生成树协议与端口安全

4.1 生 成 树 协 议 4.1.1 生 成 树 协 议 的 作 用 功 能 强 大 、 可 靠 的 网 络 需 要 有 效 地 传 输 流量 ， 提 供 冗 余 和 故 障 的 快 速 恢 复 功 能 。 在 第 2层网 络 中 ， 路 由 协 议 不 可 用 ， 生 成 树 协 议 通 过 从软 件 层 面 修 改 网 络 物 理 拓 扑 结 构 来 构 建 一 个 无环 路 逻 辑 转 发 拓 扑 结 构 ， 提 供 了 物 理 线 路 的 冗余 连 接 ， 消 除 了 网 络 风 暴 ， 从 而 提 高 网 络 的 稳定 性 和 减 少 网 络 故 障 的 发 生 率 。 4.1 生 成 树 协 议4.1.2 生 成 树 协 议 的 原 理生 成 树 协 议 （ Spanning Tree Protocol） 是 在 网 络 有 环 路 时 ， 通 过 一定 的 算 法 将 交 换 机 的 某 些 端 口 进 行 阻 塞 ， 从 而 使 网 络 形 成 一 个无 环 路 的 树 状 结 构 。1、 生 成 树 协 议 的 工 作 过 程采 用 三 个 规 则 来 使 某 个 端 口 进 入 转 发 状 态 ：l 生 成 树 协 议 选 择 一 个 根 网 桥 ， 根 网 桥 的 所 有 端 口 都 处 于 转 发 状态l 每 一 个 非 根 网 桥 选 一 个 端 口 到 根 网 桥 中 且 管 理 成 本 最 低 的 端 口作 为 根 端 口 ， 生 成 树 协 议 将 使 根 端 口 处 于 转 发 状 态l 当 网 络 中 有 多 个 网 桥 时 ， 它 们 会 将 其 到 根 网 桥 的 管 理 成 本 宣 告出 去 ， 其 中 管 理 成 本 最 低 的 网 桥 作 为 指 定 网 桥 ， 指 定 网 桥 中 发 送 最 低 管 理 成 本 BPDU的 端 口 为 指 定 端 口 ， 该 端 口 处 于 转 发 状态 ， 所 有 其 他 端 口 被 置 为 阻 塞 状 态 2、 根 网 桥 的 选 择开 始 所 有 网 桥 都 通 过 发 送 STP报 文 来 声 明 自 己 是 根 网 桥 ， 这 些 交 换信 息 的 数 据 成 为 网 桥 协 议 数 据 单 元 （ BPDU） ， BPDU包 含 以 下内 容 ：l 根 网 桥 的 IDl 一 个 可 设 置 的 优 先 级 这 是 根 网 桥 的 优 先 级l 到 达 根 网 桥 的 成 本l 发 送 该 BPDU的 网 桥 ID根 网 桥 的 选 择 条 件 ：l 最 小 优 先 级 别 的 网 桥 将 成 为 根 网 桥l 若 优 先 级 别 相 同 ， 则 具 有 最 小 网 桥 ID的 网 桥 成 为 根 网 桥注 ： 网 桥 或 交 换 机 选 择 地 址 池 中 的 一 个 MAC地 址 作 为 网 桥 的 ID，由 于 MAC地 址 的 唯 一 性 ， 所 以 网 桥 ID也 是 唯 一 的 。用 来 标 识 根 网 桥 和 优 先 级 、 网 桥 ID和 成 本 的 报 文 成 为 hello数 据 包 。 STP就 是 通 过 hello数 据 包 中 的 内 容 来 判 断 网 络 中 是 否 有 比 自 己更 合 适 作 为 根 网 桥 的 网 桥 ， 如 果 有 就 停 止 并 且 转 发 合 适 网 桥 的hello数 据 包 ， 最 终 将 有 一 台 网 桥 成 为 根 网 桥 。 3、 根 端 口 的 选 择不 是 根 网 桥 的 交 换 机 都 选 择 一 个 根 端 口 ， 这 是 通 过 判 断 出有 最 小 根 路 径 成 本 的 端 口 做 到 的 ， 这 个 代 价 一 直 带 在BPDU上 ， 沿 途 的 每 台 不 是 根 网 桥 的 交 换 机 都 把 接 收BPDU的 端 口 的 本 地 端 口 成 本 加 上 去 ， 伴 随 BPDU的 产 生 ，就 累 加 出 了 根 路 径 成 本 。4、 制 定 端 口 的 选 择在 每 个 网 段 上 选 择 一 个 交 换 机 端 口 处 理 该 网 络 的 流 量 ， 在网 段 内 最 小 根 路 径 成 本 的 端 口 就 为 指 定 端 口 。5、 删 除 桥 接 环既 不 是 根 端 口 也 不 是 指 定 端 口 的 交 换 机 端 口 被 设 为 阻 塞 状态 。 这 一 步 断 开 了 不 设 置 阻 塞 将 会 形 成 的 所 有 桥 接 环 。 6、 生 成 树 协 议 的 端 口 状 态l 禁 用 （ Disabled） 关 闭 的 端 口 。l 阻 塞 （ Blocking） 不 能 接 收 或 传 输 数 据 ， 不 能 把 MAC地 址 加 入它 的 地 址 表 ， 只 能 接 收 BPDU。l 监 听 （ Listening） 由 根 端 口 或 指 定 端 口 担 任 ， 不 能 接 收 或 传 输数 据 ， 不 能 把 MAC地 址 加 入 它 的 地 址 表 ， 只 能 接 收 或 发 送BPDU。l 学 习 （ Learning） 在 转 发 延 时 （ Forward Delay） 计 时 时 间 （ 默认 15s） 后 ， 端 口 进 入 学 习 状 态 。 不 能 传 输 数 据 ， 但 可 接 收 或发 送 BPDU， 可 学 习 MAC地 址 并 加 入 它 的 地 址 表 。l 转 发 （ Forwarding） 在 下 次 转 发 延 时 （ Forward Delay） 计 时 时间 （ 默 认 15s） 后 ， 端 口 进 入 转 发 状 态 。 能 接 收 或 传 输 数 据 ，能 学 习 MAC地 址 并 加 入 它 的 地 址 表 ， 也 可 接 收 或 发 送 BPDU。 4.1.3 快 速 生 成 树 协 议STP的 缺 陷 ：当 拓 扑 结 构 发 生 变 化 时 ， 新 的 配 置 消 息 要 经 过 一个 时 延 （ Forward Delay， 默 认 值 为 15s） 才 能 传播 到 整 个 网 络 。 此 时 拓 扑 结 构 中 应 该 停 止 转 发的 端 口 若 仍 然 在 进 行 转 发 活 动 ， 就 有 可 能 产 生临 时 环 路 。 为 解 决 此 问 题 ， 生 成 树 使 用 了 一 种定 时 器 策 略 ， 即 在 端 口 从 阻 塞 状 态 到 转 发 状 态之 间 加 入 一 个 只 学 习 MAC地 址 但 不 参 与 转 发 的中 间 状 态 ， 两 次 状 态 切 换 的 时 间 长 度 都 是Forward Delay， 这 样 就 保 证 了 在 拓 扑 结 构 变 化时 不 会 产 生 临 时 环 路 的 问 题 。 但 这 个 方 法 需 要至 少 两 倍 的 Forward Delay收 敛 时 间 。 为 解 决 STP协 议 的 这 个 缺 陷 ， IEEE推 出 了 802.1W标 准 ， 作为 对 802.1D标 准 的 补 充 ， 它 定 义 了 快 速 生 成 树 协 议 RSTP，此 协 议 作 了 以 下 三 点 改 进 ， 使 收 敛 速 度 快 了 很 多 （ 最 快1s以 内 ） 。l 改 进 1： 为 根 端 口 和 指 定 端 口 设 置 了 快 速 切 换 用 的 替 换 端口 （ Alternate Port） 和 备 份 端 口 （ Backup Port） 两 种角 色 ， 当 根 端 口 /指 定 端 口 失 效 的 情 况 下 ， 替 换 端 口 /备份 端 口 就 会 无 时 延 地 进 入 转 发 状 态 。l 改 进 2： 在 只 连 接 了 两 个 交 换 端 口 的 点 对 点 链 路 中 ， 指 定端 口 只 需 与 下 游 网 桥 进 行 一 次 握 手 就 可 以 无 时 延 地 进 入转 发 状 态 。l 改 进 3： 直 接 与 终 端 相 连 而 不 是 把 其 他 网 桥 相 连 的 端 口 定义 为 边 缘 端 口 （ Edge Port） 。 边 缘 端 口 可 以 直 接 进 入 转发 状 态 ， 不 需 要 任 何 延 时 。 4.1.4 VLAN快 速 生 成 树 协 议 每 个 VLAN都 生 成 一 棵 树 是 一 种 比 较 直 接 ， 而 且最 简 单 的 解 决 方 法 ， 能 够 保 证 每 一 个 VLAN都不 存 在 环 路 。 但 这 种 方 式 工 作 的 生 成 树 协 议 ，各 厂 商 标 准 都 不 同 ， 可 能 无 法 兼 容 。 如 Cisco的VLAN生 成 树 PVST（ Per VLAN Spanning Tree）和 PVST+。4.1.5 多 实 例 生 成 树 协 议 （ MISTP）多 实 例 生 成 树 协 议 是 基 于 实 例 的 ， STP/RSTP是 基于 端 口 的 ， PVST/PVST+是 基 于 VLAN的 。 所谓 实 例 就 是 多 个 VLAN的 一 个 集 合 ， 通 过 多 个VLAN捆 绑 到 一 个 实 例 中 去 的 方 法 可 以 节 省 通信 开 销 和 资 源 占 用 率 。 此 协 议 的 兼 容 性 比 较 差 。 4.1.6 生 成 树 协 议 的 配 置 Sw_3550(config)# no spanning-tree vlan vlan 默 认 下 VLAN都 启 用 STP， 禁 用 STP后 ， 就 不 能 检 测 到 桥 接 环 和 避免 桥 接 环 ， 因 此 应 该 启 用 。Sw_3550(config)# spanning-tree vlan vlan priority 0该 命 令 用 于 修 改 网 桥 的 优 先 级 ， 若 要 设 置 根 网 桥 ， 就 应 该 将 其 设置 为 比 所 在 VLAN上 的 其 它 网 桥 的 优 先 级 都 低 。Sw_3550(config)# spanning-tree pathcost method long | short 若 带 宽 在 10Gbps或 更 高 的 端 口 ， 应 该 将 网 络 里 每 台 交 换 机 上 的 端口 代 价 值 取 为 long(32位 )Sw_3550(config-if)# spanning-tree guard root | none 在 端 口 或 接 口 上 启 用 STP Root Guard功 能 。Sw_3550(config-if)# spanning-tree port-priority port-priority 设 置 所 有 VLAN的 端 口 优 先 级 ， 其 中 port-priority值 的 范 围 是 0255。Sw_3550(config-if)# spanning-tree vlan vlan-list port-priority priority 设 置 每 个 VLAN的 端 口 优 先 级 。 Sw_3550(config)# spanning-tree vlan vlan forward-time delay 指 定 Vlan的 转 发 延 迟 时 间 ， delay值 默 认 15s(4s15s)Sw_3550(config)# spanning-tree vlan vlan hello-time interval指 定 Vlan的 Hello（ 呼 叫 ） 计 时 器 的 时 间 ， interval（ 110s， 默 认 2s）Sw_3550(config)# spanning-tree vlan vlan max-age agingtime指 定 Vlan的 最 大 老 化 时 间 ， agingtime（ 640s， 默 认 20s）Sw_3550(config)# spanning-tree portfast在 端 口 上 启 用 portfast功 能 ， 以 避 免 因 端 口 上 的 状 态 变 化 而 产 生 拓扑 结 构 变 更 通 知 的 BPDUSw_3550(config)# spanning-tree portfast bpduguard 在 全 局 状 态 下 启 动 portfast BPDU保 护 功 能 以 提 高 STP的 稳 定 性Sw_3550(config)# spanning-tree portfast bpdufilter 在 全 局 状 态 下 启 动 portfast BPDU filter功 能 ， 使 交 换 机 停 止 发 送BPDUSw_3550(config)# spanning-tree uplinkfast max-update-rate packets- per-second 4.1 生 成 树 协 议Sw_3550(config)# spanning-tree backbonefast Sw_3550# show spanning-tree active detail Sw_3550# show spanning-tree backbonefast | blockedports | interface | pathcost method| summary totals | uplinkfast Sw_3550# show spanning-tree root address | cost | detail | forward-time | hello-time | id | max-age | port | priority system-id | vlan vlan_list active detail | blockedports | bridge address | detail | forward-time | hello-time | id | max-age | priority | protocol | detail active | inconsistentports | summary 4.1.7 生 成 树 协 议 实 例 4.1.8 生 成 树 协 议 总 结 4.1 生 成 树 协 议 4.2 端 口 安 全 4.2.1 端 口 安 全 的 作 用 端 口 安 全 功 能 是 通 过 对 MAC地 址 表 的 配 置 ， 来 实现 在 某 一 端 口 只 允 许 一 台 或 者 几 台 确 定 的 设 备访 问 此 台 交 换 机 端 口 。 从 而 减 少 交 换 机 被 黑 客攻 击 ， 增 强 交 换 机 的 安 全 性 ， 提 高 局 域 网 的 安全 性 。 4.2.1 端口安全的原理端口安全是根据MAC地址表来确定允许访问网络的设备，其中MAC地址表记录的是MAC地址与交换机端口的映射，可对交换机的任一端口进行端口安全配置，共有三种方法：l手工设置一个或几个固定的MAC地址l限制端口的最大MAC地址的数量l任何MAC地址都可以通过此端口访问网络，此为默认设置 交换机通过学习获得MAC地址和转发与过滤数据包的过程： 交 换 机 在 重 新 启 动 或 手 工 清 除 MAC地 址 表 后 ，MAC地 址 表 没 有 任 何 MAC地 址 的 记 录 。 如 图所 示 。 假 设 主 机 A向 主 机 C发 送 数 据 包 ， 因 为 现 在 MAC地 址 表 为 空 ， 所 以 端 口 E0将 从 数 据 包 中 提 取 源MAC地 址 ， 将 此 MAC地 址 记 录 到 MAC地 址 表 中 ， 同时 向 其 它 所 有 的 端 口 发 送 此 数 据 包 ， 如 果 某 一主 机 在 接 收 到 此 数 据 包 后 ， 将 提 取 目 标 MAC地 址 ，并 与 自 己 网 卡 的 MAC地 址 进 行 比 较 ， 如 果 相 等 ，则 接 收 此 数 据 包 ； 否 则 丢 弃 此 数 据 包 。 如 图 所示 。 如 果 主 机 A、 B、 C、 D都 已 经 向 其 它 主 机 发送 数 据 包 ， 则 MAC地 址 表 将 会 有 4条 记 录 。 如图 所 示 。 现 在 假 设 主 机 A向 主 机 C发 送 数 据 包 ， 交 换 机会 提 取 数 据 包 的 目 的 MAC地 址 ， 通 过 查 找MAC地 址 表 ， 有 一 条 记 录 的 MAC地 址 与 目 的MAC地 址 相 等 ， 而 且 知 道 此 目 的 MAC所 对 应的 端 口 为 E2， 此 时 E0端 口 会 将 数 据 包 直 接 转 发到 E2端 口 ， 如 图 所 示 。 4.2.2 端口安全的配置 端 口 安 全 就 是 指 定 允 许 接 入 到 端 口 ， 并 利 用 该 端 口 访 问 网络 设 备 的 MAC地址。sw_3550(config_if)# switchport port-security 启 用 端 口 安 全 功 能sw_3550(config_if)# switchport port-security maximum value指 定 MAC地 址 的 数 量sw_3550(config_if)# switchport port-security mac-address mac-address 手 工 指 定 可 靠 的 MAC地 址sw_3550(config_if)# switchport port-security violation protect | shutdown| restrict 指 定 端 口 所 采 取 的 措 施sw_3550# show port security interface interface-id address 显 示 端 口 安 全 配 置