预防STP环路的技术措施(华为) 20051027

更新时间:2023-07-19 23:52:08 阅读: 评论:0

预防STP环路的技术措施
通过下述办法,可以有效的消除STP形成环路的可能,并且也有利于STP环路的排障。
1.1 消除核心交换机之间的环路
局域网两台核心之间应保持LOOP FREE结构,对于华为交换机组成的局域网,应将两条同一板卡的光纤通过链路捆绑的方式形成一条逻辑上的链路(最好只将2条千兆线物理链路进行捆绑),捆绑之后的链路采用Trunk方式连接。为了避免单一板卡出现故障导致通信失败,可以采用两种方式进行防范。一,在另外的一块板卡上在设置一条Trunk链路,可以采用2端口捆绑后同另外一台设备的相应捆绑端口互联,或者单个物理端口同另外设备的单个物理端口互联,同时在两台交换机之间运行RSTP协议,消除物理环路。二,同样按照方法一进行配置,但是不进行连线,作为冷备链路,当正常链路发生故障时,手工进行切换。考虑到stp协议发生故障时很难快速定位,建议采用方法二进行设置。官渡之战在哪里
1.2 强制根、备份根的位置
通过RSTP协议进行竞选根桥,将无法在RSTP出现故障时及时找出根桥。因此,应当人为制
RSTP根的位置,要求指定其中一台核心交换机作为局域网的RSTP根网桥,另外一台作为备份根桥。具体命令:
在系统模式下进行设置
stp root primary(设置此交换机为主根)
stp root condary(设置此交换机为备根)
1.3 主根设置在主核心上
为保证交换机网Spanning Tree的稳固,主根需通过手工强制配置在核心交换机上。同时,为便于Spanning Tree的维护管理,全部主根应建立在第一台核心交换机上,全部备份根建立在第二台核心交换机上。
1.4 配置合适的双工通讯模式
下表为交换机和服务器网卡工作模式匹配结果:
NIC
Switch
NIC Result
SwitchPort Result
1(正确)
Auto
西班牙留学签证Auto
100 full duplex
100 full duplex
2
100 full duplex
Auto
100 full duplex
100 half duplex
3
Auto
100 full duplex
100 half duplex
100 full duplex
4 (正确)
100 full duplex
100 full duplex
100 full duplex
100 full duplex
5
单体建筑
100 half duplex
Auto
100 half duplex
100 half duplex
6
10 half duplex
Auto
10 half duplex
10 half duplex
7
10 half duplex
100 half duplex
Link down
Link down
8
Auto
100 half duplex
100 half duplex
100 half duplex
9
Auto
我的爸爸英语10 half duplex
10 half duplex
10 half duplex
在实际连接时应主要采用14方式设置,优先设置方式为第4种方式,此种方式也是传输效率最高的一种方式。如果在第4种方式设置不成功的情况下,可以采用第1种方式。若14两种方式有问题,可视具体情况选择其它方式。
注:配置双工匹配模式在我行下发的《中国工商银行一级分行局域网整改实施方案V1.0》中已有要求。
1.5 配置STP协议的保护功能介绍
华为交换机提供BPDU保护,根保护,环路保护,TC保护4种保护功能,每一种保护功能工作原理,适用对象都不相同,需要在不同类型的端口配置正确的保护功能。
1.在连接路由器、三层交换机的三层接口的端口及连接主机(PC,服务器)的端口需要配置EDGE PORT保护功能建议在连接主机的端口同时加配BPDU GUARD功能。
2.在根交换机上的 Designate 端口配置ROOT GUARD功能
3.在交换机 Designate 端口下联的交换机上的对应端口(下行交换机的ROOT端口和Discarding端口)配置LOOP GUARD功能。
4.在交换机全局启用TC保护功能,该功能默认已经启用不需要进行额外的配置。
5. 在对一个端口进行配置的时候,Loop GuardRoot Guard迫不及待反义词或者Edge Port三个配置中,不同位置的端口需要不同的配置,并且3种保护措施在同一个端口只能配置其中一种。
1.6 配置边缘端口并设置BPDU guard
在交换机连接末端主机(服务器、路由器)端口上启用边缘端口配置功能,可以大大加快生成树的收敛时间,同时为了防止边缘端口收到恶意的BPDU攻击,可以同时在该端口配置BPDU gard功能。具体命令如下:
在接口视图下进行配置
interface Ethernet*/*/*
stp edged-port enable(设置本端口为边缘端口,明显改善stp收敛时间)
在系统视图下进行配置
stp bpdu-protection (设置bpdu保护功能,防止边缘端口收到的bpdu攻击)
1.6.1 注意事项
交换机上启动了BPDU GUARD功能,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被STP关闭。被关闭的端口只能由网络管理人员手工恢复。
对于连接交换机或HUB的端口,绝对不能启用Edge PortBPDU GUARD功能。
启动Edge Port的端口建议启动BPDU GUARD功能。
对于正在使用中的主机(服务器、路由器)端口连接,配置Edge Port可能会引起瞬间中断。
1.7 设置LOOP GUARD
1.7.1 LOOP GUARD的工作原理
LOOP GUARD是另外一种阻止环路形成的功能。
情况一:当备份的Discarding端口因某些原因没有收到BPDU,端口将从Discarding状态进入Forwording状态,于是环路形成。但是如果端口上配置了LOOP GUARD功能,当Discarding端口不再收到BPDU,端口将不会进入到Forwording状态,而将继续保持Discarding。同时使用Display stp interface 命令查看端口的stp状态,将会显示
Port loop-protection: enabled, state: guarded
情况二:当root端口因某些原因没有收到BPDU,端口依然保持FORWARDING状态,但另外的冗余线路连接的端口,将因为失去root port而试图从alternate PORT成为ROOT PORT,这样从DISCARDING状态进入到FORWARDING状态,因此产生环路。如果端口上配置了LOOP GUARD功能,当root端口不再收到BPDU,端口将不会进入Forwording状态,DISCARDING的冗余端口会根据最新的STP结果进入到FORWARDING状态。
下面是在配置LOOP GUARD后,环路产生时的LOG信息:
%Sep 20 20:42:14 2005 Quidway RSTP/3/LPPROTECT:Loop-Protection port Ethernet0/23 is aged out, so we t it to discarding!
%Sep 20 20:42:14 2005 Quidway RSTP/2/AGEDOUT:Ethernet0/23's stp info is aged out!
猴子过河当端口再次收到BPDU后,端口就会重新参与生成树的计算最终进入到FORWARDING或DISCARDING状态。同时,可以使用Display stp interface命令查看端口的stp信息,将会显示
Port loop-protection: enabled, state: no-guarded
1.7.2 LOOP GUARD配置
配置方法如下:
在接口视图下进行配置
interface GigabitEthernet2/0/4
stp loop-protection(配置环路保护功能,此功能在Designate端口的下行交换机相连端口上设置有效)
1.7.3 LOOP GUARD配置注意事项
Loop Guard需要在designate端口下行连接的交换机端口进行配置,才能具有防环路的功能。
1.8 配置Root GUARD功能
对于设置了Root Guard功能的端口,端口角色只能保持为designate端口。一旦这种端口上收到了优先级高的配置消息,即其将被选择为非designate端口时,这些端口的状态将被设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。Root Guard需要在根交换机的designate端口进行设置。配置命令如下:
在接口视图下
interface Ethernet3/0/1
stp root-protection(设置根保护功能,在根交换机的Designate生涯规划是什么端口设置)
1.9 防止TC-BPDU报文攻击的保护功能
交换机在接收到TC-BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。在有人伪造TC-BPDU报文恶意攻击交换机时,交换机短时间内会收到很多的TC-BPDU报文,频繁的删除操作给交换机带来很大负担,给网络的稳定带来很大隐患。
防止TC-BPDU报文攻击的保护功能使能后,交换机在收到TC-BPDU报文后的一定时间内(一般为10秒),只进行一次删除操作,同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文,则交换机在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP重庆景点排行榜表项。华为6506R交换机默认启动TC-BPDU的报文攻击保护功能。相应的配置命令为

本文发布于:2023-07-19 23:52:08,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/89/1088370.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:端口   交换机   配置   进行   功能   设置
相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图