BPDU Guard、Filter、LOOP Guard、ROOT Guard、portfast、uplinkfast、backbonefast

來源:本站原創 CISCO 超過13,116 views圍觀 0條評論

BPDU Guard、Filter、LOOP Guard、ROOT Guard、portfast、uplinkfast、backbonefast

.STP增強特性:
傳統的802.1d標準的STP,有一些缺陷,比如當一個交換機檢測到鏈路發生故障,再到網絡重新收斂的時候,至少要等50秒的時間(轉發延遲+BPDU 最大生存周期).當一個端工作站,比如PC或服務器,插到交換機某個端口后,該端口同樣會經歷STP的一些狀態,比如監聽和學習.但是端工作站不會引起層 2環路,因此,對于接端工做站的端口,沒必要經歷這相對漫長的STP收斂時間.因此CISCO提出了Port Fast這一特性.啟用該特性的端口無需經歷轉發延遲可以直接進入轉發狀態,減少收斂時間.該特性類似802.1w標準里的邊緣端口(EP):
clip_image001
在啟用這種特性的時候,必須保證該端口連接的是端工作站,而不是交換機或者集線器等網絡設備,否則會引起環路問題.另外,如果在該端口啟用了語音VLAN,那么Port Fast特性也將自動被啟用.
配置方式如下:
Switch(config)# spanning-tree portfast default????????????????? /—全局啟用Port Fast特性—/
Switch(config-if)# spanning-tree portfast [trunk]?????????????? /—基于接口的啟用Port Fast特性—/
Switch(config-if)# spanning-tree portfast disable?????????????? /—禁用Port Fast特性—/
注意,如果要在trunk端口啟用該特性,先要確保該trunk端口不會引起環路.
另外一種減少STP收斂時間的技術是Uplink Fast特性:
clip_image002
當交換機A檢測到鏈路L2出故障后,會立刻切換到L3,從而跳過STP的監聽和學習階段(轉發延遲),節約近30秒的時間達到快速收斂.另外要注意的是, 如果配置了VLAN的優先級,那么不能啟用該特性.因為該特性是對所有VLAN生效而不是針對某一個VLAN生效.一旦啟用該特性后,交換機的網橋優先級自動被設置為49152;如果你的鏈路開銷小于3000,那么開銷將自動增大為3000(如果大于3000則不會).該舉動的意圖是防止交換機(如上圖里的交換機A)成為根橋.
配置方式如下:
Switch(config)# spanning-tree uplinkfast [max-update-rate pps]??? /—全局啟用Uplink Fast—/
可選參數值的范圍是0-32000,默認每秒150個包,值越低收斂越慢.
如果照上圖里,當鏈路L1出故障后,Uplink Fast特性就不能彌補該缺點.因此出現了Backbone Fast特性:
clip_image003
當交換機C通過下級BPDU信息(inferior BPDU)檢測到L1出故障后,由于L1不是它到根橋的直連鏈路.因此,交換機C會發送根鏈路查詢信息(RLQ).當收到RLQ的應答后,交換機C將自己原本處于堵塞狀態的端口立即設置為轉發狀態(把最大生存周期的20秒給老化掉),為B提供一條到根橋的替代路徑.但要經過轉發延遲,也就是大約30的時間.一旦啟用該特性,必須在所有的交換幾上都使用.但如果此時新增加一個交換機進來,該交換機也會發送下級BPDU信息聲稱自己想成為根橋(野心夠大啊).不過其他交換機會忽略該下級BPDU,并且交換機B會告訴它A才是根橋:
clip_image004
配置方式:
Switch(config)# spanning-tree backbonefast??????????????????????????? /—全局啟用Backbone Fast—/
.STP環路保護機制:
BPDU Guard特性可以全局啟用也可以基于基于接口的啟用,兩種方法稍有不同.當在啟用了Port Fast特性的端口收到了BPDU后,BPDU Guard特性將關閉(err-disable)該端口(正常情況是啟用了Port Fast特性的端口不可能收到BPDU).
配置方法:
Switch(config)# spanning-tree portfast bpduguard default????????? /—在啟用了Port Fast特性的端口上啟用BPDU Guard—/
Switch(config-if)# spanning-tree bpduguard enable????????????????????? /—在不啟用Port Fast特性的情況下啟用BPDU Guard—/
而BPDU Filtering特性和BPDU Guard特性非常類似.通過使用BPDU Filtering,將能夠防止交換機在啟用了Port Fast特性的端口上發送BPDU給主機:
clip_image005
如果全局配置了BPDU Filtering,當某個端口接收到了BPDU,那么交換機將把端口更改回正常的STP狀態,也就是它將禁用Port Fast和BPDU Filtering特性.注意,如果在連接到其他交換機的端口上配置了BPDU Filtering,那么就有可能導致層2環路.另外,如果在與啟用了BPDU Filtering的相同端口上配置了BPDU Guard特性,所以BPDU Guard將不起作用,起作用的將是BPDU Filtering.
配置BPDU Filtering:
Switch(config)# spanning-tree portfast bpdufilter default??????????? /—在啟用了Port Fast特性的端口上啟用BPDU Filtering—/
Switch(config-if)# spanning-tree bpdufilter enable??????????????????????? /—在不啟用Port Fast特性的情況下啟用BPDU Filtering—/
一般層2網絡的SP可能會有多條達到客戶網絡的連接.為了防止客戶交換機偶然成為根橋,可以在連接到客戶交換機的端口上使用Root Guard特性來避免這一問題的發生.如果STP偶然選出客戶交換機的某個端口做為根端口(RP),那么Root Guard特性將把該端口設置為root-inconsistent狀態(堵塞)來防止客戶交換機成為根橋:
clip_image006
配置Root Guard:
Switch(config-if)# spanning-tree guard root???????????????? /—啟用Root Guard特性—/
注意,Root Guard和Loop Guard特性不可同時使用,也不要在啟用了Uplink Fast特性的端口上啟用該特性.該特性一旦配置后,對所有VLAN都生效.
另外,也可以使用Loop Guard技術替代端口(AP)或RP由于單向鏈路的故障問題成為指定端口(DP):
clip_image007
如上圖,交換機A做為根橋,由于交換機B和C之間發生單向鏈路故障,C將不能從B那里接收到BPDU.如果沒有啟用該特性,那么交換機C在最大生存周期 (Max Age)計時器超時之后,交換機C上的堵塞端口將轉換到監聽狀態,并最終會在30秒之后轉換到轉發狀態.當交換機C的原先處于堵塞狀態的端口進入到轉發狀態的時候,交換機B上原先的DP還處于轉發狀態,而一個橋接網段上只能有一個DP,因此就產生了環路.如果啟用了Loop Guard特性之后,當最大生存周期超時之后,交換機C上的堵塞端口將過渡到loop-inconsistent狀態(堵塞),處于該狀態的端口不能傳遞任何流量.因此就不會產生層2環路.
配置Loop Guard:
Switch(config)# spanning-tree loopguard default?? /—啟用Loop Guard特性—/

注意,Loop Guard和Root Guard特性不可同時使用.

到此可以看到這兩個都是對port fast帶來的潛在問題的預防。

先對兩種的具體區別進行比較:1.當在端口下兩種都配了,則filter會起作用。2.guard不收但會發bpdu而filter不收不發,如果將兩者配在了非host接口下,guard沒問題,但filter會產生環路,因為對面的接口收不到bpdu會進入forward。

root guard是配在dp上的,這樣來保護rp。

loop guard是配在block端口,使得此端口接受不到bpdu也保持在block狀態。

root和loop的比較:同一端口兩個都配了loop生效(loop默認開啟,所以手動關閉才能配root)。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=1747轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏