《生成樹協(xié)議與端口安全》由會員分享�����,可在線閱讀,更多相關(guān)《生成樹協(xié)議與端口安全(20頁珍藏版)》請在裝配圖網(wǎng)上搜索����。
1、 4.1 生 成 樹 協(xié) 議 4.1.1 生 成 樹 協(xié) 議 的 作 用 功 能 強(qiáng) 大 �����、 可 靠 的 網(wǎng) 絡(luò) 需 要 有 效 地 傳 輸 流量 �����, 提 供 冗 余 和 故 障 的 快 速 恢 復(fù) 功 能 。 在 第 2層網(wǎng) 絡(luò) 中 , 路 由 協(xié) 議 不 可 用 �����, 生 成 樹 協(xié) 議 通 過 從軟 件 層 面 修 改 網(wǎng) 絡(luò) 物 理 拓 撲 結(jié) 構(gòu) 來 構(gòu) 建 一 個 無環(huán) 路 邏 輯 轉(zhuǎn) 發(fā) 拓 撲 結(jié) 構(gòu) �����, 提 供 了 物 理 線 路 的 冗余 連 接 ��, 消 除 了 網(wǎng) 絡(luò) 風(fēng) 暴 , 從 而 提 高 網(wǎng) 絡(luò) 的 穩(wěn)定 性 和 減 少 網(wǎng) 絡(luò) 故 障 的 發(fā) 生 率 �。 4.1
2、生 成 樹 協(xié) 議4.1.2 生 成 樹 協(xié) 議 的 原 理生 成 樹 協(xié) 議 ( Spanning Tree Protocol) 是 在 網(wǎng) 絡(luò) 有 環(huán) 路 時 �, 通 過 一定 的 算 法 將 交 換 機(jī) 的 某 些 端 口 進(jìn) 行 阻 塞 , 從 而 使 網(wǎng) 絡(luò) 形 成 一 個無 環(huán) 路 的 樹 狀 結(jié) 構(gòu) �。1、 生 成 樹 協(xié) 議 的 工 作 過 程采 用 三 個 規(guī) 則 來 使 某 個 端 口 進(jìn) 入 轉(zhuǎn) 發(fā) 狀 態(tài) :l 生 成 樹 協(xié) 議 選 擇 一 個 根 網(wǎng) 橋 ��, 根 網(wǎng) 橋 的 所 有 端 口 都 處 于 轉(zhuǎn) 發(fā) 狀態(tài)l 每 一 個 非 根 網(wǎng) 橋 選 一 個 端 口
3�、到 根 網(wǎng) 橋 中 且 管 理 成 本 最 低 的 端 口作 為 根 端 口 , 生 成 樹 協(xié) 議 將 使 根 端 口 處 于 轉(zhuǎn) 發(fā) 狀 態(tài)l 當(dāng) 網(wǎng) 絡(luò) 中 有 多 個 網(wǎng) 橋 時 ��, 它 們 會 將 其 到 根 網(wǎng) 橋 的 管 理 成 本 宣 告出 去 �, 其 中 管 理 成 本 最 低 的 網(wǎng) 橋 作 為 指 定 網(wǎng) 橋 , 指 定 網(wǎng) 橋 中 發(fā) 送 最 低 管 理 成 本 BPDU的 端 口 為 指 定 端 口 �����, 該 端 口 處 于 轉(zhuǎn) 發(fā) 狀態(tài) �����, 所 有 其 他 端 口 被 置 為 阻 塞 狀 態(tài) 2��、 根 網(wǎng) 橋 的 選 擇開 始 所 有 網(wǎng) 橋 都 通 過 發(fā) 送 ST
4�、P報 文 來 聲 明 自 己 是 根 網(wǎng) 橋 �����, 這 些 交 換信 息 的 數(shù) 據(jù) 成 為 網(wǎng) 橋 協(xié) 議 數(shù) 據(jù) 單 元 ( BPDU) ��, BPDU包 含 以 下內(nèi) 容 :l 根 網(wǎng) 橋 的 IDl 一 個 可 設(shè) 置 的 優(yōu) 先 級 這 是 根 網(wǎng) 橋 的 優(yōu) 先 級l 到 達(dá) 根 網(wǎng) 橋 的 成 本l 發(fā) 送 該 BPDU的 網(wǎng) 橋 ID根 網(wǎng) 橋 的 選 擇 條 件 :l 最 小 優(yōu) 先 級 別 的 網(wǎng) 橋 將 成 為 根 網(wǎng) 橋l 若 優(yōu) 先 級 別 相 同 �, 則 具 有 最 小 網(wǎng) 橋 ID的 網(wǎng) 橋 成 為 根 網(wǎng) 橋注 : 網(wǎng) 橋 或 交 換 機(jī) 選 擇 地 址 池 中 的
5�、 一 個 MAC地 址 作 為 網(wǎng) 橋 的 ID,由 于 MAC地 址 的 唯 一 性 �����, 所 以 網(wǎng) 橋 ID也 是 唯 一 的 �。用 來 標(biāo) 識 根 網(wǎng) 橋 和 優(yōu) 先 級 �、 網(wǎng) 橋 ID和 成 本 的 報 文 成 為 hello數(shù) 據(jù) 包 。 STP就 是 通 過 hello數(shù) 據(jù) 包 中 的 內(nèi) 容 來 判 斷 網(wǎng) 絡(luò) 中 是 否 有 比 自 己更 合 適 作 為 根 網(wǎng) 橋 的 網(wǎng) 橋 �����, 如 果 有 就 停 止 并 且 轉(zhuǎn) 發(fā) 合 適 網(wǎng) 橋 的hello數(shù) 據(jù) 包 �����, 最 終 將 有 一 臺 網(wǎng) 橋 成 為 根 網(wǎng) 橋 �。 3�����、 根 端 口 的 選 擇不 是 根 網(wǎng) 橋 的 交
6�����、 換 機(jī) 都 選 擇 一 個 根 端 口 ��, 這 是 通 過 判 斷 出有 最 小 根 路 徑 成 本 的 端 口 做 到 的 �, 這 個 代 價 一 直 帶 在BPDU上 ��, 沿 途 的 每 臺 不 是 根 網(wǎng) 橋 的 交 換 機(jī) 都 把 接 收BPDU的 端 口 的 本 地 端 口 成 本 加 上 去 �����, 伴 隨 BPDU的 產(chǎn) 生 �,就 累 加 出 了 根 路 徑 成 本 。4�����、 制 定 端 口 的 選 擇在 每 個 網(wǎng) 段 上 選 擇 一 個 交 換 機(jī) 端 口 處 理 該 網(wǎng) 絡(luò) 的 流 量 ��, 在網(wǎng) 段 內(nèi) 最 小 根 路 徑 成 本 的 端 口 就 為 指 定 端 口 。5��、 刪
7��、 除 橋 接 環(huán)既 不 是 根 端 口 也 不 是 指 定 端 口 的 交 換 機(jī) 端 口 被 設(shè) 為 阻 塞 狀態(tài) �。 這 一 步 斷 開 了 不 設(shè) 置 阻 塞 將 會 形 成 的 所 有 橋 接 環(huán) 。 6�、 生 成 樹 協(xié) 議 的 端 口 狀 態(tài)l 禁 用 ( Disabled) 關(guān) 閉 的 端 口 。l 阻 塞 ( Blocking) 不 能 接 收 或 傳 輸 數(shù) 據(jù) ��, 不 能 把 MAC地 址 加 入它 的 地 址 表 �, 只 能 接 收 BPDU。l 監(jiān) 聽 ( Listening) 由 根 端 口 或 指 定 端 口 擔(dān) 任 ��, 不 能 接 收 或 傳 輸數(shù) 據(jù) �����, 不 能
8��、 把 MAC地 址 加 入 它 的 地 址 表 ��, 只 能 接 收 或 發(fā) 送BPDU�����。l 學(xué) 習(xí) ( Learning) 在 轉(zhuǎn) 發(fā) 延 時 ( Forward Delay) 計 時 時 間 ( 默認(rèn) 15s) 后 �����, 端 口 進(jìn) 入 學(xué) 習(xí) 狀 態(tài) �����。 不 能 傳 輸 數(shù) 據(jù) �, 但 可 接 收 或發(fā) 送 BPDU, 可 學(xué) 習(xí) MAC地 址 并 加 入 它 的 地 址 表 �。l 轉(zhuǎn) 發(fā) ( Forwarding) 在 下 次 轉(zhuǎn) 發(fā) 延 時 ( Forward Delay) 計 時 時間 ( 默 認(rèn) 15s) 后 , 端 口 進(jìn) 入 轉(zhuǎn) 發(fā) 狀 態(tài) �����。 能 接 收 或 傳 輸 數(shù) 據(jù) ��,
9�、能 學(xué) 習(xí) MAC地 址 并 加 入 它 的 地 址 表 , 也 可 接 收 或 發(fā) 送 BPDU�����。 4.1.3 快 速 生 成 樹 協(xié) 議STP的 缺 陷 :當(dāng) 拓 撲 結(jié) 構(gòu) 發(fā) 生 變 化 時 ��, 新 的 配 置 消 息 要 經(jīng) 過 一個 時 延 ( Forward Delay, 默 認(rèn) 值 為 15s) 才 能 傳播 到 整 個 網(wǎng) 絡(luò) �。 此 時 拓 撲 結(jié) 構(gòu) 中 應(yīng) 該 停 止 轉(zhuǎn) 發(fā)的 端 口 若 仍 然 在 進(jìn) 行 轉(zhuǎn) 發(fā) 活 動 , 就 有 可 能 產(chǎn) 生臨 時 環(huán) 路 �����。 為 解 決 此 問 題 �, 生 成 樹 使 用 了 一 種定 時 器 策 略 , 即 在 端 口 從
10�����、 阻 塞 狀 態(tài) 到 轉(zhuǎn) 發(fā) 狀 態(tài)之 間 加 入 一 個 只 學(xué) 習(xí) MAC地 址 但 不 參 與 轉(zhuǎn) 發(fā) 的中 間 狀 態(tài) �, 兩 次 狀 態(tài) 切 換 的 時 間 長 度 都 是Forward Delay, 這 樣 就 保 證 了 在 拓 撲 結(jié) 構(gòu) 變 化時 不 會 產(chǎn) 生 臨 時 環(huán) 路 的 問 題 �����。 但 這 個 方 法 需 要至 少 兩 倍 的 Forward Delay收 斂 時 間 ��。 為 解 決 STP協(xié) 議 的 這 個 缺 陷 �, IEEE推 出 了 802.1W標(biāo) 準(zhǔn) , 作為 對 802.1D標(biāo) 準(zhǔn) 的 補(bǔ) 充 �����, 它 定 義 了 快 速 生 成 樹 協(xié) 議 RSTP�,
11、此 協(xié) 議 作 了 以 下 三 點 改 進(jìn) ��, 使 收 斂 速 度 快 了 很 多 ( 最 快1s以 內(nèi) ) �。l 改 進(jìn) 1: 為 根 端 口 和 指 定 端 口 設(shè) 置 了 快 速 切 換 用 的 替 換 端口 ( Alternate Port) 和 備 份 端 口 ( Backup Port) 兩 種角 色 , 當(dāng) 根 端 口 /指 定 端 口 失 效 的 情 況 下 �, 替 換 端 口 /備份 端 口 就 會 無 時 延 地 進(jìn) 入 轉(zhuǎn) 發(fā) 狀 態(tài) 。l 改 進(jìn) 2: 在 只 連 接 了 兩 個 交 換 端 口 的 點 對 點 鏈 路 中 �, 指 定端 口 只 需 與 下 游 網(wǎng) 橋
12、進(jìn) 行 一 次 握 手 就 可 以 無 時 延 地 進(jìn) 入轉(zhuǎn) 發(fā) 狀 態(tài) �。l 改 進(jìn) 3: 直 接 與 終 端 相 連 而 不 是 把 其 他 網(wǎng) 橋 相 連 的 端 口 定義 為 邊 緣 端 口 ( Edge Port) 。 邊 緣 端 口 可 以 直 接 進(jìn) 入 轉(zhuǎn)發(fā) 狀 態(tài) �, 不 需 要 任 何 延 時 。 4.1.4 VLAN快 速 生 成 樹 協(xié) 議 每 個 VLAN都 生 成 一 棵 樹 是 一 種 比 較 直 接 �����, 而 且最 簡 單 的 解 決 方 法 �, 能 夠 保 證 每 一 個 VLAN都不 存 在 環(huán) 路 。 但 這 種 方 式 工 作 的 生 成 樹 協(xié) 議 �,各
13、 廠 商 標(biāo) 準(zhǔn) 都 不 同 �����, 可 能 無 法 兼 容 。 如 Cisco的VLAN生 成 樹 PVST( Per VLAN Spanning Tree)和 PVST+�����。4.1.5 多 實 例 生 成 樹 協(xié) 議 ( MISTP)多 實 例 生 成 樹 協(xié) 議 是 基 于 實 例 的 �����, STP/RSTP是 基于 端 口 的 ��, PVST/PVST+是 基 于 VLAN的 �。 所謂 實 例 就 是 多 個 VLAN的 一 個 集 合 , 通 過 多 個VLAN捆 綁 到 一 個 實 例 中 去 的 方 法 可 以 節(jié) 省 通信 開 銷 和 資 源 占 用 率 �。 此 協(xié) 議 的 兼 容 性
14、比 較 差 ��。 4.1.6 生 成 樹 協(xié) 議 的 配 置 Sw_3550(config)# no spanning-tree vlan vlan 默 認(rèn) 下 VLAN都 啟 用 STP�����, 禁 用 STP后 ��, 就 不 能 檢 測 到 橋 接 環(huán) 和 避免 橋 接 環(huán) �, 因 此 應(yīng) 該 啟 用 。Sw_3550(config)# spanning-tree vlan vlan priority 0該 命 令 用 于 修 改 網(wǎng) 橋 的 優(yōu) 先 級 �, 若 要 設(shè) 置 根 網(wǎng) 橋 ��, 就 應(yīng) 該 將 其 設(shè)置 為 比 所 在 VLAN上 的 其 它 網(wǎng) 橋 的 優(yōu) 先 級 都 低 。Sw_35
15�����、50(config)# spanning-tree pathcost method long | short 若 帶 寬 在 10Gbps或 更 高 的 端 口 �, 應(yīng) 該 將 網(wǎng) 絡(luò) 里 每 臺 交 換 機(jī) 上 的 端口 代 價 值 取 為 long(32位 )Sw_3550(config-if)# spanning-tree guard root | none 在 端 口 或 接 口 上 啟 用 STP Root Guard功 能 。Sw_3550(config-if)# spanning-tree port-priority port-priority 設(shè) 置 所 有 VLAN的 端 口
16��、 優(yōu) 先 級 ��, 其 中 port-priority值 的 范 圍 是 0255��。Sw_3550(config-if)# spanning-tree vlan vlan-list port-priority priority 設(shè) 置 每 個 VLAN的 端 口 優(yōu) 先 級 �。 Sw_3550(config)# spanning-tree vlan vlan forward-time delay 指 定 Vlan的 轉(zhuǎn) 發(fā) 延 遲 時 間 , delay值 默 認(rèn) 15s(4s15s)Sw_3550(config)# spanning-tree vlan vlan hello-time inte
17�����、rval指 定 Vlan的 Hello( 呼 叫 ) 計 時 器 的 時 間 �, interval( 110s, 默 認(rèn) 2s)Sw_3550(config)# spanning-tree vlan vlan max-age agingtime指 定 Vlan的 最 大 老 化 時 間 �����, agingtime( 640s, 默 認(rèn) 20s)Sw_3550(config)# spanning-tree portfast在 端 口 上 啟 用 portfast功 能 �����, 以 避 免 因 端 口 上 的 狀 態(tài) 變 化 而 產(chǎn) 生 拓?fù)?結(jié) 構(gòu) 變 更 通 知 的 BPDUSw_3550(confi
18�����、g)# spanning-tree portfast bpduguard 在 全 局 狀 態(tài) 下 啟 動 portfast BPDU保 護(hù) 功 能 以 提 高 STP的 穩(wěn) 定 性Sw_3550(config)# spanning-tree portfast bpdufilter 在 全 局 狀 態(tài) 下 啟 動 portfast BPDU filter功 能 ��, 使 交 換 機(jī) 停 止 發(fā) 送BPDUSw_3550(config)# spanning-tree uplinkfast max-update-rate packets- per-second 4.1 生 成 樹 協(xié) 議Sw_3550
19��、(config)# spanning-tree backbonefast Sw_3550# show spanning-tree active detail Sw_3550# show spanning-tree backbonefast | blockedports | interface | pathcost method| summary totals | uplinkfast Sw_3550# show spanning-tree root address | cost | detail | forward-time | hello-time | id | max-age | port
20�����、 | priority system-id | vlan vlan_list active detail | blockedports | bridge address | detail | forward-time | hello-time | id | max-age | priority | protocol | detail active | inconsistentports | summary 4.1.7 生 成 樹 協(xié) 議 實 例 4.1.8 生 成 樹 協(xié) 議 總 結(jié) 4.1 生 成 樹 協(xié) 議 4.2 端 口 安 全 4.2.1 端 口 安 全 的 作 用 端 口 安 全 功
21�、 能 是 通 過 對 MAC地 址 表 的 配 置 , 來 實現(xiàn) 在 某 一 端 口 只 允 許 一 臺 或 者 幾 臺 確 定 的 設(shè) 備訪 問 此 臺 交 換 機(jī) 端 口 �����。 從 而 減 少 交 換 機(jī) 被 黑 客攻 擊 �, 增 強(qiáng) 交 換 機(jī) 的 安 全 性 , 提 高 局 域 網(wǎng) 的 安全 性 。 4.2.1 端口安全的原理端口安全是根據(jù)MAC地址表來確定允許訪問網(wǎng)絡(luò)的設(shè)備�����,其中MAC地址表記錄的是MAC地址與交換機(jī)端口的映射��,可對交換機(jī)的任一端口進(jìn)行端口安全配置��,共有三種方法:l手工設(shè)置一個或幾個固定的MAC地址l限制端口的最大MAC地址的數(shù)量l任何MAC地址都可以通過此端口訪問網(wǎng)絡(luò)
22��、��,此為默認(rèn)設(shè)置 交換機(jī)通過學(xué)習(xí)獲得MAC地址和轉(zhuǎn)發(fā)與過濾數(shù)據(jù)包的過程: 交 換 機(jī) 在 重 新 啟 動 或 手 工 清 除 MAC地 址 表 后 �,MAC地 址 表 沒 有 任 何 MAC地 址 的 記 錄 �����。 如 圖所 示 ��。 假 設(shè) 主 機(jī) A向 主 機(jī) C發(fā) 送 數(shù) 據(jù) 包 ��, 因 為 現(xiàn) 在 MAC地 址 表 為 空 �, 所 以 端 口 E0將 從 數(shù) 據(jù) 包 中 提 取 源MAC地 址 , 將 此 MAC地 址 記 錄 到 MAC地 址 表 中 �, 同時 向 其 它 所 有 的 端 口 發(fā) 送 此 數(shù) 據(jù) 包 , 如 果 某 一主 機(jī) 在 接 收 到 此 數(shù) 據(jù) 包 后 , 將 提
23��、取 目 標(biāo) MAC地 址 �,并 與 自 己 網(wǎng) 卡 的 MAC地 址 進(jìn) 行 比 較 , 如 果 相 等 ��,則 接 收 此 數(shù) 據(jù) 包 ��; 否 則 丟 棄 此 數(shù) 據(jù) 包 �����。 如 圖 所示 ��。 如 果 主 機(jī) A�、 B、 C�����、 D都 已 經(jīng) 向 其 它 主 機(jī) 發(fā)送 數(shù) 據(jù) 包 ��, 則 MAC地 址 表 將 會 有 4條 記 錄 ��。 如圖 所 示 �����。 現(xiàn) 在 假 設(shè) 主 機(jī) A向 主 機(jī) C發(fā) 送 數(shù) 據(jù) 包 , 交 換 機(jī)會 提 取 數(shù) 據(jù) 包 的 目 的 MAC地 址 �����, 通 過 查 找MAC地 址 表 ��, 有 一 條 記 錄 的 MAC地 址 與 目 的MAC地 址 相 等 �, 而 且
24、知 道 此 目 的 MAC所 對 應(yīng)的 端 口 為 E2�, 此 時 E0端 口 會 將 數(shù) 據(jù) 包 直 接 轉(zhuǎn) 發(fā)到 E2端 口 �����, 如 圖 所 示 ��。 4.2.2 端口安全的配置 端 口 安 全 就 是 指 定 允 許 接 入 到 端 口 ��, 并 利 用 該 端 口 訪 問 網(wǎng)絡(luò) 設(shè) 備 的 MAC地址�����。sw_3550(config_if)# switchport port-security 啟 用 端 口 安 全 功 能sw_3550(config_if)# switchport port-security maximum value指 定 MAC地 址 的 數(shù) 量sw_3550(config_if)# switchport port-security mac-address mac-address 手 工 指 定 可 靠 的 MAC地 址sw_3550(config_if)# switchport port-security violation protect | shutdown| restrict 指 定 端 口 所 采 取 的 措 施sw_3550# show port security interface interface-id address 顯 示 端 口 安 全 配 置
生成樹協(xié)議與端口安全
