后,端口如果收到BPDU,将会把端口状态调整到Err-Disable.如下是一个出错信息:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1 2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
如图所示,A的优先级为10,为该vlan的根桥,B的优先级为20,为备份根桥,B和A之间的链路为Gbit/s链路,正确的BPDU流向,如下图
如果D为一台基于Linux的软件网桥,可以发送BPDU报文,并将自身BID的优先级设置为0,此时,D将成为根桥,故BPDU流向变为右图, A,B间的Gbit/s链路被阻塞,通过C走100Mbit/s链路。此时会超负载出现丢包的情况, BPDU保护的目的就是基于这种情况,防止接入设备对整个网络拓扑的影响。
配置方式: 在全局模式:
Switch(config)#spanning-tree portfast bpduguard default 接口模式:
Switch(config-if)#spanning-tree bpduguard enable
注意在全局模式配置了portfast默认打开BPDU保护,需要在相应的接口上打开portfast才能启用
中国建设银行 湖北省分行信息技术部
第 10 页,共 14 页
关于生成树高级特性的介绍,请对于不链接设备的交换机端口(链接PC或终端的)设置为边缘端口:
命令例:
stp enable 开启STP功能 stp root primary 设置为主根 stp root secondary 设置为次根
stp edged-port enable 在端口模式下设置本端口为边缘端口
对于容易产生广播风暴的交换机可设置风暴抑制 broadcast-suppression
3.3. VLAN及Trunk设置
交换机网内部二层交换机之间配置Vlan Trunk实现Vlan的互通,Vlan Trunk采用IEEE 802.1Q Trunk协议格式。对于思科交换机之间以及思科交换机与其它品牌交换机之间互连时需关闭DTP协议。交换机间Trunk互联接口需明确配置为Trunk模式,并封装802.1Q。
交换机之间可通过Vlan管理协议维护交换机中的Vlan动态注册信息,并传播该信息到其它的交换机中。
Vlan管理协议便于在较大规模的网络中管理Vlan配置,对于较小规模的网络建议由每台交换机独立管理Vlan信息。
连接客户端PC的接入端口,需明确配置为访问模式,关闭Trunk。
VLAN定义
VLAN ID 10 20 35 172-189 130 100 102 中国建设银行 湖北省分行信息技术部
名称 LAN_A LAN_B GuoJiKa OA SuoWei Network_Manage CIC-NMS-USER
说明 R1互联R2 R1互联R2 国际卡 办公网段 OA网在用 网管 CIC-NMS-USER 第 11 页,共 14 页
110 120 128 140 150 151 159 198 LookBack x GuanLi YeWu_ZH1 Video YeWu_HB1 Internet NetManage_ZH IPCC PeiXun Network_Manage 企业管理 综合业务1 视频 综合业务2 互联网 网管 IPCC 培训 网络管理口
3.4. 网关备份协议
标准交换机网采用VRRP协议实现网关的冗余备份。内部服务器通过VRRP虚拟IP地址与外部网络实现IP层通信,VRRP通过优先级和接口IP地址选举主虚拟网关,主虚拟网关提供实际的路由转发服务。当虚拟网关故障时, 备份虚拟网关取代主虚拟网关状态保持局域网正常通信。
为了提高数据转发效率,VRRP部署时应将Vlan二层生成树根和三层MASTER地址设置在同一台交换机。
思科交换机采用私有的HSRP技术实现网关的冗余备份,,H3C交换机VRRP建议设置为virtual-mac模式。
4. 附录
4.1. 生成树协议
STP的作用是通过阻断冗余链路,使一个有回路的桥接网络修剪成一个无回路的树形拓扑结构
交换机网通过Spanning Tree算法建立节点间的生成树,防止交换机网的冗余连接产生二层环路。Spanning Tree协议通过交换BPDU(桥协议数据单元)自动学习生成树路径。
STP环路问题是最常见的局域网故障,并且环路发生将影响整个局域网的工作,危害较大。通过配置必要的预防措施可以有效的消除STP形成环路的可能,并且也有利于STP环路的排障。
中国建设银行 湖北省分行信息技术部 第 12 页,共 14 页
4.2. 生成树协议(STP)类型选择
STP有多种标准,常用的类型有:CST,RSTP和MSTP,以及我行使用较多的思科私有PVST、PVST+协议。
1)
Common Spanning Tree(CST)协议:公共生成树
整个网络里的一棵“大”的树结构 每个域在CST中只是一个节点 是整个网络的宏观拓扑CST协议配置、管理简单,消耗交换机CPU小,但Spanning Tree的收敛时间较长。
2)RSTP(IEEE 802.1w) -快速生成树协议
RSTP(IEEE 802.1w)又称为“快速生成树协议”,是在IEEE 802.1d协议(STP)基础上发展而来的,所有Vlan共享一个生成树。这种协议在网络结构发生变化时,能更快的收敛网络。
3)MSTP(IEEE 802.1s)-多生成树协议
MSTP是IEEE 802.1s中提出的一种STP和VLAN结合使用的新协议,它既继承了RSTP端口快速迁移的优点,又解决了RSTP中不同vlan必须运行在同一棵生成树上的问题但配置较复杂。
4)PVST和PVST+协议-CISCO
Per-Vlan Spanning Tree (PVST)协议和Per-Vlan Spanning Tree Plus(PVST+)是思科发展的STP协议。使用PVST+协议,每个Vlan各自按照各自独立的STP信息维持生成树。
交换机网STP协议配置需遵循以下原则:
1)对于采用标准协议的交换机网络或异种品牌混合使用的交换机网络使用MSTP协议。
2)对于思科交换机组成的网络使用Rapid-PVST协议。
3)对于两个采用三层VLAN互连的交换机网,如果两侧交换机运行的STP协议不同,应采用关闭STP协议的方式避免连接问题。
4.3. Cisco生成树协议增强特性指南
Cisco交换机间互联采用Rapid-PVST模式。
将XX _SW_1指定为所有VLAN的根交换机,XX _SW_2指定为所有VLAN的次根交换机。
启用Portfast、BPDU Guard、RootGuard、LoopGuard等生成树增强功能,用于进一步保护生成树,下图展示了如何使用这些增强特性。
中国建设银行 湖北省分行信息技术部 第 13 页,共 14 页
图表 5 Cisco生成树协议特性指南
PortFast在汇聚交换机和扩展交换机连接主机的接口上启用。 BPDU Guard在汇聚交换机和扩展交换机全局启用。
RootGuard特性在汇聚交换机连接扩展交换机的接口上启用。 LoopGuard使用在根接口或阻塞接口上。
UDLD特性在汇聚交换机和扩展交换机上全局启用。
Portfast特性使得连接主机的接口可以跳过侦听和学习状态,直接由阻塞状态转为转发状态。
BPDU Guard特性启用在接口模式时,在该接口接收到BPDU报文时将该接口设置为errdisable状态,接口不可用,一般需要手工恢复;当全局启用时,仅对Portfast接口生效。
RootGuard特性用于防止指定接口变为根接口或者阻塞接口,当该接口接收到更优的BPDU报文,则被置于Root-Inconsistent,不可用,若停止接收更优的BPDU报文,接口便自动恢复为转发状态。
LoopGuard特性用于根接口和阻塞接口,用于保证它们不断的接收BPDU报文,如果停止接收,则将接口置于Loop-Inconsistent状态,不可用,当再次接收到BPDU报文后,接口自动收敛。LoopGuard和RootGuard是相互矛盾的,不能同时使用在同一接口。
UDLD即单向链路检测,用于防止链路发生单向通信终端而导致STP环路。
中国建设银行 湖北省分行信息技术部
第 14 页,共 14 页
