stp分析案例（STP原理与配置）

STP

背景：随着局域网的不断扩大，交换机用来主机之间的互联，如果交换机之间使用的是单条链路，会存在单点故障，为了解决此类问题，交换机互联需要使用冗余链路来实现备份；冗余链路虽然增加了可靠性，但是也会不可避免地产生环路，造成网络中断，延迟。

一、环路引起的问题

广播风暴：根据交换机的转发原则，主机发送一个单播帧，交换机假设没有任何的Mac记录，会在交换机之间不断转发，交换机的性能急速下降，业务中断，广播包会被无限转发，网络中也会传播着重复的数据帧Mac 地址表震荡：主机发送单播帧，交换机记录端口与Mac地址，转发广播包，回到本交换机之后删除原来的Mac表项，将接受广播包的端口与Mac地址绑定

二、STP

消除环路，通过阻塞冗余链路来达到链路备份，活动链路故障，激活备份链路

三、根桥、根端口、转发端口的选举

根桥的选举依据是桥ID，桥ID由16位的优先级和48位的Mac地址表示，桥ID越小越优先，桥ID相同，比较Mac地址，Mac地址小的优先；交换机开启后自动开始收敛，这时每个交换机都认为自己是根桥，所有的端口都是指定端口，开始发送BPDU，收到BPDU后开始比较桥ID，如果优先级比自己低，那么继续向邻居发送BPDU，如果比自己高，那么修改自己的BPDU报文中的根桥ID，宣告新的根桥。每个非根交换机都会选举一个根端口，根据链路总开销、对端的桥ID、对端的端口ID、本端的端口ID；交换机每个端口都有一个开销值，与带宽相关，带宽越大，开销越小。最短路径开销称为RPC，即根路径开销；端口ID由端口优先级与端口号组成，运行STP的交换机每个端口都有一个ID，0-240，16为步长，默认是128。指定端口的选举：每个网段都会进行选举，根桥的所有端口都是指定端口，首先比较链路开销，然后比较端口所在的交换机的桥ID，然后比较端口ID（均是小的优先级大），然后选举完成后呢，没有分配到角色的端口阻塞，不能转发端口，只能从所连的网段接收BPDU，不能发送，监控链路的状态。

四、端口状态的转换

disabled状态：不处理不转发BPDU和流量listening状态：监听状态，监听BPDU，可以转发BPDU，但是不会转发流量learning状态：构建Mac地址表，但是不转发用户流量forward状态：转发状态，即可以转发流量，也可以转发BPDUblocking状态：阻塞状态，仅接受不会处理BPDU，监听链路的状况

前三个状态不转发数据，只有forwarding状态进行数据的转发

五、BPDU

配置BPDU：包含了桥ID、链路开销、端口ID、message age 、max age、hello time、forward delay 等信息TCN BPDU：下游交换机感知拓扑发生变化上上游交换机传送的报文，根交换机发送TC置位的BPDU报文

六、计时器

hello time：运行STP的设备发送BPDU的时间间隔，用来检测链路是否故障message age：根桥发送到当前交换机的总时间，根桥的message age为0，每到达一个交换机message age会+1max age：老化时间，message age>max age 则认为BPDU老化掉了，非根设备会直接丢弃BPDU，认为网络直径过大，导致了根桥连接失败

七、链路故障

根桥故障：根桥失效后，下游交换机一致收不到BPDU，那么等待max age后认为根桥失效，此时交换机之间重新发送BPDU，来选举根桥。收敛时间大概在50秒左右，20秒的max age时间+30秒的收敛（2倍的forward delay时间，即listening+learning各需要15秒）直连链路失效：堵塞端口通过监听、学习最后达到转发状态，需要30秒（交换机之间有冗余链路）非直连链路失效：那么交换机B一致收不到根桥的BPDU，等待老化时间结束，认为自己是根桥（优先级），发送BPDU给邻居，通知邻居自己是根桥；因为swc的堵塞端口再也收不到原根桥的BPDU，等待老化时间过去，会切换堵塞端口为指定端口；几乎同时BC两个交换机同时收到BPDU，比对之后，交换机B放弃自己是根桥；由于堵塞端口需要等待2个forward delay时间才能进行入转发状态，所以需要大概50秒（即老化时间+2×forward delay）拓扑改变导致Mac地址表变化：感知链路故障的交换机会向邻居不间断地发送TCN BPDU报文，邻居收到后会将报文中的flags中的TCA置1，发给感知故障的交换机，告知其停止发送TCN BPDU报文的传送；邻居向根桥发送TCN BPDU,根桥将flags中TC置1，发送给所有的交换机，使其加快Mac地址的老化，即300秒的老化时间变为15秒。即一个forward delay时间，最多等待15秒就将错误的Mac地址表项删除。

非直连链路故障

八、配置

stp

stp  enable    //开启生成树协议stp mode stp    //生成树协议类型stp priority 4096   //配置交换机优先级，缺省是32768stp cost 2000  //配置路径开销，在接口视图下display stp //配置验证stp pathcost-standard //查看开销的方法，华为的私有计算 1-200000//使用IEEE 802.1d，开销的范围 1- 65535//使用IEEE 802.1t，开销的范围 1 - 200000000

---

RSTP

一、为了解决stp出现的问题，继而产生了RSTP，那么stp都有哪些问题呢？

收敛速度慢，至少需要30秒交换机有BP端口，RP端口down掉，收敛需要30秒交换机无BP端口，RP端口down掉，收敛需要50秒在stp中接入用户的链路也需要参与stp的计算，链路转发需要等待2个forward delay时间，事实上接入的终端如果不会形成环路完全没必要进入计算中，也无需等待30秒stp的拓扑更新机制，由变更点向上游的交换机发送TCN BPDU，上游交换机收到后呢返回flags TCA之1 ，告知其不要再发送TCN BPDU报文了，然后将TCN BPDU报文发送给根桥，根桥收到后，发送flags中TC置1 向所有的交换机发送，告知加快老化时间，删除Mac表项，这样层层传递，效率很低。端口的角色很少，端口的状态开始的三个状态不学习Mac地址，不转发流量。

针对收敛速度慢，RSTP增加了2个端口角色，即预备端口（根端口的预备）、备份端口（指定端口的备份）；减少了端口的状态，只有三种，discarding状态、learning状态、forwarding状态

1.P/A机制（要求点到点，全双工）

初期都认为自己是根交换机，都会在指定端口发送P置位的BPDU报文，对比之后，发现A的更优，所以将自己的端口置位为rp，B开启同步变量，阻塞除边缘端口外的其他端口，防止环路。回应A置位为1的BPDU,是我同意你的端口进入转发状态，A收到的报文立刻进入转发状态（stp则需要至少30秒），由于确认机制和同步变量机制，无需计时器来保障无环，

一开始都是互相发送P置位（为1）的BPDU，互相比较优先级，然后BC会向A发送A置位（为1）的BPDU报文，但是BC之间其实已经被阻塞了，所以端口的角色，优先级高的B，会像C发送P置位的报文（指向A）C收到会，进行比对然后不会发送A置位报文，因为只有rp会发送A置位报文，所以会等待30的计时器时间，B的端口会进入转发状态，不过也没什么所谓，因为本来就是阻塞的链路，不会影响链路数据的转发。

P/A机制

2、根端口快速切换

连接根桥的rpdown掉了，立刻开启阻塞端口进入转发状态；根桥的转发端口也有备份端口

3、次等BPDU处理机制

s2以自己为根，发送proposal置位的BPDU，AP端口收到次优BPDU后马上发送本地的最优BPDU给对端，同时AP端口变更为DP；s2收到更优的BPDU会立即重新定义自己的端口角色，将DP转换为RP，然后发送agreement置位 的BPDU。

次等BPDU

4、边缘端口的引入

将交换机与终端链接的接口设置边缘端口，该端口会立即进入转发状态，但是当边缘端口收到BPDU则失去了边缘端口的属性

5、拓扑变化处理机制

只有一条，非边缘端口迁移为转发状态，由变更节点发送TC置位报文给所有的交换机，避免由根桥发送TC置位报文这样收敛更快，拓扑链路失效导致链路不通，变更点会发送TC置位报文过去，收到后删除除了接受TC置位报文的其余Mac表项，然后将TC置位的报文再次发送出去。边缘端口的链路失效不会使得链路更新

二、BPDU保护

如果在交换机的接口在接入一台交换机，黑客将自己的优先级写高，从而导致重新的选举，也会造成短暂的网络中断，配置BPDU保护功能，端口收到BPDU会被立即关闭，从而防止网络震荡

三、根保护

根保护在指定端口，防止收到优先级更高的报文，导致网络重新选举，当受到RST BPDU报文，该端口处在discarding状态，直到一段时间过去不在接受到RST BPDU报文，重新进入转发状态

四、TC-BPDU防洪保护

黑客不断发送TC置位的BPDU，导致交换机经常删除Mac表项；TC-BPDU保护会建立一个阀值，表示单位时间内的可以通过额的TC-BPDU报文，这样可以大大地减少其报文

五、RSTP配置

rstp

s1配置stp enablestp mode rstpstp instance 0 root primarys2配置（同s3）stp enablestp mode rstpstp bpdu-protectioninterface GigabitEthernet0/0/3 stp edged-port enable

s2的stp 简介

---

MSTP

一、MSTP，可以负载分担，兼容STP、RSTP，可以达到快速收敛的效果；接下来了解下单生成树的缺点

导致部分VLAN的路径不通无法实现流量分担二层的次优路径

二、配置实现

MSTP

S1:vlan batch 10 to 11#stp instance 1 priority 0     //stp实例 1 优先级 0stp instance 2 priority 4096 //stp实例2 优先级4096#stp region-configuration  //stp 领域配置 region-name huawei  //领域名称为huawei instance 1 vlan 1 to 10 //实例1允许的VLAN 1到10 instance 2 vlan 11 to 20 //实例2允许的VLAN 11 到 20 active region-configuration   //启动stp领域配置，如果没有启动，配置不会生效#interface Vlanif10 ip address 192.168.1.254 255.255.255.0 //测试使用#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 to 11#interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 10 to 11  //交换机上配置相应的链路类型S2:vlan batch 10 to 11#stp instance 1 priority 4096   //stp实例1 优先级4096stp instance 2 priority 0         //stp实例2 优先级0#stp region-configuration  //stp 领域配置 region-name huawei   //领域名称为huawei instance 1 vlan 1 to 10  //实例1允许的VLAN 1到10 instance 2 vlan 11 to 20  //实例2允许的VLAN 11 到 20 active region-configuration  //启动stp领域配置，如果没有启动，配置不会生效#interface Vlanif11 ip address 192.168.2.254 255.255.255.0  //测试使用#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 to 11#interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 10 to 11#S3:vlan batch 10 to 11#stp region-configuration region-name huawei instance 1 vlan 1 to 10 instance 2 vlan 11 to 20 active region-configuration#interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 to 11#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 10 to 11 stp instance 2 cost 200000#interface GigabitEthernet0/0/3 port link-type access port default vlan 10 stp edged-port enable#S4同s3

s1

s2

s3

s4