生成树BPDUGuard和错误接口自动恢复
跑步 生成树协议 大型网络环境中的(STP)可能是一项具有挑战性的任务,尤其是在诸如以下功能/增强功能时 BPDU 过滤器 和 BPDU 防护 需要配置以帮助STP适应网络基础架构要求。
成功部署STP的关键是了解如何使用和实施每个STP功能。
了解和配置BPDU Guard
BPDU 防护 是STP增强功能,启用后会将端口放置在 错误的 当它从该端口接收到任何BPDU数据包时,该模式为“ mode”。
BPDU 防护 通常是在访问层端口上配置的,在这些端口上我们不希望看到连接到这些端口的设备(例如计算机,打印机,IP电话或其他用户端设备)收到的任何BPDU数据包。
用作其他交换机的上行链路或下行链路的端口应 不 有 BPDU 保护已启用 因为当交换机主动监视网络环路时,它们更有可能发送和接收BPDU数据包。
BPDU 防护 可以在 全局模式 要么 接口方式.
当在 全局模式 功能是 全局启用 对于配置了所有的交换机端口 端口快速配置. 快速港口 是在每个单独的端口上配置的STP功能,该功能会强制端口进入 直接进入转发状态 而不是通过正常的STP状态(监听,学习,转发)。
而 快速端口 是一项非常方便的功能,可强制网络端口立即转换为转发状态(类似于非托管交换机),因此请务必谨慎使用,因为STP无法立即通过网络检测到网络环路。 启用端口快速的端口.
配置 BPDU 防护 在 全局模式 使用 生成树portfast bpduguard 缺省 命令输入 全局配置模式:
SW2(配置)# 生成树portfast bpduguard 缺省
配置 BPDU 防护 在 接口方式 使用 生成树bpduguard启用 界面下的命令:
SW2(config-if)# 生成树bpduguard启用
注意: 请务必记住,如果将接口配置为 接入端口 , 与 启用端口快速, 和 接收BPDU报文 它会自动 残障人士 放在一个 错误状态.
为了帮助说明BPDU Guard的工作原理,我们配置了 端口G1 / 0/1 在我们的3750-X上作为访问链接 快速端口 和 BPDU 防护 已启用:
图1.生成树BPDU Guard的配置和示例
接口GigabitEthernet1 / 0/1
切换端口模式访问
交换端口访问VLAN 2
生成树portfast
生成树bpduguard启用
接下来,我们将另一个运行生成树协议的交换机(恶意交换机)连接到SW2上的端口G1 / 0/1。在G1 / 0/1上收到BPDU数据包后,SW2的反应如下:
* 10月5日02:41:21.821:%SPANTREE-2-BLOCK_BPDUGUARD:启用了BPDU保护功能的端口Gi1 / 0/1上接收到BPDU。 禁用端口.
* 10月5日02:41:21.830:%PM-4-ERR_DISABLE:在Gi1 / 0/1上检测到bpduguard错误,将Gi1 / 0/1放入 错误禁用状态
* 10月5日02:41:22.803:%LINEPROTO-5-UPDOWN:接口GigabitEthernet1 / 0/1上的线路协议,状态更改为down
* 10月5日02:41:23.835:%LINK-3-UPDOWN:接口GigabitEthernet1 / 0/1,状态更改为“ down”
如预期的那样,该端口被生成树协议自动禁用。
注意:如果接口G1 / 0/1被配置为 中继端口 并收到了 BPDU 数据包 , 它会 不被禁用.
由于BPDU保护而从禁用的端口恢复
有多种方法可以从已放置在 错误状态 而当今工程师最常用的方式是发布 关掉 命令后跟 没有关机 直接在界面的配置下执行命令。
自动恢复已禁用的端口 也可以在Cisco Catalyst交换机上进行配置。此方便的功能将防止端口被永久禁用,但是,这意味着,如果连续满足接收BPDU数据包的端口的有害条件,该端口将在 向上 和 错误的 州。
因此,建议使用 自动错误恢复功能 仅在绝对必要的情况下,例如对于难以访问的远程交换机。
SW2(配置)# 错误恢复导致bpduguard
SW2(配置)# 错误恢复间隔30
SW2(配置)# 错误恢复间隔30
上面的全局配置将恢复 错误的端口 , 由于 bpduguard ,每30秒自动进行一次。
结论
增强了许多功能。 生成树协议 以使其灵活应对当今日益复杂和苛刻的网络。使用 增强的STP功能 喜欢 BPDU Guard 帮助 保护网络免受恶意交换机的攻击 和 避免不必要的STP拓扑更改, 但是,了解 正确使用BPDUGuard 确保正确配置并放置在STP拓扑中。
