分享 - 什么是BPDU保护,如何配置BPDU保护?

2020-11-25 16:19:16
1
简介


本文档介绍了BPDU(Bridge Protocol Data Unit)保护功能的原理以及如何配置BPDU保护功能。二层网络中部署生成树协议时,建议在边缘端口上配置BPDU保护功能,避免边缘端口受到BPDU报文攻击导致网络拓扑改变及业务流量中断,提高交换网络的可靠性和安全性。

2
什么是BPDU保护


在二层网络中,运行生成树协议(STP/RSTP/MSTP/VBST)的交换机之间通过交互BPDU报文进行生成树计算,将环形网络修剪成无环路的树形拓扑。生成树协议部署时通常将交换机与用户终端(如PC)或文件服务器等非交换设备相连的端口配置为边缘端口。边缘端口不参与生成树计算,可以由Disable直接转到Forwarding状态,且不经历时延,就像在端口上将生成树协议禁用。网络中用户终端频繁上下线时,部署边缘端口可以避免交换机不断地重新计算生成树拓扑,增强网络的可靠性。

如图1-1所示,将S4、S5、S6上与PC相连的端口设置为边缘端口。正常情况下,边缘端口不会收到BPDU。但如果有人伪造BPDU恶意攻击交换机,当边缘端口接收到BPDU时,交换机会自动将边缘端口设置为非边缘端口,并重新进行生成树计算。当攻击者发送的BPDU报文中的桥优先级高于现有网络中根桥优先级时会改变当前网络拓扑,可能会导致业务流量中断。
图1-1 BPDU保护

BPDU保护

交换机上启动了BPDU保护功能后,如果边缘端口收到BPDU,边缘端口将被shutdown,但是边缘端口属性不变,因此不会影响网络中生成树拓扑,从而避免业务中断。同时交换机上会打印如下日志信息,并通知网管:
MSTP/4/BPDU_PROTECTION:This edged-port [port-name] that enabled BPDU-Protection will be shutdown, because it received BPDU packet!


3
如何配置BPDU保护


# 在系统视图下执行命令stp bpdu-protection,配置BPDU保护功能。
system-view
[HUAWEI] stp bpdu-protection
配置完成后,可以在任意视图下执行命令display stp active,根据回显中BPDU-Protection字段查看BPDU保护功能的使能状态。

display stp active

-------[CIST Global Info][Mode MSTP]-------

CIST Bridge         :61440.781d-ba56-f06c

Config Times        :Hello 2s MaxAge 20s FwDly 15s MaxHop 20

Active Times        :Hello 2s MaxAge 20s FwDly 15s MaxHop 20

CIST Root/ERPC      :61440.781d-ba56-f06c / 0 (This bridge is the root)

CIST RegRoot/IRPC   :61440.781d-ba56-f06c / 0 (This bridge is the root)

CIST RootPortId     :0.0

BPDU-Protection     :Enabled

配置BPDU保护功能后,如果希望边缘端口收到BPDU报文后恢复Up状态,可通过如下两种方式实现:
手工恢复(适用于边缘端口收到BPDU报文后已经shutdown的情况)

在接口视图下执行命令restart或者undo shutdown

自动恢复(适用于边缘端口收到BPDU报文前预先配置)
在系统视图下执行命令error-down auto-recovery cause bpdu-protection interval interval-value,使能端口自动恢复为Up的功能,并设置端口自动恢复为Up的延迟时间。
配置自动恢复功能后,边缘端口收到BPDU报文会先切换到error-down状态,经过延迟时间interval-value后自动恢复为Up状态。interval-value的取值设置越小,端口自动恢复为Up的延迟时间越短,端口Up/Down状态震荡频率越高;interval-value的取值设置越大,端口自动恢复为Up的延迟时间越长,端口流量中断时间越长。

来源 | 华为论坛

电话咨询
最新产品
官方商城
QQ客服