MSTP安全策略介绍

• MSTP对于启用根保护功能的指定端口，其端口角色只能保持为指定端口。一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文。在经过一段时间（通常为两倍的Forward Delay），如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。

• BPDU protection

  路由器上启动了BPDU保护功能后，如果边缘端口收到RST BPDU，边缘端口将被shutdown，但是边缘端口属性不变，同时通知网管系统。

• TC protection

  启用防TC-BPDU报文攻击功能后，在单位时间内，路由器处理拓扑变化报文的次数可配置。如果在单位时间内，路由器在收到拓扑变化报文数量大于配置的阈值，那么路由器只会处理阈值指定的次数。对于其他超出阈值的拓扑变化报文，定时器到期后路由器只对其统一处理一次。这样可以避免频繁的删除MAC地址表项和ARP表项，从而达到保护设备的目的。

• Loop protection

  在启动了环路保护功能后，如果根端口或Alternate端口长时间收不到来自上游的RST BPDU，则向网管发出通知信息（如果是根端口则进入Discarding状态）。而阻塞端口则会一直保持在阻塞状态，不转发报文，从而不会在网络中形成环路。直到根端口收到RST BPDU，端口状态才恢复正常到Forwarding状态。

攻击方法介绍

• Root bridge change attack

  由于维护人员的错误配置或网络中的恶意攻击，根桥收到优先级更高的BPDU，会失去根桥的地位，重新进行生成树的计算，并且由于拓扑结构的变化，可能造成高速流量迁移到低速链路上，引起网络拥塞。

• BPDU attack

  边缘端口在收到BPDU以后端口状态将变为非边缘端口，此时就会造成生成树的重新计算，如果攻击者伪造配置消息恶意攻击路由器，就会引起网络震荡。

• TC protection

  路由器在接收到拓扑变化报文后，会执行MAC地址表项和ARP表项的删除操作，如果频繁操作则会对CPU的冲击很大。

• Loop protection

  当出现链路拥塞或者单向链路故障，根端口和Alternate端口会老化。根端口老化，会导致系统重新选择根端口（而这有可能是错误的），Alternate端口老化，将迁移到Forwarding状态，这样会产生环路。

配置维护建议

• 根保护

  指定端口使能根保护。

• BPDU保护

  设备配置BPDU保护。

• TC保护

  在系统视图下配置TC保护。

• 环路保护

  指定根端口和Alternate端口使能环路保护。