① H3C的交换机STP边缘端口用什么命令配置
int eth 1/0/1
stp disable
stp edged-port enable
最后全局起
stp bp-protection
边缘端口(portfast)是指不直接与任何交换机连接,也不通过端口所连接的网络间接与任何交换机相连的端口。 可以通过下面两种途径来配置端口为边缘端口或者非边缘端口。
② 接交换机的pc不想收到bp报文,同时为了减少流量泛洪,怎么做
将交换机接PC的接口配置为BPDU filter端口,则该端口将不发送任何的BPDU报文并忽略所有接收到的BPDU报文。
华为交换机配置命令:stp bp-filter enable
思科交换机配置命令:spanning-tree bpfilter enable
③ 边缘端口的bpguard应用
将SWITCH的端口设置为spanning-tree portfast后,如果这个端口接到其他SWITCH或者HUB上就可能造成环路问题。加上spanning-tree bpguard enable之后,当这个端口在收到BPDU包后就会进入errdisable状态,从而避免环路。BPDU GUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。
Portfast和bpguard配置:
switch(config)#interface range f0/1 - 5
switch(config-if-range)#spanning-tree portfast
switch(config-if-range)#spanning-tree bpguard enable
BPDU Guard使具备PortFast特性的端口在接收到BPDU时进入err-disable状态来避免桥接环路,其可在全局或接口下进行配置(默认关闭),可使用errdisable recovery cause bpguard命令开启端口状态的自动恢复。
BPDU GUARD工作原理:当交换机STP功能启用的时候,默认所有端口都会参与STP,并发送和接受BPDU,当BPDU GUARD开启后,在正常情况下,一个下联的端口是不会收到任何BPDU的,因为PC和非网管换机都不支持STP,所以不会收发BPDU。当这个端口下如果有自回环的环路,那么它发出去的BPDU在非网管换机上回环后就会被自己接收到,这个时候BPDU GUARD就会把它立刻设为Error-Disabled状态,这个端口就相当于被关闭了,不会转发任何数据,也就切断了环路,保护了整个网络。BPDU Guard特性可以全局启用也可以基于基于接口的启用,两种方法稍有不同. 当在启用了Port Fast特性的端口收到了BPDU后,BPDU Guard将关闭该端口,使该端口处于err-disable状态,这时必须手动才能把此端口回复为正常状态。 不同于BPDU防护,BPDU Filter配置于全局/接口模式时,功能有所不同,当启用于PortFast端口模式时,交换机将不发送任何BPDU,并且把接收到的所有BPDU都丢弃;而启用于全局模式时,端口在接收到任何BPDU时,将丢弃PortFast状态和BPDU过滤特性,更改回正常的STP操作,BPDU Filter特性默认关闭。
当同时启用bpguard与bpfilter时,bpfilter优先级较高,bpguard将失效 。
BPDU Filtering特性和BPDU Guard特性非常类似.通过使用BPDU Filtering,将能够防止交换机在启用了Port Fast特性的端口上发送BPDU给主机。 如果全局配置了BPDU Filtering,当某个Port Fast端口接收到了BPDU,那么交换机将禁用Port Fast和BPDU Filtering特性,把端口更改回正常的STP状态.如果在单独的Port Fast端口启用BPDU Filtering,此端口将不发送任何的BPDU并忽略所有接收到的BPDU. 注意,如果在连接到其他交换机的端口(不是连的主机的端口)上配置了BPDUFiltering,那么就有可能导致层2环路(Prevent from sending and receiving BPDU).另外,如果在与启用了BPDU Filtering的相同端口上配置了BPDU Guard特性,所以BPDU Guard将不起作用,起作用的将是BPDU Filtering.
配置BPDU Filtering:
Switch(config)# spanning-tree portfast bpfilter default /---在启用了Port Fast特性的端口上启用BPDU Filtering---/
Switch(config-if)# spanning-tree bpfilter enable /---在不启用Port Fast特性的情况下启用BPDU Filtering---/ LOOP Guard主要用来避免阻塞端口错误地过渡到转发状态而产生桥接环路的情况;当交换机在启用loop guard特性的非指定端口上停止接收BPDU时,交换机将使得端口进入STP“不一致环路(inconsistentports)阻塞状态,当不一致端口再次收到BPDU时,端口将根据BPDU自动过滤到STP状态。通过sh spanning-tree inconsistentports命令可以查看不一致端口状态。loopguard特性默认开启。
Loop Guard:防止一个阻断的端口由于链路不正常(不能双向通信等)接不到BPDU后变成转发,配了此项后,即使接不到BPDU也是阻断的loop-inconsistent blocking state(启用loop guard时自动关闭root guard);
Loop guard在RP接口或替代端口启用:
Switch(config-if)# spanning-tree guard loop
全局启用:
Switch(config)#spantree global-default loopguard enable
如果在一个启用了root guard的端口上启用loop guard,loop guard将禁用root guard功能。
④ H3C S5500-EI中 bp guard如何配置
2012-06-05 09:06 BPDU Guard(BPDU保护) BPDU保护仅用在PortFast模式。它被网络设计者用来加强STP域边界,通常来对接入终端的边缘端口进入配置,从而保持交换网络的拓扑不受影响。在启用STP PortFast端口之后的设备被禁止影响STP拓扑。通过配置BPDU保护后,端口如果收到BPDU,将会把端口状态调整到Err-Disable.如下是一个出错信息:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
如图所示,A的优先级为10,为该vlan的根桥,B的优先级为20,为备份根桥,B和A之间的链路为Gbit/s链路,正确的BPDU流向,如下图如果D为一台基于Linux的软件网桥,可以发送BPDU报文,并将自身BID的优先级设置为0,此时,D将成为根桥,故BPDU流向变为右图, A,B间的Gbit/s链路被阻塞,通过C走100Mbit/s链路。此时会超负载出现丢包的情况, BPDU保护的目的就是基于这种情况,防止接入设备对整个网络拓扑的影响。 配置方式:
在全局模式:
Switch(config)#spanning-tree portfast bpguard default
接口模式:
Switch(config-if)#spanning-tree bpguard enable
注意在全局模式配置了portfast默认打开BPDU保护,需要在相应的接口上打开portfast才能启用
⑤ 如何配置bp-tunnel透传bp报文
配置IOS重新激活errdisable的接口,使用以下命令:sw1(config)#errdisable recovery cause bpguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state ...展开配置IOS重新激活errdisable的接口,使用以下命令:sw1(config)#errdisable recovery cause bpguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld Enable timer to recover from udld error disable state unicast-flood Enable timer to recover from unicast flood disable state vmps Enable timer to recover from vmps shutdown error disable收起
⑥ 华为交换机命令解析。请高手帮我逐条解析一下,谢谢!
system-view 进入系统视图
vlan batch 109 209 创建vlan109到vlan209
dhcp enable 打开dhcp
dhcp snooping enable 打开dhcp snooping
stp bp-protection 启动bp保护功能
stp enable 打开stp
interface Eth-Trunk1 进入 Eth-Trunk1接口
stp disable 显示stp信息
port link-type trunk 设置为trunk借口
trunkport GigabitEthernet 0/1/1 0/1/2 加入GigabitEthernet 0/1/1 0/1/2
undo port trunk allow-pass vlan 1 trunk接口不允许vlan1通过
port trunk allow-pass vlan 109 209 trunk接口允许vlan109-209通过
dhcp snooping trusted 设置dhcp snoping 信任端口
description to S5728_SZVE3BSLHW02_G0/0/1_G1/0/1 10.170.27.5 描述语句,与 S5728_SZVE3BSLHW02_G0/0/1连接,对端IP为10.170.27.5
quit 退出到上一级
vlan 109 进入vlan109
dhcp snooping enable 打开dhcp
dhcp snooping trusted interface Eth-Trunk1 应用到trusted接口interface Eth-Trunk1上
vlan 209 进入vlan209
dhcp snooping enable 打开dhcp
dhcp snooping trusted interface Eth-Trunk1 应用到trusted接口interface Eth-Trunk1上
return 返回用户视图
system-view 进入系统视图
info-center loghost 10.72.52.25 facility local1 将info-center的log消息(运行信息文件 例如端口up down,ospf,bgp的信息等)保存在日至服务器上,日至服务器地址为10.72.52.25
sysname szve3bslhw08 系统名称命名为szve3bslhw0
super password level 3 cipher hr1ycfl!1314 设置超级管理员cipher认证密码hr1ycfl!1314
interface Vlanif 109 进入Vlanif 109接口
ip address 10.170.27.6 255.255.255.0 设置接口IP为10.170.27.6,24位掩码
quit 退出到上一级
ip route-static 0.0.0.0 0.0.0.0 10.170.27.1 设置静态路由,指向10.170.27.1
FTP server enable 打开ftp服务
⑦ 谁能帮我逐条解释华为交换机的配置命令,谢谢!!
>system\\进入用户视图
] sysname C2960\\更改交换机名为C2960
] vlan batch 2 to 4094\\创建2至4094号vlan
] stp bp-protection\\启用BPDU保护边缘端口
] domain abc\\AAA RADIUS HWTACACS命令
] domain abc1 admin\\AAA RADIUS HWTACACS命令
] undo http server enable\\关闭设备web网管功能
] aaa\\本地认证授权
aaa] local-user abc password cipher cisco\\新建本地用户账号名abc 登录密码cisco 密文加密
aaa] local-user abc privilege level 15\\账号abc 权限级别为15(最高权限)
aaa] local-user abc service-type telnet\\账号abc 登录方式为 telnet
aaa] quit\\退出aaa配置模式
] interface Vlanif100\\进入vlan 100 配置交换机管理ip
vlanif100] ip address 192.168.1.1 255.255.255.0\\配置vlan100为交换机默认管理vlan,设置管理地址ip为192.168.1.1 255.255.255.0
vlanif100] undo shut\\启用vlan100
vlanif100] quit\\退出vlan100配置
] ip route-static 0.0.0.0 0.0.0.0 192.168.10.254\\设置交换机网关默认路由
]user-interface con 0\\进入交换机console 0口配置模式
console0] user privilege level 15\\连接console 0的用户权限级别为15 (最高权限)
console0] authentication-mode password\\设置接入console 0口时用户需要输入密码
console0] set authentication password cipher cisco\\配置接入console 0口的用户密码为cisco 密文加密
console0] quit\\退出 console 0口配置模式
] user-interface vty 0 4\\配置远程telnet
vty0-4] user privilege level 15\\telnet 0-4口 接入的用户级别为15(最高级别)
vty0-4] authentication-mode aaa\\认证模式为aaa
vty0-4] idle-timeout 10\\10分钟内用户与设备间没有信息交互 设备将断开远程连接
vty0-4] quit\\退出telnet配置模式
] ntp-service unicast-server 192.168.1.2\\进入配置NTP服务器192.168.1.2 时间同步
] header login information ^\\设置登录时的显示信息
⑧ 什么是BPDU防护它起什么作用它和BPDU过滤有什么区别
bp:
bridge protocol data unit,桥接协议数据单元
对于参与stp的一个扩展的局域网中的所有交换机,他们都通过数据消息的交换来获取网络中的其他交换机的信息,这些消息被称为bp
bp一旦出现异常,这个stp区域中的交换机将可能全部陷入混乱
如果接口启用了stp portfast,这个接口将不会经过监听、学习两个状态,在接入设备之后会立刻进入转发状态,这个时候如果接入的设备是其他的网络中的stp根桥,这个时候就会造成交换机的混乱
bp保护就是针对stp portfast的意外接入非法设备所进行的处理
bp保护在stp portfast端口上一旦接收了bp数据,就会立刻使这个接口进入“err-disable”状态,必须由管理员手动重新启用“arr-disable”状态的接口。
要启用bp保护功能
在全局控制模式下键入
spanning-tree portfast bpguard
就可以启用该功能,关闭此功能在前面+no
⑨ cisco交换机是否有tc-bp保护功能,命令是什么
TC保护,华3、华为有这个命令。思科木有!
⑩ 华三接入层交换机需注意配置的几项细节
1、查看交换机上应用的配置文件
[h3c]dis startup
Current startup saved-configuration file: flash:/config.cfg
Next main startup saved-configuration file: flash:/config.cfg
Next backup startup saved-configuration file: NULL
2、配置主备配置文件
<h3c>startup saved-configuration config.cfg ?
backup Backup config file
main Main config file
<cr>
3、Telnet 用户认证方式登录
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
Telnet 密码方式登录
user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple abc
新建用户
local-user admin
password simple abcpassword
service-type telnet
level 3
4、配置MSTP
stp enable
stp region-configuration
region-name abc
revision-level 1
instance 1 vlan 200
active region-configuration
*********************************************************
5 、配置接入层交换机只接电脑,不能接交换机,避免已经配置好的生成树受新添加的交换机影响造成网络的不稳定。
stp bp-protection
对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移。当这些边缘端口接收到配置消息后,系统会自动将这些端口设置为非边缘端口,重新计算生成树,这样就引起网络拓扑的震荡。
正常情况下,边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。
配置端口为边缘端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]stp edged-port enable
对于直接与终端相连的端口,请将该端口设置为边缘端口,同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全。
**********************************************************
6、DHCP Snooping防止非法DHCP服务器分发地址影响正常网络
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
配置合法的DHCP服务器转发端口
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping trust
配置防DHCP服务器仿冒功能
例:
开启交换机DHCP Snooping功能
[h3c]DHCP Snooping
开启防DHCP服务器仿冒功能
[h3c]interface Ethernet1/0/5
[h3c-Ethernet1/0/5]dhcp-snooping server-guard enable
意思是在端口上启用仿冒功能,万一有非法DHCP服务器进入即触发预设置的策略
配置防DHCP服务器仿冒功能的处理策略
[h3c-Ethernet1/0/5]dhcp-snooping server-guard method { trap | shutdown }
缺省情况下,交换机防DHCP服务器仿冒功能的处理策略为trap
显示DHCP服务器仿冒相关信息
display dhcp-snooping server-guard
其实配置snooping和仿冒功能效果都是一样,防止非法的DHCP服务器进入网络,只是h3c交换机不同型号支持的方法不同。
汇总有点乱,都是平时配置接入层交换机时经常用到的,也解决了不少问题,现在发上来,一个是自己留个记录,二是也给大家参考一下,或者大家看后,觉得还有什么需要补充的配置,尽管说,共同学习。