RSTP收敛机制和保护功能概述

RSTP收敛机制和保护功能概述：

快速收敛；

1. 根端口和指定端口的快速收敛：
   1. 因为Alternate端口是根端口的备份，所以当原来的根端口失效之后，Alternate端口就立马切换角色为根端口，同时端口状态也是立马切换为Forwarding状态，恢复数据的转发，Backup端口同理。
2. 边缘端口
   1. 交换机端口连接的对端设备不是运行STP协议的交换机，那么该端口就可以配置为边缘端口；
   2. 边缘端口对端设备不运行STP，那么也就不可能产生环路，所以该端口就没必要参与生成树的计算；
   3. 边缘不参与生成树的计算，那么该端口一激活就直接进入Forwarding状态；
   4. 如果这个边缘端口收到了BPDU报文，那么就会失去边缘端口的属性，也就是和普通的STP端口一样的了。
   5. [SW3-Ethernet0/0/3]stp edged-port enable把Ethernet0/0/3配置为边缘端口
3. P/A机制：
   1. 上游端口：交换机上连接根端口的端口；
   2. 下游端口：交换机上除了连接指定端口外的其他端口就是下游端口；
   3. 让上游端口尽快进入到Forwarding状态的机制；
   4. 原理：
      1. 交换机之间彼此发送以自己为根桥的RST BPDU报文，包含了自己的BID；如果交换机收到的BPDU比自己次优，那么就会忽略自己的BPDU，继续认为自己是根桥，并且自己的端口是指定端口，反之，如果交换机收到的BPDU比自己更优，那么就会意识到自己不是根桥，并且自己的端口是根端口，而不是指定端口；
      2. 当交换机收到的是次优BPDU，认为自己是根桥，那么该根桥的指定端口就会进入到Discarding状态，并开始发送P置位的BPDU报文，开始进入P/A机制的协商；只有指定端口才会发送P置位的BPDU；
      3. 下游交换机（对端交换机）收到上游交换机（根桥）发下来的P置位的BPDU报文，就会把下游端口进入到同步状态（同步：除了边缘端口外，下游端口的其它所有端口都进入到Discarding状态），同时该交换机的根端口进入Forwarding状态，并回复A置位的BPDU报文；
      4. 上游交换机（根桥）收到了下游交换机发过来的A置位的BPDU报文，那么就知道了这个BPDU是对于P置位报文的回应，所以就马上把收到该A置位报文的那一个指定端口的状态切换为Forwarding状态。
      5. 下游其他交换机继续进行P/A协商
      6. 下游端口和STP收敛是一样的过程，因为P/A机制是由指定端口发送P置位，根端口回复A置位，才认为是P/A机制的协商成功。没有根端口和指定端口，协商不成功，那么就和STP的收敛机制过程是一样的。

增加保护功能。

1. BPDU保护：
   1. 因为边缘端口收到BPDU报文后，就会恢复成一个普通的STP端口，参与生成树的计算；所以如果有恶意用户在该边缘端口上非法连接一台交换机，就会造成生成树拓扑的变化，从而引起网络的动荡，造成合法用户无法上网；
   2. [SW6]stp bpdu-protection开启BPDU保护
   3. 开启了BPDU保护后，如果收到了BPDU报文，该端口就会被关闭；
2. 根保护
   1. 主要是为了保护根桥
   2. 如果非法用户接了一台交换机进网络中，并且把该非法交换机的桥IP配置为最优，那么网络中原先合法的根桥身份就会被该非法交换机剥夺，造成网络结构的变化，引起大规模的断网；
   3. 可以在指定端口上开启根保护；
   4. 一旦启用根保护功能的指定端口收到优先级更高的RST BPDU时，端口将进入Discarding状态，不再转发报文。经过一段时间（通常为两倍的Forward Delay），如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。
   5. [SW4-Ethernet0/0/2]stp root-protection 在E0/0/2上开启根保护
3. 环路保护：
   1. SW1和SW3之间的链路发生了故障：SW1无法向下发送报文给SW3，但SW3可以向上发送报文到达SW1；
   2. 因为SW3收不到根桥SW1发送的报文， 就认为根桥失效，那么它预备端口就立马切换为根端口，而原来的根端口就会被重新选举为指定端口；
   3. 那么之后，SW1发送的配置BPDU报文，就先到达SW2，再由SW2转发给SW3，再由SW3从指定端口发送离开，到达SW1，至此，形成环路；
   4. 可以开启环路保护解决环路；
   5. 在启动了环路保护功能后，如果根端口或Alternate端口长时间收不到来自上游设备的BPDU报文时，则向网管发出通知信息（此时根端口会进入Discarding状态，角色切换为指定端口），而Alternate端口则会一直保持在Discarding状态（角色也会切换为指定端口），不转发报文，从而不会在网络中形成环路。
   6. 直到链路不再拥塞或单向链路故障恢复，端口重新收到BPDU报文进行协商，并恢复到链路拥塞或者单向链路故障前的角色和状态。
   7. [SW5-Ethernet0/0/1]stp loop-protection

1. 防TC-BPDU的攻击
   1. 因为RSTP的拓扑变更机制，当拓扑发生变化，发送TC置位的BPDU，交换机收到该报文，就会把MAC地址表里面的内容删除，如果在一定时间内收到大量的TC报文，就会经常性的删除MAC地址表项，对交换机造成很大影响；
   2. [Huawei-GigabitEthernet0/0/1]stp tc-protection 开启防TC-BPDU攻击
   3. 因为TC报文都是经由交换机的根端口接收，所以需要在根端口上开启该功能
   4. 缺省时间是2S，缺省处理次数是3次