华为数通HCIE面试看这个就够了系列——STP、RSTP、MSTP

一、STP工作机制。

1. STP根桥、根端口和指定端口的选举原则。

  在STP网络中，选举根桥、根端口和指定端口主要使用配置BPDU中报文中的消息优先级向量：{ 根桥ID，根路径开销，发送设备BID，发送端口PID}。

  STP两种特殊场景下端口角色的计算：

第一种拓扑描述：

• 根据STP根桥选举原则，很容易得出S1为根桥，接下来确定根端口、指定端口和Alternate端口。
• S2从接口E0和E1接收到S1发送两条BPDU，分别为{0,0,0,E0}和{0,0,0,E1},该两个BPDU只有发送端口不同，根据比较原则，较小的发送端口胜出，所以E0为根端口，E1为Alternate端口。

第二种拓扑描述：

• 根据STP根桥选举原则，很容易得出S1为根桥，接下来确定根端口、指定端口和Alternate端口。
• S2从接口E0和E1接收到S1发送两条BPDU，分别为{0,0,0,E0}和{0,0,0,E0},该两个BPDU优先级向量均相同，根据比较原则，只能比较接收端口的PID大小。经比较，接收端口E0较小，所以E0为根端口，E1为Alternate端口。

2.STP拓扑计算方法。

• 初始状态：由于每个桥都认为自己是根桥，所以在每个端口所发出的BPDU中，根桥字段都是用各自的BID，Root Path Cost字段是累计的到根桥的开销，发送者BID是自己的BID，端口PID是发送该BPDU端口的端口ID。
• 选择根桥：网络初始化时，网络中所有的STP设备都认为自己是“根桥”，根桥ID为自身的设备ID。通过交换配置消息，设备之间比较根桥ID，网络中根桥ID最小的设备被选为根桥。
• 根端口和指定端口的选择过程：
  • 非根桥设备将接收最优配置消息的那个端口定为根端口。
  • 设备根据根端口的配置消息和根端口的路径开销，为每个端口计算一个指定端口配置消息：
    • 根桥ID替换为根端口的配置消息的根桥ID；
    • 根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销；
    • 发送者BID替换为自身设备的ID；
    • 发送端口PID替换为自身端口ID。
  • 设备将计算出的配置消息与角色待定端口自己的配置消息进行比较：
    • 如果计算出的配置消息更优，则该端口被确定为指定端口，其配置消息也被计算出的配置消息替换，并周期性地向外发送；
    • 如果该端口自己的配置消息更优，则不更新该端口的配置消息并将该端口阻塞。该端口将不再转发数据，且只接收不发送配置消息。

二、RSTP对STP的改进。

1. 端口角色方面。

   通过端口角色的增补， 简化了生成树协议的理解及部署。

• STP：三种端口角色分别是DP、RP、Blocking。
  • 指定端口（DP）：负责在链路上转发根桥的最好BPDU的端口，一般情况下根桥的所有端口都是DP，在每条链路(每个冲突域)上都会选举一个DP。
  • 根端口（RP）：接收来自根桥最优BPDU的端口，根桥上没有根端口。在每个非根桥设备上都会选举一个RP。
  • 阻塞端口：既不是非根桥的RP，也不是链路的DP，则该端口为block port即阻塞端口。
• RSTP：增加了两种端口角色AP端口和BP端口。

  • AP：

    • 从配置BPDU报文发送角度来看：Alternate端口就是由于学习到其它网桥发送的更优配置BPDU报文而阻塞的端口。
    • 从用户流量角度来看：AP端口提供了从指定桥到根的另一条可切换路径，作为根端口的备份端口。

  • BP：

    • 从配置BPDU报文发送角度来看：Backup端口就是由于学习到自己发送的更优配置BPDU报文而阻塞的端口。
    • 从用户流量角度来看：Backup端口作为指定端口的备份，提供了另一条从根桥到相应网段的备份通路。

2. 端口状态的重新划分。

• STP五种端口状态：禁用（Disable）、阻塞（Blocking）、侦听（Listening）、学习（Learning）、转发（Forwarding）。
  • 禁用（Disable）：该接口不能收发BPDU，也不能收发业务数据帧，例如接口为down。
  • 阻塞（Blocking）：该接口被STP阻塞。处于阻塞状态的接口不能发送BPDU，但是会持续侦听BPDU，而且不能收发业务数据帧，也不会进行MAC地址学习。
  • 侦听（Listening）：当接口处于该状态时，表明STP初步认定该接口为根接口或指定接口，但接口依然处于STP计算的过程中，此时接口可以收发BPDU，但是不能收发业务数据帧，也不会进行MAC地址学习。
  • 学习（Learning）：当接口处于该状态时，会侦听业务数据帧（但是不能转发业务数据帧），并且在收到业务数据帧后进行MAC地址学习。
  • 转发（Forwarding）：处于该状态的接口可以正常地收发业务数据帧，也会进行BPDU处理。接口的角色需要是根接口或指定接口才能进入转发状态。

   站在用户的角度考虑，STP的前三种端口状态并没有什么区别，都是即不学习MAC地址，也不转发流量。

• RSTP：把端口状态从 5 种状态缩减为 3 种。根据端口是否转发用户流量和学习 MAC 地址来划分。
  • 如果不转发用户流量也不学习MAC地址，那么端口状态就是Discarding 状态。
  • 如果不转发用户流量但是学习MAC地址，那么端口状态就是Learning 状态。
  • 如果既转发用户流量又学习MAC地址，那么端口状态就是Forwarding 状态。

3.BPDU。

• BPDU类型不同：

  • STP：两种BPDU，通过BPDU Type字段区分。值为0x00，表示是配置 BPDU；0x80则为TCN BPDU。
  • RSTP：只存在一种BPDU，RSTP BPDU，相当于STP配置BPDU。BPDU Type字段值为0x02。

• 配置BPDU格式的改变，RSTP充分利用了STP协议报文中的Flag字段。

4.配置BPDU的处理发生变化。

• 拓扑稳定后，配置BPDU报文的发送方式：

  • STP：其他非根桥设备在收到上游设备发送过来的配置BPDU后，才会触发发出配置BPDU，此方式使得 STP 协议计算复杂且缓慢。
  • RSTP：非根桥交换机可以自主根据Hello timer时间发送配置BPDU，不必等待接收到上游设备的配置BPDU。

• 更短的BPDU超时时间：

  • STP：需要先等待一个Max Age
  • RSTP：如果一个端口在超时时间（超时时间＝Hello Time × 3 × Timer Factor；Factor的缺省值为3）内没有收到上游设备发送过来的配置BPDU，那么该设备认为与此邻居之间的协商失败。

• 处理次等BPDU：RSTP接收到次级BPDU会立即处理不会像STP那样等待老化计时器超时。

5.快速收敛机制。

• STP：在任何的情况端口从阻塞到转发最少需要30S。
• RSTP：
  • 根端口快速切换机制：如果网络中一个根端口失效，那么网络中最优的 Alternate 端口将成为根端口，直接进入Forwarding 状态，无需任何转发延迟。
  • 边缘端口的引入：边缘端口不参与RSTP运算，可以由 Disable 直接转到 Forwarding 状态，且不经历时延。
  • P/A机制：当一个端口被选举成为指定端口之后，在STP中，该端口至少要等待一个Forward Delay时间才会迁移到Forwarding状态。而在RSTP中，此端口会先进入Discarding状态，再通过P/A机制快速进入Forward状态。这种机制必须在点到点全双工链路上使用。
    注：P/A机制的过程。
    

6.保护功能。

   RSTP提供的保护功能有：BPDU保护、根保护、环路保护、TC-BPDU泛洪保护。

• BPDU保护。
  • 开启的原因：正常情况下，边缘端口不会收到RST BPDU。如果有人伪造RST BPDU恶意攻击交换设备，当边缘端口接收到RST BPDU时，交换设备会自动将边缘端口设置为非边缘端口，并重新进行生成树计算，从而引起网络震荡。
  • 原理：交换设备上启动了BPDU保护功能后，如果边缘端口收到RST BPDU，边缘端口将被error-down，但是边缘端口属性不变，同时通知网管系统。
  • 配置命令：[Huawei] stp bpdu-protection

• 根保护。
  • 开启的原因：由于维护人员的错误配置或网络中的恶意攻击，网络中合法根桥有可能会收到优先级更高的RST BPDU，使得合法根桥失去根地位，从而引起网络拓扑结构的错误变动。
  • 实现原理：一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文。在经过一段时间，如果端口一直没有再收到优先级较高的RST BPDU，端口会自动恢复到正常的Forwarding状态。Root保护功能只能在指定端口上配置生效。
  • 配置命令：

    [Huawei] interface ethernet 2/0/0
    [Huawei-Ethernet2/0/0]  stp root-protection
    

• 环路保护。

  • 开启原因：当由于链路拥塞或者单向链路故障导致这些端口收不到来自上游交换设备的RST BPDU时，此时交换设备会重新选择根端口。原先的根端口会转变为指定端口，而原先的阻塞端口会迁移到转发状态，从而造成交换网络中可能产生环路。
  • 实现原理：在启动了环路保护功能后，如果根端口或Alternate端口长时间收不到来自上游的RST BPDU时，则向网管发出通知信息（如果是根端口则进入Discarding状态）。而阻塞端口则会一直保持在阻塞状态，不转发报文，从而不会在网络中形成环路。直到根端口或Alternate端口收到RST BPDU，端口状态才恢复正常到Forwarding状态。环路保护功能只能在根端口或Alternate端口上配置生效。
  • 配置命令：

     [Huawei] interface ethernet 2/0/0
     [Huawei-Ethernet2/0/0] stp loop-protection
    

• TC-BPDU泛洪保护。

  • 开启原因：交换机在接收到TC-BPDU报文后，会执行MAC地址表项的删除操作。如果有人伪造TC-BPDU报文恶意攻击交换机时，交换机短时间内会收到很多TC-BPDU报文，频繁的删除操作会给设备造成很大的负担，给网络的稳定带来很大隐患。
  • 实现原理：启用防TC-BPDU报文攻击功能后，在单位时间内，RSTP进程处理TC类型BPDU报文的次数可配置（缺省的单位时间是2秒，缺省的处理次数是3次）。如果在单位时间内，RSTP进程在收到TC类型BPDU报文数量大于配置的阈值，那么RSTP进程只会处理阈值指定的次数；对于其他超出阈值的TC类型BPDU报文，定时器到期后，RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项，从而达到保护交换机的目的。
  • 配置命令：

    [Huawei] stp tc-protection
    [Huawei] stp tc-protection interval 10 处理最大数量的拓扑变化报文并立即刷新转发表项的时间为10秒
    [Huawei] stp tc-protection threshold 5 配置处理TC类型BPDU报文并立即刷新转发表项的阈值为5
    

    

  注意：一个接口只能配环路保护或者根保护，不能同时配置这两种方式。

三、MSTP和STP、RSTP的对比。

1. 应用场景不同。

• STP/RSTP：单生成树，无需区分用户或业务流量，所有VLAN共享一棵生成树。
• MSTP：需要区分用户或业务流量，并实现负载分担。不同的VLAN通过不同的生成树转发流量，每棵生成树之间相互独立。

2. MSTP的基本概念。

3.端口角色。

    新增两种端口角色：

• Master端口：
  • 是MST域和总根相连的所有路径中最短路径上的端口，它是交换设备上连接MST域到总根的端口。
  • Master端口是域中的报文去往总根的必经之路。
  • Master端口是特殊域边缘端口，Master端口在CIST上的角色是Root Port，在其它各实例上的角色都是Master端口。
• 域边缘端口：位于MST域的边缘并连接其它MST域或SST的端口。

4.快速收敛机制。

• 增强的P/A机制：
  • 上游设备发送Proposal报文，请求进行快速迁移。下游设备接收到后，把与上游设备相连的端口设置为根端口，并阻塞所有非边缘端口。
  • 上游设备继续发送Agreement报文。下游设备接收到后，根端口转为Forwarding状态。
  • 下游设备回应Agreement报文。上游设备接收到后，把与下游设备相连的端口设置为指定端口，指定端口进入Forwarding状态。

    注：命令stp no-agreement-check设置P/A机制为普通的快速迁移机制，从而实现华为设备和其他厂商的设备进行互通。

四、边缘端口。

1.作用。

• 不参与STP的计算。
• 进入快速转发节约30s，立即进入到forwarding。
• 边缘端口的up/down不会触发TC。
• 一般情况下边缘端口不会收到BPDU，但是在收到BPDU后边缘端口会丧失特性，参与到STP计算。

2.应用场景。

  所以一般边缘端口会建议在网络边界，连接终端较多的接入交换机上配置，用于accss接口。比如一个办公室，大家的电脑都连接在一个接入交换机上面，那么该交换机连接电脑的access接口，就建议配置成边缘端口。这样有以下几个好处：

• 员工上班开机，交换机的接口不需要等待30s收敛，立即进入转发状态。
• 当电脑重启或者任何情况造成链路up/down的情况都不会触发TC。
• 其他网络的TC，或者是PA协商等，都不会影响边缘端口的状态，也就是不参与STP的计算。这样能够让上网环境相对稳定一些。如下图的场景：
  

3. 可能带来的问题。

  正常情况下，边缘端口有上述特性，一般情况下，边缘端口用于连接终端，那么正常是不会收到BPDU的，但是如果边缘端口收到的BPDU，就会丧失以边缘端口上的特性，参与到STP的计算中。所以有可能会带来一下问题：

• TC的攻击
    如果有攻击者伪造发送TC的BPDU给边缘端口，那么边缘端口就会丧失特性，参与生成树的计算，影响整个网络的。会造成MAC地址表的重新学习，那么数据会广播泛洪，如果攻击者不断给边缘端口发送TC报文，那么在这段时间内，很有可能带来大量的广播泛洪的流量，并且MAC地址表一直在不稳定。
• BPDU攻击。
    同上述所说，当边缘端口收到BPDU，就会参与生成树的计算，如果收到攻击者发来的更优的bpdu，那么端口角色就会改变，影响整个网络。
• 短暂的环路。
    边缘端口也有可能因为误连造成短暂的环路问题，但是时间不长，最多持续2s，当边缘端口收到另外一个端口发来的BPDU，会丧失边缘端口的特点，就会去计算STP，那么将会有一个端口discarding掉，环路问题解决。BPDU默认的hello时间是2s，所以环路的持续时间是2s。
  

4.解决。

• bpdu-filter :当收到了bpdu忽略不计。适用于交换机接hub的场景，但是无法解决环路问题。
• bpdu-protection :当收到了bpdu自动将该接口error-down，华为建议使用此命令，适用于终端主机直接与交换机相连的场景。

五、STP、RSTP、MSTP的兼容。

RSTP与STP的的兼容：

• STP交换设备会忽略RST BPDU，RSTP端口在接收到STP BPDU的两个hello timer后，会切换到STP工作模式。
• 切换到STP协议的RSTP端口会丧失快速收敛等特性。
• 当运行STP的设备从网络撤离后，原运行RSTP的交换设备可迁移回到RSTP工作模式。
• stp mcheck命令用来对端口执行从STP模式自动迁移回原来的RSTP/MSTP模式的操作。

RSTP/STP与MSTP的的兼容：

• RSTP/STP网桥将MSTP域看做一个桥ID为域根ID的RSTP桥。
• 当RSTP/STP网桥收到MST BPDU后，会提取BPDU中的{总根，外部路径开销，域根ID，指定端口ID}作为RSTP/STP的{RID，RPC，BID，PID}。
• 当MSTP网桥收到RSTP/STP的BPDU后，会将BPDU中的{RID，RPC，BID，PID}对应到MSTP中，其中，BID作为MSTP中的域根ID，也作为指定交换机ID，内部路径开销为0。