协议信息

配置 BPDU

Protocol identifier：协议标识

Version：协议版本：STP 为 0，RSTP 为 2，MSTP 为 3

type： BPDU 类型

Flag： 标志位

Root ID： 根桥 ID，由两字节的优先级和 6 字节 MAC 地址构成

Root path cost： 根路径开销

Bridge ID： 桥 ID，表示发送 BPDU 的桥的 ID，由 2 字节优先级和 6 字节 MAC 地址构成

Port ID： 端口 ID，标识发出 BPDU 的端口

Message age： BPDU 生存时间

Maximum age： 当前 BPDU 的老化时间，即端口保存 BPDU 的最长时间

Hello time： 根桥发送 BPDU 的周期

Forward delay： 表示在拓扑改变后，交换机在发送数据包前维持在监听和学习状态的时间

通知 BPDU
拓扑变化时使用，通知其他交换机
防止因为拓扑改变导致 MAC 地址表错误

 

STP 通过在交换机间传递配置 BPDU 来选举根交换机，以及确定每个交换机接口的角色和状态
在初始化过程中，每个交换机都主动发送配置 BPDU，其中包含桥 ID、路径开销和接口 ID 等参数
在网络拓扑稳定后，只有跟桥周期性发送配置 BPDU，其他交换机在收到上游传来的配置 BPDU 后才发送自己的配置 BPDU

STP 计算
主要比较 4 个参数进行角色选举：1.根桥 ID、根路径开销、网桥 ID 和接口 ID
1.选举根桥
2.选举根接口
3.选举指定接口
4.阻塞非指定接口

STP 角色与状态

STP 的五种状态

• 1、失效(disabled) - 该端口只是相应网管消息，并且必须先转到阻塞状态。这种状态可以是由于端口的物理状（如端口物理层没有 up）态导致的，也可能是管理员手工讲端口关闭。
• 2、 阻塞(blocking) - 处于这个状态的端口不能够参与转发数据报文，但可以接收 BPDU 配置消息，并交给 CPU 处理。不过不能发送配置 BPDU 消息，也不能进行地址学习。
• 3、监听(listening) - 处于这个状态的端口不参与数据转发，也不进行地址学习，但可以接收并发送 BPDU 配置消息。
• 4、学习(learning) - 处于这个状态的端口不能转发数据，但是开始地址学习，并可以接收、处理和发送 BPDU 配置消息。
• 5、转发(forwarding) -一旦端口进入该状态，就可以转发任何数据，同时也进行地址学习和 BPDU 配置消息的接收、处理和发送。

STP 三种角色：

• 根端口
• 指定端口
• 阻塞端口
• 禁用端口

名词解释

桥 ID：由优先级 +MAC 地址组成（优先级默认为 32768，以 4096 的步长进行增加）

路径开销：每条线路根据自己的带宽会产生一个开销值，带宽越大，开销越小。

根路径开销：本设备到达根桥的开销之和。

端口 ID：端口的优先级 + 端口编号

二层接口模式下配置
S1(config-if-GigabitEthernet 0/10)#spanning-tree bpduguard enable  // 开启BPDU防护
S1(config-if-GigabitEthernet 0/10)#errdisable recovery interval 300
// 恢复时间spanning-tree bpdufilter enable  // 开启后，接口不会收发BPDU

根保护

对于启动根保护的指定端口，其他端口角色只能保持为指定端口。
启用根保护的指定端口收到优先级更高的 RST BPDU 时，端口进入 Discarding 状态，不再转发报文。经过一段时间后（两倍的 Forward Delay 时间），如果端口一直没有收到优先级更高的 RST BPDU 报文，端口才会恢复到转发状态
​stp root-protection ​// 配置在指定端口

环路保护

如果根端口或 Alternate 端口长时间收不到来自上游设备的 BPDU 报文时，向网管发出通知信息（此时，根端口进入 Discarding 状态，角色为指定端口）而 Alternate 端口会一直保持在 Discarding 状态（角色也会切换为指定端口）不转发报文，防止形成环路
知道链路不再堵塞或单向链路故障恢复，端口重新收到 BPDU 报文进行协商，并恢复到链路拥塞或单向链路故障前的角色和状态
​stp loop-protection​ // 在 RP 和 AP 端口配置

防 TC-BPDU 攻击

启用防 TC-BPDU 报文攻击后，可配置在单位时间内，交换设备处理 TC PBDU 报文的次数
如果在单位时间内，收到的 TC BPDU 报文数量大于配置的阈值，只处理阈值内的报文
对于超出阈值的报文，会在定时器到期后统一处理一次，避免频繁的删除 MAC 地址表项，保护设备
​stp tc-oritection threshold 1​ // 全局配置，1s 内指处理一次 TC BPDU 报文

配置命令

[huawei] stp enable

开启生成树协议