生成树的优化防护

1、第一章：二层交换：生成树的增强（bpdu防护过滤，根防护）(2014-09-26 09:33:57)转载标签：cciecisco分类：网络技术以下提到的stp代表了所有生成树协议。stp用于防环，但是有一个基础，就是软件硬件都没有问题。软件一般就是指配置错误、bug，而硬件一般是指双向通讯故障，比如光纤两根线路，一根上行一根下行，如果断了一根就变成了单向通讯了。简单来说，这些问题引起的后果，就是不该收到bpdu收到了，该收到bpdu的接口没有收到=如果本该是接着终端，并启用了portfast的端口，被误接了交换机，就会引起了二层的环路。有两个工具可以防止这种情况 bpdu guard bpdu

2、 filter=先来说bpdu guard（下简称bg）当配置了bg后，在portfast的接入接口收到bpdu，立即置为err_disabled。两种配置方法全局配置： sw4(config)#spanning-tree portfast bpduguard default默认所有portfast的接口，都启用bg。接口配置：sw4(config-if)#spanning-tree bpduguard enable无论接口是否启用了portfast，都启用bgp如果需要把err_disable恢复过来，可以shutdown再no shutdown接口，但如果配置仍是错误，接口还是会被err_

3、disabled实验：sw4(config-if)#spanning-tree bpduguard enable6d01h: %spantree-2-block_bpduguard: received bpdu on port fastethernet0/8 with bpdu guard enabled. disabling port.6d01h: %pm-4-err_disable: bpduguard error detected on fa0/8, putting fa0/8 in err-disable state6d01h: %lineproto-5-updown: line pr

4、otocol on interface fastethernet0/8, changed state to down6d01h: %link-3-updown: interface fastethernet0/8, changed state to down查看端口状态sw4#show interfaces status err-disabledport name status reasonfa0/8 err-disabled bpduguard设置自动恢复sw4(config)#errdisable recovery cause bpduguard默认300秒后自动恢复，但如果问题依旧，还是

5、会err_disabled。=bpdu filter（下简称bf）不同的配置方式，有不同的作用如果在全局模式下配置，所有启用了portfast的端口如果接收到了bpdu，会立即禁用portfast，并使端口参与stp运算，成为stp端口；如果在接口模式下配置，那么接口将不会发送bpdu，而如果接收到bpdu，会无视掉，不会改变接入端口的角色。全局配置命令：sw4(config)#spanning-tree portfast bpdufilter default接口配置命令：sw4(config-if)#spanning-tree bpdufilter enable注意，两种配置方式的作用差异很

6、大，我一般建议在接入接口上启用第二种。=根防护（root guard，下称rg）当在一个稳定的交换网络中，加入一台新的交换机，而这台新交换机有可能抢夺根桥位置。设置了根防护的接口，可以防止成为根端口。回想一下什么是根端口，就是去往根桥并处于转发状态的接口。如上图，那么新交换机d接入网络后，如果它并没有抢夺到根桥位置，则相安无事，正常转发；如果它抢夺根桥，发出更优的bpdu，c将接着d的接口block掉，但只会block掉根桥所在vlan，举例，d并不打算成为vlan1的根桥，而要成为vlan99的根桥，那么c就会在vlan99的生成树中，把那个端口置为blocking，注意不是err_disa

7、bled，因为其他vlan的生成树里它可能是正常的，如vlan1。只要d不再发出更优的bpdu，sw c会立即停止阻塞这个端口上的相应vlan的bpdu。实验：拓扑在sw3的对应接口上设置root guard，并开启debugsw3(config)#int f0/7sw3(config-if)#spanning-tree guard rootsw3#debug spanning-tree eventsspanning tree event debugging is on在sw4上修改优先级，使sw4抢夺根桥位置sw4(config)#spanning-tree vlan 1 root prim

8、ary看sw3的debug和生成树信息*mar7 18:47:39.759: stp: vlan0001 heard root 24577-001a.a10b.7a00 on fa0/7*mar7 18:47:39.759:supersedes 32769-0015.630d.70806d18h: %spantree-2-rootguard_block: root guard blocking port fastethernet0/7 on vlan0001.sw3#*mar7 18:47:39.763: stp: vlan0001 fa0/7 - blockingsw3#*mar7 18:4

9、7:41.763: stp: vlan0001 heard root 24577-001a.a10b.7a00 on fa0/7*mar7 18:47:41.763:supersedes 32769-0015.630d.7080.sw3#show spanning-tree vlan 1vlan0001spanning tree enabled protocol ieeeroot idpriority32769address0015.630d.7080this bridge is the roothello time2 secmax age 20 secforward delay 15 sec

10、bridge idpriority32769(priority 32768 sys-id-ext 1)address0015.630d.7080hello time2 secmax age 20 secforward delay 15 secaging time 300interfacerole sts costprio.nbr type- - - - - -fa0/7desg bkn*19128.7p2p *root_incsw3#show spanning-tree inconsistentportsnameinterfaceinconsistency- - -vlan0001fastet

11、hernet0/7root inconsistentnumber of inconsistent ports (segments) in the system : 1将sw4改回去sw4(config)#no spanning-tree vlan 1 root primary再看sw3的debug信息，可以见到sw3不再收到sw4的更优bpdu后自动恢复接口的状态。sw3#6d18h: %spantree-2-rootguard_unblock: root guard unblocking port fastethernet0/7 on vlan0001.sw3#*mar7 18:54:22.

12、723: stp: vlan0001 fa0/7 - listening*mar7 18:54:37.723: stp: vlan0001 fa0/7 - learning*mar7 18:54:52.723: stp: vlan0001 fa0/7 - forwarding注意，root guard不能只针对特定vlan启用，而是对全部vlan，不过在rg工作中，只会block掉尝试成为根端口的那个vlan的bpdu和流量。第二章：生成树的优化我们都知道一个网络优化的好坏，影响整个网络的性能，所以生成树协议的优化在网络中是十分重要的，下面我们说说生成树的优化及其增强特性。工具/原料 stp相

13、关资料方法/步骤1. 1由于生成树也有许多不能解决的问题：比如1.802.1d不能阻止有问题的交换机成为根网桥2.不具备从特定端口过滤bpdu的特性3.网络设备故障会使网络中产生桥接环路和黑洞4.某些故障会干扰生成树所以生成树的优化是必须做的。2. 2bpdu防护:防止交换机意外连接到了启用了portfast特性的端口。如果接口启用了portfast特性，那么当该接口收到bpdu的时候，bpdu防护功能就会使其进入“err-disable”状态，而不是将其blocking，以防产生桥接环路。直到管理员手动打开该端口。管理员也可以设置超时时间间隔，当端口进入“err-disable”状态之后，超

14、过时间间隔，端口会再次打开，如果这时候仍旧接收到bpdu，bpdu防护特性会再次将其关闭bpdu防护有两种启用方式：1）全局启用：（no）spanning-tree portfast edge bpduguard default，这个是在所有开启了portfast的端口上启用bpdu防护，前提是，已经开启了portfast2）端口启用：spanning-tree bpduguard enable，这个只在当前端口启用，这个无需先配置portfast3. 3bpdu过滤（不 发）： 当交换机直接与主机相连的时候，这个时候是不需要向主机发送bpdu的，因为主机不参与拓扑的计算，所以发过去还是会丢弃

15、，白白的浪费资源，因此还不如不发。1）全局启用：（no）spanning-tree portfast bpdufilter default。全局启用会作用于交换机上所有处于工作状态，且没有单独在接口底下配置bpdu过滤特性的portfast端口（也就是说要想全局启用生效，端口必须先配置portfast属性）。如果这个端口收到了bpdu，那么他们就不再处于portfast状态，bpdu过滤特性也将被禁用，然后开始和其他stp接口一样收发bpdu。在启动的时候，端口会传输10个bpdu数据包，如果这个端口在这个时间内收到了bpdu数据包，那么同样会退出portfast状态并且禁用bpdu过滤特性。

16、2）端口启用：spanning-tree bpdufilter enable。端口会忽略收到的bpdu数据包，也不会发送任何bpdu数据包，这个不需要预先开启portfast特性。bpdu过滤优先级高于bpdu防护，当有bpdu过滤的时候，bpdu防护将不生效4. 4根防护（不建立）：当一个具有更高优先级的网桥接入当前网络的时候，会造成当前网络拓扑的变化，导致一系列事情的发生。根保护的目的是确保根保护的端口成为指定端口，如果启用了根防护的端口上收到了一个更优的bpdu，则这个端口会进入不一致根的状态（等效于blocking状态），这时候不会处理bpdu，也就是说新的bpdu不会得到传播，也就不

17、会竞选根网桥，这样就保证了原有拓扑的稳定性。这个时候，处于不一致根状态的的端口还会继续监听，如果不再收到更优bpdu的时候，端口就会取消阻塞，依次进行stp的状态过渡，最终进入转发状态5. 5对于根防护：我们来举个例子如下图：a和b为分布层sw，c为接入层sw，根为a。当在c下面再接一台sw时，由于d的优先级或mac地址可能比其它要低，可能会使d成为rootsw，从而使得从a到达b的流量不能直接发送到b，而得使用c来转发，这样很不合理（a和b之间为千兆）。为了避免这种情况，可以在c的下联端口上使用rootguard，以防止该端口成为rootport，从而防止d成为rootsw，确保a永远为rootsw。使用rootguard后，当swd接入网络后，c的下联d的端口会收到一个更新的bpdu（前提是d的优先级最高）后，c将该端口转为block状态，直到d不在发送新的bpdu或更改d的优先级。关于根防护的一个建议：在所有接入端口上启用