端口+stp+vrrp基础知识跟典型组网实例分析.ppt

边缘端口 BPDU保护功能产生背景 BPDU保护功能处理流程 Root保护功能产生背景 Root保护功能处理流程 指定主备根桥 指定主备根桥（续） Root保护和指定主备根桥的区别 环路保护功能产生背景 环路保护功能处理流程 环路保护功能流程演示 防止TC-BPDU报文攻击的保护功能 注意事项 单端口环路检测产生背景 单端口环路检测功能介绍 单端口环路检测报文 单端口环路检测功能介绍(续一) 单端口环路检测功能介绍(续二) BPDU 根端口 指定端口 TC TC 拓扑改变，重新计算，打开端口 阻塞端口 forwarding 拓扑改变，重新计算，打开端口 指定端口 环路保护生效端口discarding BPDU 指定端口 设备在接收到TC-BPDU报文后，会执行MAC地址表项和ARP表项的删除操作。在有人伪造TC-BPDU报文恶意攻击设备时，设备短时间内会收到很多的TC-BPDU报文，频繁的删除操作给设备带来很大负担，给网络的稳定带来很大隐患。 防止TC-BPDU报文攻击的保护功能使能后，设备在收到TC-BPDU报文后的一定时间内（一般为10秒），只进行一次删除操作，同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文，则设备在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。 配置命令：[Sysname] stp tc-protection enable ?BPDU保护、Root保护、环路保护这三种保护功能的支持情况与设备的型号有关，请以设备的实际情况为准。 ?不同的交换机、不同的版本对TC-Protection缺省是否打开不一致。 ?其它保护功能缺省均未打开。 ?在对一个端口进行配置的时候，在环路保护功能、Root保护功能或者边缘端口设置三个配置中，同一时刻只能有一个配置生效。 边缘交换机下接桥设备，桥的两个端口可能因为种种原因形成环路，造成从该交换机口出去的报文又从该端口收到形成环路。对于交换机来说，该环路是在交换机的一个端口上产生，标准STP无法解决该问题。 交换机 二层交换设备 接口人为环路或设备内部自环 开启端口环回监测功能定时(缺省30S)监测各个端口是否被外部环回。如果发现某端口被环回，交换机会将该端口处于受控工作状态，删除该端口对应的MAC地址转发表项，并向终端上报Trap信息。但是端口的物理状态仍然为UP。配置命令： [Sysname-Ethernet1/1/1] loopback-detection enable 交换机 二层交换设备 接口被人为环路或设备内部自环 环回检测报文 检测到环路后将端口处于受控状态 存在问题： 边缘交换机的上行口会检测到其它分支上有环路存在，系统将上行端口受控，这样内网PC均无法访问Internet。 交换机1 交换机2 三层交换机 二层交换设备 环路检测报文 PC 检测到环路后将端口处于受控状态 PC无法访问Internet Internet 解决办法： 目前低端交换机作为边缘交换机使用时缺省打开单端口环路检测功能。但是，必须手动关闭上行端口检测功能或关闭受控。 配置命令： [Sysname-Ethernet1/1/1] undo loopback-detection enable 或： [Sysname-Ethernet1/1/1] undo loopback-detection control enable H3C技术有限公司 QA 如何决定BPDU配置消息的优劣 比较RID(Root Bridge ID)，确定网络同步。 RID相同，比较Path Cost（到根桥距离），越小越优。 RID/Path Cost相同，比较指定桥的BID (Designated Bridge ID)，越小越优。 RID/Path Cost/DBID相同，比较指定端口的ID (Designated Port ID)，越小越优。 哪边更优？ BPDU BPDU 如何确定根桥 根桥—BID（网桥ID）最小的网桥定为根桥。 BID—网桥的优先级+网桥MAC。 网桥的优先级为可配置，缺省值为32768。 在缺省情况下，根桥将由MAC地址最小的网桥担任。 STP协议简介 常用概念 根桥(Root Bridge)—桥ID最小的网桥。其中桥ID是由网桥的优先级和网桥的MAC组成。 根端口(Root Port)—这个端口到达根桥的路径是该端口所在网桥到达根桥的最佳路径。全网中只有根桥是没有根端口的。 指定端口(De