生成树协议（stp）边缘端口的作用

一、什么是边缘端口？
答：边缘端口是从阻塞状态直接到转发状态的端口。
追问1：生成树协议有哪些端口状态？
答： 生成树有禁用、阻塞、侦听、学习、转发状态。
并且，侦听状态到学习状态需要15S转发延迟、学习状态到转发状态有15S转发延迟。
追问2：为什么要有15S转发延迟？
答：因为BPDU泛洪到整个交换网络的时间为15S，所以有15S的转发延迟可以避免临时环路。
追问3：什么是临时环路，临时环路存在的时间是多少？
答：临时环路就是就交换网络短时间的环路，临时环路存在的时间为BPDU发送间隔+网络传输延迟+CPU处理延迟。

二：边缘端口有什么特点？
答：边缘端口有不收BPDU与直接从阻塞状态变为转发状态的特点。
追问1：边缘端口为什么不收BPDU，收到BPDU会怎样？
答：边缘端口不收BPDU，因为边缘端口不参与拓扑计算。如果边缘端口收到BPDU，会丧失边缘端口属性，变成普通端口，且保持转发状态。也就是说，当边缘端口收到BPDU时，会造成网络拥塞。
追问2：边缘端口什么时候会收到BPDU？
答：配置不当、操作管理人员操作失误或遭受恶意攻击时会收到BPDU
追问3：如何避免边缘端口收到BPDU？
答：可以配置BODU保护来防止边缘端口收到BPDU。BPDU保护是当边缘端口收到BPDU时，会将该端口shutdown，从而避免网络拥塞。在缺省情况下，在触发BPDU保护，且端口shutdown后，需管理人员手动将端口开启。在开启后，如果该边缘端口再次收到BPDU，则端口会再次shutdown。
追问4：华为交换设备还有哪些保护手段？
答：华为交换设备还包含根保护、环路保护。防TC-BPDU攻击保护。
4.1、根保护：用于保护根桥被抢占而导致的环路。由于华为交换设备支持根桥抢占，即当恶意攻击这将攻击设备优先级调整为0时，原先的根桥设备会丧失根桥属性。（灵魂画师登场）

如图所示：在原本的交换网络中，SW1为根桥，优先级为4096。当恶意攻击者设备优先级低于SW1时，SW1的根桥属性将丧失。
可通过在指定端口配置根保护，来避免根桥被抢占出现的一系列问题。根保护是当指定端口收到更优的BPDU时，会直接进入阻塞状态。
4.2、环路保护：在RSTP中，RSTP协议是通过上游RST BPDU来维护的。在发生单点故障或网络拥塞时，备份端口会直接变成指定端口，端口状态会从阻塞变为转发（这里灵魂画师就不上线了，关于RSTP详细知识点，我会在下一篇RSTP中说明）。在配置环路保护后，当端口无法收到上游BPDU时，会直接进入阻塞状态，避免产生环路。直到再次收到上游BPDU时，才会再次进入转发状态。
4.3、TC-BPDU防攻击保护：当交换机收到TC-BPDU时，会刷新MAC地址表象。从而增加设备负担。配置TC-BPDU攻击保护即修改交换设备刷新MAC地址的时间，从而减轻设备负担。

**追问5、边缘端口会发送BPDU吗？为什么？
**答： 边缘端口会周期性发送BPDU，因为需要让下游设备感知到交换机的存在。如果不发送BPDU，则会造成环路，导致网络不可用（灵魂画师再次登场）

根据以上图片可知，当边缘端口不发送BPDU时，则无法感知到下游设备，出现环路，导致网络不可用。

**三、边缘端口应用在哪些场景？
答：边缘端口通常用于交换设备连接终端时使用，从而达到网络优化的作用。

四、配置边缘端口会出现哪些问题
答：配置边缘端口会出现临时环路的问题。如图（灵魂画师再登场一次。）
本期关于边缘端口的问题到此结束。。。EMMMM