RSTP收敛机制和保护功能概述:
快速收敛;
- 根端口和指定端口的快速收敛:
- 因为Alternate端口是根端口的备份,所以当原来的根端口失效之后,Alternate端口就立马切换角色为根端口,同时端口状态也是立马切换为Forwarding状态,恢复数据的转发,Backup端口同理。
- 边缘端口
- 交换机端口连接的对端设备不是运行STP协议的交换机,那么该端口就可以配置为边缘端口;
- 边缘端口对端设备不运行STP,那么也就不可能产生环路,所以该端口就没必要参与生成树的计算;
- 边缘不参与生成树的计算,那么该端口一激活就直接进入Forwarding状态;
- 如果这个边缘端口收到了BPDU报文,那么就会失去边缘端口的属性,也就是和普通的STP端口一样的了。
- [SW3-Ethernet0/0/3]stp edged-port enable把Ethernet0/0/3配置为边缘端口
- P/A机制:
- 上游端口:交换机上连接根端口的端口;
- 下游端口:交换机上除了连接指定端口外的其他端口就是下游端口;
- 让上游端口尽快进入到Forwarding状态的机制;
- 原理:
- 交换机之间彼此发送以自己为根桥的RST BPDU报文,包含了自己的BID;如果交换机收到的BPDU比自己次优,那么就会忽略自己的BPDU,继续认为自己是根桥,并且自己的端口是指定端口,反之,如果交换机收到的BPDU比自己更优,那么就会意识到自己不是根桥,并且自己的端口是根端口,而不是指定端口;
- 当交换机收到的是次优BPDU,认为自己是根桥,那么该根桥的指定端口就会进入到Discarding状态,并开始发送P置位的BPDU报文,开始进入P/A机制的协商;只有指定端口才会发送P置位的BPDU;
- 下游交换机(对端交换机)收到上游交换机(根桥)发下来的P置位的BPDU报文,就会把下游端口进入到同步状态(同步:除了边缘端口外,下游端口的其它所有端口都进入到Discarding状态),同时该交换机的根端口进入Forwarding状态,并回复A置位的BPDU报文;
- 上游交换机(根桥)收到了下游交换机发过来的A置位的BPDU报文,那么就知道了这个BPDU是对于P置位报文的回应,所以就马上把收到该A置位报文的那一个指定端口的状态切换为Forwarding状态。
- 下游其他交换机继续进行P/A协商
- 下游端口和STP收敛是一样的过程,因为P/A机制是由指定端口发送P置位,根端口回复A置位,才认为是P/A机制的协商成功。没有根端口和指定端口,协商不成功,那么就和STP的收敛机制过程是一样的。
增加保护功能。
- BPDU保护:
- 因为边缘端口收到BPDU报文后,就会恢复成一个普通的STP端口,参与生成树的计算;所以如果有恶意用户在该边缘端口上非法连接一台交换机,就会造成生成树拓扑的变化,从而引起网络的动荡,造成合法用户无法上网;
- [SW6]stp bpdu-protection开启BPDU保护
- 开启了BPDU保护后,如果收到了BPDU报文,该端口就会被关闭;
- 根保护
- 主要是为了保护根桥
- 如果非法用户接了一台交换机进网络中,并且把该非法交换机的桥IP配置为最优,那么网络中原先合法的根桥身份就会被该非法交换机剥夺,造成网络结构的变化,引起大规模的断网;
- 可以在指定端口上开启根保护;
- 一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时,端口将进入Discarding状态,不再转发报文。经过一段时间(通常为两倍的Forward Delay),如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
- [SW4-Ethernet0/0/2]stp root-protection 在E0/0/2上开启根保护
- 环路保护:
- SW1和SW3之间的链路发生了故障:SW1无法向下发送报文给SW3,但SW3可以向上发送报文到达SW1;
- 因为SW3收不到根桥SW1发送的报文, 就认为根桥失效,那么它预备端口就立马切换为根端口,而原来的根端口就会被重新选举为指定端口;
- 那么之后,SW1发送的配置BPDU报文,就先到达SW2,再由SW2转发给SW3,再由SW3从指定端口发送离开,到达SW1,至此,形成环路;
- 可以开启环路保护解决环路;
- 在启动了环路保护功能后,如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文时,则向网管发出通知信息(此时根端口会进入Discarding状态,角色切换为指定端口),而Alternate端口则会一直保持在Discarding状态(角色也会切换为指定端口),不转发报文,从而不会在网络中形成环路。
- 直到链路不再拥塞或单向链路故障恢复,端口重新收到BPDU报文进行协商,并恢复到链路拥塞或者单向链路故障前的角色和状态。
- [SW5-Ethernet0/0/1]stp loop-protection
- 防TC-BPDU的攻击
- 因为RSTP的拓扑变更机制,当拓扑发生变化,发送TC置位的BPDU,交换机收到该报文,就会把MAC地址表里面的内容删除,如果在一定时间内收到大量的TC报文,就会经常性的删除MAC地址表项,对交换机造成很大影响;
- [Huawei-GigabitEthernet0/0/1]stp tc-protection 开启防TC-BPDU攻击
- 因为TC报文都是经由交换机的根端口接收,所以需要在根端口上开启该功能
- 缺省时间是2S,缺省处理次数是3次