STP保护机制.docx

STP防护机制 1.2 设备冗余备份 网络中有三台路由器，R1为出访问internet的网关，SW1和SW2和互为备份，交换机SW3为接入层交换机用于连接底层用户。底层用户的网关为两台汇聚层交换机。现在通过vrrp技术使得两台汇聚层交换机虚拟出ip地址：192.168.0.100 l 配置方式： 进入接口模式： SW1(config)#int f0/0 配置ip地址： SW1(config-if)#ip add 192.168.0.3 255.255.255.0 配置vrrp ip地址： SW1(config-if)#vrrp 1 ip 192.168.0.100 配置vrrp为抢占模式： SW1(config-if)#vrrp 1 preempt l 配置范围： 互为冗余备份的网关位 2.4 对接入层交换机的广播风暴抑制 如图所示：本网络中汇聚层有两台交换机，接入层有一台采用双上行的接入层交换机用于连接终端用户。用于接入层交换机所连接的终端设备对网络中发送广播风暴，因此使系统资源和网络资源造成很大影响。为解决此问题，我们可以将连接终端用户的接入层交换机端口进行广播风暴的抑制，来减轻广播风暴对网络的影响。 l 配置方式： 方案一、通过控制广播风暴占用带宽比例，对广播风暴进行控制： 步骤1、进入接口模式： SW3(config)#int f0/3 步骤2、控制占用带宽30%时 ，开始阻塞广播包 （一般只输入一个上限值，下限保持默认） SW3(config-if)#storm-control broadcast level 30.00 方案二：通过控制广播风暴每秒传送数据包的数量对广播风暴进行控制： 步骤1、进入接口模式： SW3(config)#int f0/3 步骤2、达到每秒60个广播包时，开始阻塞，低于30个时，停止阻塞（这个必须要有上下限值） SW3(config-if)#storm-control broadcast level pps 60 30 l 配置范围： 整个网络的所有交换机接口。 2.5 trunk口对vlan的控制 如下图：SW间不同vlan相互通信 SW1、SW2、SW3三台交换机，SW1上有分别属于vlan2、vlan3的两台pc SW2上有分别属于vlan2、vlan4的两台pc SW3上有分别属于vlan3、vlan4的两台pc 现在要实现相同vlan间的相互通信，配置如下： l 配置方式： SW1： 步骤1、配置vlan2、vlan3： SW1(config)#vlan 2 SW1(config-vlan)#vlan 3 SW1(config-vlan)#exi 步骤2、将端口f0/4、f0/5分别划入vlan2、vlan3中： SW1(config)#int f0/4 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int f0/5 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 3 步骤3、trunk口配置，f0/1口允许vlan2通过； F0/3口允许vlan3通过 进入接口模式： SW1(config)#int f0/1 修改trunk口封装为 dot1q： SW1(config-if)#switchport trunk encapsulation dot1q 将端口类型改成trunk： SW1(config-if)#switchport mode trunk 在f0/1上只允许vlan2通过： SW1(config-if)#switchport trunk allowed vlan 2 进入接口模式： SW1(config)#int f0/3 修改trunk口封装为 dot1q： SW1(config-if)#switchport trunk encapsulation dot1q 将端口类型改成trunk： SW1(config-if)#switchport mode trunk 在f0/3上只允许vlan3通过： SW1(config-if)#switchport trunk allowed vlan 3 l 配置范围： 网络中所有交换机干道接口 2.7 对存在环路的设备开启STP协议 SW1、SW2、SW3处在同一个网络环路当中，为了防止网络环路的出现，应该在这网络中的3台交换机都启用STP协议，由于cisco交换机默认是开启STP协议PVST的，所以可以show spanning-tree [brief]查看每台交换机的生成树情况。 l 配置方式： 在全局模式下： SW1(config)#spanning-tree vlan 1 l 配置范围： 每台交换机在全局模式下开启 2.8 开启交换设备的STP TC 保护功能 l 配置方式： 在系统模式下： [SW1] stp tc-protection enable 其他两台交换机需要同样配置 l 使用范围： 所有H3C交换机 2.9 STP环路保护 环路中有3台交换机，SW1、SW2、SW3；其中SW1为网络中的根桥，SW3的f0/2是阻塞端口，f0/3是根端口。由于SW2 — SW3的链路在SW3的f0/2口出现故障，导致f0/2无法正常接收到BPDU，SW3将会在20s老化时间后从f0/2发送BPDU报文。这样导致的结果是环路中的所有接口都是处于forwarding状态，因此就出现了因单向链路而出现的环路现象。 l 配置方式： 方案一、可以在f0/2上或在全局模式下开启环路保护功能： 配置： 接口上进行配置： SW3(config)#int f0/2 SW3(config-if)#udld port 全局模式下进行配置： SW3(config)#udld enable 方案二、在f0/2上开启guard loop 功能： SW3(config)#int f0/2 SW3(config-if)# spanning-tree guard loop 或在全局模式下开启： SW3(config)#spanning-tree loopguard default l 使用范围： 用在光纤接口；捆绑链路接口上 2.10 合理设置网络中的主备根桥 图1.当前网络中的根桥所在位置，及桥id情况 图2.手工指定网络主备根桥的位置，及其优先级 环路中通过STP协议自行选举的根桥是SW1，但由于SW1的性能较差不适宜担当根桥的地位，而SW3是本网络中性能最佳的交换机，因此我们可以通过手工指定方式选举主根桥和备份根桥。 l 配置方式： 方案一、由于交换机选举根桥首要是依据桥id，所以我们可以通过手工降低SW2、SW3的优先级的方式来确保二者的备份根桥和根桥的地位。 SW2上的配置： Sw2#conf t SW2(config)#spanning-tree vlan 1 priority 28672 SW3上的配置： Sw3#conf t SW3(config)#spanning-tree vlan 1 priority 24576 方案二、通过直接指定根桥和备份根桥的方式来确定网络中的根桥和备份根桥： 步骤1、清除掉SW2、SW3关于STP优先级的修改： Sw2(config)#no spanning-tree vlan 1 priority 28672 sw3(config)#no spanning-tree vlan 1 priority 24576 步骤2、使SW2配置成备份根桥，将SW3配置成主根桥： sw2(config)#spanning-tree vlan 1 root secondary sw3(config)#spanning-tree vlan 1 root primary l 配置范围： 网络中性能好的交换机 2.11 STP根桥的保护 本网络总SW1为根桥，在交换机没有启用根保护机制的情况下，如果根桥收到了一个更优的BPDU信息，将会造成根桥的重新选举，造成这种原因可能是由于，网络状态不稳定或人为恶意网络攻击所造成。由于根桥状态不稳定，必然会造成链路的通信不畅以及网络震荡。为解决此问题，可以对根桥进行根桥保护，当启用了根桥保护的根桥在其某一端口收到了优先级更优的BPDU，其就会将此端口置为broken状态。在一定时间后如收不到从此接口发送的优先级更优的BPDU，交换机就会重新将此端口置为正常UP状态。 l 配置方式： 在根桥SW1的两端口进行配置： Sw1(config)#int f0/1 Sw1(config-if)#spanning-tree guard root Sw1(config)#int f0/3 Sw1(config-if)#spanning-tree guard root l 配置范围： 1、 用在核心交换机下行连接交换机的端口上； 2、 用在汇聚层交换机下行连接交换机的端口上。 2.12 接入层交换机连接终端设备的优化 如图： 如图所示：在本网络SW4为接入层交换机，其下行链路端口f0/2、f0/3分别连接了一台Server、一台PC。由于接入层的终端设备是不参与STP计算的，因此为了使得网络收敛更快同时为了避免来自底层设备对STP网络的攻击，因此应该将SW4连接Server的f0/2关闭掉STP功能；同时针对f0/3应将其端口置为portfast 边缘端口。 l 配置方式： 1、将f0/2端口关闭STP功能： Sw4(config)#int f0/2 Sw4(config-if)#no spanning-tree vlan 1 2、将f0/3置为portfast并进行bpdu保护： Sw4(config)#int f0/3 Sw4(config-if)#spanning-tree bpduguard enable Sw4(config-if)#spanning-tree portfast l 配置范围： 配置在连接终端设备或接入层交换机上