• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点S6800 在某个聚合全部成员口配置bpdu-drop any后导致业务全部中断问题案例

  • 0关注
  • 0收藏 2208浏览
粉丝:29人 关注:3人

组网及说明

拓扑:如下现场使用S6800FW对接,二者使用两根线进行二层动态链路聚合,其中S6800开启了生成树。


问题描述

问题:原本业务一切正常,但是客户为了防止S6800FW侧收到STPBPDU攻击,因此在S6800FW的两个成员口均配置了BPDU拦截功能(bpdu-drop any),发现配置后业务全部中断了。

过程分析

分析:

登录S6800查看日志发现成员接口inactive了:

%Jan  1 12:23:33:418 2013 H3C LAGG/6/LAGG_INACTIVE_PARTNER: Member port GE1/0/10 of aggregation group BAGG1 changed to the inactive state, because the aggregation configuration of its peer port is incorrect.

%Jan  1 12:23:33:422 2013 H3C IFNET/5/LINK_UPDOWN: Line protocol on the interface GigabitEthernet1/0/10 is down.

进一步查看聚合状态发现只剩个参考端口是强制选中状态,而查看对端FW则是两个都是非选中状态:

[H3C]dis link-aggregation verbose

Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing

Port Status: S -- Selected, U -- Unselected, 

             I -- Individual, * -- Management port

Flags:  A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,

        D -- Synchronization, E -- Collecting, F -- Distributing,

        G -- Defaulted, H -- Expired

 

Aggregate Interface: Bridge-Aggregation1

Aggregation Mode: Dynamic

Loadsharing Type: Shar

Management VLAN : None

System ID: 0x8000, 84d9-31ce-a901

Local:

  Port             Status  Priority Oper-Key  Flag

--------------------------------------------------------------------------------

  GE1/0/9          S       32768    1         {ACDEFG}

  GE1/0/10         U       32768    1         {ACG}

Remote:

  Actor            Partner Priority Oper-Key  SystemID               Flag  

--------------------------------------------------------------------------------

  GE1/0/9          0       32768    0         0x8000, 0000-0000-0000 {DEF}

  GE1/0/10         0       32768    0         0x8000, 0000-0000-0000 {DEF}

因此怀疑该命令将lacp报文也拦截了,开启debug link-aggregation lacp all interface xx发现确实两边没有了lacp的报文交互了,只有单向交互。

 

根据手册介绍,理解应该是只会拦截stpbpdu报文:

7. 配置BPDU拦截功能

在开启了生成树协议的网络中,由于设备收到BPDU后会进行STP计算并向其他设备转发,因此恶意用户可借此进行BPDU攻击:通过不停地发送BPDU,使网络中的所有设备都不停地进行STP计算,从而导致设备的CPU占用率过高或BPDU的协议状态错误等问题。

为了避免这种情况,用户可以在端口上配置BPDU拦截功能。开启了该功能的端口将不再接收任何BPDU,从而能够防止设备遭受BPDU攻击,保证STP计算的正确性。

1-47 配置BPDU拦截功能

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网接口视图

interface interface-type interface-number

-

开启端口的BPDU拦截功能

bpdu-drop any

缺省情况下,端口的BPDU拦截功能处于关闭状态

 

而且协议类的配置,不应该影响聚合口的选中状态:

协议类配置:是相对于属性类配置而言的,包含的配置内容有MAC地址学习、生成树等。在聚合组中,即使某成员端口与对应聚合接口的协议配置存在不同,也不会影响该成员端口成为选中端口。

 

最终和后台确认,官网资料写的有歧义,bpdu-drop any指的是拦截所有的二层协议的报文,包括了lldplacpstp这些报文。后续官网资料会更新修改。

 

定位结论:

bpdu-drop any命令不是只丢弃STP报文,而是二层协议报文(包括LLDP,LACP),资料有歧义,后续会更新改正。

 

解决方法

解决方法:

1.       去除该命令,换成undo stp enable可以关闭这个接口处理stp报文。

2.       已提需求后续开发bpdu-drop stp功能来单独拦截stpbpdu报文。(需求电子流单号202004152193)

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作