标签:BPDU RSTP MSTP 端口 STP 链路 TC
RSTP
RSTP协议产生的背景
为了解决STP协议收敛慢的问题
RSTP概述
快速生成树协议(Rapid Spanning Tree Protocol),在STP协议的基础上实现了快速收敛,并且增加了在边缘端口的概念以及保护功能
RSTP的端口角色
RSTP定义了两种新的端口角色:备份端口(Backup Port)和预备端口(Alternate Port)
Backup端口:指定端口的备份
Altermate Port(边缘端口):根端口的备份
边缘端口的特点:
1.边缘端口一般与用户终端设备直接相连
2.边缘端口不参与RSTP运算,但会往外发送BPDU
3.边缘端口会直接从Disabled状态转换成Forwarding,会节省30s的缺省时间
4.边缘端口的启动或关闭不会出发拓扑变化
5.边缘端口接受的TC置为的配置BPDU报文不会将MAC地址的老化时间变成15s
6.一旦边缘端口收到配置BPDU,就丧失了边缘端口的属性,成为普通的STP端口,并重新进行生成树计算,从而引起网络动荡
RSTP端口状态的重新划分
直接节省了Blocking转换Listening状态所需的20s
RSTP的配置
配置实现:
stp enable //全局开启STP
stp mode rstp //配置STP模式为RSTP
stp root primary //配置SWA为根桥
stp bpdu-protection //全局开启BPDU防护,配合边缘端口一起使用
stp edged-port enable //配置端口为边缘端口
RSTP快速收敛机制
P/A协商
针对启动STP服务需要运行30s的问题,RSTP采用了P/A(Proposal/Agreement)协商机制
特点:由于有来回确认机制和同步变量机制,故不再依靠计时器来保障无环路
P/A协商过程
1.SW1向SW2发送一个P置位的BPDU包
2.同步变量(阻塞除边缘端口以外的其他端口,防止出现环路)
3.SW2向SW1发送A置位的BPDU包
4.SW1收到SW2发来的A置为的BPDU包,端口即转化为Forwarding状态(秒级)
RSTP报文抓包示例
STP的不足与RSTP的优化
STP–>问题一:STP从初始状态到完全收敛至少需要经过30s
RSTP–>RSTP对STP的优化:利用确认机制和同步变量机制,无需依靠计时器来保障无环
STP–>问题二:当交换机由BP,RP端口,RP端口down后,BP端口切换成RP端口并进入转发状态至少需要经过30s
RSTP–>RSTP对STP的优化:AP端口会在RP端口down后,快速切换成RP端口,从而进入转发态
STP–>问题三:当交换机无BP端口,RP端口down掉时,BP端口会接收到认为自己是根桥的SWB的次等BPDU(20s),超时后,BP端口会重新进行收敛,等待从监听到转发状态(30s),此过程,经历了50s
RSTP–>RSTP对STP的优化:接受到次等BPDU后,会立即发送本地最优的BPDU给对端,节省掉至少30-50s
STP–>问题四:交换机连接终端的链路进入转发需要经过30-50s
RSTP–>RSTP对STP的优化:边缘端口不会参加STP的计算和等待计时器的超时等问题,直接进入转发,节省掉30-50s
STP–>问题五:网络拓扑发生变化时,变更交换机先根桥发送TC置位的BPDU报文,再由根桥向全网发送TC报文,机制复杂
RSTP–>RSTP对STP的优化:网络拓扑发生变化时,变更交换机直接向全网发生TC置位的BPDU报文,而不是先通知根桥,再由根桥向全网发送TC报文
STP–>问题六:网络拓扑发生变化时,MAC地址表重新更新,最先意识到链路故障的交换机会向根桥发送TC,然后根桥发TA给交换机,同时发送TC给其他所有的交换机,至少需要35+15s==
RSTP–>RSTP对STP的优化:网络拓扑发生变化时,感知到链路故障的交换机会直接删除掉有关故障的接口信息,然后向全网发送TC报文,其他交换机收到TC后,只删除掉故障学习的MAC地址**
思考:当黑客在边缘端口接入一台运行生成树的交换机时,如何进行防御?
应用场景:防止有人伪造RST BPDU恶意攻击交换设备,当边缘端口接收到该报文时,会自动设置为非边缘端口,并重新进行生成树计算,引起网络震荡。
预防方法:给边缘端口配置BPDU保护,当端口收到BPDU报文,端口就会立即关闭
BPDU保护实现原理:配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口将会被立即关闭。
思考:当黑客机接入一台优先级最高的交换机时,会夺取并成为根桥,那如何进行防御呢?
应用场景:由于维护人员的错误配置或网络中的恶意攻击,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动。
根保护实现原理:一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。
Root保护功能只能在指定端口上配置生效。
思考:黑客在边缘端口接入一台计算机不断伪造和发送TC-BPDU,会导致交换机设备在短时间内收到很多TC-BPDU报文,频繁的删除操作会给设备带来很大的负担,给网络的稳定带来隐患,那么如何防御呢?
TC-BPDU攻击保护原理:
启用防TC-BPDU报文攻击功能后,在单位时间内,RSTP进程处理TC类型BPDU报文的次数可配置(缺省的单位时间是2秒,缺省的处理次数是3次)。如果在单位时间内,RSTP进程在收到TC类型BPDU报文数量大于配置的阈值,那么RSTP进程只会处理阈值指定的次数;对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。
MSTP
基本概念及功能:MSTP又称“多实例生成树协议”,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。
MSTP产生的技术背景
RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛。但由于局域网内所有的VLAN共享一棵生成树,因此被阻塞后链路将不承载任何流量,无法在VLAN间实现数据流量的负载均衡,从而造成带宽浪费。
为了弥补STP和RSTP的缺陷,IEEE于2002年发布的802.1s标准定义了MSTP。MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现多VLAN数据的负载均衡。
RSTP的不足,与MSRT的优化
RSTP–>问题一:如果连接SWB,SWC的链路发送故障时,SWC下的 LAN B 就会失联,造成部分Vlan路径不通的问题
如图所示,网络中有SWA、SWB、SWC三台交换机。配置VLAN2通过两条上行链路,配置VLAN3只通过一条上行链路。
为了解决VLAN2的环路问题,需要运行生成树。在运行单个生成树的情况下,假设SWC与SWB相连的端口成为预备端口(Discarding状态),那么VLAN3的路径就会被断开,无法上行到SWB。
RSTP–>问题二:无法实现流量分担
为了实现流量分担,需要配置两条上行链路为Trunk链路,允许通过所有VLAN;SWA和SWB之间的链路也配置为Trunk链路,允许通过所有VLAN。将VLAN2的三层接口配置在SWA上,将VLAN3的三层接口配置在SWB上。
我们希望VLAN2和VLAN3分别使用不同的链路上行到相应的三层接口,但是如果连接到SWB的端口成为预备端口(Alternate Port)并处于Discarding状态,则VLAN2和VLAN3的数据都只能通过一条上行链路上行到SWA,这样就不能实现流量分担。
RSTP–>问题三:次优二层路径
如图所示,SWC与SWA和SWB相连的链路配置为Trunk链路,允许通过所有VLAN;SWA与SWB之间的链路也配置为Trunk链路,允许通过所有VLAN。
运行单个生成树之后,环路被断开,VLAN2和VLAN3都直接上行到SWA。
在SWA上配置VLAN2的三层接口,在SWB上配置VLAN3的三层接口,那么,VLAN3到达三层接口的路径就是次优的(最优的处于备份态)。
MSTP–>MSTP的优化:把多个生成树相同的vlan,放到统一的一个实例中管理维护
MSTP的实现配置
- 配置思路:
配置MST域并创建多实例,实现流量的负载分担。
在MST域内,配置各实例的根桥与备份根桥。
修改各实例中某端口的路径开销值,实现将该端口阻塞。
与终端设备相连的端口配置成为边缘端口,加快收敛。 - 数据准备:
域名为RG1。
实例为MSTI1和MSTI2。
实例MSTI1的根桥为SWA,备份根桥为SWB;实例MSTI2的根桥为SWB,备份根桥为SWA。
实例MSTI1和实例MSTI2的阻塞口的路径开销值修改为200000。
VLAN号是1~20。
PC1所属VLAN为10,PC2所属VLAN为20。
MSTP配置验证
标签:BPDU,RSTP,MSTP,端口,STP,链路,TC 来源: https://blog.csdn.net/weixin_50339735/article/details/115529929
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。