生成树协议mstp配置.docx

17MSTP配置17.1STP/RSTP/MSTP演进17.2理解STP17.2.1STP概述STP（Spanning Tree Protocol，生成树协议）是IEEE 802.1D中定义的一种二层链路管理协议，它通过有选择性地阻塞网络中的冗余链路，避免网络中环路的产生；若网络出现故障导致链路失效，又能提供相应的备份链路，保证网络稳定运行。STP通过在网桥之间传递特有的BPDU（Bridge Protocol Data Unit，网桥协议数据单元）报文来交互网络拓扑信息，根据生成树算法构造并维护逻辑上无环路的树形网络。17.2.2STP基本概念17.2.2.1STP相关角色STP拓扑结构图nRoot Bridge（根桥）根据生成树算法在网络中选举唯一根桥，以根桥为核心向其它网桥发送配置BPDU来稳定生成树拓扑结构，如上图中的SwitchA。nDesignated Bridge（指定网桥）每个局域网中提供到根桥最短路径的网桥，负责向局域网转发根桥的配置BPDU，以及接收来自局域网网段的TCN BPDU，如上图中的SwitchB。nRoot Port（根端口）非根桥设备上到根桥路径最短的端口，负责接收来自根桥的配置BPDU，以及向根桥发送TCN BPDU。非根桥设备上有且只有一个根端口，如上图中的SwitchB和SwitchC上标注R的端口。nDesignated Port（指定端口）在指定网桥上负责向局域网转发配置BPDU以及接收来自局域网的TCN BPDU的端口，如上图中的SwitchA和SwitchB上标注D的端口。nAlternatePort生成树网络稳定时，该端口作为根端口的备份端口；当根端口失效，该端口切换为根端口，如上图中的SwitchB上标注A的端口。nBackupPort生成树网络稳定时，该端口作为指定端口的备份端口；当指定端口失效，该端口切换为指定端口，如上图中的SwitchB上标注B的端口。nDisablePort表示该端口处于不活动状态，例如：端口Shutdown，或者由于生成树算法阻塞多余链路。17.2.2.2STP端口状态在STP中，每个端口会根据分配的角色处于以下三种状态之一，从而控制生成树拓扑的形成。nDiscarding：阻塞状态，处于该状态的端口不能学习MAC地址，不参与报文转发。nLearning：学习状态，处于该状态的端口能够学习MAC地址，但不参与报文转发，作为端口转换到Forwarding的一个过渡状态。nForwarding：转发状态，处于该状态的端口能够学习MAC地址，同时参与报文转发。对一个已经处于稳定的生成树网络，只有Root Port和Designated Port才会进入Forwarding状态，而其它角色的端口都处于Discarding状态。17.2.2.3STP定时器在STP中，存在三种定时器：nHello Timer：触发网桥定时向外发送BPDU报文的时间间隔。nForward-Delay Timer：端口状态转换的时间间隔。例如：端口从Discarding状态转换到Learning状态，或者从Learning状态转换到Forwarding状态所需的时间间隔。nMax-Age Timer：BPDU报文的生存周期。当超出这个时间，报文消息将由于过期而被废弃。17.2.2.4STP协议报文STP通过定期发送BPDU报文，在网桥间交互网络拓扑信息，确保生成树算法计算出最佳路径，并生成逻辑上无环路的树型拓扑网络。BPDU报文使用组播地址01-80-C2-00-00-00（十六进制）作为协议报文的目的地址。BPDU报文在STP中分成两类：Configuration BPDU (配置BPDU)和TCN BPDU（拓扑变化通告BPDU）。1.TCN BPDU：是由非根桥设备发出，当网络拓扑发生变化（例如端口UP/DOWN），非根桥设备就会向根桥方向发送一个TCN BPDU报文。该报文仅通过根端口发送。2.Configuration BPDU：是由根桥发出，用于构造并维护生成树网络拓扑结构。此外，当根桥收到TCN BPDU报文后，会产生一个配置BPDU，用于通知非根桥设备拓扑发生了变化。该报文仅通过指定端口发送。Configuration BPDU主要包括如下参数：nRoot Bridge ID用于识别根桥的网桥IDnRoot Path Cost本网桥到根桥的路径花销。nBridge ID创建该BPDU报文的本地网桥IDnPort ID发送该报文端口的ID，每个端口ID都是唯一的。nMessage Age该BPDU报文已存活的时间nHello Time定时发送BPDU报文的时间间隔。nForward-Delay Time端口状态转换的时间间隔。nMax-Age TimeBPDU报文的生存周期。17.2.2.5Bridge ID根据IEEE 802.1W标准规定，每个网桥都要有一个唯一的网桥ID（Bridge ID），生成树算法依据网桥ID选举根桥（Root Bridge），网桥ID越小越优先。Bridge ID是由8个字节组成，后6个字节为该网桥的MAC地址，对于前2个字节（如下表所示）：前4个Bit表示优先级（Priority），后12个Bit表示System ID，为以后扩展协议而用，在RSTP中该System ID的值为0，因此给网桥配置的优先级必需是4096的倍数。网桥ID中的优先级和System IDPriority valueSystem IDBit位16151413121110987654321值32768163848192409620481024512256128643216842117.2.3STP工作原理生成树算法主要通过以下四个步骤将网络收敛成一个无环的树型结构：1.选举根桥在运行生成树协议的算法中，必须先指定网络拓扑中唯一一个根桥。根桥的选举是通过比较网桥之间交互的BPDU报文中的Bridge ID值来实现的，其中Bridge ID优先级最高（值最小）的网桥被选为根桥，如果Bridge ID中的优先级相同则比较MAC地址，MAC地址最小的网桥被选为根桥。2.选择指定端口和指定网桥所谓指定端口，是物理网段中到根桥路径开销最小的端口，指定端口所在的网桥为指定网桥。当根路径开销相同时，先比较Bridge ID；如果Bridge ID相同，再比较Port ID，比较规则类似根桥选举。根桥上的所有活动端口都是指定端口，根桥是与它相连的所有物理网段的指定网桥。3.选择根口在每一个非根桥设备上必须选择一个根口，根口是具有到根桥最小根路径开销的端口，负责接收指定网桥转发的数据。当根路径开销相同时，比较Port ID。4.阻塞端口当选出网络中的根口和指定端口，便相应阻塞多余的链路端口。当网络初始化时，所有的设备都将自己作为根桥，并定期（以Hello time为周期）向外发送以自己为根桥的配置BPDU。各网桥将接收到的BPDU与自己产生的BPDU进行比较，如果收到的BPDU优先级高（Bridge ID值最小），则保存该BPDU的相应配置信息，更新端口开销后以更新后的BPDU信息继续向外扩散。如果收到的BPDU优先级比自身的低则丢弃，并发送自己的更高优先级的BPDU进行回应。通过在各网桥之间交互传递BPDU报文，竞选出优先级最高的网桥作为根桥，并以根桥的ID和路径开销为配置消息向外发送配置BPDU，同时各非根桥计算到根桥的最短路径，进而挑选出每个物理网段的指定网桥。在每个非根桥内挑选收到最优配置消息（包括路径开销、端口ID等）的端口作为该网桥的根口，并计算其他端口到根口的配置信息，选择最优配置消息的端口为指定端口，并阻塞冗余链路，以此类推在网桥间及网桥内不断计算扩展，将整个网络修剪成无环的树型结构。如果某条链路或网桥端口发生故障，对应的根端口在指定时间（Max-Age Time）内没有收到新的配置BPDU，旧的配置BPDU由于过期（Max-Age Time超时）而被废弃，则网桥将重新向外发送以自己为根桥的配置BPDU，根据生成树算法选出新的一条通路替代原来的故障链路，恢复网络连通性。17.2.4STP典型应用假设Switch A、B、C的Bridge ID是递增的，即Switch A的优先级最高。A与B间是千兆链路，A和C间为十兆链路，B和C间为百兆链路。Switch A为该网络的骨干设备，网络拓扑如下图所示，显然，如果让这些链路都生效必产生环路。STP典型应用示意图如果这三台设备都启用了STP协议，它们通过交互BPDU报文选举A作为根桥。B发现有两个端口都连在A上，它就选出端口优先级最高的端口为根口，另一个端口作为根口的替换端口。而C发现它既可以通过B到A，也可以直接到A，根据算法得出：通过B到A的路径开销比直接到A的低（各种链路对应的路径请参见“配置端口的路径开销”章节），于是C就选择了与B相连的端口作为根口，与A相连的端口作为根口的替换端口，如下图所示。STP典型应用示意图如果Switch A和Switch B之间的活动链路因故障失效，备份链路就会切换为当前活动链路，如下图所示。STP典型应用示意图同样，如果Switch B和Switch C之间的活动链路因故障失效，Switch C就会自动将根口的替换口切换为根口，如下图所示。STP典型应用示意图17.3理解RSTP17.3.1RSTP概述当网络拓扑发生变化时，配置BPDU要经过一段时间才能传播到整个网络，当端口根据收到新的配置BPDU会重新参与生成树计算选举端口角色，为避免配置消息传播到整个网络之前产生临时环路，端口收到配置消息会经历Discarding-Learning-Forwarding状态变化过程，每变化一次需要一定的时延，默认15秒时间（即Forward-Delay time的缺省时间），两次状态切换大约需要相当于两倍Forward-Delay time，待整个网络拓扑稳定为一个树型结构需要大约50秒的收敛时间。对于以太网快速发展的今天，收敛时间太长的STP技术已无法满足用户的需求。RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是在IEEE 802.1W中定义的，是在STP技术的基础上，通过特有的“Proposal&Agreement”握手协商方式为生成树协议提供快速收敛机制，它使得以太网的链路收敛在1秒至10秒内完成，大大提高了网络的可靠及稳定性。注意RSTP仅适用于点对点链路（Point-to-point Connect），对于非点对点链路仍然像STP一样的收敛效率。所谓点对点链路，即两台设备之间直接相连的链路。17.3.2RSTP基本概念17.3.2.1RSTP协议报文RSTP中仅定义一种BPDU报文，即Configuration BPDU (配置BPDU)，在此主要说明在RSTP中运行“Proposal&Agreement”握手协商所需要的两个特有标志位：nProposal Flag：若某一网桥向其它网桥发送的BPDU报文中带有“Proposal”标志，表示建议让自己作为局域网中的根桥或指定网桥。nAgreement Flag：若其它网桥回复的BPDU报文中带有“Agreement”标志，表示同意对方作为局域网中的根桥或指定网桥。RSTP没有定义TCN BPDU报文，它通过TC-BPDU报文向其它设备通告网络拓扑发生变化。TC-BPDU类似TCN BPDU，但TCN BPDU仅在STP模式下通过根口发送，其BPDU的类型为0X80；而TC-BPDU是表示BPDU报文中的Flags字段的Topology Change位被置1的报文，它可以在RSTP和MSTP模式下通过根口或指定端口发送，其BPDU的类型为0X02。17.3.3RSTP工作原理如图所示，交换机A与交换机B通过点对点链路连接，所有的端口均处于阻塞状态。交换机A发送一个特有的“Proposal”报文(一个带有Proposal标志设置的BPDU)给交换机B，建议自己成为根桥。接收到“Proposal”报文后，交换机B比较BPDU的优先级（BridgeID越小，优先级越高），如果收到的BPDU优先级低则丢弃它，并发送自己更高优先级的BPDU；如果收到的BPDU优先级高，则更新原先的配置信息，强制其它所有非边缘端口进入阻塞状态，并挑选收到该报文的端口为根口立即进入转发状态，同时通过根口发送“Agreement”(一个带有Agreement标志设置的BPDU)报文给交换机A。当交换机A收到来自交换机B的“Agreement”报文，立即将收到BPDU的端口进入转发状态。交换机C同样通过点对点链路与交换机B相连，交换机B和交换机C之间也发送类似的握手协议报文，相互连接的端口也依次被挑选作为根口和指定端口，并进入转发状态。以此类推扩展至整个网络，使整个网络拓扑在瞬间快速收敛成一个稳定的无环的树型结构。RTSP快速转发机制17.4理解MSTP17.4.1MSTP概述在STP或RSTP环境下，整个网络只有一棵生成树，为保证所有VLAN都能正常通讯，每个VLAN的报文都沿着一棵生成树进行转发，无法实现负载均衡。MSTP是在802.1S中定义的一种新型生成树协议，MSTP包含了RSTP的快速转发机制，并且能将一个或多个VLAN映射到一个Instance（实例）中，每个实例生成一棵独立的生成树，不同的VLAN沿着各自映射的实例生成树进行数据转发，实现了负载均衡，并保证单个实例出现故障不会影响到其它实例的数据转发。17.4.2MSTP基本概念17.4.2.1MSTP相关角色MSTP相关角色介绍请结合上图了解以下MSTP的相关角色介绍：nMST Region（MST域）整个网络被划分为多个MST域，一个MST域可包含多台设备和多个实例，但相同域内每台设备的MSTP配置信息相同，主要包括：MST域名、MST版本号、VLAN到生成树实例的映射配置。nIST（Internal Spanning Tree内部生成树）MST域内的一棵生成树，为MST域内的0号实例。nCST（Common Spanning Tree公共生成树）是连接交换网络内所有MST域的单生成树，如果把每个MST域看作是一个“设备”，CST就是这些“设备”通过MSTP协议计算生成树。nCIST（Common Instance Spanning Tree公共实例生成树）IST和CST共同构成CIST，是连接一个交换网络内所有设备的单生成树。nMSTI（多生成树实例）每个MST域内可以存在多棵生成树，每棵生成树和相应的VLAN对应。这些生成树就被称为MSTI。nCST Root对于CST来说，各个MST域相当于一个大“设备”，CST是集合所有大“设备”进行生成树计算，选举最优的一个网桥作为整个CST的根桥，这个根桥同时也是该网桥所在域的CIST Regional Root。nCIST Regional Root每个MST域通过计算到CST Root的最短路径，选出作为这个域的CIST Regional Root。nRegional Root在MST域内，每个实例（IST和MSTI）都有自己的根桥，统称为域根。在一个MST域内，由于各实例形成的生成树结构不同，选出的域根也不同。nMasterPortCIST Regional Root Port在MSTI实例上的角色就是Master Port，即在每个MST域内，提供到CST Root的最短路径的端口，作为域内每个实例对外的“出口”，它能转发所有实例的数据。17.4.2.2MSTP协议报文在IEEE 802.1S中定义了MSTP的BPDU报文，它能够兼容RSTP的BPDU报文，并增加了MSTP特有的CIST和MSTI配置信息，报文格式如图所示：MSTP BPDU报文格式MSTI配置消息格式17.4.2.3HOP Count机制IST和MSTI并非是通过Message Age和Max Age来计算BPDU信息是否超时，而是运用了Hop Count机制。在MST域内，从Regional Root开始，每经过一个设备，Hop Count就会减1，直到为0则表示该BPDU信息超时，设备收到Hops值为0的BPDU就丢弃它。Hop Count指定了BPDU报文从Regional Root开始经过多少台设备后被丢弃，从而限制了MST域的规模。在域间，MSTP依然保留了Message Age和MaxAge的运算机制，兼容STP和RSTP运算方式。17.4.3MSTP工作原理MSTP将整个二层网络划分为多个MST域，如下图。MSTP拓扑结构图在每个MST域内，各台设备可以创建多个实例，实例0是强制存在的。用户可以按需要分配1-4094个Vlan属于不同的实例，未分配的Vlan缺省就属于实例0。各实例根据各自的网桥优先级、端口优先级以及路径开销竞选出各自的根桥，并决定端口角色，生成独立的多生成树实例（MSTI），其中实例为0的生成树称为IST。假设在Region 1中，各实例中的网桥通过竞选生成相应的生成树拓扑结构，下图所示。内多生成树实例拓扑结构在各个域之间通过计算生成CST，并选举网桥ID最小的作为整个CST的根桥（CST Root），各个域挑选出到CST Root的最短路径的网桥作为CIST Regional Root，并挑选该网桥上的根口（Master Port）负责转发向CST Root转发域内消息，如下图所示，三个MST域的IST和CST组成整个CIST，红色连线部分表示为CST，各域中黑色连线代表IST，其中网桥A为CST的根桥，同时也是Region 1的CIST Regional Root，网桥B和网桥C分别为Region 2和Region 3的CIST Regional Root，网桥B和网桥C分别通过各自的CIST Regional Root Port与其它域连接。拓扑结构图MSTP BPDU中携带了MST的配置信息，当设备收到BPDU携带的MST配置信息和自身的一样时，就会认为该端口上连着的设备和自已是属于同一个MST域，否则就认为来自另外一个MST域。在MST域间，BPDU将沿着CST转发；在MST域内，将沿着对应的MSTI转发。17.5STP/RSTP/MSTP的兼容RSTP协议都能够向下兼容STP协议，RSTP协议会根据收到的BPDU版本号判断与之相连的网桥是支持STP协议还是支持RSTP协议，如果与STP网桥互连，就会发送STP BPDU报文与之兼容。但对于STP和RSTP混用的环境下存在一定的问题，如果与STP网桥互连，就会按照STP的计算方式生成树型结构，无法发挥RSTP的快速收敛功能。另外，由于在STP模式下无法自动切换回RSTP模式，如下图所示，支持RSTP的交换机A与支持STP的交换机B互连，交换机A发现与它相连的设备支持STP协议，就会发送STP BPDU与之兼容，如果将交换机B设置为支持RSTP协议，但交换机A却依然发送STP BPDU报文，这样使交换机B误认为与之相连的设备支持STP协议，导致两台支持RSTP协议的设备仍工作在STP模式下。RSTP协议提供了Protocol-migration功能来强制发RSTP BPDU，这样交换机B发现与之互连的设备是支持RSTP协议，就能切换回RSTP模式。MSTP协议也同样具有RSTP的兼容性。STP与RSTP之间的兼容对于RSTP和MSTP混用的情况下，支持RSTP协议的设备能够处理MSTP BPDU中CIST部分，且每台支持RSTP协议的设备都将被看作是独立的一个域，因此，支持MSTP协议的设备无需发送RSTP BPDU与之兼容。如下图所示。RSTP与MSTP之间的兼容17.6协议规范相关的协议规范有：nIEEE 802.1D：Spanning Tree ProtocolnIEEE 802.1W：Rapid Spanning Tree ProtocolnIEEE 802.1S：Multiple Spanning Tree Protocol17.7STP可选特性简介以下章节描述了MSTP的可选特性：nPort FastnBPDU GuardnBPDU FilternTC-protectionnTC GuardnBPDU源MAC检查nBPDU非法长度过滤nAutoEdgenRoot GuardnLoop Guardn端口的兼容性模式17.7.1Port FastPortFast功能能够使得二层接入端口立即进入Forwarding状态，而回避了STP收敛所需要经过的Learning状态。对于接入层设备来说，端口直接与网络终端相连，通过在边缘端口上启用PortFast特性，可以使得这些设备立即连接到网络中，而不必等待生成树进行收敛。配置了PortFast功能的端口仍然参与生成树计算。如果在PortFast端口收到BPDU报文，则PortFast功能失效。此时拓扑改变，端口重新进行生成树的计算。注意PortFast功能仅适用与网络终端直连的端口。如果将在连接网络设备的端口上启用该功能，可能会导致临时数据环路。PortFast功能生效（PortOperPortFast值为enable）的端口参与生成树计算，端口仍然向外发送BPDU报文。17.7.2AutoEdgeAutoEdge功能指的是边缘端口的自动识别功能。边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。为实现边缘端口无需等待延迟时间，就能够快速进入Forwarding状态，设备在默认情况下就开启边缘的自动识别功能，该功能仅适用于指定端口。当指定口在一定时间范围内（3秒），如果收不到下游网络发送的BPDU报文，则认为该端口相连的是一台终端设备，从而设置该端口为边缘端口，直接进入Forwarding状态。如果该端口收到BPDU报文，将自动识别为非边缘口。Port Fast功能通过手工指定某个端口为边缘端口，而AutoEdge功能能够通过协议的运算自动识别端口为边缘端口，不需要手动配置。AutoEdge功能与Port Fast功能共用时，已手工配置的优先生效。17.7.3BPDU Filter开启BPDU Filter功能，将强制端口不参与生成树计算，端口不接收也不向外发送BPDU报文。BPDU Filter功能能够防止非法用户在边缘口上发送BPDU所导致网络震荡，避免拓扑STP信息的泄露，并能让用户端口快速迁移到Forwarding状态。全局开启BPDUFilter功能，仅对启用Port Fast功能（端口处于Port Fast运行状态）或通过Auto Edge功能自动标识为边缘口的端口有效。使这些端口从STP生成树中脱离出来，不再参与生成树的计算，不向外发送BPDU报文。处于Port Fast运行状态或通过Auto Edge功能自动标识为边缘口的端口是直连终端的，正常情况下不会收到BPDU报文；一旦在这些端口上收到BPDU报文，则导致Port Fast功能失效、Auto Edge功能自动标识该口为非边缘口，进而导致BPDUFilter功能在该端口上失效。此时，端口重新参与生成树计算，正常接收和发送BPDU报文。还可以直接在端口上开启BPDUFilter功能。在端口上配置BPDUFilter功能，将使得该端口不参与生成树计算，端口快速迁移到Forwarding状态。端口将不会发送任何BPDU报文，且会丢弃所有收到的BPDU报文。&说明PortFast功能生效的端口一旦接入终端，端口快速进入Forwarding状态。该端口参与生成树计算，端口仍然向外发送BPDU报文。BPDU Filter功能生效的端口一旦接入终端，端口也将直接进入Forwarding状态。但该端口不参与生成树计算，不向外发送BPDU报文。BPDU Filter功能能够防止设备在启用了Port Fast特性的端口上发送BPDU给下联终端，避免了STP信息泄露至用户网络。直接在端口上应用BPDU Filter功能，对该端口是否为边缘口没有做限制。即无论该端口是否是PortFast或Auto Edge自动标识的边缘口，BPDU Filter功能都生效。如果在与启用了BPDU Filtering的相同端口上配置了BPDU Guard特性，以BPDU Guard优先生效。17.7.4BPDU GuardBPDU Guard功能也能够防止攻击者在直连终端的端口上发送BPDU导致网络震荡。但其在违例规则处理上比BPDU Filter更为严格。开启BPDU Guard功能，端口收到BPDU报文，就会产生一个违例使端口进入Error-disabled状态，以示配置错误，同时关闭该端口。全局开启BPDUFilter功能，仅对启用Port Fast功能（端口处于Port Fast运行状态）或通过Auto Edge功能自动标识为边缘口的端口有效。通常二层接入端口会被设置为边缘端口以实现这些端口状态的快速迁移。当在启用PortFast功能（端口处于PortFast运行状态）或自动标识为边缘口的端口上全局地启用BPDU Guard，STP会关闭那些收到BPDU且启用Portfast的端口或自动标识为边缘口的端口。在一个合理的配置中，启用Portfast功能（或自动标识为边缘口）的端口是不会收到BPDU报文的。在一个启用PortFast功能的端口上收到BPDU意味着存在不合法的配置，比如连接到未授权的设备或有人恶意向该端口发送BPDU报文，这都将导致生成树的重新计算，从而引起网络拓扑震荡。BPDU Guard功能对非法配置提供了一种安全的保护机制。通过全局开启BPDU Guard功能，当处于PortFast运行状态的端口收到BPDU报文，就会产生一个违例使该端口进入Error-disabled状态，以示配置错误，同时关闭该端口，阻止其参与到生成树中。如果希望该端口再次工作，必须进行手动配置恢复。还可以直接在端口上配置BPDU Guard功能，而无论该端口是否为边缘口，一旦该端口收到BPDU报文，同样立即产生一个违例使端口进入Error-disabled状态，并关闭该端口。注意BPDU Guard功能仅适用与网络终端直连的端口（边缘口），否则会影响网络生成树拓扑的构建，导致意外的数据环路。17.7.5Tc-protection根据IEEE 802.1w和IEEE 802.1s协议，交换机接收到TC-BPDU报文后会清空本机的MAC表。随着TC-BPDU继续向根口或指定端口扩散，最终将引发全网的MAC地址清除操作。如果有人恶意进行TC攻击，不断向交换机发送伪造的TC-BPDU报文，交换机就会一直进行MAC删除操作，清除MAC地址会引起三层路由的重新解析操作，从而影响了正常的转发业务，甚至影响整个网络的稳定性。开启TC-PROTECTION功能后，收到TC-BPDU报文后的一定时间内（一般为4秒），只进行一次删除操作，同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文，则设备在该时间过时后再进行一次删除操作，这样可以减少MAC地址的删除次数，保证业务的正常运行。17.7.6TC GuardTC-Protection功能在一定程度上可以减少MAC地址的删除次数，但遇到TC攻击还是会产生很多的删除操作，并且TC-BPDU报文是可扩散的，将影响整个网络。因此，锐捷推出独有的TC Guard功能，允许用户在全局或者端口上禁止TC报文的扩散。当一个端口收到TC-BPDU报文的时候，如果全局配置了TC Guard或者是端口上配置了TC Guard，则该端口将屏蔽掉该端口接收或者是自身产生的TC-BPDU报文，使得TC报文不会扩散到其它端口，这样能有效控制网络中可能存在的TC攻击，保持网络的稳定，尤其是在三层设备上，该功能能有效避免接入层设备的振荡引起核心路由中断的问题。TC Guard功能不适合在正常的拓扑变化时开启，此时错误的开启TC Guard功能可能会导致MAC地址学习错误，三层转发出错的情况出现。所以确认网络中存在TC报文攻击时再开启TC Guard功能。17.7.7BPDU源MAC检查为防止人为发送BPDU报文对交换机进行恶意攻击而导致MSTP工作不正常，可通过在特定端口上配置BPDU源MAC检查功能，一个端口只允许配置一个MAC地址，根据配置，交换机只接收源MAC地址与配置的MAC地址相匹配的BPDU报文，丢弃其它BPDU报文，从而达到防止恶意攻击的作用。17.7.8BPDU非法长度过滤通常情况下，MSTP BPDU报文的长度会根据配置实例有所增加，锐捷的设备具有对非法BPDU报文进行过滤的功能，当交换机检测到BPDU报文的数据长度字段超过1500时，就将该报文丢弃，避免收到非法BPDU报文。17.7.9Root Guard在网络设计中，由于用户的错误配置或网络中的恶意攻击，根桥有可能收到优先级更高的配置信息，从而失去当前根桥的位置，引起网络拓扑的错误的变动。Root Guard功能就是为了防止这种情况的出现。在端口开启Root Guard功能，可强制其在所有实例上的端口角色为指定端口，一旦该端口收到比根桥优先级更高的配置信息时，Root Guard功能会将该端口置为Root-inconsistent（Blocked）状态，如果在3倍的Hello time内没有收到更优的配置信息时，端口会恢复成原来的正常状态。在Root Port、Alternate Port或Backup Port上开启Root Guard功能，端口将直接置为Root-inconsistent（Blocked）状态，视为不应收到优先级更高的配置信息。在MSTP中，对于CIST和MSTI的处理行为有区别：n如果该端口在实例0内收到比根桥更高优先级的配置消息，会强制该端口在其它实例内都置为Root-inconsistent（Blocked）状态。n如果在其他任一实例内（假设实例1内）收到比根桥更高优先级的配置消息，会强制端口在该实例内（实例1）都置为Root-inconsistent（Blocked）状态，而在其它实例内的端口状态仍保持不变。假设整个网络被划分为服务供应商网络和客户网络，根桥设置在服务供应商网络。当客户网络中出现优先级更高的设备或因人为的恶意攻击，可能导致根桥从原先服务供应商网络迁移到客户网络。为避免此类问题的发生，可以在服务供应商网络和客户网络的连接口开启Root Guard功能。如下图所示，可以端口1和端口2上开启Root Guard功能，这些端口将被强制为指定端口，如果在这些端口上收到比根桥优先级更高的配置信息，Root Guard功能会将这些端口置为Root-inconsistent (Blocked)状态，即将相应链路上的数据流阻断，从而保持核心网络的拓扑信息不变。如果在一定时间内没有收到更优的配置信息时，端口会恢复成原来的正常状态。以图中虚线为界，客户和服务商网络独立地进行生成树的计算。Root Guard在服务供应商网络中的应用17.7.10LoopGuard在STP中，交换机的根端口和其他阻塞端口的状态依靠不断接收上游交换机发送的BPDU来维持的。但是由于链路拥塞或者单向链路故障，这些端口可能因收不到上游设备的BPDU而变成指定端口，原本阻塞的端口会迁移到Forwarding状态，导致交换网络产生环路。Loop Guard功能能够抑制这种环路的产生。对于配置了Loop Guard功能的端口，当一定时间内接收不到上游设备发送的BPDU报文时，Loop Guard功能随即生效，把端口状态设置为loop-inconsistent (Block）这个过渡状态来抑制环路的产生。直到端口重新收到BPDU报文时，端口才会从loop-inconsistent状态中恢复，重新开始生成树计算。如下图所示，Switch A和B为汇聚层设备，Switch C为接入层设备。在各设备上开启STP功能。待生成树拓扑稳定时，设备的角色和各端口状态为：nSwitch A为根桥，端口1、2为Designated Port；nSwitch B的端口1为Root Port，端口2为Designated Port；nSwitch C的端口1为Root Port，端口2为Alternate Port，处于Block状态。由于Switch B和Switch C之间发生单向链路故障，导致Switch C无法在指定时间（Max-Age Time）收到Switch B发送的BPDU，则Switch C重新计算角色，将端口2转换到Learning状态，并最终迁移到Forwarding状态，端口角色转变为Designated Port。与此同时，Switch B上的端口2依旧为Designated Port，处于Forwarding状态。此时，网络环路产生。通过在Switch C端口上开启Loop Guard功能，当Switch C的端口2在一定时间（Max-Age Time）内没有收到Switch B发来的BPDU，Loop Guard将阻止端口2直接迁移到Forwarding状态。通过将Switch C端口2状态设置为loop-inconsistent（Block）状态，来阻塞数据通路，避免了环路的产生。当链路故障恢复，端口3再次收到Switch B发送的BPDU，将进行新的生成树计算。17.7.11端口的兼容性模式在市场的实际应用中，经常会出现锐捷设备与其它厂商设备互连的情况。锐捷新增了在端口上的兼容性模式，主要提供锐捷STP协议与其它厂商的兼容。在端口下配置STP兼容模式后，如果端口是ACCESS口，发送的BPDU只携带该端口所属VLAN对应的实例信息；如果端口是TRUNK口，发送的BPDU只携带该端口所属的ALLOW VLAN对应的实例信息。17.8STP配置指导1、若您需要通过配置STP功能阻塞网络中的冗余链路，避免网络中环路的产生，请使能STP协议（该配置为必选配置），由于STP的缺省模式为MSTP，若您需要设备在STP或RSTP模式下运行，请切换STP模式（该配置为可选配置），请参见“使能Spanning Tree协议及模式切换”一节；2、若您需要配置不同实例与VLAN的映射列表，使得vlan数据流沿着您期望的实例进行独立转发，请配置MSTP域中实例与VLAN的映射信息，对于MST配置名称和MST Revision Number请根据实际需要进行配置（该部分配置为可选配置），请参见“配置MSTP Region”一节；3、若您需要将指定的设备配置为某个MSTP实例的根桥设备，请配置该设备的优先级高于其他设备（配置的priority值越小的优先级越高），（该配置为可选配置），请参见“配置设备优先级”一节；4、上述3点配置为进行STP部署时常用的配置点，若您需要配置STP的其他基本特性（这些特性均为可选配置），请参见下述“配置端口优先级”、“配置端口的路径开销”、“配置Hello Time”、“配置Forward-Delay Time”、“配置Max-Age Time”、“配置Tx-Hold-Count”、“配置Link-type”、“配置Protocol Migration处理”、“配置Maximum-Hop Count”的相关章节说明；5、若您在部署了STP基本特性后，发现当前的配置无法满足一些实际应用情况，可以通过配置STP的可选特性来解决，请参见下述“配置STP可选特性”的相关章节说明。17.9配置STP基本特性以下章节描述如何配置STP的基本特性：nSTP的缺省配置n使能Spanning Tree协议及模式切换n配置MSTP Regionn配置设备优先级（Switch Priority）n配置端口优先级（Port Priority）n配置端口的路径开销（Path Cost）n配置Hello Timen配置Forward-Delay Timen配置MAX-Age Timen配置TX-Hold-Countn配置Link-typen配置Protocol Migration处理n配置Maximum-Hop Count17.9.1STP的缺省配置下表用来描述STP的缺省配置。功能特性缺省值EnableStateDisable，关闭STPSTP MODEMSTPSTP Priority32768STPPortPriority128STPPortCost根据端口速率自动判断Hello Time2秒Forward-Delay Time15秒Max-Age Time20秒Path Cost的缺省计算方法长整型Tx-Hold-Count3Link-Type根据端口双工状态自动判断Maximum Hop Count20VLAN与实例对应关系所有VLAN属于实例0只存在实例0您可通过spanning-tree reset命令让Spanning Tree参数恢复到缺省配置(不包括关闭Span)。注意在配置实例与VLAN的映射列表（具体配置参见“配置MSTP Region”说明）时，会引起生成树的重新计算，建议在配置好后再使能MSTP，以保证网络拓朴的稳定和收敛。17.9.2使能Spanning Tree协议及模式切换缺省情况下，设备关闭Spanning Tree协议，进入特权模式，按以下步骤开启Spanning Tree协议：命令作用Step 1Ruijie#configure terminal进入全局配置模式。Step 2Ruijie(config)#spanning-tree开启Spanning Tree协议。Step 3Ruijie(config)#show spanning-tree查看MSTP的各项参数信息及生成树的拓扑信息。如果要关闭Spanning Tree协议，可用no spanning-tree全局配置命令进行设置。使能SpanningTree协议后设备缺省运行MSTP模式。锐捷产品支持STP、RSTP、MSTP三种模式，可根据用户需要将设备配置成任一模式。进入特权模式，按以下步骤配置Spanning Tree模式：命令作用Step 4Ruijie(config)#spanning-tree modemstp|rstp|stp切换Spanning Tree模式。设备缺省情况下运行MSTP模式。Step 5Ruijie(config)#show spanning-tree查看MSTP的各项参数信息及生成树的拓扑信息如果要恢复Spanning Tree协议的缺省模式，可用no spanning-tree mode全局配置命令进行设置。配置举例：#全局开启Spanning Tree协议，并查看相应生成树信息。Ruijie#configure terminalEnter configuration commands, one per line.End with CNTL/Z.Ruijie(config)#spanning-treeEnable spanning-tree.Ruijie(config)#show spanning-treeStpVersion : MSTPSysStpStatus : ENABLEDMaxAge : 20HelloTime : 2ForwardDelay : 15BridgeMaxAge : 20BridgeHelloTime : 2BridgeForwardDelay : 15MaxHops: 20TxHoldCount : 3PathCostMethod : LongBPDUGuard : DisabledBPDUFilter : DisabledLoopGuardDef: Disabled# mst 0 vlans map : ALLBridgeAddr : 0000.0000.0001Priority: 32768TimeSinceTopologyChange : 0d:0h:12m:9sTopologyChanges : 0DesignatedRoot : 8000.0000.0000.0001RootCost : 0RootPort : 0CistRegionRoot : 8000.0000.0000.0001CistPathCost : 0#配置Spanning Tree模式为STP模式。Ruijie(config)#spanning-tree mode stpRuijie