生成樹的優(yōu)化防護(hù)

1、第一章：二層交換：生成樹的增強(qiáng)（BPDU防護(hù)過濾，根防護(hù)） (2014-09-26 09:33:57)轉(zhuǎn)載標(biāo)簽： ccie cisco分類： 網(wǎng)絡(luò)技術(shù)以下提到的STP代表了所有生成樹協(xié)議。STP用于防環(huán)，但是有一個(gè)基礎(chǔ)，就是軟件硬件都沒有問題。軟件一般就是指配置錯(cuò)誤、bug，而硬件一般是指雙向通訊故障，比如光纖兩根線路，一根上行一根下行，如果斷了一根就變成了單向通訊了。簡單來說，這些問題引起的后果，就是不該收到BPDU收到了，該收到BPDU的接口沒有收到=如果本該是接著終端，并啟用了portfast的端口，被誤接了交換機(jī)，就會(huì)引起了二層的環(huán)路。有兩個(gè)工具

2、可以防止這種情況· BPDU GUARD· BPDU FILTER=先來說BPDU GUARD（下簡稱BG）當(dāng)配置了BG后，在portfast的接入接口收到BPDU，立即置為err_disabled。兩種配置方法全局配置： sw4(config)#spanning-tree portfast bpduguard default默認(rèn)所有portfast的接口，都啟用BG。接口配置：sw4(config-if)#spanning-tree bpduguard enable無論接口是否啟用了portfast，都啟用BGP如果需要把err_disable恢復(fù)過來，可以shutdow

3、n再no shutdown接口，但如果配置仍是錯(cuò)誤，接口還是會(huì)被err_disabled實(shí)驗(yàn)：sw4(config-if)#spanning-tree bpduguard enable6d01h: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/8 with BPDU Guard enabled. Disabling port.6d01h: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/8, putting Fa0/8 in err-disable stat

4、e6d01h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/8, changed state to down6d01h: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to down查看端口狀態(tài)sw4#show interfaces status err-disabledPort Name Status ReasonFa0/8 err-disabled bpduguard設(shè)置自動(dòng)恢復(fù)sw4(config)#errdisable recovery c

5、ause bpduguard默認(rèn)300秒后自動(dòng)恢復(fù)，但如果問題依舊，還是會(huì)err_disabled。=BPDU FILTER（下簡稱BF）不同的配置方式，有不同的作用如果在全局模式下配置，所有啟用了portfast的端口如果接收到了BPDU，會(huì)立即禁用portfast，并使端口參與STP運(yùn)算，成為STP端口；如果在接口模式下配置，那么接口將不會(huì)發(fā)送BPDU，而如果接收到BPDU，會(huì)無視掉，不會(huì)改變接入端口的角色。全局配置命令：sw4(config)#spanning-tree portfast bpdufilter default接口配置命令：sw4(config-if)#spanning-t

6、ree bpdufilter enable注意，兩種配置方式的作用差異很大，我一般建議在接入接口上啟用第二種。=根防護(hù)（ROOT GUARD，下稱RG）當(dāng)在一個(gè)穩(wěn)定的交換網(wǎng)絡(luò)中，加入一臺(tái)新的交換機(jī)，而這臺(tái)新交換機(jī)有可能搶奪根橋位置。設(shè)置了根防護(hù)的接口，可以防止成為根端口?；叵胍幌率裁词歉丝?，就是去往根橋并處于轉(zhuǎn)發(fā)狀態(tài)的接口。如上圖，那么新交換機(jī)D接入網(wǎng)絡(luò)后，如果它并沒有搶奪到根橋位置，則相安無事，正常轉(zhuǎn)發(fā)；如果它搶奪根橋，發(fā)出更優(yōu)的BPDU，C將接著D的接口block掉，但只會(huì)block掉根橋所在vlan，舉例，D并不打算成為VLAN1的根橋，而要成為VLAN99的根橋，那么C就會(huì)在VLAN

7、99的生成樹中，把那個(gè)端口置為blocking，注意不是err_disabled，因?yàn)槠渌鹶lan的生成樹里它可能是正常的，如VLAN1。只要D不再發(fā)出更優(yōu)的BPDU，SW C會(huì)立即停止阻塞這個(gè)端口上的相應(yīng)VLAN的BPDU。實(shí)驗(yàn)：拓?fù)湓赟W3的對(duì)應(yīng)接口上設(shè)置root guard，并開啟debugsw3(config)#int f0/7sw3(config-if)#spanning-tree guard rootsw3#debug spanning-tree eventsSpanning Tree event debugging is on 在SW4上修改優(yōu)先級(jí)，使SW4搶奪根橋位置

8、sw4(config)#spanning-tree vlan 1 root primary 看SW3的debug和生成樹信息*Mar  7 18:47:39.759: STP: VLAN0001 heard root 24577-001a.a10b.7a00 on Fa0/7*Mar  7 18:47:39.759:     6d18h: %SPANTREE-2-ROOTGUARD_BLOCK: Root guard blocking port FastEthernet0/7 on VLAN00

9、01.sw3#*Mar  7 18:47:39.763: STP: VLAN0001 Fa0/7 -> blockingsw3#*Mar  7 18:47:41.763: STP: VLAN0001 heard root 24577-001a.a10b.7a00 on Fa0/7*Mar  7 18:47:41.763:     . sw3#show spanning-tree vlan 1VLAN0001  Spanning tree enable

10、d protocol ieee  Root ID    Priority    32769             Address                  This bridge

11、is the root             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1) 

12、60;           Address                  Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec    &

13、#160;        Aging Time 300Interface        Role Sts Cost      Prio.Nbr Type- - - - - -Fa0/7            Desg BKN*19  

14、60;     128.7    P2p *ROOT_Inc   sw3#show spanning-tree inconsistentportsName                 Interface        

15、0;     Inconsistency- - -VLAN0001             FastEthernet0/7        Root InconsistentNumber of inconsistent ports (segments) in the system : 1    將SW

16、4改回去sw4(config)#no spanning-tree vlan 1 root primary 再看SW3的debug信息，可以見到sw3不再收到SW4的更優(yōu)BPDU后自動(dòng)恢復(fù)接口的狀態(tài)。sw3#6d18h: %SPANTREE-2-ROOTGUARD_UNBLOCK: Root guard unblocking port FastEthernet0/7 on VLAN0001.sw3#*Mar  7 18:54:22.723: STP: VLAN0001 Fa0/7 -> listening*Mar  7 18:54:37.7

17、23: STP: VLAN0001 Fa0/7 -> learning*Mar  7 18:54:52.723: STP: VLAN0001 Fa0/7 -> forwarding 注意，root guard不能只針對(duì)特定VLAN啟用，而是對(duì)全部VLAN，不過在RG工作中，只會(huì)block掉嘗試成為根端口的那個(gè)VLAN的BPDU和流量。第二章：生成樹的優(yōu)化我們都知道一個(gè)網(wǎng)絡(luò)優(yōu)化的好壞，影響整個(gè)網(wǎng)絡(luò)的性能，所以生成樹協(xié)議的優(yōu)化在網(wǎng)絡(luò)中是十分重要的，下面我們說說生成樹的優(yōu)化及其增強(qiáng)特性。工具/原料· STP相關(guān)資料方法/步驟1. 1由于生成樹也有許

18、多不能解決的問題：比如1.802.1d不能阻止有問題的交換機(jī)成為根網(wǎng)橋2.不具備從特定端口過濾BPDU的特性3.網(wǎng)絡(luò)設(shè)備故障會(huì)使網(wǎng)絡(luò)中產(chǎn)生橋接環(huán)路和黑洞4.某些故障會(huì)干擾生成樹所以生成樹的優(yōu)化是必須做的。2. 2BPDU防護(hù): 防止交換機(jī)意外連接到了啟用了PORTFAST特性的端口。如果接口啟用了PORTFAST特性，那么當(dāng)該接口收到BPDU的時(shí)候，BPDU防護(hù)功能就會(huì)使其進(jìn)入“err-disable”狀態(tài)，而不是將其blocking，以防產(chǎn)生橋接環(huán)路。直到管理員手動(dòng)打開該端口。管理員也可以設(shè)置超時(shí)時(shí)間間隔，當(dāng)端口進(jìn)入“err-disable”狀態(tài)之后，超過時(shí)間間隔，端口會(huì)再次打開，

19、如果這時(shí)候仍舊接收到BPDU，BPDU防護(hù)特性會(huì)再次將其關(guān)閉BPDU防護(hù)有兩種啟用方式：1）全局啟用：（no）spanning-tree portfast edge bpduguard default，這個(gè)是在所有開啟了PORTFAST的端口上啟用BPDU防護(hù)，前提是，已經(jīng)開啟了PORTFAST2）端口啟用：spanning-tree bpduguard enable，這個(gè)只在當(dāng)前端口啟用，這個(gè)無需先配置PORTFAST3. 3BPDU過濾（不 發(fā)）： 當(dāng)交換機(jī)直接與主機(jī)相連的時(shí)候，這個(gè)時(shí)候是不需要向主機(jī)發(fā)送BPDU的，因?yàn)橹鳈C(jī)不參與拓?fù)涞挠?jì)算，所以發(fā)過去還是會(huì)丟棄，白白的浪費(fèi)資源，因此還不如

20、不發(fā)。1）全局啟用：（no）spanning-tree portfast bpdufilter default。全局啟用會(huì)作用于交換機(jī)上所有處于工作狀態(tài)，且沒有單獨(dú)在接口底下配置BPDU過濾特性的PORTFAST端口（也就是說要想全局啟用生效，端口必須先配置PORTFAST屬性）。如果這個(gè)端口收到了BPDU，那么他們就不再處于PortFast狀態(tài)，BPDU過濾特性也將被禁用，然后開始和其他STP接口一樣收發(fā)BPDU。在啟動(dòng)的時(shí)候，端口會(huì)傳輸10個(gè)BPDU數(shù)據(jù)包，如果這個(gè)端口在這個(gè)時(shí)間內(nèi)收到了BPDU數(shù)據(jù)包，那么同樣會(huì)退出PortFast狀態(tài)并且禁用BPDU過濾特性。2）端口啟用：spannin

21、g-tree bpdufilter enable。端口會(huì)忽略收到的BPDU數(shù)據(jù)包，也不會(huì)發(fā)送任何BPDU數(shù)據(jù)包，這個(gè)不需要預(yù)先開啟portfast特性。BPDU過濾優(yōu)先級(jí)高于BPDU防護(hù)，當(dāng)有BPDU過濾的時(shí)候，BPDU防護(hù)將不生效4. 4根防護(hù)（不建立）：當(dāng)一個(gè)具有更高優(yōu)先級(jí)的網(wǎng)橋接入當(dāng)前網(wǎng)絡(luò)的時(shí)候，會(huì)造成當(dāng)前網(wǎng)絡(luò)拓?fù)涞淖兓?，?dǎo)致一系列事情的發(fā)生。根保護(hù)的目的是確保根保護(hù)的端口成為指定端口，如果啟用了根防護(hù)的端口上收到了一個(gè)更優(yōu)的BPDU，則這個(gè)端口會(huì)進(jìn)入不一致根的狀態(tài)（等效于blocking狀態(tài)），這時(shí)候不會(huì)處理BPDU，也就是說新的BPDU不會(huì)得到傳播，也就不會(huì)競選根網(wǎng)橋，這樣就保證了原有拓?fù)涞姆€(wěn)定性。這個(gè)時(shí)候，處于不一致根狀態(tài)的的端口還