RSTP协议原理与配置
问题一、STP的收敛延时(30秒(有BP端口情况下RP端口down)或者50秒(没有BP端口情况下RP端口down))
RSTP:Rapid Spanning Tree Protocol
RSTP和STP从原理流程上一样:
1、选择根桥 2、非根桥选举一个根端口 3、每条链路上选择一个指定端口 4、AP实际上两个协议最终的目的都是为了破除环路以及链路备份。
STP的缺点就是慢,RSTP在STP的基础上做了一些优化,让生成树的收敛速度快一些。
1、端口角色扩充:RP根端口,DP指定端口,AP——Alternate Port预备端口(给RP端口做备份),BP——Backup Port备份端口(给DP端口做备份)
2、端口状态缩减:discarding——丢弃,learning,forwarding:
3、RSTP快速收敛机制
3.1 P/A机制:在交换机初始状态下,认为自己是根桥,发送以自己为根在flag中将P/A置位,通过proposal和agreement来进行协商。
3.2 根端口快速切换机制
3.3 次级BPDU立即处理,配置P/A机制
3.4 EP ,作用,交换机接用户终端的端口,当新接入终端时会有30秒的收敛后才可上网,开启后直接不用收敛进入转发状态。
flag标识中:
8bit:
1、TCA //在RSTP中,TCA无效
2、agreement //P/A机制中的A
3、forwarding //代表发出该BPDU的接口为转发状态
4、learning //代表发出该BPDU的接口为学习状态(如果3、4都为0,代表discarding状态,如果4置位,3没置位,代表为学习状态)
5、role //发出该BPDU的接口角色(DP、RP、AP、BP)
6、proposal //P/A机制中的P
7、TC //拓扑改变后发送TC-BPDU报文,用来将沿途的交换机的MAC地址以及ARP表项老化。
老化时间:
STP老化时间:20秒
RSTP老化时间:18秒(23时间因子3=18秒)
什么情况下可以发生P/A机制:
1、端口角色为指定端口;
2、端口状态为discarding或learning;
3、链路状态为点到点时
force-false 不是点到点:share
force-true 强制为点到点:P2P
[SW-GigabitEthernet0/0/24]stp edged-port enable //使能该接口的边缘端口
[SW]stp edged-port default //全局使能边缘端口(切记一定要在连接交换机的接口下关闭边缘端口)
----------------------------------------------------------------------
STP保护
华为在实现STP时借用了很多RSTP的特点:
1、端口状态的优化:把disable blocking listening整合到一起为discarding
2、端口角色的优化:原来只有DP和RP,借用了RSTP中的AP和BP
3、对于AP端口的优化:可以处理次级BPDU
4、可以支持EP端口(端口配置为边缘端口)
EP:边缘端口
1、当配置了边缘端口,那么该端口默认情况下不进行BPDU收敛工作。
2、当端口UP后,会立刻进入转发状态,实现快速转发。
注意事项:
1、当边缘端口收到BPDU后,该接口会变成普通端口,进行生成树收敛工作。
2、虽然边缘端口不会进行BPDU收敛工作,但是边缘端口会定期发送BPDU(2秒)
3、当检测到自己发出的BPDU从其他边缘端口收进来时,会判断为自环,然后2个EP端口会变成普通端口,进行生成树收敛工作。
1、BPDU保护-针对EP边缘端口
命令:[Huawei]stp bpdu-protection ;只能针对EP端口生效。
由于边缘端口存在一定风险,当外接生成树交换机时会触发BPDU收敛,可能对现网造成震荡,比如根桥易主,次优路径,
所以BPDU保护可以防止这一些列的风险。
作用对象:边缘端口
作用原理:当边缘端口配置了BPDU保护之后,边缘端口在收到BPDU后,该接口会进入err-down状态,端口角色变成DP,进入discarding状态。
恢复:先将交换机的stp功能关闭
1、手动恢复:进入接口先shutdown在undoshutdown即可恢复。
2、自动恢复:[Huawei]error-down auto-recovery cause bpdu-protection interval 30 //由于BPDU保护机制被err-down的接口在30S内可以自动UP
2、根保护-针对普通接口
作用对象:所有普通端口
作用原理:如果一个接口没有开启边缘端口功能,那么这个接口就无法使用BPDU保护来防止STP攻击,根保护功能可以强制一个接口永远为DP接口,防止周围交换机成为根桥,当一个接口开启根保护后,一旦收到了更优的BPDU,那么接口角色不变,接口状态变为discarding。
注意:跟保护只对DP接口生效,对RP接口无效。
命令:[Huawei-GigabitEthernet0/0/2]stp root-protection;
恢复:当接口不在收到BPDU后(在新接入的交换机中,关闭STP),经过两个转发时延,会自动恢复。
3、环路保护
现象:当出现单通故障时,但接口没有到达down阈值,导致一个根端口无法收到上游发来的BPDU,18秒老化时间后,该接口会变为DP接口,并通过2个转发时延之后进入转发状态,导致出现环路。
命令:[Huawei-GigabitEthernet0/0/2]stp loop-protection 该该接口开启环路保护
恢复:当接口上收到上游BPDU后,会立刻恢复正常的STP收敛结果。
TC-BPDU泛洪保护(黑客在边缘端口接入一台终端不断伪造TC-BPDU,使得整网交换机不断删除MAC地址表和ARP表)
现象:运行RSTP的交换机,在默认收到TC-BPDU时会快速老化MAC地址表和ARP表项。
作用:防止TC-BPDU泛洪攻击
命令:接口视图下,stp tc-restriction enable //接口下开启TC-BPDU保护功能
全局视图下,stp tc-protection interval 10 //全局下定义TC-BPDU保护单位时间
全局视图下,stp tc-protection threshold 5 //全局下定义TC-BPDU阈值
总结:在单位时间(10S)内最多接收5个TC-BPDU,多的就被丢弃了。
----------------------------------------------------------------