返回
生成树协议与端口安全

生成树协议与端口安全

ID:36316015

大小:250.01 KB

页数:20页

时间:2019-05-09

生成树协议与端口安全_第1页
生成树协议与端口安全_第2页
生成树协议与端口安全_第3页
生成树协议与端口安全_第4页
生成树协议与端口安全_第5页
资源描述:

《生成树协议与端口安全》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章生成树协议与端口安全4.1生成树协议4.1.1生成树协议的作用功能强大、可靠的网络需要有效地传输流量,提供冗余和故障的快速恢复功能。在第2层网络中,路由协议不可用,生成树协议通过从软件层面修改网络物理拓扑结构来构建一个无环路逻辑转发拓扑结构,提供了物理线路的冗余连接,消除了网络风暴,从而提高网络的稳定性和减少网络故障的发生率。4.1生成树协议4.1.2生成树协议的原理生成树协议(SpanningTreeProtocol)是在网络有环路时,通过一定的算法将交换机的某些端口进行阻塞,从而使网络形成一个无环路的树状结

2、构。1、生成树协议的工作过程采用三个规则来使某个端口进入转发状态:生成树协议选择一个根网桥,根网桥的所有端口都处于转发状态每一个非根网桥选一个端口到根网桥中且管理成本最低的端口作为根端口,生成树协议将使根端口处于转发状态当网络中有多个网桥时,它们会将其到根网桥的管理成本宣告出去,其中管理成本最低的网桥作为指定网桥,指定网桥中发送最低管理成本BPDU的端口为指定端口,该端口处于转发状态,所有其他端口被置为阻塞状态2、根网桥的选择开始所有网桥都通过发送STP报文来声明自己是根网桥,这些交换信息的数据成为网桥协议数据单元(

3、BPDU),BPDU包含以下内容:根网桥的ID一个可设置的优先级这是根网桥的优先级到达根网桥的成本发送该BPDU的网桥ID根网桥的选择条件:最小优先级别的网桥将成为根网桥若优先级别相同,则具有最小网桥ID的网桥成为根网桥注:网桥或交换机选择地址池中的一个MAC地址作为网桥的ID,由于MAC地址的唯一性,所以网桥ID也是唯一的。用来标识根网桥和优先级、网桥ID和成本的报文成为hello数据包。STP就是通过hello数据包中的内容来判断网络中是否有比自己更合适作为根网桥的网桥,如果有就停止并且转发合适网桥的hello数

4、据包,最终将有一台网桥成为根网桥。3、根端口的选择不是根网桥的交换机都选择一个根端口,这是通过判断出有最小根路径成本的端口做到的,这个代价一直带在BPDU上,沿途的每台不是根网桥的交换机都把接收BPDU的端口的本地端口成本加上去,伴随BPDU的产生,就累加出了根路径成本。4、制定端口的选择在每个网段上选择一个交换机端口处理该网络的流量,在网段内最小根路径成本的端口就为指定端口。5、删除桥接环既不是根端口也不是指定端口的交换机端口被设为阻塞状态。这一步断开了不设置阻塞将会形成的所有桥接环。6、生成树协议的端口状态禁用(

5、Disabled)关闭的端口。阻塞(Blocking)不能接收或传输数据,不能把MAC地址加入它的地址表,只能接收BPDU。监听(Listening)由根端口或指定端口担任,不能接收或传输数据,不能把MAC地址加入它的地址表,只能接收或发送BPDU。学习(Learning)在转发延时(ForwardDelay)计时时间(默认15s)后,端口进入学习状态。不能传输数据,但可接收或发送BPDU,可学习MAC地址并加入它的地址表。转发(Forwarding)在下次转发延时(ForwardDelay)计时时间(默认15s)后

6、,端口进入转发状态。能接收或传输数据,能学习MAC地址并加入它的地址表,也可接收或发送BPDU。4.1.3快速生成树协议STP的缺陷:当拓扑结构发生变化时,新的配置消息要经过一个时延(ForwardDelay,默认值为15s)才能传播到整个网络。此时拓扑结构中应该停止转发的端口若仍然在进行转发活动,就有可能产生临时环路。为解决此问题,生成树使用了一种定时器策略,即在端口从阻塞状态到转发状态之间加入一个只学习MAC地址但不参与转发的中间状态,两次状态切换的时间长度都是ForwardDelay,这样就保证了在拓扑结构变化

7、时不会产生临时环路的问题。但这个方法需要至少两倍的ForwardDelay收敛时间。为解决STP协议的这个缺陷,IEEE推出了802.1W标准,作为对802.1D标准的补充,它定义了快速生成树协议RSTP,此协议作了以下三点改进,使收敛速度快了很多(最快1s以内)。改进1:为根端口和指定端口设置了快速切换用的替换端口(AlternatePort)和备份端口(BackupPort)两种角色,当根端口/指定端口失效的情况下,替换端口/备份端口就会无时延地进入转发状态。改进2:在只连接了两个交换端口的点对点链路中,指定端口

8、只需与下游网桥进行一次握手就可以无时延地进入转发状态。改进3:直接与终端相连而不是把其他网桥相连的端口定义为边缘端口(EdgePort)。边缘端口可以直接进入转发状态,不需要任何延时。4.1.4VLAN快速生成树协议每个VLAN都生成一棵树是一种比较直接,而且最简单的解决方法,能够保证每一个VLAN都不存在环路。但这种方式工作的生成树协议,各厂

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。