第4章 生成树协议与端口安全
生成树协议的作用
生成树协议的作用生成树协议(Spanning Tree Protocol,STP)是一种网络协议,用于在局域网中防止网络环路的发生,保证数据包在网络中能够按照预期的路径传输。
生成树协议的作用主要体现在以下几个方面。
首先,生成树协议可以有效地防止网络环路的发生。
在一个局域网中,如果存在多条路径连接同一组设备,如果不采取任何措施,数据包可能会在网络中形成环路,导致数据包不断在网络中循环传输,最终导致网络拥堵甚至瘫痪。
生成树协议通过计算网络拓扑结构,选择一条主干路径,将其它冗余路径屏蔽,从而有效地避免了网络环路的发生。
其次,生成树协议可以提高网络的可靠性和稳定性。
通过生成树协议的工作原理,网络管理员可以在网络中设置主干路径,将冗余路径屏蔽,从而确保数据包在网络中能够按照预期的路径传输。
这样一来,即使网络中的某些链路出现故障,也不会对整个网络造成影响,保证了网络的可靠性和稳定性。
此外,生成树协议还可以提高网络的传输效率。
在生成树协议的作用下,网络中只有一条主干路径处于活跃状态,其它冗余路径被屏蔽,这样可以避免数据包在网络中不断循环传输,提高了网络的传输效率。
同时,生成树协议还可以根据网络的拓扑结构自动调整主干路径,使得网络能够在不同的拓扑结构下都能够保持高效的传输。
最后,生成树协议可以简化网络的管理和维护。
在一个复杂的网络环境中,如果没有生成树协议的支持,网络管理员需要手动设置网络中的路径,保证数据包按照预期的路径传输。
而有了生成树协议,网络管理员只需要设置一条主干路径,其它冗余路径会被自动屏蔽,大大简化了网络的管理和维护工作。
综上所述,生成树协议在局域网中发挥着至关重要的作用。
它不仅可以有效地防止网络环路的发生,提高了网络的可靠性和稳定性,还能够提高网络的传输效率,简化网络的管理和维护工作。
因此,对于任何一个需要保证网络正常运行的组织或者企业来说,都应该充分重视生成树协议的作用,合理地配置和管理网络,以确保网络能够高效、稳定地运行。
生成树协议原理
生成树协议原理生成树协议是一种基于链路层的协议,它通常在以太网交换机上实现,用于管理以太网局域网中的网络拓扑。
生成树协议的工作原理是通过使用一个根桥(Root Bridge)和多个非根桥(Non-Root Bridge)来建立一颗树状结构,以确保网络中没有环路存在。
生成树协议的核心算法是通过一种称为生成树算法(Spanning Tree Algorithm)来找到从根桥到每个非根桥的最短路径,从而构建一颗最小生成树。
最小生成树是一种能够连接所有节点并且没有环路的树状结构,它是生成树协议的基础,用于确定网络中数据包的传输路径。
生成树协议的工作流程包括以下几个关键步骤:1. 选择根桥:在网络中通过比较桥(Bridge)的优先级和MAC地址来确定根桥,根桥是生成树中的根节点,所有数据包都将通过根桥进行转发。
2. 计算生成树:每个非根桥通过生成树算法计算到根桥的最短路径,确定自己在生成树中的位置,并将该信息传播到整个网络中。
3. 确定端口状态:每个桥根据生成树信息确定哪些端口可以用于数据包的传输,哪些端口需要阻断以避免环路的产生。
4. 更新生成树:在网络拓扑发生变化时,生成树协议会重新计算生成树,并更新每个桥的状态,重新确定最佳路径。
5. 数据包转发:根据生成树确定的路径,数据包会被从源地址传输到目的地址,通过生成树结构保证数据包的正常传输。
生成树协议的优点是可以有效避免数据包在网络中的循环传输,提升网络通信的稳定性和可靠性。
生成树协议能够自动适应网络拓扑的变化,快速重新计算生成树,并重新确定最佳传输路径,从而保证网络快速恢复到正常状态。
然而,生成树协议也存在一些局限性。
生成树协议在网络中设置大量的桥和端口时,会造成网络拓扑复杂,生成树的计算和更新会消耗大量的网络资源。
此外,生成树协议需要在所有交换机上进行配置和管理,当网络规模较大时,配置和管理网络可能会变得困难。
为了解决生成树协议的一些局限性,IEEE制定了一系列的生成树协议标准,包括802.1D、802.1w和802.1s等。
(2021年整理)《网络设备配置与管理》课程教学大纲
《网络设备配置与管理》课程教学大纲(推荐完整)编辑整理:尊敬的读者朋友们:这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望(《网络设备配置与管理》课程教学大纲(推荐完整))的内容能够给您的工作和学习带来便利。
同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。
本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为《网络设备配置与管理》课程教学大纲(推荐完整)的全部内容。
《网络设备配置与管理》课程教学大纲(推荐完整)编辑整理:张嬗雒老师尊敬的读者朋友们:这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布到文库,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是我们任然希望《网络设备配置与管理》课程教学大纲(推荐完整) 这篇文档能够给您的工作和学习带来便利。
同时我们也真诚的希望收到您的建议和反馈到下面的留言区,这将是我们进步的源泉,前进的动力.本文可编辑可修改,如果觉得对您有帮助请下载收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为 <《网络设备配置与管理》课程教学大纲(推荐完整)〉这篇文档的全部内容.《网络设备配置与管理》课程教学大纲课程名称:网络设备的配置与管理课程编码:1103042108学分及学时:2学分 36学时(其中理论学时18学时)适用专业:计算机网络技术开课学期:第三学期开课部门:物联网工程学院先修课程:计算机网络技术、局域网组建考核要求:考试使用教材及主要参考书:《交换机/路由器的配置与管理》冯昊、黄治虎,清华大学出版社《CCNA自学指南—Cisco网络设备互连》(第二版),李祥瑞编,人民邮电出版社一、课程性质和任务《网络设备配置与管理》课程是计算机网络技术专业必修的专业课.旨在让学生了解常用网络设备的概念,工作原理及工作方式、技术指标和参数,所遵循的网络标准,在网络层中所使用的协议,以及智能型网络设备的管理和无线网络设备的使用.主要任务是通过学习能够使学生在已有的计算机网络知识的基础上,使学生对计算机网络设备从整体上有一个较清晰的全面、系统的了解,对当前计算机网络设备的主要种类和常用的网络协议有较清晰的概念,掌握如何使用配置网卡、网线、集线器、交换机、路由器和防火墙。
快速生成树协议
快速生成树协议1. 简介快速生成树协议(Rapid Spanning Tree Protocol,简称RSTP)是一种用于构建和维护网络中的生成树的协议。
生成树是一个无环的拓扑结构,能够确保数据在网络中以最佳路径传输,避免了网络中的循环路径,提高了网络的可靠性和性能。
RSTP是对经典生成树协议(Spanning Tree Protocol,简称STP)的改进和优化,它的设计目标是在网络拓扑结构发生变化时,尽快地适应变化,并通过快速收敛恢复网络正常运行。
2. 生成树协议的背景在一个复杂的网络中,存在着大量的交换机和链路,如果不采取措施,很容易出现网络中的循环路径。
循环路径会导致数据包在网络中不断地循环传输,浪费了网络带宽和资源,甚至会导致网络的瘫痪。
为了解决这个问题,生成树协议应运而生。
生成树协议通过在网络中选择一棵无环的拓扑结构,将网络划分为一个主干路径和多个支线路径,确保数据只在主干路径上传输,避免了循环路径的问题。
3. RSTP的特点RSTP相对于STP具有以下几个特点:3.1 快速收敛当网络拓扑结构发生变化时,RSTP能够更快地收敛,恢复网络的正常运行。
RSTP引入了Port Roles(端口角色)和Port States(端口状态)的概念,通过优化根据端口角色和状态的变化,减少了收敛时间。
3.2 兼容STPRSTP是对STP的改进,它与STP保持了一定的兼容性。
RSTP可以与STP的设备进行交互,逐步替代STP,而无需对网络基础设施进行大规模的升级。
3.3 拓扑变化通告RSTP引入了拓扑变化通告机制,当网络发生拓扑变化时,会通过特定的消息通知其他设备。
这种机制能够快速地传播拓扑变化信息,加速网络的收敛过程。
3.4 多实例支持RSTP支持在一个物理设备上运行多个独立的生成树实例。
这种支持使得网络管理员能够根据实际需求,灵活地构建多个生成树,提高网络的可用性和性能。
4. RSTP的工作原理RSTP的工作原理可以概括为以下几个步骤:4.1 生成树根选举在RSTP网络中,首先需要选举出一台交换机作为生成树的根节点(Root Bridge)。
生成树协议详解
⽣成树协议详解⽣成树协议详解⽣成树协议是由Sun微系统公司著名⼯程师拉迪亚?珀尔曼博⼠(Radia Perlman)发明的。
⽹桥使⽤珀尔曼博⼠发明的这种⽅法能够达到2层路由的理想境界:冗余和⽆环路运⾏。
你可以把⽣成树协议设想为⼀个各⽹桥设备记在⼼⾥的⽤于进⾏优化和容错发送数据的过程的树型结构。
我们要介绍的这个问题在图1中进⾏了描述。
图1.如果这些交换机不采⽤⽣成树协议并且以这种⽅式连接,每⼀台交换机将⽆限地复制它们收到的第⼀个数据包,直到内存耗尽和系统崩溃为⽌。
在2层,没有任何东西能够阻⽌这种环路的事情发⽣。
在图1中,管理员必须要⼿⼯关闭这个红⾊连接线路才能让这个以太⽹⽹络运⾏。
⽣成树协议在当前可⽤连接有效时关闭⼀个或者更多其它冗余连接,⽽在当前连接出现故障后,再启⽤这些被关闭的冗余连接。
⽣成树协议决定使⽤哪⼀个连接完全取决于⽹络的拓扑结构。
⽣成树协议拓扑结构的思路是,⽹桥能够⾃动发现⼀个没有环路的拓扑结构的⼦⽹,也就是⼀个⽣成树。
⽣成树协议还能够确定有⾜够的连接通向这个⽹络的每⼀个部分。
它将建⽴整个局域⽹的⽣成树。
当⾸次连接⽹桥或者发⽣拓扑结构变化时,⽹桥都将进⾏⽣成树拓扑的重新计算。
当⼀个⽹桥收到某种类型的“设置信息”(⼀种特殊类型的桥接协议数据单元,BPDU)时,⽹桥就开始从头实施⽣成树算法。
这种算法从根⽹桥的选择开始的。
根⽹桥(root bridge)是整个拓扑结构的核⼼,所有的数据实际上都要通过根⽹桥。
顺便提⽰⼀下,有⼿⼯设置根⽹桥时要特别注意。
对于思科设备来⾔其根⽹桥的选择过程暴露出⼀些问题,就是过分简单化。
思科硬件通常使⽤最低的MAC地址,具备这些地址的设备通常是⽹络中最古⽼的设备,因⽽其交换速度常是最慢的,⽽从根⽹桥在⽹络中的位置看,它负荷却最重。
⽣成树构建的下⼀步是让每⼀个⽹桥决定通向根桥的最短路径,这样,各⽹桥就可以知道如何到达这个“中⼼”。
这⼀步会在每个局域⽹进⾏,它选择指定的⽹桥,或者与根桥最接近的⽹桥。
详述思科2960系列交换机的四大安全特性
详述思科2960系列交换机的四大安全特性张春明2011年5月24日前言思科2960系列交换机是可配置的接入层交换机,具有良好的安全特性,除了使用比较多的划分VLAN外,还有较少使用的ACL功能。
本篇以思科2960系列交换机为主,介绍思科二层交换机比较重要的四大安全特性:生成树协议(STP)、风暴控制(Storm Control)、端口安全(Port Security)和DHCP Snooping。
本篇不同于一般教程以理论讲解为主,而是以真实环境下的实例贯穿全文,基础知识的提及仅为更好地理解实例而服务。
目录第一章生成树协议(STP) (3)1.1 生成树协议(STP) (3)1.1.1 STP的一些基本概念 (3)1.1.2 生成树协议的演变 (4)1.1.2.1 第一代生成树协议 (4)1.1.2.2 第二代生成树协议 (5)1.1.2.3 第三代生成树协议 (5)1.2 实例 (5)1.2.1 思科交换机所支持的生成树协议 (5)1.2.2 查看思科交换机所使用的生成树协议 (6)1.2.3 更改并验证思科交换机所使用的生成树协议 (8)1.2.4 查看每个VLAN的根桥 (9)1.2.5 VLAN Bridge ID的计算 (10)1.2.6 为根桥的VLAN的Root ID与Bridge ID相同 (11)1.2.7 不为根桥的VLAN的Root ID与为根桥的VLAN的Root ID相同 (13)1.2.8 不是根桥的VLAN的Root ID的优先级与其Bridge ID的优先级,可以相同,也可以不相同,取决于Bridge ID的优先级 (15)1.2.9 同一交换机不同VLAN的Bridge ID的MAC地址均相同 (16)1.2.10 Bridge ID 使用Extended System ID的情况时的优先级为4096的倍数 (17)1.3 交换机的五种端口状态 (18)1.3.1 禁用(Down或Disabled) (18)1.3.2 阻塞(Blocking) (18)1.3.3 侦听(Listening) (18)1.3.4 学习(Learning) (18)1.3.5 转发(Forwarding) (18)1.4 快速端口(PortFast) (19)1.4.1 快速端口及其启用条件 (19)1.4.2 配置 (19)1.4.3 查询 (20)第二章风暴控制 (20)2.1 广播风暴 (20)2.2 配置 (20)2.2.1 配置命令 (20)2.2.2 可选配置命令 (21)2.3 实例 (21)2.4 对广播流量的测试 (22)2.4.1 广播流量为何为零 (22)2.4.2 测试出广播流量百分比不为零的情况 (24)第三章端口安全(Port Security) (28)3.1 MAC Flooding攻击 (28)3.2 防范方法 (29)3.2.1 限制端口可以学习到的MAC地址的数量 (29)3.2.1.1 配置命令 (29)3.2.1.2 实例 (29)3.2.1.3 为何不能少switchport port-security这条命令 (30)3.2.1.4 删除时注意事项 (30)3.2.2 绑定端口的MAC地址 (32)3.2.2.1 手动绑定端口的MAC地址 (32)3.2.2.2 Sticky自动绑定端口的MAC地址 (33)3.2.3 违反端口安全规则后交换机的处理方式 (34)3.2.3.1 shutdown (34)3.2.3.2 restrict (36)3.2.3.3 protect (37)3.3 对四种情况的总结 (38)3.3.1 插入maximum为1且绑定了MAC地址的端口,违反端口安全 (38)3.3.2 插入maximum大于1且绑定了MAC地址的端口,不违反端口安全 3.3.3 对于已做过MAC地址绑定的客户端,其插入设置了端口安全的另一端口,违反端口安全 (39)3.3.4 对于已做过MAC地址绑定的客户端,其插入未设置端口安全的另一端口,不违反端口安全 (39)第四章DHCP snooping (40)4.1 概述 (40)4.1.1 冒充DHCP服务器分配IP地址 (40)4.1.2 DHCP Server的DoS(拒绝服务)攻击 (40)4.1.3 用户非法私自绑定IP地址 (41)4.2 DHCP Snooping (41)4.2.1 基本概念 (41)4.2.2 基本配置命令 (41)4.3 实例 (42)4.3.1 实例一 (42)4.3.2 实例二 (45)4.4 验证 (48)4.5 DAI技术简介 (51)第一章生成树协议(STP)1.1 生成树协议(STP)1.1.1 STP的一些基本概念生成树协议,即Spanning Tree Protocol,简称STP,是用来防止网络环路的一种协议。
《网络设备配置与管理》教学课件 项目四 交换式网络的优化设计
(2)交换机收到其他交换机发来的BPDU报文 后,比较收到的BPDU报文中的网桥ID和本交换 机的网桥ID,最终选举出ID最小的交换机作为 根桥。选举时,优先级最高(数值最小)的交换 机为根桥;如果优先级相同,则比较MAC地址, MAC地址数值最小的交换机为根桥。
网桥ID
例如,第9页图所示的网络拓扑中,交 换机Switch1的网桥ID优先值最低,为28672, 因此选取其为该网络中的根桥。我们将在后 面讲解设置根桥ID优先值的命令。
单播帧 Switch0 Fa0/1 Fa0/2
PC0
Fa0/1
Fa0/2 Switch1
PC1
重复拷贝帧示例
一、冗余技术
我们知道,交换机接收到数据帧时,会将接收数据帧的端口与发送主机MAC地址的对应关系添加到本机 MAC地址表中。如果交换机从不同的端口收到同一数据帧的多份副本,将造成其MAC地址表在短时间内被多 次修改,从而影响MAC地址表的稳定性。
二、生成树协议(STP)
为了解决网络冗余链路所产生的问题,IEEE定义了协议,即生成树协议(Spanning Tree Protocol,STP), 利用它可以将环路网络“修剪”成无环路的树型结构,从而避免帧在环路中的增生和无限循环。
生成树协议的主要思想是,当两个交换机之间存在多条链路时,通过一定的算法只激活其中最主要的 一条链路,而将其他冗余链路阻塞掉变为备用链路;当主链路出现问题时,生成树协议将自动启用备用链 路接替主链路的工作,不需要任何人工干涉。
例如,右图为基于三台交换机的冗余拓扑。 其中,Switch1和Switch3之间的直连链路③为冗 余备份链路,Switch1和Switch2之间的直连链路 ①和Switch2和Switch3之间的直连链路②是网络 主链路。当网络正常运行时,PC间使用主干链路 ①②相互访问;当主链路其中一个出现故障时, PC间使用未出现故障的主干链路和冗余备份链路 ③互相访问。
《网络设备配置与管理》习题答案
项目一网络基础知识一、填空题1.物理层,数据链路层,网络层,传输层,会话层,表示层,应用层2.网络层,传输层3.分组,帧4.物理5.数据链路6.网络7.上面三,下面四8.网络接口层,网络层,传输层,应用层二、选择题1.C 2.C 3.D 4.A 5.A6.B 7.A 8.A 9.B 10.B三、简答题1.简要描述在OSI参考模型中数据的封装与解封装过程。
答:以主机A向主机B传输数据为例(见图1-1),数据在通过主机A各层时,每层都会为上层传来的数据加上一个信息头或尾(作为主机B的对等层处理数据的依据),然后向下层发送,这个过程可以理解为各层对数据的封装。
当经过层层封装的数据最终通过传输介质传输到主机B后,主机B的每一层再对数据进行相应的处理(自下而上),把信息头或尾去掉,最后还原成实际的数据,即执行主机A的逆过程,这个过程可以理解为对数据的拆封或解封。
数据数据单元主机A 主机B数据单元报文分组帧比特流图1-1 数据的封装与解封过程2.简要描述TCP/IP 参考模型的分层与OSI 参考模型分层的对应关系。
答:OSI 参考模型和TCP/IP 参考模型的分层有一个大致的对应关系,如图1-2所示。
图1-2 OSI 参考模型和TCP/IP 协议的层次对应关系3.用图示的方式描述交叉线和直通线的线序。
答:直通线线序如图1-3所示,交叉线线序如图1-4所示。
图1-3 直通线图1-4 交叉线1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 T568B 标准T568B 标准1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 T568A 标准T568B 标准项目二交换机的基本配置一、填空题1.二层交换机,三层交换机,四层交换机2.通过Console口登录,通过Telnet登录,通过Web登录,通过网管软件登录3.串行,Console4.用户模式,特权模式,全局配置模式,接口配置模式,Line配置模式5.running-config,startup-config,running-config6.端口类型,模块编号,端口号7.MAC地址表8.show running-config二、选择题1.C 2.C 3.B 4.A 5.C6.A 7.B 8.B 9.C 10.A 11.D三、简答题1.简要叙述交换机的工作原理。
《网络设备配置与管理》课程教学大纲讲课教案
《网络设备配置与管理》课程教学大纲《网络设备配置与管理》课程教学大纲课程名称:网络设备的配置与管理课程编码:1103042108学分及学时:2学分 36学时(其中理论学时18学时)适用专业:计算机网络技术开课学期:第三学期开课部门:物联网工程学院先修课程:计算机网络技术、局域网组建考核要求:考试使用教材及主要参考书:《交换机/路由器的配置与管理》冯昊、黄治虎,清华大学出版社《CCNA自学指南—Cisco网络设备互连》(第二版),李祥瑞编,人民邮电出版社一、课程性质和任务《网络设备配置与管理》课程是计算机网络技术专业必修的专业课。
旨在让学生了解常用网络设备的概念,工作原理及工作方式、技术指标和参数,所遵循的网络标准,在网络层中所使用的协议,以及智能型网络设备的管理和无线网络设备的使用。
主要任务是通过学习能够使学生在已有的计算机网络知识的基础上,使学生对计算机网络设备从整体上有一个较清晰的全面、系统的了解,对当前计算机网络设备的主要种类和常用的网络协议有较清晰的概念,掌握如何使用配置网卡、网线、集线器、交换机、路由器和防火墙。
二、教学目的和要求本课程系统而全面地介绍组建局域网和搭建广域网的硬件设备,重点介绍交换机、路由器和防火墙。
本课程还介绍了一些知名网络设备厂家及产品的性能特征。
教学形式采用教学与启发并行,在教学中注重本书知识教学的同时,要适时引入新的教学内容,以适应计算机网络飞速发展的需要,注重培养分析和解决问题的实际应用能力。
考核方法:期终考试占 50%,实验成绩 30%,平时成绩和作业占 20%。
五、教学内容(一)设计交换式局域网1、教学基本内容:局域网技术简介、交换机的分类与性能指标、设计交换式园区网络、交换机/路由器模拟器的使用。
2、教学基本要求:了解计算机网络的定义和功能;理解计算机网络的常用分类;掌握网络的拓扑结构。
3、教学重点难点:网络的常用分类、拓扑结构。
4、教学建议:建议学生多复习计算机网络的常用基础知识。
生成树协议的作用
生成树协议的作用生成树协议是用于网络交换机之间构建生成树的一种协议。
生成树协议的主要作用是防止网络交换机之间形成环路,确保数据在局域网中能够正常地传输。
在一个局域网中,如果没有生成树协议的支持,当网络中的交换机连接成一个环形拓扑结构时,数据包将会在环路中不断地循环传输,导致网络拥塞和性能下降。
为了避免这种情况的发生,生成树协议通过提供一种机制,动态地选择一个主干路径,并且禁用其他的非主干路径,以确保数据只在一个路径上流动,从而避免了环路的产生。
生成树协议的另一个作用是提供冗余路径。
当网络中存在多个路径连接交换机时,生成树协议可以选择尽可能多的路径作为冗余路径。
当主干路径出现故障或拥塞时,生成树协议可以快速地将流量转移到备用路径上,从而保证数据的可靠传输。
这种冗余路径的设计可以提高网络的可用性和容错性,确保网络在一些异常情况下仍能正常运行。
生成树协议的另一个重要作用是节省网络带宽。
当交换机之间存在多条路径时,生成树协议可以根据配置选取主干路径,禁用其他路径的转发功能。
这样一来,只有主干路径上的交换机才会转发数据包,其他路径则被禁用,节省了网络带宽的使用。
通过这种方式,生成树协议可以避免数据包在网络中重复传输,从而提高了网络的传输效率。
生成树协议还有一个作用是维护网络的稳定性。
当网络中的交换机发生故障或链路状态发生改变时,生成树协议可以根据当前的网络拓扑动态地重新计算生成树,并选择合适的路径进行数据传输。
这样一来,当网络出现变化时,生成树协议可以快速地对网络进行调整和重新配置,确保网络的稳定性和可靠性。
综上所述,生成树协议在网络中起到了非常重要的作用。
它可以防止网络交换机之间形成环路,确保数据在局域网中能够正常传输;它还提供了冗余路径,保证了网络的可用性和容错性;同时,生成树协议也可以节省网络带宽,提高网络的传输效率;最后,它还能够维护网络的稳定性,适应网络拓扑的变化。
通过生成树协议的应用,我们可以构建起稳定、高效、可靠的局域网,为用户提供更好的网络体验。
简述生成树协议的工作原理(一)
简述生成树协议的工作原理(一)生成树协议什么是生成树协议生成树协议是一种用于网络交换机的协议,用来避免在网络中出现环路,保证网络通信的稳定性。
它通过选择一条主干路径,并且屏蔽掉其他的冗余路径,使得数据流向更加高效和可靠。
生成树协议的原理生成树协议的工作原理可以概括为以下几个步骤:1.建立拓扑:将所有的网络交换机连接起来形成一个拓扑结构,包含有向边和交换机节点。
2.根交换机的选举:在拓扑结构中选择一个交换机作为根交换机,这个根交换机的选举是根据交换机的优先级来进行的,优先级越高的交换机被选为根交换机。
3.端口角色的选择:每个交换机的端口根据其与根交换机的距离来确定其角色,距离最短的端口被选为根端口,其他的端口会进一步竞选成为指定端口或者阻塞端口。
4.指定端口的选举:指定端口是除了根端口外,接收到根交换机信息的端口。
在拓扑结构中,生成树协议通过计算路径代价,选举出每个交换机到根交换机的最短路径,并指定相应的端口为指定端口,其他非指定端口则会被阻塞。
5.阻塞端口的操作:交换机的阻塞端口不会向外发送任何的数据包,只能接收到其他端口发送的数据包。
6.路径修复:如果出现链路故障或者新的交换机加入网络,生成树协议会及时检测到变化,并进行重新计算和调整,以保持网络的稳定性。
7.数据转发:生成树协议最终会形成一棵树状结构,根交换机负责将数据包转发到其他交换机上,其他交换机再转发给它们的子交换机,以此类推,保证数据在整个网络中的高效传输。
生成树协议的工作流程生成树协议的工作流程可以用以下步骤来概括: - 步骤1:选举根交换机 - 步骤2:选择根端口 - 步骤3:计算最短路径并选择指定端口 - 步骤4:阻塞非指定端口 - 步骤5:检测链路变化并重新计算路径 - 步骤6:数据转发生成树协议的优点生成树协议的使用能够带来以下几个优点: - 避免数据包在网络中的环路传输,保证数据的高效传输。
- 支持网络拓扑的变化,能够及时检测链路故障并进行修复。
生成树协议配置
生成树协议配置生成树协议(Spanning Tree Protocol,STP)是一种网络协议,用于在网络中防止环路,并确定最佳路径。
在网络中,当存在多条通向同一目的地的路径时,可能会形成环路,导致数据包在网络中不断循环,最终导致网络拥堵甚至崩溃。
生成树协议的作用就是通过选择一条最佳路径,将其他冗余路径屏蔽,从而避免网络环路的发生。
在配置生成树协议时,需要考虑以下几个关键因素:1. 选择根桥。
在生成树协议中,网络中的一个交换机会被选举为根桥(Root Bridge),所有其他交换机都将以根桥为参照物来确定最佳路径。
通常情况下,根桥的选择是根据交换机的优先级和MAC地址来确定的。
管理员也可以手动指定某个交换机为根桥。
2. 确定端口状态。
生成树协议通过确定端口的状态来屏蔽冗余路径。
在网络中,有三种端口状态,指定端口(Designated Port)、根端口(Root Port)和阻塞端口(Blocked Port)。
指定端口是指向根桥的最佳路径,根端口是指向根桥的最佳路径,而阻塞端口则是被屏蔽的冗余路径。
3. 配置优先级。
管理员可以通过配置交换机的优先级来影响根桥的选举结果。
通常情况下,优先级越低的交换机越有可能成为根桥。
在生成树协议中,优先级的范围是0-61440,默认值是32768,步长为4096。
4. 设置端口成本。
在生成树协议中,每个端口都有一个成本值,用来表示到达根桥的路径的开销。
成本值越低,表示到达根桥的路径越短。
管理员可以手动配置端口的成本值,也可以使用默认的自动计算方式。
5. 监控生成树状态。
配置生成树协议后,需要及时监控生成树的状态,确保网络正常运行。
管理员可以通过查看生成树协议的状态信息,包括根桥、端口状态、成本值等,来了解网络的拓扑结构和路径选择情况。
总结。
生成树协议的配置是网络管理中的重要工作之一。
通过合理配置生成树协议,可以避免网络中出现环路,确保数据包能够按照最佳路径进行传输,提高网络的稳定性和可靠性。
生成树协议
常用的生成树协议:STP(Spanning Tree Protocol)由IEEE802.1D定义,RSTP(Rapidly Spanning Tree Protocol)由IEEE802.1W定义,MSTP(Multiple Spanning Tree Protocol)由IEEE802.1S定义。
生成树严格意义上来讲属于应用层的东西,但是是为了解决二层的广播风暴问题,所以也可以看成是二层的东西。
STPSTP生成树计算原则:1.确定环路中的根桥。
根桥由BID(bridge ID)来确定(BID=2字节的网桥优先级+网桥的MAC地址构成,优先级默认为32768),具备最小的BID的交换机成为根桥。
2.确定根端口。
根端口选举原则是确定非根桥到根桥最小开销的端口。
(Root path cost).一般情况下,接口带宽越大则开销值越小。
选举原则:a.比较Root Path Cost(根路径开销),越小越优先,一样则b.端口上行交换机的Bridge ID(桥ID),越小越优先,一样则c.端口上行端口的Port Identifier,越小越优先(端口标识,端口标识号由1字节优先级+1字节端口号构成)3.确定指定端口。
为每个网段选出一个指定端口(Designated Port),指定端口为每个网段转发发往根交换机方向的数据,且转发由根交换机方向发往该网段的数据。
选举原则:a.比较Root Path Cost(根路径开销),越小越优先,相同则b.端口所属Bridge ID,越小越优先,相同则c.端口的Port ID。
4.确定阻塞端口。
环路中剩下的端口成为阻塞端口(Alternate Port),当指定端口有问题,就启用阻塞端口。
数据的转发路径:由下级非根交换机的指定端口到上级非根交换机的根端口,一直到根交换机的指定端口。
(这样就可以避免环路)STP端口状态描述状态数据帧MAC 生成树计算BPDU收发Disable No No No No NoBlocking No No No Yes No Listening No No Yes Yes YesSTP 有关的时间:Hello 2S,Max Age 20S,Forward Delay 15 S.从Listening 到Learning 要经过一个Forward Delay ,从Learning 到Forwarding 要经过一个Forward Delay 。
详解生成树协议STP RSTP
详解生成树协议STP/RSTP生成树协议是一种二层管理协议,它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路的备份功能。
生成树协议和其他协议一样,是随着网络的不断发展而不断更新换代的。
“生成树协议”是一个广义的概念,并不是特指IEEE 802.1D中定义的STP协议,而是包括STP以及各种在STP基础上经过改进了的生成树协议。
STP/RSTP在网络发展初期,透明网桥的运用。
它比只会放大和广播信号的集线器聪明得多。
它的学习能力是把发向它的数据帧的源MAC地址和端口号记录下来,下次碰到这个目的MAC 地址的报文就只从记录中的端口号发送出去,除非目的MAC地址没有记录在案或者目的MAC地址本身就是多播地址才会向所有端口发送。
通过透明网桥,不同的局域网之间可以实现互通,网络可操作的范围得以扩大,而且由于透明网桥具备MAC地址学习功能而不会像Hub那样造成网络报文冲撞泛滥。
透明网桥也有它的缺陷,它的缺陷就在于它的透明传输。
透明网桥并不能像路由器那样知道报文可以经过多少次转发,一旦网络存在环路就会造成报文在环路内不断循环和增生,出现广播风暴。
为了解决这一问题,后来提出了生成树协议。
STP协议中定义了根桥(RootBridge)、根端口(RootPort)、指定端口(DesignatedPort)、路径开销(PathCost)等概念,目的就在于通过构造一棵自然树的方法达到裁剪冗余环路的目的,同时实现链路备份和路径最优化。
用于构造这棵树的算法称为生成树算法SPA (Spanning TreeAlgorithm)。
要实现这些功能,网桥之间必须要进行一些信息的交流,这些信息交流单元就称为配置消息BPDU(BridgeProtocol Data Unit)。
STP BPDU是一种二层报文,目的MAC是多播地址01-80-C2-00-00-00,所有支持STP协议的网桥都会接收并处理收到的BPDU报文。
生成树协议(STP)在计算机网络中的应用
生成树协议(STP)在计算机网络中的应用生成树协议(Spanning Tree Protocol,STP)是在计算机网络中用于防止环路的协议。
在计算机网络中,数据包的转发是通过网络中的交换机完成的,而交换机之间的连接会形成一个网状结构。
这种网状结构容易产生环路,从而导致数据包在网络中无法正确地传输。
为了解决这个问题,生成树协议被引入到计算机网络中,通过自动选择一条无环的路径,来确保数据包能够顺利地传输。
生成树协议的应用十分广泛,不仅在企业内部网络中得到广泛应用,也在数据中心、云计算、广域网等不同场景中得到了应用。
下面我们将介绍生成树协议在计算机网络中的应用。
1. 防止环路2. 提高网络性能生成树协议还可以帮助提高网络的性能。
通过消除环路,避免了数据包在网络中无限循环传输的情况,有效地减少了网络拥堵。
生成树协议还可以自动调整网络拓扑结构,使得数据包能够按照最佳路径传输,从而提高了网络的传输效率和性能。
3. 实现冗余路径生成树协议还可以在保证网络中不存在环路的情况下,实现冗余路径。
在网络中,冗余路径可以提高网络的可靠性和容错性,当某条路径出现故障时,数据包可以通过其他可用路径进行传输。
生成树协议可以自动选择一条主路径和多条备用路径,以实现冗余路径,从而提高了网络的可靠性和容错性。
4. 简化网络管理生成树协议可以自动配置网络拓扑,简化了网络的管理和维护工作。
在网络中,交换机之间的连接经常发生变化,当新增或减少了交换机或链路时,网络拓扑会发生变化。
生成树协议可以自动调整网络拓扑,重新选择主路径和备用路径,而不需要管理员手动干预,大大简化了网络的管理工作。
5. 支持多种交换机生成树协议是一种通用的协议,支持多种类型的交换机。
无论是传统的以太网交换机、还是最新的高速交换机,都可以支持生成树协议。
这使得生成树协议在不同类型的网络设备上都能够得到应用,保证了网络的兼容性和稳定性。
生成树协议在计算机网络中有着广泛的应用,能够有效地防止网络中出现环路,提高网络的性能和可靠性,简化网络管理工作,支持多种类型的交换机。
stp生成树协议
stp生成树协议STP(Spanning Tree Protocol)是用于在局域网中自动构建冗余网络并消除环路的一种协议。
在局域网中存在多个网络设备,这些设备之间通过链路连接。
而链路就是连接设备之间的通道,通过链路可以传输数据。
当存在多个链路连接时,就会产生环路,而环路会导致数据包在网络中不停地循环传输,形成洪泛现象,导致网络拥塞及数据丢失。
STP的主要作用就是通过计算出一棵树,即生成树,来将局域网中的设备连接起来,并消除环路。
生成树是由根设备(Root Bridge)到其他设备的一条路径,该路径上会选择一条“根端口”,用于与上一层的设备相连,保证路径的连通性,并将其他端口设置为“非根端口”,关闭这些端口,以防止环路的产生。
STP的生成树算法主要包括以下三个步骤:1. 选举根设备:在局域网中所有设备中选举一个设备作为根设备,一般是选择设备的MAC地址最小的作为根设备。
根设备是生成树的起点,其他设备围绕着根设备向外扩散。
2. 计算最短路径:根据设备与根设备之间的链路成本,通过设备之间的交互实时计算每个设备到根设备的最短路径。
设备会通过发送BPDU(Bridge Protocol Data Unit)消息来与相邻设备进行交互,通过对BPDU消息的解析和处理,设备能够确定与根设备之间的最短路径。
3. 确定端口状态:根据设备之间的链路成本和最短路径,确定设备上的每个端口的状态。
根设备的端口为根端口,而非根设备的端口中选择成本最小的端口作为根端口,其他端口则被关闭。
通过以上步骤,STP能够获取并计算出一棵生成树,并将链路上的环路消除。
生成树将保证数据包能够在网络中正确地传输,避免了洪泛现象的发生。
STP生成树协议的使用能够带来以下好处:1. 高可靠性:由于生成树消除了环路,避免了网络拥塞和数据丢失,因此提高了网络的可靠性。
即使某一条链路出现故障,生成树可以自动重新计算,并选择新的路径,确保数据传输的连续性。
交换和生成树协议
广播风暴检测
通过检测网络中的广播流量,判断 是否存在广播风暴。
04
案例分析:某企业网络故障排查过程
故障现象
企业网络出现严重拥塞,部分业务中断。
故障定位
经过初步排查,发现网络中存在大量广播流量。
故障原因
进一步检查发现,网络中某交换机配置错误,导致生成树协议失效,形成环路。
03
交换与生成树协议关系
交换机中的生成树协议应用
避免环路
01
在交换机网络中,生成树协议通过阻塞某些端口来避免环路,
确保网络拓扑的稳定。
广播风暴控制
02
生成树协议能够防止广播风暴的发生,提高网络的稳定性和性
能。
冗余链路利用
03
在出现故障时,生成树协议能够重新计算网络拓扑,利用冗余
链路保证网络的连通性。
配置端口角色和状态
根据网络拓扑和需求,配置端口的角色( 如指定端口、根端口等)和状态(如启用 或禁用生成树协议等)。
配置交换机优先级
根据需要,配置交换机的优先级,以影响 生成树的选举结果。优先级越高的交换机 越有可能成为根交换机。
验证配置结果
查看生成树状态
使用命令查看生成树的状态,包 括根交换机、指定端口、根端口 等信息。
测试网络连通性
通过网络测试工具或命令测试网 络的连通性,确保生成树协议正 确配置并生效。
监控网络性能
通过网络监控工具或命令监控网 络的性能,如延迟、丢包率等, 以评估生成树协议对网络性能的 影响。
05
生成树协议故障排除与案 例分析
常见故障类型及原因
物理层故障
包括端口损坏、线路故障等,可能导致网络拓扑结构 异常。
RSTP快速生成树协议之(四):RSTP的保护功能
RSTP快速⽣成树协议之(四):RSTP的保护功能RSTP快速⽣成树协议之(四)RSTP的保护功能 在上⼀个笔记中,我介绍了RSTP对于STP做出了哪些改进。
这⼀节笔记,我们继续学习RSTP的保护功能,了解RSTP在对待可能的⿊客攻击时,提供了哪些安全防御措施。
BPDU保护 (1)攻击原理 RSTP为了减少不必要的拓扑收敛,可以通过配置指定边缘端⼝(edge port),通过边缘端⼝连接的设备可以不参与RSTP收敛,⽽直接将状态转为转发(Forwarding)状态。
若边缘端⼝在收到BPDU后,会丧失边缘端⼝的属性,⽽重新加⼊到⽣成树计算中。
(2)攻击⽅式 如下图所⽰,SWB配置了边缘端⼝(图中红⾊点处),这样就⽆须参与STP⽣成树计算。
假设有⼀名⿊客,在边缘端⼝处接⼊了⼀台运⾏⽣成树协议的交换机,此交换机向SWB发送RST BPDU报⽂,SWB从边缘端⼝收到BPDU报⽂后,会⾃动将该端⼝设置成⾮边缘端⼝,并重新进⾏⽣成树计算。
也引起整个⽹络其他交换机也进⾏拓扑变更,致使⽹络震荡。
从⽽达到攻击者的⽬的。
(3)防御措施--BPDU保护 针对这种攻击⽅式,RSTP提供可配置的BPDU保护功能。
配置BPDU保护后,若边缘端⼝收到BPDU报⽂,交换机将会⽴即关闭该端⼝,直到管理员⼈⼯重新打开端⼝。
这样就可以有效的防⽌⽹络发⽣震荡。
根保护 (1)攻击原理 当⼀台根交换机从指定端⼝收到桥优先级⽐它⾼的BPDU报⽂时,会认为⽹络拓扑发⽣了改变,并放弃⾃⼰的根桥地位,转⽽去转发这个优先级⽐它⾼的BPDU报⽂。
这样⽹络结构也会跟着变动。
但是,如果这个优先级⾼的BPDU是来⾃⼀台属于⿊客的交换机呢?这样,该⿊客的交换机就会成为RSTP⽹络的根桥,⽹络内的所有交换机都必须经过该⿊客的交换机才能进⾏转发,这⽆疑达到了⿊客窃取数据的⽬的。
(2)攻击⽅式 如下图所⽰,RSTP⽹络中SWA为根桥。
此时有⼀名⿊客,将⾃⼰的交换机通过SWC接⼊到⽹络中。
生成树欺骗攻击的防御策略
生成树欺骗攻击的防御策略生成树欺骗攻击是一种常见的网络攻击手段,攻击者通过欺骗交换机或路由器,使其生成错误的网络拓扑图,从而导致网络流量被重定向到攻击者控制的节点,进而实施各种恶意行为。
为了有效应对生成树欺骗攻击,网络管理员可以采取以下防御策略:1. 配置端口安全功能:通过配置交换机上的端口安全功能,限制同一个端口上可连接的MAC地址数量。
这样可以有效防止攻击者通过欺骗MAC地址来伪装成其他合法设备,从而干扰生成树算法的正常运行。
2. 强化网络设备的认证机制:为网络设备配置强密码,并定期更换,确保只有授权人员才能访问和管理设备。
此外,还可以使用身份验证技术,如802.1x等,对用户进行身份认证,防止未授权设备接入网络。
3. 配置端口安全模式:在交换机上配置端口安全模式,限制每个端口上允许连接的MAC地址数量。
这样可以有效防止攻击者通过欺骗MAC地址来伪装成其他合法设备,从而干扰生成树算法的正常运行。
4. 监测和分析网络流量:通过部署网络流量监测和分析系统,可以实时监测网络流量的变化,并对异常流量进行分析和检测。
一旦发现异常流量或生成树算法的异常行为,及时采取相应的应对措施,如封禁异常流量的源IP地址等。
5. 使用安全协议:在网络中使用安全协议,如SSH、SSL/TLS等,加密通信内容,确保通信过程中的数据不被窃取或篡改。
同时,采用安全协议还可以增强网络设备的认证和授权机制,防止攻击者通过欺骗设备来干扰生成树算法的正常运行。
6. 划分网络区域:将网络划分为多个区域,通过配置访问控制列表(ACL)和防火墙等安全设备,对不同区域之间的流量进行限制和过滤。
这样可以防止生成树欺骗攻击从一个区域扩散到整个网络,减小攻击的影响范围。
7. 定期更新设备固件:网络设备厂商会不定期发布固件更新,修复设备的安全漏洞和缺陷。
网络管理员应及时关注设备厂商的安全公告,并定期对网络设备进行固件升级,以提高设备的安全性和稳定性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交换机/ 交换机/路由器配置与管理
4.1.6 生成树协议的配置 Sw_3550(config)#[no] spanning-tree [vlan vlan]
默认下VLAN都启用STP,禁用STP后,就不能检测到桥接环和避 免桥接环,因此应该启用。
Sw_3550(config)# spanning-tree vlan vlan priority 0
交换机/ 交换机/路由器配置与管理
交换机通过学习获得MAC地址和转发与过滤数据 包的过程: ⑴ 交换机在重新启动或手工清除MAC地址表后, MAC地址表没有任何MAC地址的记录。如图 所示。
交换机/ 交换机/路由器配置与管理
⑵ 假设主机A向主机C发送数据包,因为现在MAC 地址表为空,所以端口E0将从数据包中提取源 MAC地址,将此MAC地址记录到MAC地址表中,同 时向其它所有的端口发送此数据包,如果某一 主机在接收到此数据包后,将提取目标MAC地址, 并与自己网卡的MAC地址进行比较,如果相等, 则接收此数据包;否则丢弃此数据包。如图所 示。
交换机路由器配置与管理
第四章 生成树协议与端口安全
交换机/ 交换机/路由器配置与管理
4.1
生成树协议
4.1.1 生成树协议的作用
功能强大、可靠的网络需要有效地传输流 量,提供冗余和故障的快速恢复功能。在第2层 网络中,路由协议不可用,生成树协议通过从 软件层面修改网络物理拓扑结构来构建一个无 环路逻辑转发拓扑结构,提供了物理线路的冗 余连接,消除了网络风暴,从而提高网络的稳 定性和减少网络故障的发生率。
交换机/ 交换机/路由器配置与管理
4.1.4 VLAN快速生成树协议 快速生成树协议 每个VLAN都生成一棵树是一种比较直接,而且 最简单的解决方法,能够保证每一个VLAN都 不存在环路 。但这种方式工作的生成树协议, 各厂商标准都不同,可能无法兼容。如Cisco的 VLAN生成树 PVST(Per VLAN Spanning Tree) 和PVST+。 4.1.5 多实例生成树协议 (MISTP) 多实例生成树协议是基于实例的,STP/RSTP是基 于端口的, PVST/PVST+是基于VLAN的。所 谓实例就是多个VLAN的一个集合,通过多个 VLAN捆绑到一个实例中去的方法可以节省通 信开销和资源占用率。此协议的兼容性比较差。
Sw_3550(config-if)# spanning-tree vlan vlan-list port-priority priority
设置每个VLAN的端口优先级。
交换机/ 交换机/路由器配置与管理
Sw_3550(config)# spanning-tree vlan vlan forward-time delay 指定Vlan的转发延迟时间,delay值默认15s(4s~15s) Sw_3550(config)# spanning-tree vlan vlan hello-time interval 指定Vlan的Hello(呼叫)计时器的时间, interval(1~10s,默认2s) Sw_3550(config)# spanning-tree vlan vlan max-age agingtime 指定Vlan的最大老化时间, agingtime(6~40s,默认20s) Sw_3550(config)# spanning-tree portfast 在端口上启用portfast功能,以避免因端口上的状态变化而产生拓 扑结构变更通知的BPDU Sw_3550(config)# spanning-tree portfast bpduguard 在全局状态下启动portfast BPDU保护功能以提高STP的稳定性 Sw_3550(config)# spanning-tree portfast bpdufilter 在全局状态下启动portfast BPDU filter功能,使交换机停止发送 BPDU Sw_3550(config)# spanning-tree uplinkfast [max-update-rate packetsper-second]
交换机/ 交换机/路由器配置与管理
4.2.1 端口安全的原理 端口安全是根据MAC地址表来确定允许访问网络 的设备,其中MAC地址表记录的是MAC地址 与交换机端口的映射,可对交换机的任一端口 进行端口安全配置,共有三种方法: 手工设置一个或几个固定的MAC地址 限制端口的最大MAC地址的数量 任何MAC地址都可以通过此端口访问网络,此 为默认设置
交换机/ 交换机/路由器配置与管理
4.1
生成树协议
Sw_3550(config)# spanning-tree backbonefast Sw_3550# show spanning-tree [active [detail]] Sw_3550# show spanning-tree [backbonefast | blockedports | interface | pathcost method| summary [totals] | uplinkfast] Sw_3550# show spanning-tree [ root [address | cost | detail | forward-time | hello-time | id | max-age | port | priority system-id] | vlan vlan_list [active [detail] | blockedports | bridge [address | detail | forward-time | hello-time | id | max-age | priority | protocol] | detail [ active ] | inconsistentports | summary]]
交换机/ 交换机/路由器配置与管理
为解决STP协议的这个缺陷,IEEE推出了802.1W标准,作 为对802.1D标准的补充,它定义了快速生成树协议RSTP, 此协议作了以下三点改进,使收敛速度快了很多(最快 1s以内)。 改进1:为根端口和指定端口设置了快速切换用的替换端 口(Alternate Port)和备份端口(Backup Port)两种 角色,当根端口/指定端口失效的情况下,替换端口/备 份端口就会无时延地进入转发状态。 改进2:在只连接了两个交换端口的点对点链路中,指定 端口只需与下游网桥进行一次握手就可以无时延地进入 转发状态 。 改进3:直接与终端相连而不是把其他网桥相连的端口定 义为边缘端口(Edge Port)。边缘端口可以直接进入转 发状态,不需要任何延时。
交换机/ 交换机/路由器配置与管理
4.1
生成树协议
4.1.7 生成树协议实例
4.1.8 生成树协议总结
交换机/ 交换机/路由器配置与管理
4.2 端口安全
4.2.1 端口安全的作用 端口安全功能是通过对MAC地址表的配置,来实 现在某一端口只允许一台或者几台确定的设备 访问此台交换机端口。从而减少交换机被黑客 攻击,增强交换机的安全性,提高局域网的安 全性。
该命令用于修改网桥的优先级,若要设置根网桥,就应该将其设 置为比所在VLAN上的其它网桥的优先级都低。
Sw_3550(config)# spanning-tree pathcost method {long | short}
若带宽在10Gbps或更高的端口,应该将网络里每台交换机上的端 口代价值取为long(32位)
交换机/ 交换机/路由器配置与管理
6、生成树协议的端口状态 禁用(Disabled) 关闭的端口。 阻塞(Blocking)不能接收或传输数据,不能把MAC地址加入 它的地址表,只能接收BPDU。 监听(Listening) 由根端口或指定端口担任,不能接收或传输 数据,不能把MAC地址加入它的地址表,只能接收或发送 BPDU。 学习(Learning)在转发延时(Forward Delay)计时时间(默 Learning Forward Delay 认15s)后,端口进入学习状态。不能传输数据,但可接收或 发送BPDU,可学习MAC地址并加入它的地址表。 转发(Forwarding)在下次转发延时(Forward Delay)计时时 间(默认15s)后,端口进入转发状态。能接收或传输数据, 能学习MAC地址并加入它的地址表,也可接收或发送BPDU。
交换机/ 交换机/路由器配置与管理
2、根网桥的选择 开始所有网桥都通过发送STP报文来声明自己是根网桥,这些交换 信息的数据成为网桥协议数据单元(BPDU),BPDU包含以下 内容: 根网桥的ID 一个可设置的优先级 这是根网桥的优先级 到达根网桥的成本 发送该BPDU的网桥ID 根网桥的选择条件: 最小优先级别的网桥将成为根网桥 若优先级别相同,则具有最小网桥ID的网桥成为根网桥 注:网桥或交换机选择地址池中的一个MAC地址作为网桥的ID, 由于MAC地址的唯一性,所以网桥ID也是唯一的。 用来标识根网桥和优先级、网桥ID和成本的报文成为hello数据包。 STP就是通过hello数据包中的内容来判断网络中是否有比自己 更合适作为根网桥的网桥,如果有就停止并且转发合适网桥的 hello数据包,最终将有一台网桥成为根网桥。
Sw_3550(config-if)# spanning-tree guard {root | none}
在端口或接口上启用STP Root Guard功能。
Sw_3550(config-if)# spanning-tree port-priority port-priority
设置所有VLAN的端口优先级,其中port-priority值的范围是0~255。
交换机/ 交换机/路由器换机都选择一个根端口,这是通过判断出 有最小根路径成本的端口做到的,这个代价一直带在 BPDU上,沿途的每台不是根网桥的交换机都把接收 BPDU的端口的本地端口成本加上去,伴随BPDU的产生, 就累加出了根路径成本。 4、制定端口的选择 在每个网段上选择一个交换机端口处理该网络的流量,在 网段内最小根路径成本的端口就为指定端口。 5、删除桥接环 既不是根端口也不是指定端口的交换机端口被设为阻塞状 态。这一步断开了不设置阻塞将会形成的所有桥接环。