拓撲防護主要是針對MSTP①或VRRP②以及其他分布式網絡協議可能造成的網絡拓撲振蕩而產生的。MSTP或VRRP等協議均使用定時報文通告機制來自動維護網絡拓撲結構，自動適應網絡中的拓撲變化。這也造成了網絡拓撲易受攻擊，當受到人為的網絡攻擊時，因CPU利用率過高或幀通路阻塞等原因，可能造成定時報文的短暫中斷，從而造成網絡拓撲發生錯誤的振蕩，這給網絡的正常通信造成極大危害。而拓撲防護功能正是為了最大限度的防止這種不必要的網絡振蕩，它與其他分布式協議（MSTP、VRRP等）協同工作，從而使網絡更加穩定、可靠。

圖1 雙核心拓撲

如上圖的雙核心拓撲，圖中A、B為三層匯聚設備，C、D為二層接入設備。A為MSTP的根橋，各個網絡設備的拓撲防護功能均開啟。

三層匯聚設備A因遭受網絡攻擊造成CPU異常繁忙，從而導致BPDU報文不能正常發送。這時，拓撲防護功能檢測到異常后，會向鄰居設備發送異常通告報文，圖中二層接入設備C、D的和三層匯聚設備B均接收到異常通告，這時，設備C、D的和設備B會根據異常通告信息，進行相應的防振蕩處理。

設備B因遭受大量報文攻擊造成CPU異常繁忙，這時造成收發包不正常，檢測到異常后，它會向所有的鄰居設備發送異常通告。設備A收到異常報文后，根據來源，發現異常對其沒有影響，不會進一步處理。而下游的二層接入設備C、D接收到異常報文后，發現異常會影響其拓撲的計算，因此做進一步的防御處理，從而保證網絡拓撲保持穩定。

TPP(Topology Protection Protocol，拓撲保護協議)是一個拓撲穩定保護協議。網絡拓撲比較脆弱，當網絡中存在非法攻擊時，可能造成網絡設備的CPU利用率異常、幀通路堵塞等現象，這些現象很容易引起網絡拓撲的振蕩。拓撲防護主要通過檢測本地的異常現象（CPU利用率異常、幀緩沖異常等）和檢測鄰居設備的異常現象來達到穩定網絡拓撲的目的。與鄰居設備的交互是通過發送特定的異常通告報文來實現的，該功能擁有較高的運行優先級，可以有效防止網絡的拓撲振蕩。

圖2.TPP典型應用拓撲圖

如上圖所示，某園區網絡的核心層采用典型的MSTP+VRPP雙核心拓撲結構。當網絡中存在非法攻擊時，可能造成網絡設備的CPU利用率異常、幀通路堵塞等現象，很容易引起網絡拓撲的振蕩。

通過應用TPP功能，使MSTP和VRRP的運行能較為穩定，避免網絡拓撲發生不必要的振蕩。

在三層核心設備（Switch A/B）和二層接入設備（Switch C/D/E/F）上配置以下功能：

• 使能全局拓撲防護功能。該功能默認開啟。
• 使能連接設備的接口的拓撲防護功能，在本機出現異常時能及時通告鄰居保持拓撲穩定。
• 在每臺設備上配置CPU利用率檢測的閾值，當設備的CPU利用率超過該值時，系統會產生拓撲防護通告。

結束語：當網絡中存在非法攻擊時，可能造成網絡設備的CPU利用率異常、幀通路堵塞等現象，這些現象很容易引起網絡拓撲的振蕩，而TPP拓撲保護技術可以通過檢測本地的異常現象和檢測鄰居設備的異常現象來達到穩定網絡拓撲的目的。銳捷網絡核心交換機RG-S8600系列全面支持TPP技術，可以有效地保護網絡拓撲保持穩定。

① MSTP：Multiple Spanning Tree Protocol，多生成樹協議

② VRRP：Virtual Router Redundancy Protocol，虛擬路由器冗余協議