生成树之STP

STP目的

STP：生成树协议，旨在将一个环型网络结构修剪成一个树型的结构，达到防环的作用

STP的步骤

STP有如下几个步骤，选举出四种角色，共同构建起STP生成树

1、开启生成树的交换机，会互相发送BPDU

2、交换完BPDU信息之后，在通过SPA算法，确定这个网络中存在像下图这样的环路，就会开始选举一个交换机为根桥

3、选举出根桥后，会根据哪个端口离根桥最近的基本原则，去选举出根端口（RP）

4、选举出根端口后，在每一条STP链路上，会选举出指定端口（DP）

5、全部的端口都已经基本确定，接下来将没有生成树角色的端口进行阻塞掉即可（Block）

STP中的角色

STP中选举的过程中，诞生出了几种端口角色和交换机角色

交换机角色：根桥ROOT，端口角色：根端口（RP），指定端口（DP）

根桥的产生

先来了解一下根桥的产生，在互相发送BPDU的信息中，存在着每台设备的Bridge ID，也就是桥id

选举根桥的时候，会优先比较桥id，桥id更小的成为根桥

若是桥id一致时，则会比较优先级，优先级越小的成为根桥，同时根桥是可以由我们手动进行配置的，但优先级必须是4096的整数倍

手动修改交换机STP优先级命令如下

spanning-tree mode stp			//开启生成树，并配置其模式为stp
spanning-tree priorit ?			//查看优先级范围，结果显示只能为4096的整数倍<0-61440> Bridge priority in increments of 4096 (default value: 32768)
spanning-tree priorit 4096		//配置优先级为4096

如果再不济，优先级相同的话，可以比较MAC地址，MAC地址更小的则成为根桥

MAC地址可以通过show sysmac查看

根端口（RP）的产生

在表面上来看，根端口的产生是根据在非根交换机上哪个端口离根交换机最近的

实际上，这句话的信息量很大，1、根端口是产生于非根交换机上，而不会产生根交换机上

2、离根交换机最近，就需要看几个方面，①收到BPDU的cost值，即该端口去往根交换机所产生的开销，当然，开销越小，大多数离的越近

注意，这里不是普通的cost值，而是端口接收BPDU的cost值

如下图，通过计算开销得知，当然是①和②端口成为根交换机

当然，我们可以手动地去修改端口接收BPDU的cost值

int g0/1		//进入端口
spanning-tree cost ?		//查看g0/1接收BPDU的cost值的范围	<1-200000000> Port path cost

如果将接收BPDU的cost值改为一致，就需要比较在收到BPDU报文中桥id值，根据越小越优先的原则，桥id值最小的BPDU的接收端口将成为根端口（RP），其实某种意义上，这样的方式，也是变相地决定了桥id值最小的是离根交换机最近的端口，因为本身根桥的桥id就是最小的，所以哪个端口最先收到这个BPDU报文，哪个端口就是离根交换机最近的端口

当然，前面我们在选举根桥的时候就遇到了桥id一致的情况，这时就要看我们BPDU的端口id了，即端口优先级，依然是越小越优先的原则，哪个端口的端口id越小，则哪个端口就将成为根端口（RP）。同样地，端口id/端口优先级的数值也是可以进行配置的，但需要注意的是端口id只能是16的整数倍

int g0/1		//进入g0/1端口，更改BPDU端口id
spanning-tree port-priority ?		//查看端口id可配置范围<0-240> Port priority in increments of 16 (default value: 128)		//范围为0-240，且为16的整数倍，默认值为128

指定端口（DP）的产生

在选举完根桥、根端口后，就会开始指定端口的选举，需要注意的是，与前两者不同，指定端口产生的范围是在每个开启STP的链路上

也就是说每个STP的链路上都会选举出一个指定端口，指定端口最重要是通过比较同一条链路上BPDU

与选举根端口的套路相似，也是越小越优先，比较的顺序也相似，只不过，场景变换成了在链路上的端口，而不是在同一台交换机上的端口

1、先比较链路上发送BPDU端口中的cost值，cost较小的发送端口将成为指定端口（DP）

2、若是cost值一致，则比较发送端口发送BPDU的桥id大小，也是根据越小越优先的原则，桥id较小的成为DP

3、最后，若是桥id一致，则在同一条链路上比较端口上发送BPDU的port id，也就是端口id/端口优先级，port id较小的则成为DP

实际上，因为根端口一旦确定，就代表着指定端口也已经确定下来了。因为根端口和指定端口的选举看的东西都是一样的，如cost值、桥id、端口id

Block端口的产生

Block端口即阻塞端口，这就很简单了，那些除了RP和DP的端口，都是被阻塞的端口

RP、DP的作用

前面说了RP、DP是怎么产生的，但是还没有讲它们的作用是怎么样的

RP：是用来接收BPDU报文的

DP：是用来发送BPDU报文的

没错，就是这么的简单!!!

生成树的几个状态

从交换机通过spanning-tree命令开启生成树，到生成树建立完成，或是故障恢复时，交换机一共经历了4个阶段

1、blocking，阻塞阶段。2、listening，监听阶段。3、learning，学习阶段。4、forwarding，转发阶段，这也是表示创建成功的最后一个阶段

其中当出现某条线路故障的时候，生成树因为原本起到了一个阻塞端口的作用，就表示哪个阻塞的端口可以成为备份端口，当网络出现故障的时候，还有备份端口顶上去

其中恢复故障也是需要一定的时间的，从监听到学习MAC地址就要花费30s的时间，而由学习MAC地址表完成则又需要15s的时间

还有一种端口状态为disable，可以理解为STP中最懒的一个端口状态

这五种端口状态除了在不同时期体现出来，还体现在BPDU报文的处理

1、disable状态：不接受、不发送和不监听BPDU报文

2、blocking状态：不接收、不转发数据，接收但是不转发BPDU报文（这叫做持续监听BPDU报文），不会对地址进行学习

监听的目的则是时刻保证生成树的能够重新计算

3、listening：不接受、不转发数据，接收并发送BPDU报文，不会对地址进行学习

端口角色的选举

4、learning：不接受、不转发数据，接收并发送BPDU报文，开始对地址进行学习

5、forwarding：开始接收并转发数据，接收并发哦是那个BPDU报文，对地址进行学习

STP原理

上述说的一切一切都是基于STP所用的算法，即SPA算法

开启STP之后，SPA算法会判断在网络中是否有环路，只有产生了环路，才会进行后续的工作

判断有环路之后，SPA就会使得交换机发送BPDU报文，使得BPDU报文在交换机之间进行交换

各个交换机根据收到的BPDU报文，依据BPDU报文中的各类信息（如桥id，cost值和端口id）进行各类端口角色的选举

SPA和BPDU

BPDU就是由SPA算法进行发送的

上述进行说到BPDU中的桥id、cost值和端口id，实际上，桥id、cost值和端口id就是BPDU报文中包含的信息

桥id：桥id是由MAC地址+交换机开启STP的优先级组成

cost：根路径开销，就是交换机到达根交换机的开销值。这个开销值是依赖于带宽的，带宽越大，开销值就越低

端口id：端口id由端口的优先级和端口的编号所组成

恢复故障时间以及场景

当网络出现故障或是网络拓扑出现变化的时候，生成树才会进行重新的收敛

重新收敛可以理解为交换机重新进行生成树的计算

所以重新收敛的时间=开启生成树接口的时间+接口进入转发状态的时间

而这个重新收敛的时间取决不同的场景，但可以肯定的是至少需要30s的时间，前15s用来从listening状态到learning状态。这个前15s是用来进行各个端口角色的重新选举了，后15s就是从learning状态到forwarding状态，这个后15s使用来学习MAC地址表的

而故障的类型主要分为直连故障和非直连故障

直连故障需要30s的时间来恢复，如下图，这30s就是前面经常提到的listening---->learning的15s+learning ----->forwarding的15s=30s

非直连故障

非直连故障则需要等待50s的恢复时间，即上述说过的重新计算的30s+等待老化时间20s=50s

非直连故障主要在于理解那个老化时间是什么

老化时间，类似于OSPF中的hello时间，因为网络使一个动态的过程，随时都有可能发生变化

所以交换机就是通过老化时间，经过固定的时间后重新了解网络拓扑发生的什么变化

简单来说，交换机也不能闭门造车，也需要看看外面的世界发生了什么

STP配置

STP的配置非常简单，只需要开启生成树，配置优先级即可

SW1(config)#spanning-tree 
SW1(config)#spanning-tree mode stp			//默认开启的是MSTP
SW1(config)#spanning-treen port-priority ?		//查看优先级的配置范围
<0-240> Port priority in increments of 16 (default value: 128)

STP高级特性之postfast端口

postfast端口最主要是针对在生成树当中，交换机与PC相连的接口

由于与PC相连的接口是没有必要列入到生成树的计算当中的，否则将会产生不必要的时间进行运算

还有最重要的一点是，若是下连PC的端口没有配置的portfast端口的话，则会导致下连PC的端口也参与到生成树的计算当中，由于SPA的计算至少需要30s时间，所以会导致用户的上网体验及其不佳

配置的portfast端口之后，则会直接跳过那SPA计算的30s，即直接进入forwarding状态

为什么Portfast端口还会发送BPDU呢？因为portfast端口需要让其它生成树范围内的端口认为这是一个portfast端口

但如果一不小心，将portfast端口加入到与交换机连接的端口的话，由于portfast不会进行生成树的计算

一旦不进行生成树的计算的话，就会容易出现大问题，即产生环路，因为不做生成树配置的端口就相当于普通的端口一样了

所以当一个portfast端口收到了BPDU报文之后，则经过30s(2个forwarding delay时间)后porttfast端口将会重新到生成树的计算当中，即进入forwarding的状态

配置命令

int g0/1
spanning-tree portfast

STP高级特性之BPDU Guard

BPDU Guard意思为BPDU 保护，BPDU保护是针对那些不应该受到BPDU报文的端口，如(portfast端口)

当配置上BPDU Guard端口之后，如果再次收到了BPDU报文之后，就会立即关闭端口，即非人为的shutdown掉端口

并将端口设置为error-disabled状态，意思就是错误地关闭

如果想将error-disabled端口重新开启之后的话，有两种方式，手动和自动

1、手动开启端口，进入端口之后敲no shutdown

2、全局下配置命令

errdisabled recovery interval 300s		//将error-disabled的端口经过30s之后重新开启

BPDU Guard端口的配置

1、可以选择全局下配置

spanning-tree portfast bpduguard default

2、在接口下启用BPDU Guard

int g0/1
spanning-tree bpduguard enabled

STP高级特性之BPDU Filter

BPDU Filter最主要的功能是过滤掉接口上收到或发出的BPDU报文

如果将BPDU Filter与portfast端口相互结合，原本还发送BPDU的portfast报文的端口，现在变为即不接收BPDU报文也不发送BPDU报文了

需要注意的是portfast+BPDU Filter的组合，当portfast失效了之后，则BPDU Filter也就失效了

因为portfast端口失效后，就表示开始发送BPD报文了，由于BPDU Filter的作用是过滤收到或发出的BPDU报文，那中不能对自己的BPDU报文进行过滤吧

BPDU Filter端口的配置命令

全局模式下配置

spanning-tree portfast bpdufilter default

接口下配置

int g0/1
spanning-tree bpdufilter enabled

STP高级特性之TC-protection

TC-protection即为TC-BPDU的保护

我们首先需要了解TC-BPDU这种包，TC-BPDU就是一个携带者TC标志的BPDU报文

当交换机收到TC-BPDU报文之后，则表示网络拓扑发生了变化，交换机会进行对MAC地址表项的删除动作，对于三层交换机，还会引发转模块的重新打通，并改变ARP表项的端口状态

知道了TC-BPUD后，就需要了解TC-BPDU报文带来的隐患，若是这个时候，有一台黑客PC机，对SW2不断的发出TC-BPDU报文，则SW2会将不断地重复删除MAC地址表项和引发转模块的重新打通，并改变ARP表项的端口状态的动作，这会使得SW2的CPU负荷迅速地增高

当我们配置上了TC-protection端口之后，交换机会每隔一个固定的时间段(通常是4s)，再去进行MAC地址表的删除操作，同时监控该时间段内是否受到了TC-BPDU报文，如果有，则交换机会在改时间超时之后再进行一次删除的操作

如下，由于黑客PC不断发出了TC-BPDU报文，SW2上又配置了TC-protection端口，则SW2每隔4s才会对MAC地址表进行删除

TC-protection端口的配置命令

在全局下配置

spanning-tree tc-protection

STP的实验结果

查看生成树的结果

show spanning-tree summary