RSTP协议原理与配置
问题一、STP的收敛延时(30秒(有BP端口情况下RP端口down)或者50秒(没有BP端口情况下RP端口down))
RSTP:Rapid Spanning Tree Protocol
RSTP和STP从原理流程上一样:
1、选择根桥 2、非根桥选举一个根端口 3、每条链路上选择一个指定端口 4、AP实际上两个协议最终的目的都是为了破除环路以及链路备份。
STP的缺点就是慢,RSTP在STP的基础上做了一些优化,让生成树的收敛速度快一些。
1、端口角色扩充:RP根端口,DP指定端口,AP——Alternate Port预备端口(给RP端口做备份),BP——Backup Port备份端口(给DP端口做备份)
2、端口状态缩减:discarding——丢弃,learning,forwarding:
3、RSTP快速收敛机制
3.1 P/A机制:在交换机初始状态下,认为自己是根桥,发送以自己为根在flag中将P/A置位,通过proposal和agreement来进行协商。
3.2 根端口快速切换机制
3.3 次级BPDU立即处理,配置P/A机制
3.4 EP ,作用,交换机接用户终端的端口,当新接入终端时会有30秒的收敛后才可上网,开启后直接不用收敛进入转发状态。
flag标识中:
8bit:
1、TCA //在RSTP中,TCA无效
2、agreement //P/A机制中的A
3、forwarding //代表发出该BPDU的接口为转发状态
4、learning //代表发出该BPDU的接口为学习状态(如果3、4都为0,代表discarding状态,如果4置位,3没置位,代表为学习状态)
5、role //发出该BPDU的接口角色(DP、RP、AP、BP)
6、proposal //P/A机制中的P
7、TC //拓扑改变后发送TC-BPDU报文,用来将沿途的交换机的MAC地址以及ARP表项老化。
老化时间:
STP老化时间:20秒
RSTP老化时间:18秒(23时间因子3=18秒)
什么情况下可以发生P/A机制:1、端口角色为指定端口;2、端口状态为discarding或learning;3、链路状态为点到点时
force-false 不是点到点:share
force-true 强制为点到点:P2P
[SW-GigabitEthernet0/0/24]stp edged-port enable //使能该接口的边缘端口
[SW]stp edged-port default //全局使能边缘端口(切记一定要在连接交换机的接口下关闭边缘端口)
----------------------------------------------------------------------
STP保护
华为在实现STP时借用了很多RSTP的特点:
1、端口状态的优化:把disable blocking listening整合到一起为discarding
2、端口角色的优化:原来只有DP和RP,借用了RSTP中的AP和BP
3、对于AP端口的优化:可以处理次级BPDU
4、可以支持EP端口(端口配置为边缘端口)
EP:边缘端口
1、当配置了边缘端口,那么该端口默认情况下不进行BPDU收敛工作。
2、当端口UP后,会立刻进入转发状态,实现快速转发。
注意事项:
1、当边缘端口收到BPDU后,该接口会变成普通端口,进行生成树收敛工作。
2、虽然边缘端口不会进行BPDU收敛工作,但是边缘端口会定期发送BPDU(2秒)
3、当检测到自己发出的BPDU从其他边缘端口收进来时,会判断为自环,然后2个EP端口会变成普通端口,进行生成树收敛工作。
1、BPDU保护-针对EP边缘端口
命令:[Huawei]stp bpdu-protection ;只能针对EP端口生效。
由于边缘端口存在一定风险,当外接生成树交换机时会触发BPDU收敛,可能对现网造成震荡,比如根桥易主,次优路径,
所以BPDU保护可以防止这一些列的风险。
作用对象:边缘端口
作用原理:当边缘端口配置了BPDU保护之后,边缘端口在收到BPDU后,该接口会进入err-down状态,端口角色变成DP,进入discarding状态。
恢复:先将交换机的stp功能关闭
1、手动恢复:进入接口先shutdown在undoshutdown即可恢复。
2、自动恢复:[Huawei]error-down auto-recovery cause bpdu-protection interval 30 //由于BPDU保护机制被err-down的接口在30S内可以自动UP
2、根保护-针对普通接口
作用对象:所有普通端口
作用原理:如果一个接口没有开启边缘端口功能,那么这个接口就无法使用BPDU保护来防止STP攻击,根保护功能可以强制一个接口永远为DP接口,防止周围交换机成为根桥,当一个接口开启根保护后,一旦收到了更优的BPDU,那么接口角色不变,接口状态变为discarding。
注意:跟保护只对DP接口生效,对RP接口无效。
命令:[Huawei-GigabitEthernet0/0/2]stp root-protection;
恢复:当接口不在收到BPDU后(在新接入的交换机中,关闭STP),经过两个转发时延,会自动恢复。
3、环路保护
现象:当出现单通故障时,但接口没有到达down阈值,导致一个根端口无法收到上游发来的BPDU,18秒老化时间后,该接口会变为DP接口,并通过2个转发时延之后进入转发状态,导致出现环路。
命令:[Huawei-GigabitEthernet0/0/2]stp loop-protection 该该接口开启环路保护
恢复:当接口上收到上游BPDU后,会立刻恢复正常的STP收敛结果。
TC-BPDU泛洪保护(黑客在边缘端口接入一台终端不断伪造TC-BPDU,使得整网交换机不断删除MAC地址表和ARP表)
现象:运行RSTP的交换机,在默认收到TC-BPDU时会快速老化MAC地址表和ARP表项。
作用:防止TC-BPDU泛洪攻击
命令:接口视图下,stp tc-restriction enable //接口下开启TC-BPDU保护功能
全局视图下,stp tc-protection interval 10 //全局下定义TC-BPDU保护单位时间
全局视图下,stp tc-protection threshold 5 //全局下定义TC-BPDU阈值
总结:在单位时间(10S)内最多接收5个TC-BPDU,多的就被丢弃了。
----------------------------------------------------------------
书签——MSTP、VRRP
问题:次优路径,链路不能负载分担,部分VLAN路径不通
stp region-configuration //进入MST域配置视图
region-name huawei //配置MST域名,不可省略(省略会以MAC为默认,各设备MAC不一致导致不在一个域内)
revision-level 1 //配置修订级别,默认缺省0
instance 1 vlan 10 //设置实例1添加VLAN
instance 2 vlan 20 //设置实例2添加VLAN
active region-configuration //激活上述配置,每修改以上配置都需要激活一下
[SW1]stp instance 1 root primary //设置当前交换机作为实例1的根
[SW1]stp instance 2 root secondary //设置当前交换机作为实例2的备份根
[SW2]stp instance 1 root secondary //设置当前交换机作为实例1的备份根
[SW2]stp instance 2 root primary //设置当前交换机作为实例2的根
[SW1]display stp instance 1 brief
[SW1]display stp region-configuration
------------------------------------------------------------------------------------------------------------------------------
VRRP-Virtual Router Redundancy Protocol虚拟路由冗余协议
协议版本:VRRPv2(仅适用于IPv4网络)和VRRPv3(适用于IPv4和IPv6网络)
只有一种报文:Advertisment,目的地址为224.0.0.18,MAC地址为:01-00-5e-00-01-02,协议号是:112。
VRRP-状态机
注意:VRRP优先级设备down自动降低10的数值,所以两台设备之间VRRP的优先级差值不要超过9(如设备1优先级120,设备2优先级100,设备1挂了vrrp优先级自动降低10为110还是大于设备2的,所以不会切换)
VRRP配置——在接口下配置;
如果VRRP的虚拟IP跟设备实际的接口IP一致,那么该设备一定为VRRP主设备master(修改优先级也无法改变)
track联动:BFD(单臂回声或双端心跳)或NQA(仅支持单侧使用),链路状态检测协议。
========================================================
注意:OSPF可以引入静态路由,但唯一例外不能静态引入缺省的静态路由,只能通过命令:在OSPF视图下,default-route-advertise;
