Защита протокола STP на коммутаторах Huawei

Коммутаторы Huawei Quidway, аналогично коммутаторам Cisco Catalyst, позволяют настраивать безопасность протокола STP.
Доступно:
— bpdu protection
— root protection
— loop protection

Кроме этого можно включать режим на портах «edged port» (аналог port fast на коммутаторах Cisco Catalyst).

Edged port — функция, которая позволяет порту пропустить состояния listening и learning и сразу же перейти в состояние forwarding. Настраивается на портах уровня доступа, к которым подключены пользователи или сервера.

Цель функции Port Fast минимизировать время, которое необходимо для того чтобы порт перешел в состояние forward. Поэтому она эффективна только когда применена к портам, к которым подключены хосты. Если включить Port Fast на портах, которые соединены с другими коммутаторами, то есть риск создания петли. Включение этой функции, так же препятствует возникновению сообщений о изменении состояния порта TCN BPDU (topology change notification Bridge Protocol Data Unit) ©
Настройка:
Включается на определенных портах:

[Quidway]int Ethernet0/0/1
[Quidway-Ethernet0/0/1]stp edged-port enable

Функция включается на конечных коммутаторах доступа, к которым подключены пользователи. При включении данной функции рекомендуется включать функцию bpdu protection.
BPDU protection. При получении пакета bpdu на порту – порт выключается. Включается глобально на коммутаторе, но применяется для портов, на которых включена функция edged port.

Настройка
Глобально включается

[Quidway]stp bpdu-protection

Функция включается на конечных коммутаторах доступа, к которым подключены пользователи.

BPDU filtering. После включения функции, порт не принимает и не отправляет BPDU.

Настройка
Глобально включается

[Quidway]stp bpdu-filter default

При включении данной функции глобально, она применится на портах с включенной функцией edged port.

Для включения на интерфейсе

[Quidway]int Ethernet0/0/1
[Quidway-Ethernet0/0/1]stp bpdu-filter enable

Root protection. Если функция включена на интерфейсе, то при получении на нём BPDU лучшего, чем текущий корневой коммутатор, порт переходит в состояние root-inconsistent (эквивалентно состоянию listening). После того как порт перестает получать BPDU, он переходит в нормальное состояние ©

Настройка:
Функция включается на интерфейсе:

[Quidway]int Ethernet0/0/1
[Quidway-Ethernet0/0/1]stp root-protection

Данную функцию рекомендуется включать на портах корневого коммутаторе.

Loop protection. Одна из проблем с STP, это то что само оборудование которое его использует может быть причиной сбоя и быть причиной создания петли. Для предотвращения подобных сбоев и был создана команда Loop Guard. Loop Guard — обеспечивает дополнительную защиту на 2 уровне от возникновения петель. STP петля возникает когда блокированный порт в избыточной топологии ошибочно переводится в состояние forwarding(передачи). Это может возникнуть, например, когда блокированный STP порт перестаёт получать BPDU. Так как работа протокола STP полагается на постоянное присутствие BPDU пакетов в сети.(Designated (назначенный) порт постоянно должен передавать BPDU пакеты, а non-designated должен их получать). Как только на порт перестают поступать BPDU, STP понимает это как изменение топологии и исчезновение петли и переводит порт в состояние forwarding. В случае использования Loop Guard порт после прекращения получения пакетов BPDU переводится в состояние loop-inconsistent и остаются по прежнему блокированным. Как только на порт снова начинают поступать BPDU порт переводится в состояние согласно содержанию пакетов BPDU. ©

Настройка:
Функция включается на интерфейсе:

[Quidway]int Ethernet0/0/1
[Quidway -Ethernet0/0/1] stp loop-protection

Loop guard должен быть включен на root и alternate портах.

Взято отсюда.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

ipv6 ready