生成树的保护机制

目录

BPDU保护

根桥保护

环路保护

TC保护

---

对于STP、RSTP、MSTP都具有效用。防止已经计算好的生成树被多次重新计算，浪费链路资源。

BPDU保护

也叫做边缘端口的保护。

背景：如果一个边缘端口收到了配置BPDU，将从边缘端口转换为非边缘端口，从而导致生成树重新计算。使用PC伪造的BPDU报文恶意攻击，将导致频繁参与生成树计算，导致网络不稳定。

方案：启动BPDU保护功能，如果边缘端口收到了配置消息，MSTP就将这些端口自动关闭。

根桥保护

背景：合法根桥收到优先级更高的BPDU，将失去根桥的角色，并重新引起STP计算。

方案：设置根桥保护端口，一旦收到优先级更高的BPDU，则立刻将端口设置为lestening状态，不再转发优先级更高的BPDU。

环路保护

背景：环形链路拥塞，导致没及时收到BPDU，从而重新计算STP。开启阻塞端口后，会形成逻辑环路。

方案：配置环路保护端口，当接受不到对端交换机的BPDU时，若端口参与了STP计算，则该端口进入discarding状态。

TC保护

背景：在有伪造的TC BPDU报文恶意攻击设备时，设备短时间会收到很多TC BPDU报文，频繁的删除操作会给设备带来很大负担，给网络的稳定带来很大隐患。

方案：设置设备在收到TC BPDU报文后的10秒内，记录地址表项删除操作的最大次数。监控在该时间内收到的TC BPDU报文树是否大于门限值。