快速生成树协议

第六章RSTP（快速生成树协议）配置6.1 生成树简介STP（Spanning Tree Protocol）是生成树协议的英文缩写。

STP的目的是通过协商一条到根交换机的无环路径来避免和消除网络中的环路。

它通过一定的算法，判断网络中是否存在环路并阻塞冗余链路，将环型网络修剪成无环路的树型网络，从而避免了数据帧在环路网络中的增生和无穷循环。

STP在网络中选择一个被称为根交换机的参考点，然后确定到该参考点的可用路径。

如果它发现存在冗余链路，它将选择最佳的链路来负责数据包的转发，同时阻塞所有其它的冗余链路。

如果某条链路失效了，就会重新计算生成树拓扑结构，自动启用先前被阻塞的冗余链路，从而使网络恢复通信。

MyPower S41xx以太网交换机所实现的快速生成树协议RSTP，是生成树协议的优化版。

其快速体现在根端口和指定端口进入转发状态的延时在某种条件下大大缩短，从而缩短了网络拓扑稳定需要的时间。

6.2 RSTP配置任务列表只有启动RSTP后各项配置任务才能生效，在启动RSTP之前可以配置设备或以太网端口的相关参数。

RSTP关闭后这些配置参数仍然有效。

RSTP 主要配置任务列表如下：◆启动/关闭设备RSTP 特性◆启动/关闭端口RSTP 特性◆配置RSTP 的工作模式◆配置交换机的Bridge 优先级◆配置交换机的Forward Delay 时间◆配置交换机的Hello Time时间◆配置交换机的Max Age 时间◆配置交换机路径耗费值的版本号◆配置特定端口是否可以作为EdgePort◆配置端口的Path Cost◆配置端口的优先级◆配置端口是否与点对点链路相连◆配置端口的mCheck 变量6.2.1 启动/关闭设备RSTP特性配置命令spanning-tree {enable|disable}【配置模式】全局配置模式。

【缺省情况】缺省RSTP功能是“enable”。

6.2.2 启动/关闭端口RSTP特性为了灵活的控制RSTP工作，可以关闭指定以太网端口的RSTP特性，使这些端口不参与生成树计算。

STP（生成树协议）、RSTP（快速生成树协议）、MSTP（多生成树协议），这三个协议都是二层交换网络中为了防止环路和实现链路冗余而设计的，他们之间有什么区别与联系呢？本文为您详细介绍。

STP、RSTP、MSTP基本概念1、STP（802.1d）STP协议生来就是为了冗余而存在的，单纯树型的网络无法提供足够的可靠性，由此我们引入了额外的链路，这才出现了环路这样的问题。

但单纯是标准的802.1D STP协议并不能实现真正的冗余与负载分担。

STP为IEEE 802.1D标准，它内部只有一棵STP tree，因此必然有一条链路要被blocking，不会转发数据，只有另外一条链路出现问题时，这条被blocking的链路才会接替之前链路所承担的职责，做数据的转发。

无论怎样，总会有一条链路处于不被使用的状态，冗余是有了，但是负载分担是不可想象的。

cisco对STP做了改进，它使得每个VLAN都运行一棵stp tree，这样第一条链路可以为vlan 1 2 3服务，对vlan 4 5 6 blocking，第二条链路可以为vlan 4 5 6 forwarding，对vlan 1 2 3关闭，无形中实现了链路的冗余，负载分担。

这种技术被称之为PVST+随着网络的发展，人们发现传统的STP协议无法满足主备快速切换的需求，因为STP协议将端口定义了5种状态，分别为：blocking listening learning forwarding disabling，想要从blocking切换至forwarding状态，必需要经过50秒的周期，这50秒我们只能被动地去等待。

20秒的blocking状态下，如果没有检测到邻居发来的BPDU包，则进入listening，这时要做的是选举Root Bridge、Designate Port、Root Port，15秒后，进入learning，learning状态下可以学习MAC地址，为最后的forwarding做准备，同样是15秒，最后到达转发状态。

8快速生成树配置【实验名称】快速生成树协议RSTP的配置。

【实验目的】理解快速生成树协议RSTP的配置及原理。

【背景描述】某学校为了开展计算机教学和网络办公，建立了一个计算机教室和一个校办公区，这两处的计算机网络通过两台交换机互连组成内部校园网，为了提高网络的可靠性，网络管理员用2条链路将交换机互连，现要在交换机上做适当配置，使网络避免环路。

本实验以两台交换机为例，两台交换机分别命名为SwitchA、SwitchB。

PC1与PC2在同一个网段，假设IP地址分别为192.168.0.137，192.168.0.136，网络掩码为255.255.255.0。

【实现功能】使网络在有冗余链路的情况下避免环路的产生，避免广播风暴等。

【实验设备】交换机（两台）、主机（两台）、直连线（4条）12【实验拓扑】图8按照拓扑图连接网络时注意，两台交换机都配置快速生成树协议后，再将两台交换机连接起来。

如果先连线再配置会造成广播风暴，影响交换机的正常工作。

【实验步骤】步骤1.交换机A 的基本配置。

Switch#configure terminalSwitch(config)#hostname switchA switchA(config)#vlan 10switchA(config-vlan)#name slaes switchA(config-vlan)#exitswitchA(config)#interface fastethernet0/3switchA(config-if)#switchport access vlan 10switchA(config-if)#exitswitchA(config)#interface range fastethernet 0/1-2switchA(config-if-range)#switchport mode trunk步骤2.交换机B 上的基本配置。

Switch#configure terminalSwitch(config)#hostname switchB switchB(config)#vlan 10switchB(config-vlan)#name slaesswitchB(config-vlan)#exitswitchB(config)#interface fastethernet0/3switchB(config-if)#switchport access vlan10switchB(config-if)#exitswitchB(config)#interface range fastethernet0/1-2switchB(config-if-range)#switchport mode trunk步骤3.配置快速生成树协议。

快速生成树协议（802.1w）注：本文译自思科的白皮书Understanding Rapid Spanning Tree Protocol（802.1w）.---------------------------------------------------------------------------------------------------------------------- 介绍Catalyst 交换机对RSTP的支持新的端口状态和端口角色端口状态（Port State）端口角色（Port Roles）新的BPDU格式新的BPDU处理机制BPDU在每个Hello-time发送信息的快速老化接收次优BPDU快速转变为Forwarding状态边缘端口链路类型802.1D的收敛802.1w的收敛Proposal/Agreement 过程UplinkFast新的拓扑改变机制拓扑改变的探测拓扑改变的传播与802.1D兼容结论---------------------------------------------------------------------------------------------------------------------- 介绍在802.1d 生成树（STP）标准设计时，认为网络失效后能够在1分钟左右恢复，这样的性能是足够的。

随着三层交换引入局域网环境，桥接开始与路由解决方案竞争，后者的开放最短路由协议（OSPF）和增强的内部网关路由协议（EIGRP）能在更短的时间提供备选的路径。

思科引入了Uplink Fast、Backbone Fast和Port Fast等功能来增强原始的802.1D标准以缩短桥接网络的收敛时间，但这些机制的不足之处在于它们是私有的，并且需要额外的配置。

快速生成树协议（RSTP；IEEE802.1w）可以看作是802.1D标准的发展而不是革命。

实验五快速生成树配置实验目标理解生成树协议工作原理；掌握快速生成树协议RSTP基本配置方法；实验背景学校为了开展计算机教学和网络办公，建立的一个计算机教室和一个校办公区，这两处的计算机网络通过两台交换机互联组成内部校园网，为了提高网络的可靠性，作为网络管理员，你要用2条链路将交换机互连，现要求在交换机上做适当配置，是网络避免环路。

技术原理生成树协议（spanning-tree）,作用是在交换网络中提供冗余备份链路，并且解决交换网络中的环路问题；生成树协议是利用SPA算法，在存在交换机环路的网络中生成一个没有环路的属性网络，运用该算法将交换网络的冗余备份链路从逻辑上断开，当主链路出现故障时，能够自动的切换到备份链路，保证数据的正常转发。

生成树协议版本：STP、RSTP（快速生成树协议）、MSTP（多生成树协议）。

生成树协议的特点收敛时间长。

从主要链路出现故障到切换至备份链路需要50秒时间。

快速生成树在生成树协议的基础上增加了两种端口角色，替换端口或备份端口，分别作为根端口和指定端口。

当根端口或指定端口出现故障时，冗余端口不需要经过50秒的收敛时间，可以直接切换到替换端口或备份端口，从而实现RSTP协议小于1秒的快速收敛。

实验步骤新建packet tracer拓扑图默认情况下STP协议是启用的。

通过两台交换机之间传送BPDU协议数据单元。

选出跟交换机、根端口等，以便确定端口的转发状态。

图中标记为黄色的端口处于block堵塞状态。

设置RSTP。

查看交换机show spanning-tree状态，了解跟交换机和根端口情况。

通过更改交换机生成树的优先级spanning-tree vlan 10 priority 4096可以变化跟交换机的角色。

测试。

当主链路处于down状态时候，能够自动的切换到备份链路，保证数据的正常转发。

实验设备Switch_2960 2台；PC 2台；直连线（各设备互联）PC1IP: 192.168.1.2Submask: 255.255.255.0Gateway: 192.168.1.1PC2IP: 192.168.1.3Submask: 255.255.255.0Gateway: 192.168.1.1S1enshow spanning-treeconf thostname S1int fa 0/10switchport access vlan 10exitint rang fa 0/1 - 2switchport mode trunkexitspanning-tree mode rapid-pvst endS2enconf thostname S2int fa 0/10switchport access vlan 10 exitint range fa 0/1 - 2 switchport mode turnkexitspanning-tree mode rapid-pvst endshow spanning-treePC1ipconfigping -t 192.168.1.3S2enconf tint fa 0/1shut（查看PC1的ping情况是否正常）。

快速生成树协议1. 简介快速生成树协议（Rapid Spanning Tree Protocol，简称RSTP）是一种用于构建和维护网络中的生成树的协议。

生成树是一个无环的拓扑结构，能够确保数据在网络中以最佳路径传输，避免了网络中的循环路径，提高了网络的可靠性和性能。

RSTP是对经典生成树协议（Spanning Tree Protocol，简称STP）的改进和优化，它的设计目标是在网络拓扑结构发生变化时，尽快地适应变化，并通过快速收敛恢复网络正常运行。

2. 生成树协议的背景在一个复杂的网络中，存在着大量的交换机和链路，如果不采取措施，很容易出现网络中的循环路径。

循环路径会导致数据包在网络中不断地循环传输，浪费了网络带宽和资源，甚至会导致网络的瘫痪。

为了解决这个问题，生成树协议应运而生。

生成树协议通过在网络中选择一棵无环的拓扑结构，将网络划分为一个主干路径和多个支线路径，确保数据只在主干路径上传输，避免了循环路径的问题。

3. RSTP的特点RSTP相对于STP具有以下几个特点：3.1 快速收敛当网络拓扑结构发生变化时，RSTP能够更快地收敛，恢复网络的正常运行。

RSTP引入了Port Roles（端口角色）和Port States（端口状态）的概念，通过优化根据端口角色和状态的变化，减少了收敛时间。

3.2 兼容STPRSTP是对STP的改进，它与STP保持了一定的兼容性。

RSTP可以与STP的设备进行交互，逐步替代STP，而无需对网络基础设施进行大规模的升级。

3.3 拓扑变化通告RSTP引入了拓扑变化通告机制，当网络发生拓扑变化时，会通过特定的消息通知其他设备。

这种机制能够快速地传播拓扑变化信息，加速网络的收敛过程。

3.4 多实例支持RSTP支持在一个物理设备上运行多个独立的生成树实例。

这种支持使得网络管理员能够根据实际需求，灵活地构建多个生成树，提高网络的可用性和性能。

4. RSTP的工作原理RSTP的工作原理可以概括为以下几个步骤：4.1 生成树根选举在RSTP网络中，首先需要选举出一台交换机作为生成树的根节点（Root Bridge）。

STP-6-快速⽣成树协议-新端⼝⾓⾊，状态和类型以及新链路类型IEEE 802.1w快速⽣成树协议（RSTP）增强了802.1D标准，在设计合理的⽹络中收敛时间远少于1秒。

端⼝状态从5个减少到3个丢弃状态是在端⼝刚启⽤时的默认状态，边界端⼝除外，它的默认状态是转发状态。

丢弃端⼝类似于传统STP中的阻塞状态，也是会持续处理收到的BPDU的，根据⾓⾊⽽定还会发送BPDU。

RSTP根据端⼝在拓扑中的⽬的或⾓⾊来定义它的状态，其中定义了4个独⽴的端⼝⾓⾊：根端⼝（保持原意）；指定端⼝（保持原意）；替换端⼝（⽤来替换交换机⾃⼰根端⼝的端⼝）；（可以⽴即接替）备⽤端⼝（⽤来替换交换机⾃⼰在共享⽹段中指定端⼝的端⼝）。

（这个要等相应计时器超时后接替）如果交换机上的两个物理端⼝连接到相同的共享LAN，在指定端⼝失效后，所有备⽤端⼝在连续缺失3个BPDU后都变为指定丢弃端⼝，只有⼀个⼀直保持指定丢弃状态，其他次优端⼝在收到新指定端⼝发出的BPDU后变回备份丢弃状态。

由于连接到共享链路的端⼝并不发送提议（Proposal），因此从备⽤端⼝直接变为指定端⼝的做法是不安全的。

端⼝在刚启⽤时，默认⾓⾊是指定端⼝。

最后，在RSTP中，端⼝有类型：端⼝可以为边界（Edge）端⼝或⾮边界（Non-Edge）端⼝。

由于Cisco的PortFast特性，这个属性已被业界熟知。

边界端⼝在启⽤之后⽴刻会变为指定转发（DesignatedForwarding）端⼝。

它仍发送BPDU，但不应该收到任何BPDU。

如果边界端⼝上收到了⼀个BPDU，这个边界端⼝将变回⾮边界类型的端⼝，并开始执⾏普通RSTP端⼝的操作。

配置中并不会移除什么命令；只有端⼝运⾏时的操作状态将会改变。

这个端⼝在失效并再次启动后，会再次成为边界端⼝；甚⾄在它断开连接/重新连接，或者关闭并重新开启后，都会再次成为边界端⼝。

没有⼀种可靠的⽅式可以⾃动检测⼀个端⼝到底是边界，还是⾮边界端⼝。

rstp端口角色选举规则RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是一种网络链路层协议，用于在由交换机和网桥组成的网络中防止网络环路的生成，同时提高了网络的性能和可靠性。

端口角色选举规则是RSTP协议中的一项核心规则，本文将围绕这一规则为您详细介绍RSTP协议的工作原理。

RSTP协议可以支持多个交换机和网桥的连接，这些设备都拥有多个端口。

当这些设备通过多个链路互联时，很容易产生网络环路，从而导致网络数据包重复传输、拥塞和丢失等问题。

为了解决这些问题，RSTP协议通过选举端口角色的方式来控制网络中的链路状态，并建立一棵生成树来实现网络的正常运行。

RSTP协议中的端口角色包括根端口、设计端口、指定端口和备选端口。

根端口是所有交换机和网桥中最接近根桥的端口，而根桥是网络中唯一的根设备。

设计端口是从某个设备到根设备的最短路径上的端口，指定端口是除设计端口和根端口之外的其他端口，备选端口是在STP协议中备选的端口，当其他端口不可用时，备选端口可以转换为指定端口。

对于RSTP协议中的端口角色分类，每种角色的状态不同，其功能也不同。

如根端口（root port）需要负责将数据帧发送到root bridge。

因此RSTP协议通过选举端口角色的方式来控制网络中的链路状态，从而保证网络传输的正常运行。

端口角色的选举过程是由设备之间自动完成的。

当设备接入网络时，端口开始在RSTP协议中进行选举，纳入从端口角色选举中，特定设备拥有更高的优先级，以保持网络不间断地运行。

设备的优先级可以通过设备中的优先级值进行定义和设置。

除了优先级之外，RSTP协议还会考虑其他因素，例如端口到根设备的距离、端口的开销、端口能力等因素来决定端口的角色。

总体而言，RSTP协议通过端口角色的选举来控制网络链路状态，以实现网络的正常运行。

端口角色的选举过程是自动进行的，并在设备中设置优先级值来定义最优的端口角色。

rstp快速生成树协议总结
RSTP（Rapid Spanning Tree Protocol）是一种快速生成树协议，用于在网络中建立冗余路径，以防止环路并提供冗余的链路故障恢复机制。

以下是RSTP协议的总结：
1. 快速收敛：RSTP相比传统的生成树协议(STP)具有更快的收敛速度。

它通过减少端口状态转换的时间来实现快速收敛，当网络拓扑发生改变时，RSTP能够更快地重新计算生成树，并将端口从阻塞状态转换为转发状态。

2. 端口状态：RSTP引入了三种新的端口状态，分别是指定端口（designated port）、根端口（root port）和备选端口（alternate port）。

指定端口是网络中最佳路径的一部分，用于传递数据；根端口是与根交换机直接相连的端口；备选端口是与指定端口相连的冗余路径上的端口。

3. 持续活动：RSTP通过发送BPDU（Bridge Protocol Data Unit）来保持网络中的持续活动。

BPDU包含了生成树相关信息，用于交换和更新网络中的拓扑信息，以确保生成树的正确性。

4. 快速端口转移：RSTP支持端口的快速转移。

当某个端口检测到另一个交换机的BPDU时，它会立即将该端口转换为指定端口，并中断旧的生成树计算。

5. 兼容性：RSTP是对传统生成树协议(STP)的改进，具有很好的兼容性。

RSTP可以在现有的STP网络中运行，并与STP设备进行互操作。

总之，RSTP协议通过提供更快的收敛速度和故障恢复机制，以及支持冗余路径的转发，提高了网络的可用性和可靠性。

它是一种广泛应用于以太网中的快速生成树协议。

STP生成树协议的功能：局域网中为了避免环路形成的广播风暴，需要阻塞冗余链路，消除环路，并且在主链路中断时，又可以将冗余链路自动切换为转发状态，恢复网络的连通性。

STP（spanning tree protocol，生成树协议）用于消除数据层物理环路的协议通过在桥之间交换BPDU（bridge protocol data unit，桥协议数据单元），来保证设备完成生成树的计算过程。

小知识：环路产生的原因：1.基于局域网的可靠性，为交换机之间提供冗余连接；2.错误的网络配置导致环路产生；根桥（root bridge）：整个生成树的根节点，有所有交换机中优先级最高的交换机担任。

桥ID：包含桥优先级和MAC地址（长度是8B），由于MAC 在网络中是唯一的，故：桥ID也是唯一的，先比较优先级在比较MAC地址；（优先级值和MAC值越小越优）路径开销（path cost）：STP中每一条链路都有开销值，用于衡量桥与桥之间的优劣；指定桥（designate bridge）：负责一个物理端上数据转发任务的桥，由物理端上优先级最高的桥担任。

、端口角色：根端口（root port）：是指网桥距离根桥最近的端口。

根桥没有根端口，每一个非根桥有且只有一个根端口；指定端口（designate port）：是指物理端上属于指定桥的端口。

根桥是所有网桥中优先级最高的，它是其所连接所有物理端上的指定桥，所以通常情况下根桥的所有端口都是指定端口；阻塞端口（alternate port）：既不是根端口又不是指定端口，剩下的就是阻塞端口，它是用来为根端口或指定端口做备份。

是网桥到达根桥的备份路径；注：当拓扑发生变化时，节点重新计算，收敛成新的树型拓扑；STP使用BPDU（bridge protocol data unit，桥数据单元）来交互信息；配置BPDU：用来进行生成树计算和维护生成树拓扑的报文；TCN BPDU：当拓扑结构发生变化时，用来通知相关设备网络拓扑发生变化的拓扑；端口状态：Disabled：未启用STP功能的端口：不接收BPDU，不进行地址学习，不收发数据；Blocking：非指定端口或根端口：不接收BPDU，不进行地址学习，不收发数据；Listening:接收BPDU，不进行地址学习，不收发数据；Learning：接收BPDU，进行地址学习，不收发数据；Forwarding:指定端口或根端口：接收BPDU，进行地址学习，收发数据；生成树（STP）的不足：端口从阻塞状态进入转发状态必须经历两倍的forwarding delay时间如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性RSTP（rapid spanning tree protocol快速生成树协议）：是STP协议的优化版STP和RSTP的不同点：RSTP减少了端口的状态RSTP增加了端口的角色RSTP配置BPDU的格式和发送方式有所改变当网络拓扑发生变化时，RSTP的处理方式不同，可以实现更为快速的收敛RSTP具备STP的所有功能桥优先级配置：【H3C】stp priority 4096桥优先级字段共有16位，包含优先级位和0比特两部分。

简述stp生成树协议的由来STP（生成树协议）的由来主要源于解决二层环路交换网络中的环路问题。

在二层以太帧中，没有防止环路的机制，一旦存在环路，就会导致报文在环路内不断循环和增生，产生广播风暴，从而占用大量的带宽和资源，使网络变得不可用。

在这种背景下，STP（生成树协议）应运而生。

它是一种二层管理协议，通过有选择性地阻塞网络冗余链路来消除二层环路，同时具备链路备份功能。

STP最初被广泛运用的是IEEE 802.1d-1998 STP。

随后在此基础上产生了IEEE 802.1w RSTP（快速生成树协议）和IEEE 802.1s MSTP（多生成树协议）。

STP的基本原理是，通过在交换机之间传递一种特殊的协议报文，网桥协议数据单元（Bridge Protocol Data Unit，简称BPDU），来确定网络的拓扑结构。

BPDU有两种，配置BPDU（Configuration BPDU）和TCN BPDU。

前者是用于计算无环的生成树的，后者则是用于在二层网络拓扑发生变化时产生用来缩短MAC表项的刷新时间的（由默认的300s缩短为15s）。

STP的基本思想就是按照“树”的结构构造网络的拓扑结构，树的根是一个称为根桥的桥设备，根桥的确立是由交换机或网桥的BID（Bridge ID）确定的，BID最小的设备成为二层网络中的根桥。

BID又是由网桥优先级和MAC地址构成，不同厂商的设备的网桥优先级的字节个数可能不同。

由根桥开始，逐级形成一棵树，根桥定时发送配置BPDU，非根桥接收配置BPDU，刷新最佳BPDU并转发。

STP（生成树协议）通过以下方式避免环路的产生：1.根桥选举：STP首先在网络中选举一个根桥（Root Bridge），这是整个STP域的管理中心。

根桥的选择基于桥ID，桥ID最小的设备将成为根桥。

2.计算最短路径：每个设备都会发送BPDU（Bridge Protocol Data Units）信息，用于建立桥间通信。

快速生成树协议快速生成树协议（Rapid Spanning Tree Protocol，简称RSTP）是一种用于计算构建和维护以太网局域网中的快速生成树的网络协议。

它是对传统生成树协议（STP）的改进，提供了更快的收敛时间和更高的网络性能。

RSTP的目标是在网络发生故障或拓扑变化时，快速计算和建立一棵无环的树形拓扑结构，以确保数据的快速和可靠的传输。

相比于STP，RSTP采用了一些新的机制和算法，使其能够更快速地适应网络变化并重新计算生成树。

RSTP中的一个重要概念是“端口角色”，每个网络设备上的端口可以被指派为根端口、设计桥端口、备份端口或非设计端口。

根端口是连接到树的根桥的端口，而设计桥端口是在某段链路上作为生成树中的唯一接口。

备份端口是在某段链路上作为冗余接口，以备份设计桥端口，而非设计端口则是未被选择为根端口或设计桥端口的端口。

RSTP通过发送和接收BPDU（Bridge Protocol Data Units）来实现生成树的计算和维护。

每个网络设备上的生成树进程都会生成和发送BPDU，其中包括设备的标识信息、优先级、端口角色和其他的网络信息。

通过BPDU的交换，网络设备可以共享拓扑信息，并根据收到的信息做出相应的决策。

RSTP的一个关键机制是“端口状态转换”。

当网络拓扑发生变化时，每个端口都会经历不同的状态转换过程，以确定其在生成树中的角色。

RSTP中定义了几种端口状态，包括：禁用、阻塞、学习、转发和备份。

在每个状态下，端口都有不同的功能和能力，以适应不同的网络环境和变化。

RSTP的另一个重要特性是“快速收敛”。

传统STP协议在网络拓扑变化时需要较长的收敛时间，而RSTP通过使用对拓扑变化更敏感的机制和算法，可以更快速地重新计算生成树，减少网络中断时间和数据传输的丢失。

这使得RSTP非常适用于对网络性能和可靠性要求较高的场景，如数据中心、企业网络等。

总结起来，快速生成树协议（RSTP）是一种用于计算构建和维护以太网局域网中快速生成树的协议。

RSTP快速⽣成树协议之（四）：RSTP的保护功能RSTP快速⽣成树协议之（四）RSTP的保护功能 在上⼀个笔记中，我介绍了RSTP对于STP做出了哪些改进。

这⼀节笔记，我们继续学习RSTP的保护功能，了解RSTP在对待可能的⿊客攻击时，提供了哪些安全防御措施。

BPDU保护 （1）攻击原理 RSTP为了减少不必要的拓扑收敛，可以通过配置指定边缘端⼝（edge port），通过边缘端⼝连接的设备可以不参与RSTP收敛，⽽直接将状态转为转发（Forwarding）状态。

若边缘端⼝在收到BPDU后，会丧失边缘端⼝的属性，⽽重新加⼊到⽣成树计算中。

（2）攻击⽅式 如下图所⽰，SWB配置了边缘端⼝（图中红⾊点处），这样就⽆须参与STP⽣成树计算。

假设有⼀名⿊客，在边缘端⼝处接⼊了⼀台运⾏⽣成树协议的交换机，此交换机向SWB发送RST BPDU报⽂，SWB从边缘端⼝收到BPDU报⽂后，会⾃动将该端⼝设置成⾮边缘端⼝，并重新进⾏⽣成树计算。

也引起整个⽹络其他交换机也进⾏拓扑变更，致使⽹络震荡。

从⽽达到攻击者的⽬的。

（3）防御措施--BPDU保护 针对这种攻击⽅式，RSTP提供可配置的BPDU保护功能。

配置BPDU保护后，若边缘端⼝收到BPDU报⽂，交换机将会⽴即关闭该端⼝，直到管理员⼈⼯重新打开端⼝。

这样就可以有效的防⽌⽹络发⽣震荡。

根保护 （1）攻击原理 当⼀台根交换机从指定端⼝收到桥优先级⽐它⾼的BPDU报⽂时，会认为⽹络拓扑发⽣了改变，并放弃⾃⼰的根桥地位，转⽽去转发这个优先级⽐它⾼的BPDU报⽂。

这样⽹络结构也会跟着变动。

但是，如果这个优先级⾼的BPDU是来⾃⼀台属于⿊客的交换机呢？这样，该⿊客的交换机就会成为RSTP⽹络的根桥，⽹络内的所有交换机都必须经过该⿊客的交换机才能进⾏转发，这⽆疑达到了⿊客窃取数据的⽬的。

（2）攻击⽅式 如下图所⽰，RSTP⽹络中SWA为根桥。

此时有⼀名⿊客，将⾃⼰的交换机通过SWC接⼊到⽹络中。

生成树协议是一种二层管理协议,选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能.第一代生成树协议:Stp/rstp 不带二层负载均衡Stp—其中IEEE的802.1d版本最为流行Stp协议中定义了根桥（rootbridge）、根端口（rootport）、指定端口（designatedport）、路径开销（pathcost）等概念..生成树算法SPA，信息交流单元就称为配置消息BPDU（bridgeprotocoldata unit）。

Stp bpdu是一种二层报文，目的mac是多播地址01-80-c2-00-00-00 ，当拓扑发生变化，时延称为forward delay，协议默认值是15秒Rstp—快速生成树协议rstp 802.1w标准,向下兼容stp协议第一点改进：为根端口和指定端口设置了快速切换用的替换端口（alternate port）和备份端口（backup port）两种角色第二点改进：在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态第三点改进：直接与终端相连而不是把其他网桥相连的端口定义为边缘端口（edge port第二代生成树协议:Pvst/pvst+Pvst/pvst+ 每个vlan都生成一棵树 Pvst不兼容stp/rstp协议二层负载均衡Pvst/pvst+ 发送的目的地址也改成了cisco保留地址01-00-0c-cc-cc-cd，而且在vlan trunk的情况下pvst bpdu被打上了802.1q vlan标签Pvst＋协议，并成为了交换机产品的默认生成树协议。

经过改进的pvst＋协议在vlan 1上运行的是普通stp协议，在其他vlan上运行pvst协议。

pvst ＋协议可以与stp/rstp互通，在vlan 1上生成树状态按照stp协议计算。

在其他vlan上，普通交换机只会把pvst bpdu当作多播报文按照vlan号进行转发Pvst/Pvst＋问题第一点缺陷：由于每个vlan都需要生成一棵树，pvst bpdu的通信量将正比于trunk的vlan个数第二点缺陷：在vlan个数比较多的时候，维护多棵生成树的计算量和资源占用量将急剧增长第三点缺陷：由于协议的私有性第三代生成树协议：Mistp/MstpMistp多实例生成树协议，不能兼容stp/rstp协议，甚至不能向下兼容pvst/pvst＋协议Mirstp是基于端口的，pvst/pvst＋是基于vlan的，而mistp就是基于实例的。

快速⽣成树协议技术：⽣成树协议(spanning-tree)，作⽤是在交换⽹络中提供冗余备份链路，并且解决交换⽹络中的环路问题；⽣成树协议是利⽤SPA算法，在存在交换环路的⽹络中⽣成⼀个没有环路的树形⽹络。

运⽤该算法将交换⽹络的冗余备份链路从逻辑上断开，当主链路出现故障时，能够⾃动的切换到备份链路，保证数据的正常转发；⽣成树协议版本：STP、RSTP(快速⽣成树)、MSTP(多⽣成树协议)；⽣成树协议的特点是收敛时间长，从主要链路出现故障到切换⾄备份链路需要50秒的时间；快速⽣成树协议在⽣成树协议的基础上增加了两种端⼝⾓⾊：替换端⼝和备份端⼝，分别做为根端⼝和指定端⼝的冗余端⼝。

当根端⼝或指定端⼝出现故障时，冗余端⼝不需要经过50秒的收敛时间，可以直接切换到替换端⼝或备份端⼝，从⽽实现RSTP协议⼩于1秒的快速收敛。

链路备份S2Switch>enableSwitch#show spanning-treeSwitch#conf tSwitch(config)#hostname S1S1(config)#inter range f0/1-2S1(config-if-range)#switchport mode trunkS1(config-if-range)#exitS1(config)#spanning-tree mode?modeS1(config)#spanning-tree mode ?S1(config)#spanning-tree mode rapid-pvst链路备份S2Switch>enableSwitch#show spanning-treeThis bridge is the root【找到根桥】Switch#conf tSwitch(config)#hostname S2S2(config)#inter range f0/1-2S2(config-if-range)#exitS2(config)#spanning-tree mode rapid-pvst【⽣成树协议】实现传输数据负载均衡：Switch(config)#port-channel load-banlanSwitch(config)#port-channel load-balance dst-ipSwitch(config)#exit查看配是否启动：Switch#show etherchannel summary。