69.
70. 而对MSTI 2(Instance 2)来说,图19,C的优先级最高,被选为Region Root,再根据其他参数,把A和B间的链路给DISCARDING。因此,对Instance 2的―Vlan组‖来说,只有B到C、A到C的链路可用,打断了这个―Vlan组‖的环路。
71.
72. 用户在这里要注意的是MSTP协议本身不关心一个端口属于哪个Vlan,所以用户应该根据实际的Vlan配置情况来为相关端口配置对应的Path Cost和Priority,以防MSTP协议打断了不该打断的环路。
3. 16.1.2.3MSTP region间的生成树(CST)
73. 每个MSTP region对CST来说可以相当于一个大的设备整体,不同的MSTP Region也生成一个大的网络拓朴树,称为CST(Common Spanning Tree) 。如图20所示,对CST来说,Bridge ID最小的设备A被选为整个CST的根(CST Root),同时也是这个Region内的CIST Regional Root。在Region 2中,由于设备B到CST Root的Root Path Cost最短,所以被选为这个Region内的CIST Regional Root。同理,Region 3选设备C为CIST Regional Root。1
74.
75. CIST Regional Root不一定是该Region内Bridge ID最小的那台设备,它是指该Region内到CST Root的Root Path Cost最小的设备。 76. 同时,CIST Regional Root的Root Port对MSTI来说有了个新的Port Role,为―Master port‖,作为所有Instance对外的―出口‖,它对所有Instance都是FORWARDING的。为了使拓朴更稳定,我们建议每个Region对CST Root的―出口‖尽量只在该Region的一台设备上!
4. 16.1.2.4Hop Count
77. IST和MSTI已经不用Message Age和Max Age来计算BPDU信息是否超时,而是用类似于IP报文TTL的机制来计算,它就是Hop Count。 78. 可以用spanning-tree max-hops全局配置命令来设置。在Region内,从Region Root Bridge开始,每经过一个设备,Hop Count就会减1,直到为0则表示该BPDU信息超时,设备收到Hops值为0的BPDU就要丢弃它。 79. 为了和Region外的STP、RSTP兼容,MSTP依然保留了Message Age和Max Age的机制。
5. 16.1.2.5MSTP和RSTP、STP协议的兼容
80. 对STP协议来说,MSTP会像RSTP那样发STP BPDU来兼容它,详细情况请参考―RSTP与STP的兼容‖章节。 81. 而对RSTP协议来说,本身会处理MSTP BPDU中CIST的部分,因此MSTP不必专门的发RSTP BPDU以兼容它。 82. 每台运行STP或RSTP协议的设备都是单独的一个Region,不与任何一个设备组成同一个Region。
2. 16.2 MSTP可选特性概述
39. ? 16.2.1 理解40. ? 16.2.2 理解41. ? 16.2.3 理解42. ? 16.2.4 理解43. ? 16.2.5 理解44. ? 16.2.6 理解45. ? 16.2.7 理解
Port Fast BPDU Guard BPDU Filter Tc-protection TC Guard
BPDU 源MAC检查 BPDU 非法长度过滤 ROOT Guard功能 LOOP Guard功能
46. ? 16.2.8 理解边缘口的自动识别 47. ? 16.2.9 理解
48. ? 16.2.10 理解
1. 16.2.1 理解Port Fast
83. 如果设备的端口直连着网络终端,那么就可以设置该端口为Port Fast,端口直接Forwarding,这样可免去端口等待Forwarding的过程(如果不配置Port Fast的端口,就要等待30秒Forwarding)。下图表示了一个设备的哪些端口可以配置为Port Fast enable。
84.
85. 如果在设了Port Fast的端口中还收到BPDU,则它的Port Fast Operational State为Disabled。这时该端口会按正常的STP算法进行Forwarding。
2. 16.2.2 理解BPDU Guard
86. BPDU Guard既能全局的enable,也能针对单个Interface进行enable。这两者有些细小的差别。 87. 可以在全局模式中用spanning-tree portfast bpduguard default命令打开全局的BPDU Guard enabled状态,在这种状态下,如果某个Interface打开了Port Fast,或该接口自动识别为边缘口,而该Interface收到了BPDU,该端口就会进入Error-disabled 状态,以示配置错误;同时整个端口被关闭,表示网络中可能被非法用户增加了一台网络设备,使网络拓朴发生改变。 88. 也可以在Interface配置模式下用spanning-tree bpduguard enable命令来打开单个Interface的BPDU Guard(与该端口是否打开Port Fast无关)。在这个情况下如果该Interface收到了BPDU,就进入Error-disabled 状态。
3. 16.2.3 理解BPDU Filter
89. BPDU Filter既能全局的enable,也能针对单个Interface进行enable。这两者有些细小的差别。 90. 可以在全局模式中用spanning-tree portfast bpdufilter default命令打开全局的BPDU Filter enabled状态,在这种状态下,Port Fast enabled的Interface将既不收BPDU,也不发BPDU,这样,直连Port Fast enabled端口的主机就收不到BPDU。而如果Port Fast enabled的Interface因收到BPDU而使Port Fast Operational 状态disabled,BPDU Filter也就自动失效。 91. 也可以在Interface配置模式下用spanning-tree bpdufilter enable命令设置了单个Interface的BPDU Filter enable(与该端口是否打开Port Fast无关)。在这个情况下该Interface既不收BPDU,也不发BPDU,并且是直接Forwarding的。
4. 16.2.4 理解Tc-protection
92. TC-BPDU报文是指携带TC标志的BPDU报文,设备收到这类报文表示网络拓扑发生了变化,会进行MAC地址表的删除操作,对三层设备,还会引发快转模块的重新打通操作,并改变ARP表项的端口状态。为避免设备受到伪造TC-BPDU报文的恶意攻击时频繁进行以上操作,负荷过重,影响网络稳定,可以使用TC-protection功能进行保护。 93.
Tc-protection只能全局的打开和关闭,缺省情况下为打开此功能。
94. 在打开相应功能时,收到TC-BPDU报文后的一定时间内(一般为4秒),只进行一次删除操作,同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文,则设备在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。
相关推荐:
loading