设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP求助答疑 关于禁止stp后,需要如何防止环路
返回列表 发新帖
查看: 3156|回复: 10
收起左侧

[求助] 关于禁止stp后,需要如何防止环路

[复制链接]
知不智
发表于 2015-8-25 15:22:39 | 显示全部楼层 |阅读模式
3鸿鹄币
如题,昨天被问到一个问题,如果客户就是不给用生成树,但是存在环路,在不改变拓扑的情况下有什么方法防止环路,求各位指导指导,有哪些方法,哪些比较好

最佳答案

liabin

查看完整内容

环回检测开启
如何

相关帖子
回复

使用道具 举报

liabin
发表于 2015-8-25 15:22:40 | 显示全部楼层
环回检测开启
沙发 2015-8-25 15:22:40 回复 收起回复
回复

使用道具 举报

知不智
 楼主| 发表于 2015-8-25 15:24:54 | 显示全部楼层
自己顶下
板凳 2015-8-25 15:24:54 回复 收起回复
回复

使用道具 举报

kaiwen
发表于 2015-8-25 15:56:55 | 显示全部楼层
如果禁止stp.那环路的话只能2层的安全设置了,比如设置mac地址过滤,最大mac数量等,在2层只有stp能防环路,其他的都不太安全
地板 2015-8-25 15:56:55 回复 收起回复
回复

使用道具 举报

ackca
发表于 2015-8-25 21:37:19 | 显示全部楼层
太奇葩了,这都能禁用
5# 2015-8-25 21:37:19 回复 收起回复
回复

使用道具 举报

知不智
 楼主| 发表于 2015-8-26 09:15:31 | 显示全部楼层
为什么我点不到回复,郁闷楼上kaiwen兄,但是对mac过滤感觉不明确啊,如果发起arp不照样广播风暴吗,限制Mac数量的话这个不好说@kaiwen  
6# 2015-8-26 09:15:31 回复 收起回复
回复

使用道具 举报

547512642
发表于 2015-8-26 14:28:51 | 显示全部楼层
不开STP,那么就是去了链路冗余的效果了。做是可以做到的。但是没有意义、
7# 2015-8-26 14:28:51 回复 收起回复
回复

使用道具 举报

知不智
 楼主| 发表于 2015-8-27 12:34:56 | 显示全部楼层
liabin 发表于 2015-8-27 09:55
环回检测开启

哦哦,这个好像可以
8# 2015-8-27 12:34:56 回复 收起回复
回复

使用道具 举报

皓月当空fh
发表于 2015-8-27 14:01:39 | 显示全部楼层
H3C的设备支持loopback-detection,其他厂商未必;

Loopback-detection工作在链路层。端口使能loopback-detection以后设备会从该端口发送源mac为设备桥MAC的广播报文。如果设备发现从该端口发送出去的广播报文又能够在该端口接收到,则认为该端口下接入环路,设备将向用户告警,同时做相应的动作将该端口置于受控工作状态,尽量减小接入环路对整网的影响。设备提供给用户根据具体情况选择配置发现环路后设备所做的动作的能力。现在的动作模式有三种:
l         Block
这种模式禁止该端口的业务报文的转发(BPDU报文外)。
优点:
不对网络拓扑产生影响的同时可以过滤掉因环路而产生的额外广播报文,有效防止广播风暴的产生。
可以提供自动检测链路状态,自动恢复block动作的功能。
缺点:
设备所接子网或者用户业务不能正常使用。
一定程度上占用设备系统资源。
在本设备和对接的设备均不使能STP协议的情况下,可能会造成bpdu报文的广播风暴。
l         No-learning
这种模式不关闭端口正常的报文转发功能,但禁止该端口学习MAC地址。
优点:
不对网络拓扑产生影响。
设备可以实现报文的正常转发,不影响对接设备的正常业务。
防止MAC地址学习混乱,防止转发混乱。
可以做到设备自动检测,自动恢复。
缺点:
由于端口下不学习mac地址,造成更多的广播流量,加重系统负担。
端口下的环路依然存在,也没有做任何限制。必然产生广播风暴。
l         Shutdown
这种模式在端口下发现环路后,直接Shutdown该端口,需要用户手动恢复端口shutdown状态。
优点:
很好的防止了整网广播风暴的产生。
缺点:
影响网络拓扑。
用户的正常业务中断。
必须要用户手工干预。
 
Loopback-detection 一般在接入层设备使用配置在下行的用户侧的端口上。用来检测端口下因用户组网或者配置出错导致的环路。也可以防止黒客在端口下接入环路进行DOS攻击。需要注意的是,该特性由于需要向外发送较多的广播报文,因此会影响效率。三种动作模式各有自己的优缺点,需要用户根据具体情况进行配置。

二.缺省情况下,Access端口、Trunk端口和Hybrid端口环回监测功能均处于关闭状态。
·     对于Access端口,如果系统发现端口被环回监测,则根据环回监测动作对该端口进行相应的操作,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项;如下所示:
<Sysname> system-view
[Sysname] loopback-detection enable
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] loopback-detection enable
Access端口这样配置即可生效;

·&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;对于Trunk端口或Hybrid端口,如果系统发现端口被环回监测,则只向终端上报Trap信息。当端口的环回监测受控功能也同时开启时,系统根据环回监测动作对该端口进行相应的操作,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项。如下所示:
<Sysname> system-view
[Sysname] loopback-detection enable
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] port link-type trunk
[Sysname-Ethernet1/0/1] loopback-detection enable
[Sysname-Ethernet1/0/1] loopback-detection control enable
9# 2015-8-27 14:01:39 回复 收起回复
回复

使用道具 举报

yaoting
发表于 2015-8-27 22:32:30 | 显示全部楼层
有些交换机支持链路依赖功能.
可以将两条产生环路的链路做链路依赖,可达到当A链路通时B链路down,只有当A链路Down 后B 链路将自动UP.
10# 2015-8-27 22:32:30 回复 收起回复
回复

使用道具 举报

yaoting
发表于 2015-8-27 22:32:55 | 显示全部楼层
环路还是生成树最有效..
11# 2015-8-27 22:32:55 回复 收起回复
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-28 22:11 , Processed in 0.099528 second(s), 27 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表