDU防護無需同時配置，只要其一即可；如果同時配置，BPDU過濾優先于BPDU防護；BPDU過濾不能和根防護同時配置。

使用范圍：與終端主機相連的接入層交換機端口和網絡其他空閑交換機端口。

配置：

根防護

一個穩定的生成樹對網絡安全至關重要。由于根交換機的選舉是動態進行的，Bridge-ID值越低則優先級就越高。因此網絡設計時，根交換機是可以預見的。

如果網絡需要接入新的交換機，且此交換機被錯誤配置了較低的Bridge-ID值（比根交換機還低），該交換機會被選為根交換機，網絡重新收斂會造成中斷，這是致命的。而且新的根交換機出現，改變了網絡拓撲結構，可能使網絡出現嚴重瓶頸。

如果網絡需要接入新的交換機，而這臺交換機要成為根交換機，與之相連的網絡接口，就必須成為根端口。據此，只要不讓與之相連的網絡接口成為根端口，新接入的交換機就不會對網絡造成影響，這就是根防護。根防護和BPDU防護（BPDU過濾）不能同時配置，根防護和環路防護也不能同時配置。

使用范圍：網絡中可能連接交換機的端口，一般在匯聚層下行端口啟用。

配置：

環路防護

在存在多條冗余鏈路的網絡中，在生成樹作用下，只保留一條活動鏈路，其他冗余鏈路被阻塞，從而保證網絡沒有環路。假設某條被阻塞的冗余鏈路，兩端所連端口分別為端口A和端口B，正常情況端口A和端口B可以相互收發BPDU消息，其中一個端口為指定端口，另一個端口為阻塞端口。如果端口A或端口B出現單向鏈路故障，導致端口只能接收不能發送BPDU消息，或只能發送不能接收BPDU消息，其后果是生成樹認為網絡無環，端口A和端口B都進入轉發狀態，從而引發網絡廣播風暴。

如果端口A或端口B出現單向鏈路故障，生成樹不會認為網絡無環，而是讓相應端口進入Loopinconsistent狀態，從而避免網絡環路情況發生，這就是環路防護。環路防護和根防護不能同時配置。

使用范圍：網絡中所有非指定端口。

配置：