数据中心解决方案安全技术白皮书(7)

对于接入层设备，接入端口一般直接与用户终端（如PC机）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接受到配置消息（BPDU报文）时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑的震荡。这些端口正常情况下应该不会收到生成树协议的配置消息的。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。

交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口shutdown，同时通知网管。被shutdown的端口只能由网络管理人员恢复。推荐用户在配置了边缘端口的交换机上配置BPDU保护功能。

l         ROOT Guard

由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根交换机有可能会收到优先级更高的配置消息，这样当前根交换机会失去根交换机的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。Root保护功能可以防止这种情况的发生。

对于设置了Root保护功能的端口，端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息，即其将被选择为非指定端口时，这些端口的状态将被设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在足够长的时间内没有收到更优的配置消息时，端口会恢复原来的正常状态。

l         LOOP PROTECTION

交换机的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的BPDU来维持的。但是由于链路拥塞或者单向链路故障，这些端口会收不到上游交换机的BPDU。此时交换机会重新选择根端口，根端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。在启动了环路保护功能后，根端口的角色如果发生变化就会设置它为Discarding状态，阻塞端口会一直保持在Discarding状态，不转发报文，从而不会在网络中形成环路。

l         TC PROTECTION

根据IEEE 802.1w和IEEE 802.1s协议，交换机监测到拓扑变化或者接收到TC报文后会清空MAC表。如果受到TC攻击(连续不断收到TC报文)交换机就会一直进行MAC删除操作，影响正常的转发业务。使能TC PROTECTION功能后，将减少删除MAC的次数，保证业务的正常运行。