本文的主要目的是優(yōu)化網(wǎng)絡拓撲，使該拓撲具備防攻擊。通過本文，希望大家能夠學習到怎么配置核心交換機根橋保護、BPDU保護、TC保護以及環(huán)路保護功能，配置了這些功能，監(jiān)控網(wǎng)絡更加易于運維管理。

網(wǎng)絡拓撲如圖1：

第一步：配置核心交換機根橋保護功能，通過維持指定端口的角色來保護核心交換機根交換機的角色。

操作設備：核心交換機

配置命令是：

sys

interface GigabitEthernet 0/0/4

stp root-protection

interface GigabitEthernet 0/0/5

stp root-protection

第二步：所有交換機配置TC保護功能，因為交換機收到TC報文會進行刪除MAC地址表和ARP表的動作，為了避免TC報文攻擊，我們需要使能該功能。

操作設備：所有交換機

配置命令是：

sys

stp tc-protection //交換機啟用TC報文攻擊防護功能

stp tc-protection threshold 10 //配置TC報文攻擊閾值，默認是1

第三步：匯聚-1和匯聚-2交換機配置環(huán)路保護功能,在根端口和AP端口上配置。

操作設備：匯聚-1交換機

操作命令：

interface GigabitEthernet0/0/4 //根端口

stp root-protection

操作設備：匯聚-2交換機

操作命令：

interface GigabitEthernet0/0/5 //根端口

stp root-protection

interface GigabitEthernet0/0/1 //AP端口

stp root-protection

第四步：配置接入交換機bpdu保護功能

操作設備：所有接入交換機

操作命令：

sys

stp bpdu-protection

Interface g0/0/x //接監(jiān)控攝像頭的接口

stp edge-port enable //配置端口為邊緣端口

error-down auto-recovery cause bpdu-protection interval 30 //配置接口因為bpdu保護關閉自動恢復時間30s，如果不配置需要手工恢復。

經過上述配置，整個監(jiān)控網(wǎng)絡更加穩(wěn)固，具備抵抗網(wǎng)絡攻擊的能力。大神帶你飛，相信你學習了這篇文章，你對二層網(wǎng)絡的配置也能像個高級網(wǎng)絡工程師一樣得心應手的規(guī)劃二層交換網(wǎng)絡了。