生成树配置建议.doc

生成树配置建议方案 福建金科信息技术股份有限公司 200-9  目 录 1. 二层网络的生成树问题 3 2. 生成树新特性等介绍 3 2.1. 生成树收敛特性 3 2.2. 生成树特性介绍 5 2.3. 端口广播风暴抑制 6 3. 交换机互连以及生成树协议选择建议 6 4. 生成树配置建议 7 4.1. 交换机全局参数配置建议 7 4.2. 交换机交换端口生成树配置建议 8 4.3. 刀片服务器接入网络的配置建议 9 5. 需要注意的情况 9  二层网络的生成树问题 二层网络中一个很重要的安全问题就是生成树问题。传统的生成树协议能够解决正常情况下的二层网络环路问题，但是对于一些特殊情况下产生的问题却无法解决。同时传统的生成树协议收敛速度比较慢。对于现有业务高可用性的要求，传统的生成树协议是无法满足的。因而，目前在传统生成树的基础上，也产生了很多生成树特性以及其他一些功能特性，来解决传统生成树的不足。 注：这里默认的交换机和配置都是针对思科设备的，有需要提及其他厂家的交换机会特别说明厂家名字。 生成树新特性等介绍 生成树收敛特性 传统生成树协议下的收敛特性 传统生成树协议下的收敛特性主要包括PortFast、UplinkFast和BackboneFast。 PortFast主要针对连接主机、路由器等终端接入的端口而设置的。这些接入终端的端口因没有环路的存在，同时要求接入网络的连通速度要快。正常情况下，传统生成树协议使得这些端口从接入到允许数据收发需要30秒时间，而启用了PortFast后，其时间大大的缩短，基本上达到接入即通的状态。 UplinkFast则针对二层网络的叶结点交换机，它将使得主链路故障后，备份链路会很快进入转发状态，其收敛速度非常的快。UplinkFast不能在根和次级根交换机上配置。 BackBoneFast则是针对非直连链路故障后的冗余链路快速切换，但是其收敛速度仅仅是从50秒（正常收敛时间）缩短为30秒（少了max-age的20秒），比PortFast和UplinkFast慢了很多。BackBoneFast需要在所有交换机上配置。 快速生成树协议（RSTP） RSTP协议是在传统生成树的基础上进行了快速收敛的改进，其收敛速度比传统生成树协议快了很多。 生成树特性介绍 不期望的BPDU保护 不期望的BPDU保护主要包括BPDU Guard和Root Guard。 BPDU Guard特性作用在启用了PortFast的端口上。因为这些端口是连接终端的，不存在环路的可能，所以配置了PortFast以加快终端接入的连通速度。但是由于某些原因：比如因原有终端不再使用而撤除了，但是其端口上的PortFast特性没有去除，这时候又连接了其他交换机，使得网络存在环路的隐患；还有终端中毒了，发送了生成树的攻击报文等等，这些情况使得配置了PortFast特性的端口能够收到BPDU报文，而这些BPDU报文在配置了PortFast特性的端口是不期望的。配置了BPDU Guard后，一旦那些配置了PortFast特性的端口收到BPDU报文后，将shutdown该端口，使得网络避免了环路和受攻击的可能。 Root Guard特性则是作用在那些不期望收到根BPDU报文的端口上。Root Guard主要是用来保护根交换机，从而达到二层网络的稳定性。二层网络中的根交换机都是经过精心设计选定的，一般不会希望二层网络中的根交换机随便的变动。所以在不期望的端口收到根交换机的报文是不被允许的（新接入网络的交换机具有更优先的根优先级等等情况）。 意外丢失BPDU报文的保护 在特殊情况下，BPDU的报文有单边通信的可能性，这样容易造成因单边通信而在某一边启用备份链路从而产生环路的问题。解决因意外丢失BPDU报文而造成的单边通信问题主要有UDLD和Loop Guard。 UDLD主要用在光纤环境，而Loop Guard则在光纤和双绞线环境都能使用。 几种生成树特性使用的位置和注意事项 几种生成树特性使用的示意图： 几种生成树特性使用的主意事项： Root Guard与UDLD在同一端口下可以同时使用 Loop Guard与UDLD在同一端口下可以同时使用 Root Guard与Loop Guard在同一端口下不能同时使用 Root Guard与BPDU Guard在同一端口下不能同时使用 端口广播风暴抑制 正常情况下，连接终端的端口，其广播流量很少。当终端中毒后，其表现之一就是发送大量的广播数据，将影响二层网络的通信，甚至影响到生成树，从而引发环路问题，更进一步影响整个二层网络。端口广播和组播风暴抑制则是用来控制端口广播和组播流量的方法，使得端口的广播和组播数据量控制在合理的范围内，一旦超过将阻止端口的通信，直到解决问题或者端口广播和组播数据量降