校园网接入安全(二).
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
errdisable recovery interval 120
第二章 接入层环路预防方案
单端口环路解决方案
配置BPDUGuard后,该端口只要收到BPDU就
1层汇聚交换机 会由于违例处于errordisable RG-S5750 状态,堵塞端口
spanning-tree errdisable recovery interval 120 int range fa0/1-24 spanning-tree portfast spanning-tree bpduguard enable int g0/25 Spanning-tree bpdufilter enable
BPDU
根路径开销、网桥ID、端口ID相同
无法解决单端口环路!
1102寝室 Switch
1101寝室 Hub
2
第二章 接入层环路预防方案
单端口环路解决方案
›
›
在接入交换机所有下联口开启(接ห้องสมุดไป่ตู้模式)
如果接入交换机所有下联口开启了portfast,该命 令等价于(配置模式)
spanning-tree bpduguard enable
校园网接入安全
文档类型:
文档密级:
主送对象:
抄送对象:
文档编号:
审 核 人:
第二章 接入层环路预防方案
部署流程
›
确定部署设备
接入交换机 » 接入层交换机单链路上联,汇聚层交换机没有必要开 启STP
»
›
开启生成树协议
» Switch 全局模式 (config)#Spanning-tree
›
确定生成树协议运行范围(可选)
1层接入交换机 RG-S2628G BPDU
可能存在的问题?
默认开启生成树的 非网管交换机
1101寝室
Hub
1102寝室 Switch
BPDU
2
1
第二章 接入层环路预防方案
单端口下的环路
›
效果查看
Log信息提示
%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet 0/1 with BPDU Guard enabled. Disabling port. LINK-3-UPDOWN: Interface FastEthernet 0/1, changed state to down. LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/1, changed state to down
部署RLDP协议
2 1
第二章 接入层环路预防方案
工作原理:
› › ›
RLDP报文中包含交换机标识和端口标识 端口周期性发送环路检测报文,并期待邻居(开启rldp)的响应报文 报文目的MAC是组播地址,保证发送出去的报文在产生环路的情况下能回到原设备
›
如果某个端口上收到了本机发出的RLDP报文,则该端口将被认为是出现了环路 故障,并进行相应违例处理
RG-S5750
1层接入交换机 RG-S2628G RLDP 1101寝室 Hub 非RLDP设备 Switch 非RLDP设备 1102寝室
2
1
第二章 接入层环路预防方案
部署流程
接入交换机开启RLDP功能 所有下联端口开启RLDP功能
Ruijie(config)#int range FastEthernet 0/1-24 Ruijie(config-if-range)#rldp port loop-detect shutdown-port
Ruijie#sh int status
Interface Status -------------------- -------- ---FastEthernet 0/1 disable FastEthernet 0/2 down FastEthernet 0/3 down FastEthernet 0/4 down
»
Switch(config-if)#Spanning-tree bpdufiter enable
接入交换机上行口开启bpdufilter 在所有下联端口配置
›
优化端口配置
»
Switch(config-if)#Spanning-tree portfast
第二章 接入层环路预防方案
情景1
启用了STP的交换机发送接收 BPDU,比较根 宿舍1区汇聚交换机
路径开销、网桥ID和端口ID,堵塞端口,打破 环路 G0/25
RG-S5750 1层接入交换机 RG-S2628G BPDU 比较端口ID堵塞端口
1101寝室 Hub Switch
1102寝室
1
第二章 接入层环路预防方案
情景2
生成树协议算法无法解决单端口环路
RG-S5750
1层接入交换机 RG-S2628G
Vlan Duplex ------- --------1 Unknown 1 Unknown 1 Unknown 1 Unknown
Speed Type -----Unknown copper Unknown copper Unknown copper Unknown copper 查看接口的状态信息
Ruijie(config)#rldp enable
违例的端口不会自动恢复,需要配置环路消除后
的恢复方法
手动恢复 自动恢复
Ruijie(config)#errdisable recovery
Ruijie(config)#errdisable recovery interval 120
第二章 接入层环路预防方案
›
由于BPDUguard堵塞的端口,环路消除后不会自 动打开堵塞端口,需要额外的配置才能恢复端口 状态
Spanning-tree portfast bpduguard default 所有开启了portfast的端口都开启bpduguard功能
手动恢复 errdisable recovery 自动恢复
第二章 接入层环路预防方案
› ›
方案二、使用RLDP协议预防环路
快速链路检测协议,锐捷私有协议之一 用于环路检测(单设备)和链路(单向、双 可控区域 向)故障检测 1层汇聚交换机
RG-S5750
1层接入交换机 RG-S2628G 网络区域
用户区域
1101寝室 Hub
Switch
1102寝室
不可控区域
第二章 接入层环路预防方案
单端口环路解决方案
配置BPDUGuard后,该端口只要收到BPDU就
1层汇聚交换机 会由于违例处于errordisable RG-S5750 状态,堵塞端口
spanning-tree errdisable recovery interval 120 int range fa0/1-24 spanning-tree portfast spanning-tree bpduguard enable int g0/25 Spanning-tree bpdufilter enable
BPDU
根路径开销、网桥ID、端口ID相同
无法解决单端口环路!
1102寝室 Switch
1101寝室 Hub
2
第二章 接入层环路预防方案
单端口环路解决方案
›
›
在接入交换机所有下联口开启(接ห้องสมุดไป่ตู้模式)
如果接入交换机所有下联口开启了portfast,该命 令等价于(配置模式)
spanning-tree bpduguard enable
校园网接入安全
文档类型:
文档密级:
主送对象:
抄送对象:
文档编号:
审 核 人:
第二章 接入层环路预防方案
部署流程
›
确定部署设备
接入交换机 » 接入层交换机单链路上联,汇聚层交换机没有必要开 启STP
»
›
开启生成树协议
» Switch 全局模式 (config)#Spanning-tree
›
确定生成树协议运行范围(可选)
1层接入交换机 RG-S2628G BPDU
可能存在的问题?
默认开启生成树的 非网管交换机
1101寝室
Hub
1102寝室 Switch
BPDU
2
1
第二章 接入层环路预防方案
单端口下的环路
›
效果查看
Log信息提示
%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet 0/1 with BPDU Guard enabled. Disabling port. LINK-3-UPDOWN: Interface FastEthernet 0/1, changed state to down. LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/1, changed state to down
部署RLDP协议
2 1
第二章 接入层环路预防方案
工作原理:
› › ›
RLDP报文中包含交换机标识和端口标识 端口周期性发送环路检测报文,并期待邻居(开启rldp)的响应报文 报文目的MAC是组播地址,保证发送出去的报文在产生环路的情况下能回到原设备
›
如果某个端口上收到了本机发出的RLDP报文,则该端口将被认为是出现了环路 故障,并进行相应违例处理
RG-S5750
1层接入交换机 RG-S2628G RLDP 1101寝室 Hub 非RLDP设备 Switch 非RLDP设备 1102寝室
2
1
第二章 接入层环路预防方案
部署流程
接入交换机开启RLDP功能 所有下联端口开启RLDP功能
Ruijie(config)#int range FastEthernet 0/1-24 Ruijie(config-if-range)#rldp port loop-detect shutdown-port
Ruijie#sh int status
Interface Status -------------------- -------- ---FastEthernet 0/1 disable FastEthernet 0/2 down FastEthernet 0/3 down FastEthernet 0/4 down
»
Switch(config-if)#Spanning-tree bpdufiter enable
接入交换机上行口开启bpdufilter 在所有下联端口配置
›
优化端口配置
»
Switch(config-if)#Spanning-tree portfast
第二章 接入层环路预防方案
情景1
启用了STP的交换机发送接收 BPDU,比较根 宿舍1区汇聚交换机
路径开销、网桥ID和端口ID,堵塞端口,打破 环路 G0/25
RG-S5750 1层接入交换机 RG-S2628G BPDU 比较端口ID堵塞端口
1101寝室 Hub Switch
1102寝室
1
第二章 接入层环路预防方案
情景2
生成树协议算法无法解决单端口环路
RG-S5750
1层接入交换机 RG-S2628G
Vlan Duplex ------- --------1 Unknown 1 Unknown 1 Unknown 1 Unknown
Speed Type -----Unknown copper Unknown copper Unknown copper Unknown copper 查看接口的状态信息
Ruijie(config)#rldp enable
违例的端口不会自动恢复,需要配置环路消除后
的恢复方法
手动恢复 自动恢复
Ruijie(config)#errdisable recovery
Ruijie(config)#errdisable recovery interval 120
第二章 接入层环路预防方案
›
由于BPDUguard堵塞的端口,环路消除后不会自 动打开堵塞端口,需要额外的配置才能恢复端口 状态
Spanning-tree portfast bpduguard default 所有开启了portfast的端口都开启bpduguard功能
手动恢复 errdisable recovery 自动恢复
第二章 接入层环路预防方案
› ›
方案二、使用RLDP协议预防环路
快速链路检测协议,锐捷私有协议之一 用于环路检测(单设备)和链路(单向、双 可控区域 向)故障检测 1层汇聚交换机
RG-S5750
1层接入交换机 RG-S2628G 网络区域
用户区域
1101寝室 Hub
Switch
1102寝室
不可控区域