前言

本文介绍了RSTP协议中的根保护功能以及如何配置根保护功能，配置此功能有助于提高交换网络的可靠性、可管理性和安全性。

01

关于根保护

由于维护人员的错误配置或网络中的恶意攻击，网络中合法根桥有可能会收到优先级更高的RSTBPDU，使得合法根桥失去根地位，从而引起网络拓扑结构的错误变动。这种不合法的拓扑变化，会导致原来应该通过高速链路的流量被牵引到低速链路上，造成网络拥塞。

如图1所示，DeviceA和DeviceB处于网络核心层，两者间的链路带宽为M，DeviceA为网络中的根桥。DeviceC处于接入层，DeviceC和DeviceA、DeviceC和DeviceB之间的链路带宽为M。正常情况下，DeviceB和DeviceC之间的链路被阻塞。

当DeviceD新接入DeviceC时，如果DeviceD的桥优先级高于DeviceA，此时DeviceD会被选举为新的根桥，如果两个核心交换机DeviceA和DeviceB之间的千兆链路被阻塞，会导致VLAN中的流量都通过两条M链路传输，可能会引起网络拥塞及流量丢失。

图1-1根保护

此时可以在DeviceC连接DeviceD的端口上，配置根保护。对于启用根保护功能的指定端口，其端口角色只能保持为指定端口。一旦启用Root保护功能的指定端口收到优先级更高的RSTBPDU，端口状态将进入Discarding状态，不再转发报文。如果在一段时间（通常为两倍的ForwardDelay）内，如果端口没有再收到优先级更高的RSTBPDU，端口会自动恢复到正常的Forwarding状态。

根保护功能仅在指定端口上生效。

环路保护功能和根保护功能不能同时配置在同一端口。

MSTP、VBST协议中的环路保护功能与RSTP协议类似。三种协议的区别在于RSTP中所有VLAN共享一棵生成树，所有VLAN的流量按照同样的路径转发，而MSTP和VBST可以实现不同VLAN的流量按照不同路径转发。

02

配置根保护功能

执行命令system-view，进入系统视图。

执行命令interfaceinterface-typeinterface-number，进入参与生成树协议计算的接口视图。

执行命令stproot-protection，配置交换设备的根保护功能。

缺省情况下，端口的根保护功能处于去使能状态。当端口的角色是指定端口时，配置的根保护功能才生效。配置了根保护的端口，不可以配置环路保护。

下面这个示例显示了如何在接口GigabitEthernet0/0/1下配置根保护功能，并查看是否配置成功。

HUAWEIsystem-view[HUAWEI]interfaceGigabitEthernet0/0/1[HUAWEI-GigabitEthernet0/0/1]stproot-protection[HUAWEI-GigabitEthernet0/0/1]quit[HUAWEI]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet0/0/1DESIFORWARDINGROOT0GigabitEthernet0/0/2DESIFORWARDINGNONE0GigabitEthernet0/0/4ROOTFORWARDINGNONE

由上述信息可以看出，GigabitEthernet0/0/1的“Protection”字段显示为“ROOT”，说明此接口下已经配置了根保护功能。

蓝队应急响应姿势之Linux

通过DNSLOG回显验证漏洞

记一次服务器被种挖矿溯源

内网渗透初探

小白简单学习内网渗透

实战

通过恶意pdf执行xss漏洞

免杀技术有一套（免杀方法大集结）(Anti-AntiVirus)

内网渗透之内网信息查看常用命令

关于漏洞的基础知识

任意账号密码重置的6种方法

干货

横向移动与域控权限维持方法总汇

手把手教你Linux提权

欢迎