【5】MST-802.1S --分组式的生成树
将多个vlan放置在一个组内,为每个组生成一个树,树型算法为802.1w;将不同组的根网桥放置到不同的汇聚层设备处,可以流量的分载,提供链路利用率;不同组发出的BPDU,使用网桥优先级区分 优先级+组ID
优先级默认为32768,只能以4096的倍数来进行修改
切记:整个交换机需要所有设备均正常MST协议,才进行部署;
sw1(config)#spanning-tree mode mst 修改协议
默认存在组0,且默认所有vlan处于组0;
sw1#show spanning-tree mst 0
sw1(config)#spanning-tree mst configuration s
w1(config-mst)#instance 1 vlan 1-50 将vlan1-50划分到组1
sw1(config-mst)#instance 2 vlan 51-100 将vlan51-100划分到组2
切记:所有运行MST协议的设备,分组内容必须完全一致,否则将可能出现故障;
定义根网桥,备份根网桥的位置
sw1(config)#spanning-tree mst 1 root primary 降2个4096
sw1(config)#spanning-tree mst 2 root secondary 降1个4096
sw1(config)#interface e0/0 修改参选接口的参数
sw1(config-if)#spanning-tree mst 1 ?
cost Change the interface spanning tree path cost for an instance
port-priority Change the spanning tree port priority for an instance
一、STP的安全
[1] BPDU保护接入层接口默认为DP(指定端口),该端口连接的是PC若该接口的PC被更换、用户模拟,成为一台交换机,那么可能导致根网桥转移,最终迫使网络结构发生变化,因为根网桥最佳设置应该在汇聚层,而新的结构将可能该改变该特性,导致网络运行不佳,流量集中于接入层设备;
可以将这些接口开启BPDU保护功能;被保护接口若收到BPDU,那么将进行错误关闭状态;进入该状态的接口状态和协议均down,
若需要重新唤活该接口:
1、手工重启—先关闭再开启
2、自动启动----需要人配置,配置后若该接口在300s内没有收到BPDU了,那么将自动开启
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree bpduguard enable
在接入层连接用户的接口上,开启BPDU保护功能
被保护接口若接收到BPDU将错误关闭
sw2#show interfaces e0/0
Ethernet0/0 is down, line protocol is down (err-disabled)
若接口出现了错误关闭,可以查看导致原因
sw2#show interfaces status err-disabled
Port Name Status Reason
Et0/0 err-disabled bpduguard
针对BPDU保护出现的错误关闭,可以通过手工重启,或设置自动重启
sw2(config)#errdisable recovery cause bpduguard 当BPDU保护出现后的自动重sw2#show errdisable recovery 查看各种错误的原因状态
sw2(config)#errdisable recovery interval ? 默认300s收不到BPDU将自动重启
<30-86400> timer-interval(sec) 修改计时器,最小30s
全局配置:
在接入层接口上,开启所有接口的端口加速和所有接口的BPDU保护
sw2(config)#spanning-tree portfast bpduguard
全局开启后,还需要到上行链路上进行BPDU保护的关闭
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree bpduguard disable 关闭单个接口的BPDU保护
sw2#show spanning-tree summary totals 查看各种全局协议的配置
[2] BPDU过滤
开启BPDU过滤后,若接入层接口收到BPDU信息,将仅丢弃BPDU数据帧,正常转发用户流量
sw2(config)#interface e0/0 接口开启或关闭
sw2(config-if)#spanning-tree bpdufilter ?
disable Disable BPDU filtering for this interface
enable Enable BPDU filtering for this interface
sw2(config)#spanning-tree portfast bpdufilter default 全局开启
注:全局开启后,需要在上行链路接口手工关闭
总结:保护和过滤出了对接口的处理方式不同,还存在一个区别保护是拒绝接收BPDU,但可以发送;过滤是收发均拒绝
[3] 根网桥保护
若网络中增添了新的交换机,其BID最优;那么将抢占网络的根网桥,导致拓扑结构变化;在接口开启根桥保活后,若交换机的接口接收到了更优BPDU时,将该接口阻塞;直到该接口不再收到更优BPDU才恢复;sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard root 接口开启根网保护
开启根桥保护的接口,在接收到更优BPDU时,将阻塞;进入broken状态,显示与根不一致;
sw2#show spanning-tree interface ethernet 0/0 detail
Port 1 (Ethernet0/0) of VLAN0001 is broken (Root Inconsistent)
sw2#show spanning-tree
Et0/0 Desg BKN*100 128.1 Shr *ROOT_Inc
不一致接口在生成树列表中的显示
sw2#show spanning-tree inconsistentports 查看出现不一致的接口
Name Interface Inconsistency
VLAN0001 Ethernet0/0 Root Inconsistent
Number of inconsistent ports (segments) in the system : 1
总结:BPDU保护和过滤配置在所有的接入层连接PC接口;
Root 保护建议配置在新连接交换机的接口,来避免网络的重新收敛;
二、环路保护
单向链路故障—尤其在光纤网络,很可能出现可以接收但不能发送;一旦出现单向链路故障,网络及时存在STP,也依然可能出现环路
解决方法:
【1】UDLD --当一根网线出现单向链路故障时,直接关闭该接口
【2】LOOP GUARD ----开启后,仅针对BPDU包,识别为单向链路故障,先对该接口进行阻塞,然后自动恢复;
sw2(config)#interface e0/0
sw2(config-if)#spanning-tree guard loop 开启命令
总结:UDLD和loop gurad区别
1、UDLD被触发后,接口被err-disable;然后需要手工重启 或设置自动重启 Loop guard被触发后,自动阻塞然后恢复接口的
2、UDLD用于处理硬件的单向问题,loop guard被用于处理软件问题(接口拥塞,CPU过载) 建议两种技术均配置
3192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
