STP保护机制

2022-07-21

STP保护机制

1
2
3

sw2#show spanning-tree summary totals---查看生成树汇总信息

Switch(config)#no spanning-tree vlan 1 ---关闭vlan1生成树功能

一、BPDUGuard：BPDU防护

避免开启了Portfast特性的接口错误的接入进交换机，如果发现，就逻辑的将接口关闭掉

1、基本配置：

（1）思科：

1 2	sw2(config-if)#spanning-tree bpduguard enable sw2(config)#spanning-tree portfast edge bpduguard default

（2）华为/华三：

1	[Huawei]stpbpdu-protection

2、日志信息：

1
2

*Jul 13 06:08:37.727: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Et0/2 with BPDU Guard enabled. Disabling port.
*Jul 13 06:08:37.727: %PM-4-ERR_DISABLE: bpduguard error detected on Et0/2, putting Et0/2 in err-disable state

err-disable：错误禁用状态，处于这个状态的接口会被shutdown

恢复：

（1）自动恢复

（2）手动恢复：

先shutdown再no shutdown

二、BPDUFilter：BPDU过滤

避免开启了Portfast特性的接口错误的接入进交换机

1、基本配置：

（1）思科：

1
2
3

sw2(config-if)#spanning-tree bpdufilter enable---在接口下开启的话 ，不接收也不发送BPDU，，仍然处于转发状态（该接口生成树功能被关闭，不建议开启）

sw2(config)#spanning-tree portfast edge bpdufilter default---在全局下开启的话，一旦接收到BPDU，接口就会变成普通的STP接口

（2）华为/华三：

1	[SW]stp bpdu-filter default

三、ROOTGuard：根防护

能够保障根桥的地位，只能在接口下开启，一般部署在接入层和汇聚层之间的接口上，一旦检测到更有的BPDU，也不会改变根桥的地位

1、基本配置：

（1）思科：

1	sw1(config-if)#spanning-tree guard root

（2）华为/华三：

1	[SW-GigabitEthernet0/0/1]stproot-protection

2日志信息：

*Jul 13 06:31:40.416: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port Ethernet0/1 on VLAN0001.


*ROOT_Inc ：根不一致状态

四、LOOPGuard：环路防护

用于解决单向链路的问题，防止阻塞接口处于转发状态，开启了loopguard之后，没有接收到BPDU还是会处于阻塞状态

1、基本配置：

（1）思科：

1	sw3(config-if)#spanning-tree guard loop

（2）华为/华三：

1	[SW-GigabitEthernet0/0/1]stp loop-protection

2、日志信息：

1	*Jul 13 06:43:01.293: %SPANTREE-2-LOOPGUARD_BLOCK: Loop guard blocking port Ethernet0/0 on VLAN0001.

五、UDLD：单向链路检测，思科私有

针对光纤链路的错误连接，检测链路是否存在单向链路，双方设备都支持UDLD

1、模式：

（1）普通模式：

可以检测单向链路，并且会标记端口，同时产生日志信息提示

（2）积极模式：

可以检测单向链路，会尝试建立UDLD关系，一旦检测到对方未响应，会将接口置于err-disable状态

2、基本配置：

（1）普通模式：

1 2	sw1(config)#udld enable sw1(config-if)#udld port

（2）积极模式：

1 2	sw1(config)#udld aggressive sw1(config-if)#udld port aggressive

六、防TC-BPDU攻击：华为/华三设备支持

交换机在接收到TC-BPDU的时候会将自身mac地址表表项删除，若有人恶意频繁的发送大量的TC-BPDU，会导致交换机频繁的清空自身的mac地址表，给设备造成负担

1、基本配置：

1 2	[SW]stptc-protection [SW]stptc-protection threshold 10

七、FLEX Link：

是STP的替代方案，启用了改特性的交换机无需参与生成树的选举就能避免环路，无法实现负载均衡

1 2	sw3(config)#int e0/1 sw3(config-if)#switchport backup int e0/0

八、SMART Link：华为/华三私有

1、作用

实现主备设备链路的快速切换，亚秒级

2、部署环境：

专用于双上行组网

3、概念：

（1）smart link组

灵活链路组

每个组里包含两个端口，主端口和副端口

（2）flush

当smart link组发生链路切换时，通过发送flush报文进行mac地址表的刷新，同时流量不会做中断

4、运作机制：

（1）链路备份机制

（2）角色抢占机制

5、基本配置：

[H3C]smart-link group 1
[H3C-smlk-group1]protected-vlan reference-instance 0
[H3C-smlk-group1]flush enable control-vlan 1
[H3C-smlk-group1]port GigabitEthernet 1/0/1 primary 
[H3C-smlk-group1]port GigabitEthernet 1/0/2 secondary 
[H3C-smlk-group1]preemption mode role

九、MONITOR Link：

配合smart link一起使用，防止上行链路出现故障，导致数据中断

1、概念：

monitor link组里有上行链路和下行链路，每条链路中可以有多个端口成员，上行链路和下行链路的状态是一致的

2、基本配置：

1
2
3

[H3C]monitor-link group 1
[H3C-mtlk-group1]port GigabitEthernet 1/0/1 uplink 
[H3C-mtlk-group1]port GigabitEthernet 1/0/2 downlink

十、LOOPBACK Detection：环回检测

1、作用

通过发送环回检测报文来判断是否产生环路，如果检测出环路，就会发送告警信息，将接口置于禁用状态

2、基本配置：

[sw1-GigabitEthernet0/0/1]loopback-detect enable  
[sw1-GigabitEthernet0/0/1]loopback-detect packet vlan 100
[sw1-GigabitEthernet0/0/1]loopback-detect recovery-time 30
[sw1-GigabitEthernet0/0/1]loopback-detect action ?
  block     Block port
  nolearn   Nolearning port
  shutdown  Shutdown port
  trap      Trap only

[sw1]dis loopback-detect