BPDU協議分析－sniffer應用系列

　　 2.1　BPDU協議概述

現代交換網絡環境中，為了防止發生交換環路引起廣播風暴等問題，常采用STP（Spanning Tree Prtocol，生成樹協議）技術。STP利用BPDU（Bridge Protocol Data Unit，網橋協議數據單元）中三個字段：路徑開銷、網橋ID、端口優先級/端口ID來確定到根橋的最佳路徑順序，從而決定一個生成樹實例。

2.2　BPDU包結構

BPDU協議的包結構如下圖所示：

　

圖1　 BPDU包結構

首先是以太網幀頭，包括DLC頭部、LLC頭部，接下來是BPDU字段，最后是為了補齊60字節邊界用的DLC填充（Padding）8字節（注意，BPDU幀也經常被封裝在802.1Q頭部后）。

其中的BPDU協議包結構如圖2所示。

　 點擊查看大圖

圖2　 BPDU包格式

2.3　BPDU協議sniffer分析

2.3.1　BPDU協議sniffer分析

圖3是sniffer捕獲到到的Catalyst WS-C2924-XL輸出BPDU包頭部。

　 點擊查看大圖

圖3　 BPDU幀格式

在圖中，應該注意到以下一些重要信息：

●BPDU采用的是多播目標MAC地址：01-80-c2-00-00-00（Bridge_group_addr：網橋組多播地址）

●DLC后面所跟的802.3幀的總長度為38字節，是指除了DLC頭、尾之外的所有內容的長度

接下來是BPDU頭部，如圖4所示：

　 點擊查看大圖

圖4　 BPDU頭部

其中：應該注意到以下一些重要信息：

●協議標識符和協議版本都是固定的0。

●BPDU類型表明是一個配置BPDU

●BPDU標志字段表明這既不是一個拓撲變更幀也不是一個拓撲變更確認幀

隨后是根網橋標識，其中：

●優先級是0x8000，即10進制的32768（默認值）

●MAC基地址：00:04:28:d2:09:00

隨后是根網橋代價：0（表示本交換機就是根網橋）

隨后是發送網橋ID，其中：

●優先級是0x8000，即10進制的32768（默認值）

●MAC基地址：00:04:28:d2:09:00

●端口：發送此BPDU的交換機端口

最后是一些定時器的值：

●消息年齡：當前為0

●消息壽命：20秒（默認值）

●根hello時間：2秒（發送BPDU的時間間隔）

●轉發延遲：15秒（交換機端口處于偵聽、學習狀態的時間）

2.3.2　利用sniffer捕獲廣播風暴

正常情況下在一個中、小型交換網絡中，一般會幾秒鐘產生1個廣播包。但是，當環路產生時，幾秒內產生數萬個包（峰值可達到8萬多次廣播/秒），我們將其稱為廣播風暴。

下面，我們模擬一次廣播風暴（請不要在生產網絡進行這樣的試驗）！

如圖5所示，首先我們在交換機上配置命令no spanning-tree vlan 1關閉VLAN 1的生成樹協議的運行，之后用命令檢查、確認生成樹協議被關閉。

　

圖5　 關閉生成樹協議

然后，我們利用交叉線序的雙絞線將交換機的fastethernet 0/1和fastethernet 0/2端口短接。幾乎是同時，sniffer產生大量的報警（如果定制了聲音報警，將聽到連續不斷的警報聲）！圖6顯示了在sniffer的警報日志中產生的大量廣播風暴的告警。（在圖5中的黃色部分則顯示了交換機的端口Fastethernet 0/7地址學習平均1分鐘翻動（flapping）了519次?。?br />
　 點擊查看大圖

圖6　 廣播風暴警報日志

我們也可以利用sniffer監控菜單下的歷史樣本觀察到廣播風暴。首先需要定義監控過濾器，選擇地址類型為硬件、地址為廣播（FF-FF-FF-FF-FF-FF）到任意地址，如圖7所示。

　

圖7　 定義監控過濾器

之后，選擇監控菜單下的設置歷史樣本，右擊廣播/秒（Broadcasts/s），開始取樣。如圖8所示。

　

圖8　 開始采樣

這樣，當廣播風暴產生時，我們可以觀察到異常的廣播包峰值，如圖9所示。

點擊查看大圖

圖9　 廣播風暴峰值

原文轉自：http://www.kjueaiud.com