生成树地优化防护.doc

《生成树地优化防护.doc》由会员分享，可在线阅读，更多相关《生成树地优化防护.doc（14页珍藏版）》请在三一文库上搜索。

1、第一章：二层交换：生成树的增强(BPDU防护过滤，根防护)(2014-09-26 09:33:57)标签： 分类： 网络技术cciecisco以下提到的STP代表了所有生成树协议。STP用于防环，但是有一个基础，就是软件硬件都没有问题。软件一般就是指配置错误、 bug，而硬件一般是指双向通讯故障，比如光纤两根线路，一根上行一根下行，如果断了一 根就变成了单向通讯了。简单来说，这些问题引起的后果，就是 不该收到 BPDU 收到了，该收到 BPDU的接口没有收到如果本该是接着终端，并启用了portfast的端口，被误接了交换机，就会引起了二层的环路。有两个工具可以防止这种情况BPDU GUARDB

2、PDU FILTER先来说BPDU GUARD(下简称BG)当配置了 BG后，在portfast的接入接口收到 BPDU，立即置为err_disabled两种配置方法全局配置：sw4(c on fig)#spa nnin g-tree portfast bpduguard default默认所有portfast的接口，都启用 BG。接口配置： sw4(con fig-if)#spa nnin g-tree bpduguard en able无论接口是否启用了 portfast，都启用BGP如果需要把err_disable 恢复过来，可以shutdown 再no shutdown 接口，但如果配

3、置仍 是错误，接口还是会被 err_disabled实验：sw4(c on fig-if)#spa nnin g-tree bpduguard en able6d01h: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on portFastEthernetO/8 with BPDU Guard en abled. Disabli ng port.6d01h: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/8, putti ng Fa0/8 inerr-disable state6d01h: %LIN

4、EPROTO-5-UPDOWN: Line protocol on In terface FastEthernetO/8,cha nged state to dow n6d01h: %LINK-3-UPDOWN: In terface FastEthernet0/8, changed state to dow n查看端口状态sw4#show in terfaces status err-disabledPort Name Status Reas onFa0/8 err-disabled bpduguard设置自动恢复sw4(c on fig)#errdisable recovery cause

5、 bpduguard默认300秒后自动恢复，但如果问题依旧，还是会 err_disabled 。BPDU FILTER (下简称 BF)不同的配置方式，有不同的作用如果在全局模式下配置，所有启用了portfast的端口如果接收到了 BPDU，会立即禁用portfast，并使端口参与 STP运算，成为STP端口；如果在接口模式下配置，那么接口将不会发送BPDU，而如果接收到BPDU，会无视掉，不会改变接入端口的角色。全局配置命令：sw4(con fig)#spa nnin g-tree portfast bpdufilter default接口配置命令：sw4(c on fig-if)#spa

6、nnin g-tree bpdufilter en able注意，两种配置方式的作用差异很大，我一般建议在接入接口上启用第二种。根防护(ROOT GUARD，下称RG)当在一个稳定的交换网络中，加入一台新的交换机，而这台新交换机有可能抢夺根桥位置。图3卫2薰用抿防护特性的阿络拓扑设置了根防护的接口，可以防止成为根端口。回想一下什么是根端口， 就是去往根桥并处于转发状态的接口。如上图，那么新交换机D接入网络后，如果它并没有抢夺到根桥位置，则相安无事，正常转发；如果它抢夺根桥，发出更优的BPDU，C将接着D的接口 block掉，但只会block掉根桥所在vlan，举例，D并不打算成为VLAN1的根

7、桥，而要成为VLAN99 的根桥，那么C就会在VLAN99的生成树中，把那个端口置为 blocking ，注意不是 err_disabled ，因为其他vlan的生成树里它可能是正常的，如VLAN1。只要D不再发出更优的 BPDU，SW C会立即停止阻塞这个端口上的相应VLAN的BPDU。实验：拓扑S1V15旳新加入的交換机，并发出更优的很桥BFD1T在SW3的对应接口上设置 root guard ，并开启debugsw3(co nfig)# int fO/7sw3(c on fig-if)#spa nnin g-tree guard rootsw3#debug spa nnin g-tree

8、 eve ntsSpanning Tree event debuggi ng is on在SW4上修改优先级，使 SW4抢夺根桥位置sw4(c on fig)#spa nnin g-tree vla n 1 root primary看SW3的debug和生成树信息6d18h: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocki ng portFastEthernet0/7 on VLAN0001.sw3#*Mar 7 18:47:39.763: STP: VLAN0001 Fa0/7 - blocki ngsw3#VLAN0001Spanning tr

9、ee en abled protocol ieeeRoot ID Priority 32769This bridge is the rootHello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32769 (priority 32768 sys-id-ext 1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secAgi ng Time 300In terfaceRole Sts Cost Prio.Nbr TypeFa0/7 Desg BKN*19 12

10、8.7 P2p *ROOT_I ncsw3#show spa nnin g-tree incon siste ntports NameIn terfaceIncon siste ncyVLAN0001FastEthernet0/7Root In co nsiste ntNumber of incon siste nt ports (segme nts) in the system : 1 将SW4改回去sw4(c on fig)# no spa nnin g-tree vlan 1 root primary再看SW3的debug信息，可以见到 sw3不再收到SW4的更优BPDU后自动恢复接口的

11、 状态。sw3#6d18h: %SPANTREE-2-ROOTGUARD_UNBLOCK: Root guard un blocki ng port FastEthernetO/7 on VLAN0001.sw3#*Mar 7 18:54:22.723: STP: VLAN0001 Fa0/7 - liste ning*Mar 7 18:54:37.723: STP: VLAN0001 Fa0/7 - learni ng*Mar 7 18:54:52.723: STP: VLAN0001 Fa0/7 - forwardi ng注意，root guard不能只针对特定 VLAN启用，而是对全部

12、VLAN，不过在RG工作中，只会block掉尝试成为根端口的那个 VLAN的BPDU和流量。第二章：生成树的优化我们都知道一个网络优化的好坏，影响整个网络的性能，所以生成树协议的优化 在网络中是十分重要的，下面我们说说生成树的优化及其增强特性。工具/原料STP相关资料方法/步骤1. 1由于生成树也有许多不能解决的问题：比如不能阻止有问题的交换机成为根网桥2. 不具备从特定端口过滤BPDU的特性3. 网络设备故障会使网络中产生桥接环路和黑洞4. 某些故障会干扰生成树所以生成树的优化是必须做的2.BPDU防护：防止交换机意外连接到了启用了PORTFAST特性的端口。如果接口启用了 PORTFAST

13、特性，那么当该接口收到 BPDU的时候，BPDU防护 功能就会使其进入“ err-disable ”状态，而不是将其blocking，以防产生桥 接环路。直到管理员手动打开该端口。管理员也可以设置超时时间间隔， 当端 口进入“ err-disable ”状态之后，超过时间间隔，端口会再次打开，如果这 时候仍旧接收到BPDU，BPDU防护特性会再次将其关闭BPDU防护有两种启用方式：1 ）全局启用：（no ） spanning-tree portfast edge bpduguard default，这个是在所有开启了 PORTFAST的端口上启用BPDU防护，前提是，已经开 启了 PORTFA

14、ST2） 端口启用：spanning-tree bpduguard enable，这个只在当前端口启用，这个无需先配置PORTFAST3. 3BPDU过滤（不 发）：当交换机直接与主机相连的时候，这个时候是不需要 向主机发送BPDU的，因为主机不参与拓扑的计算，所以发过去还是会丢弃， 白白的浪费资源，因此还不如不发。1） 全局启用：（no ） spanning-tree portfast bpdufilter default。全局启用会作用于交换机上所有处于工作状态，且没有单独在接口底下配置BPDU过滤特性的PORTFAST端口（也就是说要想全局启用生效，端口必须先配置PORTFAST属性）。

15、如果这个端口收到了BPDU，那么他们就不再处于 PortFast状态，BPDU过滤特性也将被禁用，然后开始和其他 STP接口一样 收发BPDU。在启动的时候，端口会传输10个BPDU数据包，如果这个端口 在这个时间收到了 BPDU数据包，那么同样会退出 PortFast状态并且禁用 BPDU过滤特性。2）端口启用：spanning-tree bpdufilter enable 。端口会忽略收到的 BPDU 数据包，也不会发送任何BPDU数据包，这个不需要预先开启portfast特性。BPDU过滤优先级高于BPDU防护，当有BPDU过滤的时候，BPDU防护将 不生效4. 4根防护（不建立）：当一

16、个具有更高优先级的网桥接入当前网络的时候，会造 成当前网络拓扑的变化，导致一系列事情的发生。根保护的目的是确保根保护 的端口成为指定端口，如果启用了根防护的端口上收到了一个更优的BPDU，则这个端口会进入不一致根的状态（等效于block ing状态），这时候不会处理BPDU，也就是说新的BPDU不会得到传播，也就不会竞选根网桥，这样 就保证了原有拓扑的稳定性。这个时候，处于不一致根状态的的端口还会继续 监听，如果不再收到更优 BPDU的时候，端口就会取消阻塞，依次进行STP的状态过渡，最终进入转发状态5. 5对于根防护：我们来举个例子 如下图:A和B为分布层SW, C为接入层SW,根为A。当在

17、C下面再接一台SW时, 由于D的优先级或MAC地址可能比其它要低，可能会使 D成为Root SW , 从而使得从A到达B的流量不能直接发送到B，而得使用C来转发，这样很 不合理（A和B之间为千兆）。为了避免这种情况，可以在 C的下联端口上 使用Root Guard，以防止该端口成为 Root Port，从而防止D成为Root SW ， 确保A永远为Root SW。使用Root Guard后，当SW D接入网络后，C的 下联D的端口会收到一个更新的BPDU （前提是D的优先级最高）后，C将 该端口转为Block状态，直到D不在发送新的BPDU或更改D的优先级。关于根防护的一个建议：在所有接入端口

18、上启用根防护特性启用方式：Spannin g-tree guard rootOlrt RootNew Root2Mm* Itxr6. 6检查配置的命令:1. BPDU防护Show spa nnin g-tree summary totals2. BPDU过滤Show spa nnin g-tree summary（查看过滤的启用状态，默认的）Show spa nnin g-tree in terface fO/1 datails（查看特定端口的启用状态）3. 根防护Show spa nnin g-tree incon siste ntportsEND注意事项生成树BPDU防护和BPDU过滤中全局模式下必须 配portfast