华三 h3c STP生成树保护配置_stp loop-protection

 

一：BPDU保护

边缘端口正常情况下是不会收到BPDU的，如果有黑客伪造BPDU发送给交换机边缘端口或者将边缘端口意外地连接STP设备时，系统会自动将边缘端口设置为非边缘端口，重新进行生成树计算，引起网络拓扑的震荡。配置BPDU保护可以阻止此行为。启动BPDU保护功能后，如果边缘端口收到BPDU，就将这些端口关闭。

[SWC-GigabitEthernet1/0/1]stp edged-port

[SWC]stp bpdu-protection----BPDU保护要在系统视图下开启

 

二：根桥保护

在如图中，SWA为网络中的根桥，但是如果此时把SWD接入到网络中，并且把它的优先级设置比SWA还高的话，那么按照正常stp来说，会重新进行根桥的选举，网络震荡。通过配置根桥保护，一旦端口上收到了优先级高的BPDU，其状态会被设置为listening状态，不在转发报文。

[SWB-GigabitEthernet1/0/3]stp root-protection----------与SWD相连的端口

此时查看SWD的生成树会发现，虽然它的优先级是最高的，但是它却依然是非根桥（与SWB相连的端口依然是根端口，而根桥是没有根端口的）。

 

三：环路保护

当根桥与非根桥的链路故障或者由于端口阻塞导致非根桥收不到根桥发送的BPDU，在非根桥BPDU老化后，非根桥会重新选举端口角色，很容易导致环路的产生。配置环路保护之后，当端口保存的BPDU老化时，环路保护生效，非根桥根端口一旦发生变化就会变成discarding状态，不转发状态，从而避免了环路的形成。

这里为了防止SWC与SWB和SWA形成环路，在1/0/2和1/0/3上都启动环路保护功能

[SWC]int g1/0/2

[SWC-GigabitEthernet1/0/2]stp loop-protection

[SWC]int g 1/0/3

[SWC-GigabitEthernet1/0/3]stp loop-protection

 

四：TC保护

交换机如果收到TC-BPDU报文后，会执行删除MAC地址表项和ARP表项的操作，在有黑客恶意伪造TC-BPDU攻击交换机时，交换机会在短时间内收到很多的TC-BPDU报文，导致交换机会频繁的执行删除操作，引起网路的波动。TC保护功能开启后，设备在收到TC-BPDU报文后的10s内，允许进行删除操作的次数由用户控制。

[SWC]stp tc-protection

[SWC]stp tc-protection threshold 8----允许执行删除地址表项的最大次数为8，默认是6。