华为高级网络工程师如何优化二层交换机网络

本文的主要目的是优化网络拓扑，使该拓扑具备防攻击。通过本文，希望大家能够学习到怎么配置核心交换机根桥保护、BPDU保护、TC保护以及环路保护功能，配置了这些功能，监控网络更加易于运维管理。

网络拓扑如图1：

第一步：配置核心交换机根桥保护功能，通过维持指定端口的角色来保护核心交换机根交换机的角色。

操作设备：核心交换机

配置命令是：

sys

interface GigabitEthernet 0/0/4

stp root-protection

interface GigabitEthernet 0/0/5

stp root-protection

第二步：所有交换机配置TC保护功能，因为交换机收到TC报文会进行删除MAC地址表和ARP表的动作，为了避免TC报文攻击，我们需要使能该功能。

操作设备：所有交换机

配置命令是：

sys

stp tc-protection //交换机启用TC报文攻击防护功能

stp tc-protection threshold 10 //配置TC报文攻击阈值，默认是1

第三步：汇聚-1和汇聚-2交换机配置环路保护功能,在根端口和AP端口上配置。

操作设备：汇聚-1交换机

操作命令：

interface GigabitEthernet0/0/4 //根端口

stp root-protection

操作设备：汇聚-2交换机

操作命令：

interface GigabitEthernet0/0/5 //根端口

stp root-protection

interface GigabitEthernet0/0/1 //AP端口

stp root-protection

第四步：配置接入交换机bpdu保护功能

操作设备：所有接入交换机

操作命令：

sys

stp bpdu-protection

Interface g0/0/x //接监控摄像头的接口

stp edge-port enable //配置端口为边缘端口

error-down auto-recovery cause bpdu-protection interval 30 //配置接口因为bpdu保护关闭自动恢复时间30s，如果不配置需要手工恢复。

经过上述配置，整个监控网络更加稳固，具备抵抗网络攻击的能力。大神带你飞，相信你学习了这篇文章，你对二层网络的配置也能像个高级网络工程师一样得心应手的规划二层交换网络了。