第一章、LAN&WAN 技术
一、交换机端口特性
1、交换机的端口类型存在哪几种,有什么特点?★★★
在802.1Q中定义VLAN帧后,设备的有些接口可以识别VLAN帧,有些接口则
不能识别VLAN帧。根据对VLAN帧的识别情况,将接口分为4类,特点如下:
(1)Access接口:Access接口是交换机上用来连接用户主机的接口,它只能连
接接入链路。仅仅允许唯一的VLAN ID通过本接口,这个VLAN ID与接口的
缺省VLAN ID相同(PVID),Access接口发往对端设备的以太网帧永远是不
带标签的帧。
(
2)Trunk接口:Trunk接口是交换机上用来和其他交换机连接的接口,它只能
连接干道链路,允许多个VLAN的帧(带Tag标记)通过。换而言之,除了与
pvid一致的vlan帧从trunk接口发送出去剥离tag外,其他帧全带tag。
(3)Hybrid接口:Hybrid接口是交换机上既可以连接用户主机,又可以连接其
他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。
Hybrid接口允许多个VLAN的帧通过,并可以在出接口方向将某些VLAN帧的
Tag剥离。换而言之,就是可以在接口进行配置,使得出这个接口的帧可以
部分打tag,部分不打tag,可以做到灵活控制
(
4)QinQ接口:QinQ(
802.1Q-in-802.1Q)接口是使用QinQ协议的接口。QinQ
接口可以给帧加上双重Tag,即在原来Tag的基础上,给帧加上一个新的Tag,
从而可以支持多达4094×4094个VLAN(不同的产品支持不同的规格),满
足网络对VLAN数量的需求。外层的标签通常被称作公网Tag,用来存放公网
的VLAN ID。内层标签通常被称作私网Tag,用来存放私网的VLAN ID。
2、交换机的不同端口类型对数据帧的处理方式?★★★
为了提高处理效率,交换机内部的数据帧一律都带有VLAN Tag,以统一方
式处理。当一个数据帧进入交换机接口时,如果没有带VLAN Tag,且该接口上
配置了PVID(Port Default VLAN ID),那么该数据帧就会被标记上接口的PVID。
各种类型接口对数据帧的处理方式如下图所示:
拓展问题1:什么情况下一定要用Hybrid端口?
当接口需要允许多个VLAN的数据帧不带TAG发出时,如:
(1)使用灵活QINQ时;
(
2)使用基于MAC、子网、协议(
type)、策略的划分方式VLAN时;
拓展问题2:Hybrid端口什么时候使用?什么时候打tag?什么时候不打tag?
使用场景:
(1)使用灵活QinQ时;
(
2)使用其他方式(除基于端口)划分vlan时;
(3)实现不同vlan,并且相同网段进行互访时使用;(场景如下)
二、ARP
1.ARP 基础
★★★★
(1)作用:
根据目的的IP地址解析目的MAC地址。(为二层数据封装提供依据)主机或
三层网络设备上会维护一张ARP表,用于存储IP地址和MAC地址的关系。
(
2)触发条件:
当需要访问目的IP地址在ARP缓存表不存在对应表项时;
(3)ARP报文:
①arp request(一般为广播发送):
a)当访问的目的IP地址为同一网段时,请求的访问目的IP地址对应的
MAC地址;
b)当访问的目的IP地址不在同一网段时,请求网关IP对应的MAC地址;
②arp reply(单播回复)
a)当收到请求报文,目的IP地址与接收接口的IP地址一致时,回复arp
reply,包含自己接口IP地址与MAC地址的对应关系;
b)当收到请求报文,目的IP地址与接收接口的IP地址不一致时,如果没有
开启ARP proxy功能,不会回复任何报文;
c)如果开启ARP proxy功能,满足一定的条件之后回复arp reply,包含请
求的目的IP地址与自己接口MAC地址的对应关系;
(
4)ARP表项:一般ARP表项包括动态ARP表项和静态ARP表项。
:
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可12
以被新的ARP报文更新,可以被静态ARP表项覆盖。
动态ARP老化机制:
动态ARP表项的老化参数有:老化超时时间、老化探测次数和老化探测
模式;
①缺省情况下,动态ARP表项的老化超时时间为1200秒,即20分钟;
②缺省情况下,动态ARP表项的老化探测次数为3次。
③缺省情况下,接口只在最后一次发送ARP老化探测报文是广播方式,
其余均为单播方式发送。
②静态ARP
静态ARP表项是由网络管理员手工建立的IP地址和MAC地址之间固定的
映射关系。
静态ARP表项不会被老化,不会被动态ARP表项覆盖。
应用场景:
当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP
表项,或者被老化,造成合法用户通信异常。静态ARP表项不会被老化,也不会
被动态ARP表项覆盖,可以保证网络通信的安全性。
(5)免费ARP:设备主动使用自己的IP地址作为目的IP地址发送ARP请求,此种
方式称免费ARP。(
arp属于二层协议 ,此时的目的ip是指arp报文中的target ip)
作用如下:
①IP地址冲突检测:当设备接口的协议状态变为Up时,设备主动对外发送免
费ARP报文。正常情况下不会收到ARP应答,如果收到,则表明本网络中存
在与自身IP地址重复的地址。如果检测到IP地址冲突,设备(收到免费ARP
请求报文的设备)会周期性的广播发送免费ARP应答报文,直到冲突解除。
②用于通告一个新的MAC地址:发送方更换了网卡,MAC地址变化了,为了
能够在动态ARP表项老化前通告网络中其他设备,发送方可以发送一个免费
ARP。
③在VRRP备份组中用来通告主备发生变换:发生主备变换后,MASTER设备
会广播发送一个免费ARP报文来通告发生了主备变换,将流量切换到正确的
路径。(主要作用:刷新交换机的mac地址表项)
2.Proxy ARP 作用以及场景 ★
(1)作用:实现在相同网段,但是不在同一物理网络的主机能互访。(
2)实现方式:
①路由式Proxy ARP:需要互通的主机(主机上没有配置缺省网关)处于相
同的网段但不在同一物理网络(即不在同一广播域)的场景
当PC1需要与PC2通信时,由于目的IP地址与本机的IP地址为同一网段,
因此PC1以广播形式发送ARP请求报文。
Router启用路由式Proxy ARP后,Router收到ARP请求报文后,Router会
查找路由表。由于PC2与Router直连,因此Router上存在到PC2的路由表
项。
Router使用自己的MAC地址给PC1发送ARP应答报文。PC1将以Router的
MAC地址进行数据转发。
②VLAN内Proxy ARP:需要互通的主机处于相同网段,并且属于相同VLAN,
但是VLAN内配置了端口隔离的场景
由于在Router上配置了VLAN内不同接口彼此隔离,因此PC1和PC2不能
直接在二层互通。
若Router的接口使能了VLAN内Proxy ARP功能,可以使PC1和PC2实现三
层互通。Router的接口在接收到目的地址不是自己的ARP请求报文后,
13Router并不立即丢弃该报文,而是查找该接口的ARP表项。
如果存在PC2的ARP表项,则将自己的MAC地址通过ARP应答报文发送给
PC1,并将PC1发送给PC2的报文代为转发。
③VLAN间Proxy ARP:需要互通的主机处于相同网段,但属于不同VLAN的,场景。
3.ARP 攻击与防范 ★★★
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻
击者利用。在网络中,常见的ARP攻击方式主要包括:
(1)ARP泛洪攻击,是指攻击者发送大量的ARP报文,也叫拒绝服务攻击DoS
(Denial of Service),主要带来以下两种影响:
○
1 ARP表项溢出:设备处理ARP报文和维护ARP表项都需要消耗系统资源,
同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有
规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,
使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继
续生成ARP条目,导致正常通信中断。
防范:
a)ARP表项严格学习:在网关设备上部署ARP表项严格学习功能,
ARP表项严格学习是指只有本设备主动发送的ARP请求报文的应答
报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报
14文不能触发本设备学习ARP,可拒绝大部分的ARP报文攻击。
b)ARP表项限制:ARP表项限制功能应用在网关设备上,可以限制
设备的某个接口学习动态ARP表项的数目。默认状态下,接口可以学
习的动态ARP表项数目规格与全局的ARP表项规格保持一致。当部署
完ARP表项限制功能后,如果指定接口下的动态ARP表项达到了允许
学习的最大数目,将不再允许该接口继续学习动态ARP表项,以保证
当一个接口所接入的某一用户主机发起ARP攻击时不会导致整个设
备的ARP表资源都被耗尽。
○
2ARP MISS:攻击者利用工具扫描本网段主机或者进行跨网段扫描时,
会向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文
的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表
项),导致设备触发大量ARP Miss消息,生成并下发大量临时ARP表项,并
广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU负荷过重。
防范:
a)根据源IP地址进行ARP Miss消息限速:当设备检测到某一源IP地
址的IP报文在1秒内触发的ARP Miss消息数量超过了ARP Miss消息
限速值,就认为此源IP地址存在攻击。
b)针对全局的ARP Miss消息限速:设备支持对全局处理的ARP Miss
消息数量,根据限速值进行限速。
(2)ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网
15络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。主要存在这样
两种场景:
○
1 欺骗网关攻击:Attacker仿冒UserA向Gateway发送伪造的ARP报文,导致
Gateway的ARP表中记录了错误的UserA地址映射关系,造成UserA接收不到正常
的数据报文。
防范:
a)ARP表项固化:网关设备在第一次学习到ARP以后,不再允许用
户更新此ARP表项或只能允许更新此ARP表项的部分信息,或者通过
发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确
认。
○
2 仿冒网关攻击 :攻击者B将伪造网关的ARP报文发送给用户A,使用户A误以为
攻击者即为网关。用户A的ARP表中会记录错误的网关地址映射关系,使得用户A
跟网关的正常数据通信中断
防范:
a )ARP防网关冲突功能:当设备收到的ARP报文,发现ARP报文的源
IP地址与报文入接口对应的VLANIF接口的IP地址相同。设备就认为
该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表
项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC
地址的ARP报文,这样可以防止与网关地址冲突的ARP报文在VLAN
内广播。(此时网关是三层交换机的VLANIF接口)
16b)发送免费ARP报文功能:定期广播发送正确的免费ARP报文到所
有用户,迅速将已经被攻击的用户记录的错误网关地址映射关系修
改正确。
○
3 中间人攻击:攻击者主动向PC1发送伪造PC3的ARP报文,导致PC1的ARP表中
记录了错误的PC3地址映射关系,攻击者可以轻易获取到PC1原本要发往PC3的数
据;同样,攻击者也可以轻易获取到PC3原本要发往PC1的数据。这样,PC1与PC3
间的信息安全无法得到保障。
防范:
a)动态ARP检测(DAI):动态ARP检测是利用绑定表来防御中间人
攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、
VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明
发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否
则就认为是攻击,丢弃该ARP报文。
说明:动态ARP检测功能仅适用于DHCP Snooping场景。设备使能
DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP
Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP
Snooping绑定表,所以需要手动添加静态绑定表,否则无法正常通
信。
ARP NDP
2.目的地址不同
广播(二层广播)、组播(被请求节点组播组地址)
3.工作环境不同
二层 三层
三、MAC 地址
1.MAC 基础 ★★★★
(1)定义: MAC(Media Access Control)地址用来定义网络设备的位置。
(
2)组成:MAC地址由48比特长、12位的16进制数字组成,其中从左到右开始,
0到23bit是厂商向IETF等机构申请用来标识厂商的代码,24到47bit由厂商
1920
自行分派,是各个厂商制造的所有网卡的一个唯一编号。
(3) MAC地址分类:
①单播(物理)MAC地址:MAC地址的第8 bit为0为单播MAC地址,这种
类型的MAC地址唯一的标识了以太网上的一个终端,该地址为全球唯一的
硬件地址。
②广播MAC地址:全1的MAC地址(
FF-FF-FF-FF-FF-FF),用来表示LAN
上的所有终端设备。
③组播MAC地址:除广播地址外,第8 bit为1的MAC地址为组播MAC地址
(例如01-00-00-00-00-00),用来代表LAN上的一组终端。
(
4)MAC地址表:记录了相连设备的MAC地址、接口号以及所属的VLAN ID之
间的对应关系。在转发数据时,路由设备根据报文中的目的MAC地址和VLAN
ID查询MAC地址表,快速定位出接口,从而减少广播。
MAC地址表的分类:
①动态表项:由接口通过接收到报文中的源MAC地址学习获得,表项有
老化时间。
②静态表项:由用户手工配置,并下发到各接口板,表项不老化。
③黑洞表项:用于指示丢弃含有特定源MAC地址或目的MAC地址的数据
帧,由用户手工配置,并下发到各接口板,表项不老化。
(5)MAC地址表项的生成方式:自动生成、手工配置。
2.MAC 地址漂移 ★★★
(1)定义:即设备上一个接口学习到的MAC地址在同一VLAN中另一个接口上也
学习到,后学习到的MAC地址表项覆盖原来的表项。
(
2)产生原因:
①网络中产生环路:正常情况下,网络中不会在短时间内出现大量MAC地址
漂移的情况。出现这种现象一般都意味着网络中出现环路,形成广播风暴。
处于风暴影响中的每个交换机节点都有MAC地址漂移的现象。②非法用户进行网络攻击:
(3)影响:
①导致数据帧无法正常转发到目的,出现大量的丢包;
②消耗设备的性能;
(
4)MAC地址漂移检测:
①基于VLAN的MAC地址漂移检测:
可以检测指定VLAN下的所有的MAC地址是否发生漂移。
当系统检测到VLAN内有MAC地址发生漂移时,可以进行以下处理动作:
①接口阻断或MAC地址阻断。当检测到MAC地址发生漂移则执行接
口阻断或MAC地址阻断动作。
②发送告警。当检测到MAC地址发生漂移时只给网管发送告警。
②全局MAC地址漂移检测:可以检测到设备上所有的MAC地址是否发生
了漂移。(默认开启)
21缺省情况下,MAC地址漂移检测的安全级别为middle,即MAC地址
发生10次迁移后,系统认为发生了MAC地址漂移。
当系统统检测到是该接口学习的MAC发生漂移,可以配置漂移后处
理动作为将该接口关闭或者退出VLAN,默认情况下可以发出告警。
某些特定场景下,如交换机连接双网卡的负载分担服务器时,可能
会出现服务器的MAC地址在两个接口上学习到,而这种情况不需要
作为MAC地址漂移被检测出来。可以将服务器所在的VLAN加入MAC
地址漂移检测白名单,不对该VLAN进行检测。
③MAC地址防漂移:
a)配置接口MAC地址学习优先级:
不同接口学到相同的MAC地址表项,那么高优先级接口学到的
MAC地址表项可以覆盖低优先级接口学到的MAC地址表项。
默认情况下接口MAC地址学习优先级0,优先级可调整范围0-3。
b)配置不允许相同优先级接口MAC地址覆盖。
c)配置MAC-spoofing-defend功能:
将网络侧接口配置为信任接口,该接口学习到的MAC地址在其他
接口将不会再学习到,可以防止用户侧仿冒网络侧服务器MAC
地址发送报文。
d)配置STP、Smart-Link等二层破环协议。
e)配置IPSG功能:
基于绑定表(DHCP 动态和静态绑定表)对 IP 报文和源MAC地
址进行匹配检查。当设备在转发 IP 报文时,将此 IP 报文中的
源 IP、源 MAC、接口、 VLAN 信息和绑定表的信息进行比较,
如果信息匹配,表明是合法用户,则允许此报文正常转发,否则
认为是攻击报文,并丢弃该 IP 报文。
四、STP
1.STP/RSTP 区别? ★★★★
(1)端口角色: 通过端口角色的增补,简化了生成树协议的理解及部署
保留STP的RP、DP端口,将STP中的blocking port(BP 阻塞端
口)进行细分,分为backup por(t BP 备份端口)和 alternate port
(
AP 交替端口)。
AP 以及 BP 的特点:
①AP: 阻塞状态,不转发 BPDU,存储 BPDU,做为 RP 的备份,当 RP
故障,AP 转化为 RP 时,无需等待 30S 的转发延迟,直接进入
转发。
②BP:阻塞状态,不转发 BPDU,存储 BPDU,作为 DP 的备份,BP 在
一个网段中作为到根桥的备份路径,当 DP 故障之后,BP 需要
等待老化时间才会成会 DP,成为 DP 之后需要等待转发延迟时
间才进入转发。
从配置 BPDU 报文发送角度来看:
①Alternate 端口就是由于学习到其它网桥发送的配置 BPDU 报文而阻
塞的端口。
②Backup 端口就是由于学习到自己发送的配置 BPDU 报文而阻塞的
端口
(
2)端口状态
RSTP 的状态规范把原来的 5 种状态缩减为 3 种。
根据端口是否转发用户流量和学习 MAC 地址来划分:
①如果不转发用户流量也不学习 MAC 地址,那么端口状态就是
Discarding 状态。
②如果不转发用户流量但是学习 MAC 地址,那么端口状态就是
Learning 状态。
③ 如 果 既 转 发 用 户 流 量 又 学 习 MAC 地 址 , 那 么 端 口 状 态 就 是
Forwarding 状态。
24说明:端口状态和端口角色是没有必然联系的,上表显示了各种端口角色能够具
有的端口状态。
(3)BPDU 不同
①类型不同:只存在一种 BPDU,RSTP BPDU,相当于 STP 配置 BPDU。
②配置 BPDU 格式的改变,充分利用了 STP 协议报文中的 Flag 字段。
Flags 字段,充分利用了原来保留的中间 6 位,如图所示:
③配置 BPDU 的处理发生变化
a)拓扑稳定后,配置 BPDU 报文的发送方式:
STP 中其他非根桥设备在收到上游设备发送过来的配置 BPDU 后,才会触发
发出配置 BPDU,此方式使得 STP 协议计算复杂且缓慢。RSTP 对此进行了
改进,即在拓扑稳定后,无论非根桥设备是否接收到根桥传来的配置 BPDU
2526
报文,非根桥设备仍然按照 Hello Timer 规定的时间间隔发送配置 BPDU,
该行为完全由每台设备自主进行。
b)更短的 BPDU 超时计时
如果一个端口在超时时间(超时时间=Hello Time × 3 × Timer Factor)
内没有收到上游设备发送过来的配置 BPDU,那么该设备认为与此邻居之间
的协商失败。而不像 STP 那样需要先等待一个 Max Age。
c)对次优 BPDU 的处理方式
当一个端口收到上游的指定桥发来的 RST BPDU 报文时,该端口会将自身存
储的 RST BPDU 与收到的 RST BPDU 进行比较。
如果该端口存储的 RST BPDU 的优先级高于收到的 RST BPDU,那么该端口
会直接丢弃收到的 RST BPDU,立即回应自身存储的 RST BPDU。当上游设
备收到下游设备回应的 RST BPDU 后,上游设备会根据收到的 RST BPDU 报
文中相应的字段立即更新自己存储的 RST BPDU。
由此,RSTP 处理次等 BPDU 报文不再依赖于任何定时器通过超时解决拓扑
收敛,从而加快了拓扑收敛。
(
4)加速收敛
STP 在任何的情况端口从阻塞到转发最少需要 30S。RSTP 在以下的场景下,端
口从阻塞到转发不需要转发延迟:
①根端口快速切换机制
如果网络中一个根端口失效,那么网络中最优的 Alternate 端口将成为根端
口,直接进入 Forwarding 状态,无需任何转发延迟。
②边缘端口机制
边缘端口不参与 RSTP 运算,可以由 Disable 直接转到 Forwarding 状态,且
不经历时延。
③Proposal/Agreement 机制
当一个端口被选举成为指定端口之后,在 STP 中,该端口至少要等待一个
Forward Delay(
Learning)时间才会迁移到 Forwarding 状态。而在 RSTP 中,
此端口会先进入 Discarding 状态,再通过 Proposal/Agreement 机制快速进
入 Forwarding 状态。这种机制必须在点到点全双工链路上使用。
(5)拓扑变化处理的方式不同
在标准 STP 中检测拓扑是否发生变化的标准为有端口 down/Up,而在 RSTP 中
检测拓扑是否发生变化只有一个标准:一个非边缘端口迁移到 Forwarding 状态。
标准 STP 一旦检测到拓扑发生变化,非根桥交换机先触发 TCN 给到根桥交换机,
在由根桥交换机触发 TC,此机制过于繁琐并且效率低下。而 RSTP 一旦检测到
拓扑发生变化,将进行如下处理:
①为本交换设备的所有非边缘指定端口启动一个 TC While Timer,该计时器值是Hello Time 的两倍(4s)。在这个时间内,清空状态从 Discarding 到
Forwarding 的端口上学习到的 MAC 地址。
②同时,由这些端口向外发送 RST BPDU,其中 TC 置位。一旦 TC While Timer
超时,则停止发送 RST BPDU。
③其他交换设备接收到 RST BPDU 后,清空所有端口学习到 MAC 地址,除了收
到 RST BPDU 的端口。同时也为自己所有的非边缘指定端口和根端口启动
TC While Timer,重复上述过程。
(
6)保护功能
RSTP 提供的保护功能有:
①BPDU 保护
使用场景:正常情况下,边缘端口不会收到 RST BPDU。如果有人伪造 RST
BPDU 恶意攻击交换设备,当边缘端口接收到 RST BPDU 时,交换设备会自
动将边缘端口设置为非边缘端口,并重新进行生成树计算,从而引起网络震
荡。
保护动作:交换设备上启动了 BPDU 保护功能后,如果边缘端口收到 RST
BPDU,边缘端口将被 error-down,但是边缘端口属性不变,同时通知网管
系统。
说明:BPDU 保护功能在系统视图配置,但是只对边缘端口生效。
②根保护
使用场景:由于维护人员的错误配置或网络中的恶意攻击,网络中合法根桥
有可能会收到优先级更高的 RST BPDU,使得合法根桥失去根地位,从而引
起网络拓扑结构的错误变动。这种不合法的拓扑变化,会导致原来应该通过
高速链路的流量被牵引到低速链路上,造成网络拥塞。
保护动作:对于启用 Root 保护功能的指定端口,其端口角色只能保持为指
定端口。一旦启用 Root 保护功能的指定端口收到优先级更高的 RST BPDU
时,端口状态将进入 Discarding 状态,不再转发报文。在经过一段时间(通
常为两倍的 Forward Delay),如果端口一直没有再收到优先级较高的 RST
BPDU,端口会自动恢复到正常的 Forwarding 状态。
说明:Root 保护功能只能在指定端口上配置生效。
③环路保护
使用场景:在运行 RSTP 协议的网络中,根端口和其他阻塞端口状态是依靠
不断接收来自上游交换设备的 RST BPDU 维持。当由于链路拥塞或者单向链
路故障导致这些端口收不到来自上游交换设备的 RST BPDU 时,此时交换设
备会重新选择根端口。原先的根端口会转变为指定端口,而原先的阻塞端口
会迁移到转发状态,从而造成交换网络中可能产生环路。
27如图所示,当 BP2-CP1 之间的链路发生拥塞时,DeviceC 由于根端口 CP1 在
超时时间内收不到来自上游设备的 BPDU 报文,Alternate 端口 CP2 放开转
变成了根端口,根端口 CP1 转变成指定端口,从而形成了环路。
保护动作:在启动了环路保护功能后,如果根端口或 Alternate 端口长时间
收不到来自上游设备的 BPDU 报 文时,则向网管发出通知信息(此时根端
口会进入 Discarding 状态,角色切换为指定端口),而 Alternate 端口则会
一直保持在阻塞状态(角色也会切换为指定端口),不转发报文,从而不会
在网络中形成环路。直到链路不再拥塞或单向链路故障恢复,端口重新收到
BPDU 报文进行协商,并恢复到链路拥塞或者单向链路故障前的角色和状态。
说明:环路保护功能只能在根端口或 Alternate 端口(存储 BPDU 来维护端
口角色)上配置生效。
○
4 防 TC-BPDU 攻击
使用场景:交换设备在接收到 TC BPDU 报文后,会执行 MAC 地址表项和 ARP
表项的删除操作。如果有人伪造 TC BPDU 报文恶意攻击交换设备时,交换设
备短时间内会收到很多 TC BPDU 报文,频繁的删除操作会给设备造成很大的
负担,给网络的稳定带来很大隐患。
保护动作:启用防 TC-BPDU 报文攻击功能后,在单位时间内,交换设备处
理 TC BPDU 报文的次数可配置。如果在单位时间内,交换设备在收到 TC
BPDU 报文数量大于配置的阈值,那么设备只会处理阈值指定的次数。对于
其他超出阈值的 TC BPDU 报文,定时器到期后设备只对其统一处理一次。这
样可以避免频繁的删除 MAC 地址表项和 ARP 表项,从而达到保护设备的目
的