イーサネット STP、RSTP、MSTP 基本設定、STP スパニングツリー セキュリティ保証動作コマンドの概要

モバイル 2023-08-06 16:34:41 訪問数: null

2.13.0 イーサネット STP、RSTP、MSTP 設定、スパニング ツリー セキュリティ動作

主な参照先: Huawei S2750、S5700、S6700 V200R005 (C00&C01&C02&C03) 製品ドキュメント「コマンドマニュアル」

MSTP 高速スパニング ツリー

STP構成

# 开启STP生成树
[LSW1]stp enable 

# 使用STP模式
[LSW1]stp mode stp 

# 配置设备优先级
[LSW1]stp priority 0~61440

# 强制设置成为根桥
[LSW1]stp root primary 

# 强制设置成为备用根桥
[LSW1]stp root secondary

RSTP設定

# 开启STP生成树
[LSW1]stp enable 

# 使用STP模式
[LSW1]stp mode rstp

MSTP 構成

# 开启STP生成树
[LSW1]stp enable 

# 使用STP模式
[LSW1]stp mode mstp 

# 创建MSTP实例(所有开启MSTP的交换机上配置一样)
[LSW1]stp region-configuration 			\\ 配置生成树区域信息
[LSW1-mst-region]region-name huawei		\\ 区域命名
[LSW1-mst-region]instance 1 vlan 10 20	\\ 创建实例1
[LSW1-mst-region]instance 2 vlan 30 40	\\ 创建实例2
[LSW1-mst-region]active region-configuration \\ 激活区域配置文件
[LSW1-mst-region]q

# 设置本设备的在区域实例1的优先级
[LSW1]stp instance 1 priority 

# 设置本设备在区域实例1中为根桥
[LSW1]stp instance 1 root primary

スパニングツリーの動作の保護

(1) ルートブリッジ保護

1. デフォルトでは、STP スイッチング ネットワーク内に高い優先順位 (pri=0) を持つデバイスが存在する限り、STP トポロジのルート ブリッジが変更され、ネットワーク ショックが発生します。

ここに画像の説明を挿入

2. ネットワークの安定性を保護するために、ユーザー インターフェイスと未使用のポートにルート保護機能を設定できるため、接続されているスイッチがより高い優先順位に変更されても、ルート ブリッジの選択に影響を与えることはありません。現在のネットワークの。

  • ルート保護が有効になっている指定ポートがより高い優先順位の BPDU を受信すると、ポートは廃棄状態になり、パケットを転送しなくなります。
  • 一定の時間が経過しても(通常は転送遅延の 2 倍)、ポートがより高い優先順位の BPDU を受信しなかった場合、ポートは自動的に通常の転送状態に戻ります。

3. ルート保護機能は通常、ルートブリッジのポートにのみ設定されており、他の種類のポートでstp root-protectionが実行されている場合、ルート保護機能は有効になりません。

ここに画像の説明を挿入

(2) エッジポート & BPDU プロテクション & BPDU フィルタリング

1. エッジポートを設定する理由

  • デフォルトでは、スパニング ツリー プロトコルが有効になっているスイッチング デバイスは定期的に BPDU をすべてのポートに送信しますが、これは不要でありホストに接続されている一部のポートでは許可されません。

  • これが必要ない理由は、ホストが BPDU メッセージを処理できないためです。許可されていないのは、不正なホストが BPDU を介してスイッチング デバイス情報をリッスンし、現在のネットワークのスパニング ツリー トポロジに影響を与えることを防ぐためです。不正なユーザーが BPDU の存在を知っている場合、ホストをスイッチに置き換えて優先度を上げると、スパニング全体に影響を与える可能性があります。ツリーのトポロジが変更され、ネットワーク障害が発生します。

2. エッジポートの役割

  • 個別に開く: [LSW1-Ethernet0/0/1]stp エッジ ポートの有効化

  • デフォルトで有効: [LSW1]stp エッジポートのデフォルト

  • エッジ ポートはアクティブになると、直接フォワーディング ステートに入ります。

  • スイッチ機器がエッジ ポートから不要な BPDU を送信するのを防ぎ、不要な BPDU を効果的に回避します。

  • しかし、エッジ ポートには非常に素晴らしい機能があります。BPDU を受信して​​いる限り、エッジ ポートは通常のスイッチング インターフェイスに戻り、再び BPDU を送受信できるようになります。

  • コマンドstpedged-portenable を使用して現在のポートをエッジ ポートとして設定すると、ポートはスパニング ツリーの計算に参加しなくなります。これにより、ネットワーク トポロジのコンバージェンス時間が短縮され、ネットワークの安定性が向上します。 。

3. BPDU 保護 (グローバル)

  • [LSW1]stp bpdu-保護

  • [LSW1]エラーダウン自動回復原因 bpdu 保護間隔 30 ~ 86400

  • エッジ ポートが BPDU を受信すると、エッジ ポート属性が失われます。攻撃者が BPDU パケットを偽造してエッジ ポート属性を非エッジ ポートにすることを防ぐには、stp bpdu-protectionコマンドを実行してスイッチング デバイスの BPDU 保護機能を設定します。

  • BPDU 保護の設定後、エッジ ポートが BPDU パケットを受信すると、エッジ ポートはシャットダウンされ、エッジ ポートの属性は変更されません。

  • BPDU 保護機能の設定後にポートがシャットダウンされた場合、デフォルトではシャットダウンされたポートは自動的に復元されません。手動で復元できるのは、NMS が最初に shutdown コマンドを実行し、次に undo shutdown コマンドを実行することだけですインターフェイス ビューでrestartコマンドを実行して、ポートを再起動します。

  • 閉じたポートを自動的に回復する場合は、システム ビューでerror-down auto-recovery Cause bpdu-protection Interval Recovery timeコマンドを実行して、遅延時間の経過後に閉じたポートが自動的に回復できるようにします。

4. BPDUフィルタリング

  • 個別に開く: **[LSW1-Ethernet0/0/1]stp bpdu-filter 有効化 **

  • デフォルトで有効: **[LSW1]stp bpdu-filter デフォルト **

  • エッジ ポートは引き続き BPDU を受信できますが、BPDU を受信した後は非エッジ ポートになり、ネットワーク フラッピングが発生します。

  • この問題を解決するには、BPDU 保護に加えて、エッジ ポートが BPDU パケットを処理または送信しないように、ポート上でstp bpdu-filter enableコマンドを設定して BPDU をフィルタリングできます。このポートは BPDU フィルタ ポートです。

  • BPDU 保護との違いは、この機能は BPDU をフィルタリングし、BPDU 保護のようにインターフェイスをシャットダウンしないことです。

(3) TC-BPDU パケット攻撃防御 (グローバル)

  • [LSW1] stp tc-protection

1. スパニング ツリー プロトコルを実行しているレイヤ 2 ネットワークでは、トポロジ変更メッセージを受信した後、デバイスは MAC アドレス エントリと ARP エントリを削除します。頻繁な操作はCPUに大きな影響を及ぼし、CPU 使用率が高くなります

2. 装置はデフォルトでトポロジ変更攻撃対策機能を有効にしており、 stp tc-protection Interval timeコマンドを実行して、インターバル時間内にスイッチング装置が処理するTC BPDUの最大数を設定します。しきい値を超える他のトポロジ変更パケットの場合、デバイスはタイマーの期限が切れた後に 1 回だけそれらのパケットを処理します。これにより、MAC アドレス エントリと ARP エントリの頻繁な削除が回避され、デバイスを保護するという目的が達成されます。

(4) ループ保護

  • [LSW1-GigabitEthernet0/0/1] stp ループ保護

1. スパニング ツリー プロトコルを実行しているネットワークでは、ルート ポートおよびその他のブロックされたポートの状態は、上流のデバイスから BPDU メッセージを継続的に受信することによって維持されます。

  • リンクの輻輳または単方向リンク障害により、これらのポートがアップストリーム デバイスから BPDU パケットを受信できない場合、スイッチング デバイスはルート ポートを再選択します。
  • 元のルート ポートは指定ポートになり、元のブロックされたポートはフォワーディング ステートに移行するため、ネットワーク内でループが発生する可能性があります。

ここに画像の説明を挿入

ここに画像の説明を挿入

2. 上記の状況の発生を防ぐために、ループ保護機能を導入できます。

  • ループ保護機能が有効になった後、ルート ポートまたは代替ポートが上流のデバイスから BPDU パケットを長期間受信しない場合、通知メッセージがネットワーク管理システムに送信されます。
  • このとき、ルート ポートは廃棄状態になり、その役割は指定ポートに切り替わりますが、代替ポートはブロック状態のままで (役割も指定ポートに切り替わります)、転送されません。パケットを転送し、ネットワーク内のループを防ぎます。
  • リンクの輻輳が解消されるか、単方向リンク障害が回復するまで、ポートはネゴシエーションのために BPDU パケットを再度受信し、リンク輻輳または単方向リンク障害が発生する前の役割と状態に復元します。

おすすめ

転載: blog.csdn.net/qq_45443704/article/details/128320940
おすすめ
Open Source Daily | Chrome に組み込まれている Gemini の重要性は、中国の AI 追求に関する 5 つの大きな誤解ではありません。ECharts の創設者は魚を育てるために「海に行った」が、何もありません。驚き
中国のAIチームが「米国のために準備を進めている」という噂にマイクロソフトが反応
ランキング
配列内の重複要素を検索し、繰り返し回数の最小値から最大値までの順に並べ替えます es6
【C++学習記】Ten、C++デザインパターン - 抽象ファクトリーパターン
知人:素人の言語ランタイム(A)に
ist „collision.relativeVelocity.magnitude“ in Unity
Linuxダイナミックリンク(3)のPLTとGOTについて話す-パブリックGOTエントリ
leetcode。図L.207カリキュラム-Java
羅区[] P3518 [POI2011] SEJ、金庫
MySQL にクエリを実行するときに使用するインデックスを指定します
現在のユーザー環境変数とシステムのWin10ベースのビュー
十二の仕事 - あなたの誕生日
アーカイブ
もっと
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)

コードワールド

© 2018 codetd.com