深圳鼎为网络科,一家从事华为Optix OSN3500,Optix OSN2500,Optix OSN1500设备销售的公司,致力于对超长距离及多业务数据传送网络需求的客户提供质量有保证的传输设备,本公司整机及单板型号齐全,价格合理,期待新老客户来电咨询!

你的位置:首页 > 新闻动态 > SDH技术

MSTP安全策略介绍

发布时间:2018-6-17 12:34:57浏览次数:资料来源:www.szdingwei.net

  • MSTP对于启用根保护功能的指定端口,其端口角色只能保持为指定端口。一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。

  • BPDU protection

    路由器上启动了BPDU保护功能后,如果边缘端口收到RST BPDU,边缘端口将被shutdown,但是边缘端口属性不变,同时通知网管系统。

  • TC protection

    启用防TC-BPDU报文攻击功能后,在单位时间内,路由器处理拓扑变化报文的次数可配置。如果在单位时间内,路由器在收到拓扑变化报文数量大于配置的阈值,那么路由器只会处理阈值指定的次数。对于其他超出阈值的拓扑变化报文,定时器到期后路由器只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项,从而达到保护设备的目的。

  • Loop protection

    在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游的RST BPDU,则向网管发出通知信息(如果是根端口则进入Discarding状态)。而阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路。直到根端口收到RST BPDU,端口状态才恢复正常到Forwarding状态。

攻击方法介绍

  • Root bridge change attack

    由于维护人员的错误配置或网络中的恶意攻击,根桥收到优先级更高的BPDU,会失去根桥的地位,重新进行生成树的计算,并且由于拓扑结构的变化,可能造成高速流量迁移到低速链路上,引起网络拥塞。

  • BPDU attack

    边缘端口在收到BPDU以后端口状态将变为非边缘端口,此时就会造成生成树的重新计算,如果攻击者伪造配置消息恶意攻击路由器,就会引起网络震荡。

  • TC protection

    路由器在接收到拓扑变化报文后,会执行MAC地址表项和ARP表项的删除操作,如果频繁操作则会对CPU的冲击很大。

  • Loop protection

    当出现链路拥塞或者单向链路故障,根端口和Alternate端口会老化。根端口老化,会导致系统重新选择根端口(而这有可能是错误的),Alternate端口老化,将迁移到Forwarding状态,这样会产生环路。

配置维护建议

  • 根保护

    指定端口使能根保护。

  • BPDU保护

    设备配置BPDU保护。

  • TC保护

    在系统视图下配置TC保护。

  • 环路保护

    指定根端口和Alternate端口使能环路保护。


本章技术资料和相关SDH设备故障处理流程由深圳市鼎为网络技有限公司提供(www.szdingwei.net),转载请保留。华为SDH光传输设备SDH传输设备销售电话:13430988088 欢迎电话咨询!


销售MSTP_产品报价_销售厂家_产品特性_产品描述_深圳鼎为网络科技SDH传输设备销售有限公司
供应MSTP_故障处理_安装调测_技术指标_技术参数_深圳鼎为网络科技SDH传输设备销售有限公司