生成樹的優(yōu)化防護

1、第一章：二層交換：生成樹的增強（BPDU防護過濾，根防護） (2014-09-26 09:33:57)轉(zhuǎn)載標簽： ccie cisco分類： 網(wǎng)絡技術以下提到的STP代表了所有生成樹協(xié)議。STP用于防環(huán)，但是有一個基礎，就是軟件硬件都沒有問題。軟件一般就是指配置錯誤、bug，而硬件一般是指雙向通訊故障，比如光纖兩根線路，一根上行一根下行，如果斷了一根就變成了單向通訊了。簡單來說，這些問題引起的后果，就是不該收到BPDU收到了，該收到BPDU的接口沒有收到=如果本該是接著終端，并啟用了portfast的端口，被誤接了交換機，就會引起了二層的環(huán)路。有兩個工具

2、可以防止這種情況· BPDU GUARD· BPDU FILTER=先來說BPDU GUARD（下簡稱BG）當配置了BG后，在portfast的接入接口收到BPDU，立即置為err_disabled。兩種配置方法全局配置： sw4(config)#spanning-tree portfast bpduguard default默認所有portfast的接口，都啟用BG。接口配置：sw4(config-if)#spanning-tree bpduguard enable無論接口是否啟用了portfast，都啟用BGP如果需要把err_disable恢復過來，可以shutdow

3、n再no shutdown接口，但如果配置仍是錯誤，接口還是會被err_disabled實驗：sw4(config-if)#spanning-tree bpduguard enable6d01h: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/8 with BPDU Guard enabled. Disabling port.6d01h: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/8, putting Fa0/8 in err-disable stat

4、e6d01h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down6d01h: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down查看端口狀態(tài)sw4#show interfaces status err-disabledPort Name Status ReasonFa0/8 err-disabled bpduguard設置自動恢復sw4(config)#errdisable recovery c

5、ause bpduguard默認300秒后自動恢復，但如果問題依舊，還是會err_disabled。=BPDU FILTER（下簡稱BF）不同的配置方式，有不同的作用如果在全局模式下配置，所有啟用了portfast的端口如果接收到了BPDU，會立即禁用portfast，并使端口參與STP運算，成為STP端口；如果在接口模式下配置，那么接口將不會發(fā)送BPDU，而如果接收到BPDU，會無視掉，不會改變接入端口的角色。全局配置命令：sw4(config)#spanning-tree portfast bpdufilter default接口配置命令：sw4(config-if)#spanning-t

6、ree bpdufilter enable注意，兩種配置方式的作用差異很大，我一般建議在接入接口上啟用第二種。=根防護（ROOT GUARD，下稱RG）當在一個穩(wěn)定的交換網(wǎng)絡中，加入一臺新的交換機，而這臺新交換機有可能搶奪根橋位置。設置了根防護的接口，可以防止成為根端口?；叵胍幌率裁词歉丝?，就是去往根橋并處于轉(zhuǎn)發(fā)狀態(tài)的接口。如上圖，那么新交換機D接入網(wǎng)絡后，如果它并沒有搶奪到根橋位置，則相安無事，正常轉(zhuǎn)發(fā)；如果它搶奪根橋，發(fā)出更優(yōu)的BPDU，C將接著D的接口block掉，但只會block掉根橋所在vlan，舉例，D并不打算成為VLAN1的根橋，而要成為VLAN99的根橋，那么C就會在VLAN

7、99的生成樹中，把那個端口置為blocking，注意不是err_disabled，因為其他vlan的生成樹里它可能是正常的，如VLAN1。只要D不再發(fā)出更優(yōu)的BPDU，SW C會立即停止阻塞這個端口上的相應VLAN的BPDU。實驗：拓撲在SW3的對應接口上設置root guard，并開啟debugsw3(config)#int f0/7sw3(config-if)#spanning-tree guard rootsw3#debug spanning-tree eventsSpanning Tree event debugging is on 在SW4上修改優(yōu)先級，使SW4搶奪根橋位置

8、sw4(config)#spanning-tree vlan 1 root primary 看SW3的debug和生成樹信息*Mar  7 18:47:39.759: STP: VLAN0001 heard root 24577-001a.a10b.7a00 on Fa0/7*Mar  7 18:47:39.759:     6d18h: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port FastEthernet0/7 on VLAN00

9、01.sw3#*Mar  7 18:47:39.763: STP: VLAN0001 Fa0/7 -> blockingsw3#*Mar  7 18:47:41.763: STP: VLAN0001 heard root 24577-001a.a10b.7a00 on Fa0/7*Mar  7 18:47:41.763:     . sw3#show spanning-tree vlan 1VLAN0001  Spanning tree enable

10、d protocol ieee  Root ID    Priority    32769             Address                  This bridge

11、is the root             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1) 

12、60;           Address                  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec    &

13、#160;        Aging Time 300Interface        Role Sts Cost      Prio.Nbr Type- - - - - -Fa0/7            Desg BKN*19  

14、60;     128.7    P2p *ROOT_Inc   sw3#show spanning-tree inconsistentportsName                 Interface        

15、0;     Inconsistency- - -VLAN0001             FastEthernet0/7        Root InconsistentNumber of inconsistent ports (segments) in the system : 1    將SW

16、4改回去sw4(config)#no spanning-tree vlan 1 root primary 再看SW3的debug信息，可以見到sw3不再收到SW4的更優(yōu)BPDU后自動恢復接口的狀態(tài)。sw3#6d18h: %SPANTREE-2-ROOTGUARD_UNBLOCK: Root guard unblocking port FastEthernet0/7 on VLAN0001.sw3#*Mar  7 18:54:22.723: STP: VLAN0001 Fa0/7 -> listening*Mar  7 18:54:37.7

17、23: STP: VLAN0001 Fa0/7 -> learning*Mar  7 18:54:52.723: STP: VLAN0001 Fa0/7 -> forwarding 注意，root guard不能只針對特定VLAN啟用，而是對全部VLAN，不過在RG工作中，只會block掉嘗試成為根端口的那個VLAN的BPDU和流量。第二章：生成樹的優(yōu)化我們都知道一個網(wǎng)絡優(yōu)化的好壞，影響整個網(wǎng)絡的性能，所以生成樹協(xié)議的優(yōu)化在網(wǎng)絡中是十分重要的，下面我們說說生成樹的優(yōu)化及其增強特性。工具/原料· STP相關資料方法/步驟1. 1由于生成樹也有許

18、多不能解決的問題：比如1.802.1d不能阻止有問題的交換機成為根網(wǎng)橋2.不具備從特定端口過濾BPDU的特性3.網(wǎng)絡設備故障會使網(wǎng)絡中產(chǎn)生橋接環(huán)路和黑洞4.某些故障會干擾生成樹所以生成樹的優(yōu)化是必須做的。2. 2BPDU防護: 防止交換機意外連接到了啟用了PORTFAST特性的端口。如果接口啟用了PORTFAST特性，那么當該接口收到BPDU的時候，BPDU防護功能就會使其進入“err-disable”狀態(tài)，而不是將其blocking，以防產(chǎn)生橋接環(huán)路。直到管理員手動打開該端口。管理員也可以設置超時時間間隔，當端口進入“err-disable”狀態(tài)之后，超過時間間隔，端口會再次打開，

19、如果這時候仍舊接收到BPDU，BPDU防護特性會再次將其關閉BPDU防護有兩種啟用方式：1）全局啟用：（no）spanning-tree portfast edge bpduguard default，這個是在所有開啟了PORTFAST的端口上啟用BPDU防護，前提是，已經(jīng)開啟了PORTFAST2）端口啟用：spanning-tree bpduguard enable，這個只在當前端口啟用，這個無需先配置PORTFAST3. 3BPDU過濾（不 發(fā)）： 當交換機直接與主機相連的時候，這個時候是不需要向主機發(fā)送BPDU的，因為主機不參與拓撲的計算，所以發(fā)過去還是會丟棄，白白的浪費資源，因此還不如

20、不發(fā)。1）全局啟用：（no）spanning-tree portfast bpdufilter default。全局啟用會作用于交換機上所有處于工作狀態(tài)，且沒有單獨在接口底下配置BPDU過濾特性的PORTFAST端口（也就是說要想全局啟用生效，端口必須先配置PORTFAST屬性）。如果這個端口收到了BPDU，那么他們就不再處于PortFast狀態(tài)，BPDU過濾特性也將被禁用，然后開始和其他STP接口一樣收發(fā)BPDU。在啟動的時候，端口會傳輸10個BPDU數(shù)據(jù)包，如果這個端口在這個時間內(nèi)收到了BPDU數(shù)據(jù)包，那么同樣會退出PortFast狀態(tài)并且禁用BPDU過濾特性。2）端口啟用：spannin

21、g-tree bpdufilter enable。端口會忽略收到的BPDU數(shù)據(jù)包，也不會發(fā)送任何BPDU數(shù)據(jù)包，這個不需要預先開啟portfast特性。BPDU過濾優(yōu)先級高于BPDU防護，當有BPDU過濾的時候，BPDU防護將不生效4. 4根防護（不建立）：當一個具有更高優(yōu)先級的網(wǎng)橋接入當前網(wǎng)絡的時候，會造成當前網(wǎng)絡拓撲的變化，導致一系列事情的發(fā)生。根保護的目的是確保根保護的端口成為指定端口，如果啟用了根防護的端口上收到了一個更優(yōu)的BPDU，則這個端口會進入不一致根的狀態(tài)（等效于blocking狀態(tài)），這時候不會處理BPDU，也就是說新的BPDU不會得到傳播，也就不會競選根網(wǎng)橋，這樣就保證了原有拓撲的穩(wěn)定性。這個時候，處于不一致根狀態(tài)的的端口還