生成树协议(STP)由BPDU消息检测环路,如果一台交换机不同端口同时收到另一台交换机的BPDU消息,则判定网络存在环路,然后阻塞冗余端口,达到消除环路、维护网络稳定目的。
由于生成树是通过比较交换机Bridge-ID的优先级,从而选出根交换机,这一选举过程是动态进行的。根交换机是可预见的,一般选择网络核心交换机为根交换机。但如果生成树缺乏防护,新增交换机可能会抢占根交换机角色;单向链路故障可能会导致网络环路;主机BPDU欺骗可能造成VLAN信息泄露等。
快速端口
交换机端口连接设备后,由于需要生成树计算,端口经历关闭、阻塞、监听、学习和转发五种状态,大约需要30秒钟。如果交换机端口连接的不是网络设备而是终端主机,生成树计算是没有必要的。即终端主机连接交换机,端口应该立即进入转发状态,无需等待30秒钟。如果交换机连接的是实时性要求较高的服务器系统,在端口需要重启或者更换线路时,等待30钞钟是灾难性的,不可接受的。因此,需要将端口配置成快速端口,让端口绕过监听和学习状态,直接转发,实现“秒开”。
快速端口和后面介绍的几种防护一样,可以全局配置,也可以端口配置,建议使用端口配置,以实现端口精细化管理。
使用范围:与终端主机相连的接入层交换机端口。
配置:
BPDU 防护
前面的快速端口,主要针对连接终端主机的交换机端口。如果快速端口或普通接入端口错误地连接了交换机,或者连接的主机有BPDU欺骗行为等,可能会对网络安全和网络稳定造成影响,这是我们不希望看到的。由于生成树需要BPDU消息来维护,那么错误接入的交换机会立即发送BPDU消息,只要接入端口拒绝接收和发送BPDU消息,即可有效保护网络生成树。BPDU防护正是利用这个原理,当受防护端口接收到BPDU信息,受防护端口立即做出反应,使端口进入Shutdown状态或者Errdisabled状态。BPDU防护不能和根防护同时配置。
使用范围:与终端主机相连的接入层交换机端口和网络其他空闲交换机端口。
配置:
BPDU 过滤
BPDU过滤与BPDU防护类似,如果接入端口错误连接了交换机,或连接的主机有BPDU欺骗行为等,接入端口将直接丢弃所收到的BPDU消息,从而保护网络生成树。BPDU过滤与BPDU防护无需同时配置,只要其一即可;如果同时配置,BPDU过滤优先于BPDU防护;BPDU过滤不能和根防护同时配置。
使用范围:与终端主机相连的接入层交换机端口和网络其他空闲交换机端口。
配置:
根防护
一个稳定的生成树对网络安全至关重要。由于根交换机的选举是动态进行的,Bridge-ID值越低则优先级就越高。因此网络设计时,根交换机是可以预见的。
如果网络需要接入新的交换机,且此交换机被错误配置了较低的Bridge-ID值(比根交换机还低),该交换机会被选为根交换机,网络重新收敛会造成中断,这是致命的。而且新的根交换机出现,改变了网络拓扑结构,可能使网络出现严重瓶颈。
如果网络需要接入新的交换机,而这台交换机要成为根交换机,与之相连的网络接口,就必须成为根端口。据此,只要不让与之相连的网络接口成为根端口,新接入的交换机就不会对网络造成影响,这就是根防护。根防护和BPDU防护(BPDU过滤)不能同时配置,根防护和环路防护也不能同时配置。
使用范围:网络中可能连接交换机的端口,一般在汇聚层下行端口启用。
配置:
环路防护
在存在多条冗余链路的网络中,在生成树作用下,只保留一条活动链路,其他冗余链路被阻塞,从而保证网络没有环路。假设某条被阻塞的冗余链路,两端所连端口分别为端口A和端口B,正常情况端口A和端口B可以相互收发BPDU消息,其中一个端口为指定端口,另一个端口为阻塞端口。如果端口A或端口B出现单向链路故障,导致端口只能接收不能发送BPDU消息,或只能发送不能接收BPDU消息,其后果是生成树认为网络无环,端口A和端口B都进入转发状态,从而引发网络广播风暴。
如果端口A或端口B出现单向链路故障,生成树不会认为网络无环,而是让相应端口进入Loopinconsistent状态,从而避免网络环路情况发生,这就是环路防护。环路防护和根防护不能同时配置。
