二层环路导致广播风暴、Mac地址表漂移，怎么办？

一、STP(生成树）介绍

二、二层环路的背景信息

三、环路的异常表现

四、快速破环的方式

         1、stp（生成树）的作用及特性

STP的作用：
（1）消除环路，通过阻塞冗余链路消除网络中可能存在的网络通信环路；
（2）链路备份，当前活动的路径发生故障时，激活冗余备份链路，恢复网络连通性。

注意：二层环路直接点就是如下图中；如果三条线中的接口都处于转发（Forwarding）状态,端口既可转发用户流量也可转发BPDU报文，此时主机发起访问，根据交换机的转发规则，如果交换机从一个端口上接收到的是一个广播帧，或者是一个目的MAC地址未知的单播帧，
则会将这个帧向除源端口之外的所有其他端口转发。如果交换网络中有环路，则这个帧会被无限转发，此时便会形成广播风暴，网络中也会充斥着重复的数据帧，进而导致网络带宽占满，网络无法访问。

STP选举根、根端口、指定端口过程：
(1)同一个交换机网络只选唯一一个Root，选择根交换机=最小Bridge ID=最低交换机优先级+最低交换机MAC地址
    默认交换机STP优先级=32768

(2)根端口（Root Port）:每一个非根交换机上的端口选出唯一一个根端口。
    1、本非根交换机上端口到根的开销值最小(RPC-Root Path Cost）G接口默认20000（抓包）
    2、本非根交换机上对应端口直连发送方BID小的
    3、本非根交换机上对应端口直连发送方端口号PID小的
    4、本非根交换机上端口号PID小（PID=端口优先级+端口编号，默认=128.端口编号）
    
(3)指定端口（Designated Port）：在交换机之间的桥连接的端口选举唯一的指定端口（指定网桥之间的端口）
      Root交换机上的端口一般是指定端口（DP）
      1、比到根开销值小的成为DP（必须经过本台交换机的RP口到根交换机）
      2、比端口所在交换机的BID小的
      3、比端口ID最小的（自环场景）如一台交换机用一根网线的1接6接口。

(4)剩下的端口是逻辑上被block的端口（在RSTP中，剩下的替换端口进入Blocking状态）block端口只能够从所连网段的指定交换机接收到 BPDU 报文，并以此来监视链路的状态。
  Edged-Port边缘端口的作用是：
        （1）相比STP，RSTP增加了Edged-Port边缘端口特性，在用于连接设备时，可以在UP之后直接进入Forwarding状态不需要等待2倍转发延时（30s转发延时）。
        （2）在连接的终端设备出现环路时，边缘端口可以自动切换为非边缘端口，自动启动该接口STP破环功能。
        （3）边缘端口所在交换机上的根端口发生变化时，边缘端口可以继续保持forwarding状态，持续为连接到边缘端口的设备转发流量。（模拟器ensp进行ping测试就很明显看到）
        （4）边缘端口从down转变为forwarding状态不算拓扑变化，不会触发产生TC报文；可以避免MAC表刷新。
    Edged-Port边缘端口应用场景：
    Edged-Port边缘端口特性一般配置在连接用户终端设备、服务器、IP电话、AP、Access口连接路由器的交换机端口等场景。

真实情况:(1）接入层设备连接终端，终端连线错误。把IP 电话的两个接口接入同一个接入层交换机上，交换机不支持生成树，造成集体断网，解决方式一般在接入交换机到终端之间排障。

              （2）接入设备接到PC，接到这台PC就导致整体没网，电脑中毒或者其他造成初步判断。

排障思路：1、测试到网关的延迟或者打卡一个网页

                  2、先观察灯闪烁强烈的断开，依次断开接口再接回，直到断了 看上面两个都正常，确定是那个接口。

配置EP端口可能会如下问题：

当边缘端口收到 BPDU 时，就丧失了边缘端口的特性，成为普通的 STP 端口，并重新进行生成树计算，从而引起网络震荡，但网络网络震荡时间不会太久，因为临时环路才2s。

   配置EP端口出现临时环路或网络震荡的解法方法是：
（1）交换机上启用了BPDU 保护功能，如果边缘端口收到STP BPDU，边缘端口将被shutdown，但是边缘端口属性不变，同时通知网管系统。
（2）被shutdown的边缘端口只能由网络管理员手动恢复。
（3）如果用户需要被shutdown的端口自动恢复，可通过配置使能端口自动恢复功能，并可设置延迟时间，被shutdown 的端口经过延迟时间后能够自动恢复。
（4）边缘端口状态恢复后，如果再次收到RST BPDU，该边缘端口将再次被shutdown。

正常情况下，边缘端口不会收到BPDU，但如果有人伪造BPDU发送给交换机的边缘端口或意外将边缘端口连接到运行STP的设备时，系统会自动将边缘端口设置为非边缘端口，重新进行生成树的计算，这将引起网络拓扑的振荡。
解决该网络拓扑振荡的方案是在边缘端口启用BPDU保护，在启用该种保护之后，当边缘端口再次收到BPDU报文之后，系统会自动关闭着端口。(此私接小交换机是否可以上网）
配置命令：
边缘端口视图：stp edged-port enable（要配置BPDU保护或BPDU过滤都必须配置edged-port）
在全局视图：stp bpdu-protection
    注意：接口下开启stp bpdu-filter enable 优于全局配置的stp bpdu-protection

   BPDU保护（bpdu-protection）和BPDU过滤（bpdu-filter）的区别？
   开启BPDU过滤后，边缘端口不会接收和发送BPDU，后面介绍实验。

    2、广播风暴和mac地址表漂移。

使用命令dis int g0/0/2查看接口，广播报文不断增加。

使用命令dis mac-address可以看到mac地址表的接口不断变化。

设备也会回显提示

3、二层环路常见异常表现

官方文档hedex推荐给你。

4、快速破环的方式

    1、梳理网络拓扑并识别环路。
    2、紧急破环,保证设备登录正常，不引入新的问题。
    3、端口退出已成环的VLAN,在已经成环的网络上，将其中一个端口退出成环VLAN，属于影响面最小的破环方法
   4、Shutdown已经成环的端口,Shutdown已经成环的物理端口，也可以达到破环的效果

如果你有更好的方法，欢迎分享。。。