• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3600系列以太网交换机 操作手册-RELEASE 1510(V1.04)

16-MSTP操作

本章节下载  (984.37 KB)

16-MSTP操作

  录

第1章 MSTP配置... 1-1

1.1 MSTP简介.. 1-1

1.1.1 MSTP的协议报文.. 1-1

1.1.2 MSTP的基本概念.. 1-1

1.1.3 MSTP的基本原理.. 1-5

1.1.4 MSTP在交换机上的实现.. 1-6

1.2 配置根桥.. 1-6

1.2.1 配置准备.. 1-7

1.2.2 配置MST域.. 1-8

1.2.3 指定当前交换机为根桥或备份根桥.. 1-9

1.2.4 配置当前交换机的桥优先级.. 1-10

1.2.5 配置端口的MSTP报文格式.. 1-11

1.2.6 配置MSTP的工作模式.. 1-12

1.2.7 配置MST域的最大跳数.. 1-13

1.2.8 配置交换网络的网络直径.. 1-14

1.2.9 配置MSTP的时间参数.. 1-14

1.2.10 配置超时时间因子.. 1-16

1.2.11 配置端口的最大发送速率.. 1-16

1.2.12 配置端口为边缘端口.. 1-17

1.2.13 配置端口是否与点对点链路相连.. 1-19

1.2.14 开启MSTP特性.. 1-20

1.3 配置叶子节点.. 1-21

1.3.1 配置准备.. 1-22

1.3.2 配置MST域.. 1-22

1.3.3 配置MSTP的工作模式.. 1-22

1.3.4 配置超时时间因子.. 1-22

1.3.5 配置端口的最大发送速率.. 1-22

1.3.6 配置端口为边缘端口.. 1-22

1.3.7 配置端口的路径开销.. 1-23

1.3.8 配置端口的优先级.. 1-25

1.3.9 配置端口是否与点对点链路相连.. 1-26

1.3.10 开启MSTP特性.. 1-26

1.4 执行mCheck操作.. 1-26

1.4.1 配置准备.. 1-27

1.4.2 配置过程.. 1-27

1.4.3 配置举例.. 1-27

1.5 配置交换机的保护功能.. 1-28

1.5.1 保护功能简介.. 1-28

1.5.2 配置准备.. 1-29

1.5.3 BPDU保护功能的配置.. 1-30

1.5.4 Root保护功能的配置.. 1-30

1.5.5 环路保护功能的配置.. 1-31

1.5.6 防止TC-BPDU报文攻击的保护功能的配置.. 1-32

1.5.7 BPDU报文拦截的配置.. 1-32

1.6 配置摘要侦听特性.. 1-32

1.6.1 简介.. 1-32

1.6.2 摘要侦听特性的配置.. 1-33

1.7 快速迁移特性.. 1-34

1.7.1 简介.. 1-34

1.7.2 快速迁移配置.. 1-36

1.8 VLAN-VPN TUNNEL特性的配置.. 1-37

1.8.1 简介.. 1-37

1.8.2 VLAN-VPN TUNNEL的配.. 1-38

1.9 MSTP显示和维护.. 1-38

1.10 MSTP典型配置案例.. 1-39

1.11 VLAN-VPN TUNNEL配置典型案例.. 1-41

 


第1章  MSTP配置

1.1  MSTP简介

STP(Spanning Tree Protocol,生成树协议)不能使端口状态快速迁移,即使是在点对点链路或边缘端口,也必须等待2倍的Forward delay的时间延迟,端口才能迁移到转发状态。

RSTP(Rapid Spanning Tree Protocol,快速生成树协议)可以快速收敛,但是和STP一样存在以下缺陷:局域网内所有网桥共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。

MSTP(Multiple Spanning Tree Protocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。

MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。

1.1.1  MSTP的协议报文

BPDU(Bridge Protocol Data Unit,桥协议数据单元)是生成树协议采用的协议报文,也称为配置消息。

BPDU在交换机之间传递来确定网络的拓扑结构,它包含了足够的信息来保证交换机完成生成树计算。

BPDU在STP协议中分为两类:

l              配置BPDU(Configuration BPDU):用来维护生成树拓扑的报文。

l              TCN BPDU(Topology Change Notification BPDU):当拓扑发生变化时,用来通知相关交换机网络发生变化的报文。

MSTP同STP/RSTP一样,使用BPDU进行生成树的计算,只是MSTP的BPDU中还携带了交换机上的MSTP的配置信息。

1.1.2  MSTP的基本概念

在图1-1中的每台交换机都运行MSTP。下面结合图1-1解释MSTP的一些基本概念。

图1-1 MSTP的基本概念示意图

1. MST域

MST域(Multiple Spanning Tree Regions,多生成树域)是由交换网络中的多台交换机以及它们之间的网段构成。这些交换机都启动了MSTP、具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置,并且物理上有链路连通。

一个交换网络可以存在多个MST域。用户可以通过MSTP配置命令把多台交换机划分在同一个MST域内。例如图1-1中的区域A0,域内所有交换机都有相同的MST域配置:域名相同,VLAN与生成树的映射关系相同(VLAN1映射到生成树实例1,VLAN2映射到生成树实例2,其余VLAN映射到CIST),相同的MSTP修订级别(此配置在图中没有体现)。

2. MSTI

MSTI(Multiple Spanning Tree Instance,多生成树实例)是指MST域内的生成树。

一个MST域内可以通过MSTP生成多棵生成树,各棵生成树之间彼此独立。例如图1-1中,每个域内可以存在多棵生成树,每棵生成树和相应的VLAN对应。这些生成树都被称为MSTI。

3. VLAN映射表

VLAN映射表是MST域的一个属性,用来描述VLAN和MSTI的映射关系。例如图1-1中,域A0的VLAN映射表就是:VLAN 1映射到生成树实例1,VLAN 2映射到生成树实例2,其余VLAN映射到CIST。MSTP就是根据VLAN映射表来实现负载分担的。

4. IST

IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树。

IST和CST(Common Spanning Tree,公共生成树)共同构成整个交换机网络的生成树CIST(Common and Internal Spanning Tree,公共和内部生成树)。IST是CIST在MST域内的片段,是一个特殊的多生成树实例。例如图1-1中,CIST在每个MST域内都有一个片段,这个片段就是各个域内的IST。

5. CST

CST是连接交换网络内所有MST域的单生成树。如果把每个MST域看作是一个“交换机”,CST就是这些“交换机”通过STP协议、RSTP协议计算生成的一棵生成树。例如图1-1中,红色线条描绘的就是CST。

6. CIST

CIST是连接一个交换网络内所有交换机的单生成树,由IST和CST共同构成。例如图1-1中,每个MST域内的IST加上MST域间的CST就构成整个网络的CIST。

7. 域根

域根是指MST域内IST和MSTI的树根。MST域内各棵生成树的拓扑不同,域根也可能不同。例如图1-1中,区域D0中,生成树实例1的域根为交换机B,生成树实例2的域根为交换机C。

8. 总根

总根(Common Root Bridge)是指CIST的树根。例如图1-1中,总根为区域A0内的某台交换机。

9. 端口角色

在MSTP的计算过程中,端口角色主要有根端口、指定端口、Master端口、域边缘端口、Alternate端口和Backup端口。

l              根端口是负责向树根方向转发数据的端口。

l              指定端口是负责向下游网段或交换机转发数据的端口。

l              Master端口是连接MST域到总根的端口,位于整个域到总根的最短路径上。

l              域边缘端口是连接不同MST域、MST域和运行STP的区域、MST域和运行RSTP的区域的端口,位于MST域的边缘。

l              Alternate端口是Master端口的备份端口,如果Master端口被阻塞后,Alternate端口将成为新的Master端口。

l              当同一台交换机的两个端口互相连接时就存在一个环路,此时交换机会将其中一个端口阻塞,Backup端口是被阻塞的那个端口。

在图1-2中,交换机A、B、C、D构成一个MST域。交换机A的端口1、2向总根方向连接,交换机C的端口5和端口6构成了环路,交换机D的端口3、4则向下连接其他的MST域,各个端口的角色如图1-2所示。

&  说明:

l      端口在不同的生成树实例中可以担任不同的角色。

l      域边缘端口在生成树实例上的角色与在CIST的角色保持一致。如图1-2所示,交换机A的端口1是域边缘端口,它在CIST上的角色是Master端口,则它在MST域内所有生成树实例上的角色也是Master端口。

 

图1-2 端口角色示意图

10. 端口状态

MSTP中,根据端口是否转发用户流量、接收/发送BPDU报文,端口状态划分为三种:

l              Forwarding状态:既转发用户流量又接收/发送BPDU报文;

l              Learning状态:接收/发送BPDU报文;

l              Discarding状态:只接收BPDU报文。

端口状态和端口角色是没有必然联系的,表1-1给出了各种端口角色能够具有的端口状态。

表1-1 各种端口角色具有的端口状态

端口角色

 

端口状态

根端口

/Master端口

指定端口

域边缘端口

Alternate端口

Backup端口

Forwarding

-

-

Learning

-

-

Discarding

 

1.1.3  MSTP的基本原理

MSTP将整个二层网络划分为多个MST域,各个域之间通过计算生成CST;域内则通过计算生成多棵生成树,每棵生成树都被称为是一个MSTI。MSTP同RSTP一样,使用配置消息进行生成树的计算,只是配置消息中携带的是交换机上MSTP的配置信息。

1. CIST生成树的计算

经过比较配置消息后,在整个网络中选择一个优先级最高的交换机作为CIST的树根。在每个MST域内MSTP通过计算生成IST;同时MSTP将每个MST域作为单台交换机对待,通过计算在MST域间生成CST。CST和IST构成了整个交换机网络的CIST。

2. MSTI的计算

在MST域内,MSTP根据VLAN和生成树实例的映射关系,针对不同的VLAN生成不同的生成树实例。每棵生成树独立进行计算,计算过程与STP/RSTP计算生成树的过程类似。

3. 生成树协议算法实现过程

在初始时,每台交换机的各个端口会生成以自身交换机为根桥的配置消息,其中根路径开销为0,指定桥ID为自身交换机ID,指定端口为本端口。

(1)        每台交换机都向外发送自己的配置消息,并在接收到其他配置消息后进行如下处理:

l              当端口收到比自身的配置消息优先级低的配置消息时,交换机把接收到的配置消息丢弃,对该端口的配置消息不作任何处理;

l              当端口收到比本端口配置消息优先级高的配置消息时,交换机把接收到的配置消息中的内容替换该端口的配置消息中的内容;然后交换机将该端口的配置消息和交换机上的其它端口的配置消息进行比较,选出最优的配置消息。

(2)        配置消息的比较原则如下:

l              树根ID较小的配置消息优先级高;

l              若树根ID相同,则比较根路径开销。比较方法为:计算配置消息中的根路径开销与本端口对应的路径开销之和(设为S),S较小的配置消息优先级较高;

l              若根路径开销也相同,则依次比较指定桥ID、指定端口ID、接收该配置消息的端口ID等。

(3)        计算生成树的步骤如下:

l              选出根桥。

比较所有交换机发送的配置消息,其中树根ID最小的交换机为根桥。

l              选出根端口。

每台交换机把接收最优配置消息的那个端口定为自身交换机的根端口。

l              确定指定端口。

首先,交换机根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息:树根ID替换为根端口的配置消息的树根ID;根路径开销替换为根端口的配置消息的根路径开销加上根端口的路径开销;指定桥ID替换为自身交换机的ID;指定端口ID替换为自身端口ID。

然后,交换机使用计算出来的配置消息和对应端口上原来的配置消息进行比较。如果端口上原来的配置消息更优,则交换机将此端口阻塞,端口的配置消息不变,并且此端口将不再转发数据,只接收配置消息;如果计算出来的配置消息更优,则交换机就将该端口设置为指定端口,端口上的配置消息替换成计算出来的配置消息,并周期性向外发送。

1.1.4  MSTP在交换机上的实现

MSTP同时兼容STP、RSTP。STP、RSTP两种协议报文都可以被运行MSTP的交换机识别并应用于生成树计算。H3C系列以太网交换机除了提供MSTP的基本功能外,还从用户的角度出发,提供了许多便于管理的特殊功能,如下所示:

l              根桥保持;

l              根桥备份;

l              ROOT保护功能;

l              BPDU保护功能;

l              环路保护功能。

1.2  配置根桥

根桥的MSTP配置任务如表1-2所示。

表1-2 根桥的配置任务

操作

说明

详细配置

启动MSTP特性

必选

为了减少由于配置引起的网络拓扑振荡,一般在完成其他参数配置后才启动MSTP特性

1.2.14 

配置MST域

必选

1.2.2 

指定当前交换机为根桥或备份根桥

必选

1.2.3 

配置当前交换机的桥优先级

可选

设置当前交换机为根桥或者备份根桥之后,用户不能再修改交换机的优先级

1.2.4 

配置端口的MSTP报文格式

可选

1.2.5 

配置MSTP的工作模式

可选

1.2.6 

配置MST域的最大跳数

可选

1.2.7 

配置交换网络的网络直径

可选

建议用户使用缺省值

1.2.8 

配置MSTP的时间参数

可选

建议用户使用缺省值

1.2.9 

配置超时时间因子

可选

1.2.10 

配置当前端口的最大发送速率

可选

建议用户使用缺省值

1.2.11 

配置当前端口为边缘端口

可选

1.2.12 

配置当前端口与点对点链路相连

可选

1.2.13 

 

&  说明:

当GVRP和MSTP同时在交换机上启动时,GVRP报文将沿着CIST进行传播。因此在GVRP和MSTP同时在交换机上启动的情况下,如果用户希望通过GVRP在网络中发布某个VLAN,则用户在配置MSTP的VLAN映射表时要保证把这个VLAN映射到CIST上。

 

1.2.1  配置准备

用户确定了交换机在生成树中的角色,明确了各个交换机在各个生成树实例中的树根地位或者叶子节点的地位。

1.2.2  配置MST域

1. 配置过程

表1-3 MST域的配置过程

操作

命令

说明

进入系统视图

system-view

-

进入MST域视图

stp region-configuration

-

配置MST域的域名

region-name name

必选

缺省情况下,MST域的域名是交换机的MAC地址

配置VLAN映射表

instance instance-id vlan vlan-list

必选

两个命令都可以实现VLAN映射表的配置

缺省情况下,MST域内所有的VLAN都映射到生成树实例0

vlan-mapping modulo modulo

配置MST域的MSTP修订级别

revision-level level

必选

缺省情况下,MST域的修订级别为0

手动激活MST域的配置

active region-configuration

必选

显示正在修改的MST域的配置信息

check region-configuration

可选

显示已经生效的MST域的配置信息

display stp region-configuration

在任意视图下执行

 

用户在配置MST域的相关参数,特别是配置VLAN映射表时,会引起MSTP重新计算生成树,从而引起网络拓扑振荡。为了减少这种由于配置引起的振荡,MSTP在处理用户关于域的相关配置时,并不会马上触发生成树重新计算,而是在满足下列条件之一的情况下,这些域的配置才会真正的生效:

l              使用active region-configuration命令手工激活配置的MST域相关参数;

l              使用stp enable命令使能MSTP特性。

&  说明:

只有当两台交换机的MST域名、VLAN映射表和MST域的修订级别完全相同时,它们才能属于同一个MST域。

 

2. 配置举例

# 配置MST域名为info,MSTP修订级别为1,VLAN映射表为VLAN2~VLAN10映射到生成树实例1上,VLAN20~VLAN30映射生成树实例2上。

<H3C> system-view

[H3C] stp region-configuration

[H3C-mst-region] region-name info

[H3C-mst-region] instance 1 vlan 2 to 10

[H3C-mst-region] instance 2 vlan 20 to 30

[H3C-mst-region] revision-level 1

[H3C-mst-region] active region-configuration

# 显示上面的配置信息。

[H3C-mst-region] check region-configuration

Admin configuration

   Format selector    :0

   Region name        :info

   Revision level     :1

 

   Instance   Vlans Mapped

      0       11 to 19, 31 to 4094

      1       1 to 10

      2       20 to 30

1.2.3  指定当前交换机为根桥或备份根桥

MSTP可以通过计算来确定生成树的根桥。用户也可以通过交换机提供的命令来指定当前交换机为根桥。

1. 指定当前交换机为特定生成树的根桥

表1-4 指定当前交换机为特定生成树的根桥

操作

命令

说明

进入系统视图

system-view

-

指定交换机为特定生成树的根桥

stp [ instance instance-id ] root primary [ bridge-diameter bridgenumber ] [ hello-time centi-seconds ]

必选

 

2. 指定当前交换机为特定生成树的备份根桥

表1-5 指定当前交换机为特定生成树的备份根桥

操作

命令

说明

进入系统视图

system-view

-

指定交换机为特定生成树的备份根桥

stp [ instance instance-id ] root secondary [ bridge-diameter bridgenumber ] [ hello-time centi-seconds ]

必选

 

用户可以将当前交换机指定为生成树实例(由参数instance instance-id确定)的根桥或备份根桥。如果instance-id取值为0,当前交换机将被指定为CIST的根桥或备份根桥。

当前交换机在各个生成树实例中的角色互相独立,它可以作为一个生成树实例的根桥或备份根桥,同时也可以作为其他生成树实例的根桥或备份根桥;在同一个生成树实例中,同一台交换机不能既作为根桥,又作为备份根桥。

当根桥出现故障或被关机时,备份根桥可以取代根桥成为指定生成树实例的根桥;但是此时若用户设置了新的根桥,则备份根桥将不会成为根桥。如果用户为一个生成树实例配置了多个备份根桥,当根桥失效时,MSTP将选择MAC地址最小的那个备份根桥作为根桥。

在设置根桥和备份根桥时,用户可以同时指定交换网络的网络直径和Hello Time参数。关于网络直径和Hello Time的描述请参见1.2.8  配置交换网络的网络直径1.2.9  配置MSTP的时间参数

&  说明:

l      当前交换机可以被指定为多棵生成树实例的树根,但是用户不能同时为一棵生成树实例指定两个或两个以上的根桥,即不要在两台或两台以上的交换机上使用stp root primary命令给同一棵生成树实例指定树根。

l      用户可以给同一棵生成树指定多个备份树根,即可以在两台或两台以上的交换机上使用stp root secondary命令给同一棵生成树实例指定备份树根。

l      用户也可以通过设置交换机的优先级为0来实现指定当前交换机为根桥的目的,但是当设置当前交换机为根桥或者备份根桥之后,用户不能再修改交换机的优先级。

 

3. 配置举例

# 指定当前交换机为生成树实例1的根桥,生成树实例2的备份根桥。

<H3C> system-view

[H3C] stp instance 1 root primary

[H3C] stp instance 2 root secondary

1.2.4  配置当前交换机的桥优先级

交换机的桥优先级的大小决定了这台交换机是否能够被选作生成树的树根。通过配置较小的桥优先级,可以达到指定某台交换机成为生成树树根的目的。支持MSTP的交换机在不同的生成树实例中可以拥有不同的桥优先级。

1. 配置过程

表1-6 当前交换机的桥优先级配置过程

操作

命令

说明

进入系统视图

system-view

-

配置当前交换机的桥优先级

stp [ instance instance-id ] priority priority

必选

桥优先级缺省值为32768

 

  注意:

l      使用stp root primarystp root secondary命令指定当前交换机为根桥或者备份根桥之后,用户不能再对交换机的桥优先级进行配置。

l      在生成树树根的选择过程中,如果交换机的桥优先级取值相同,则MAC地址最小的那台交换机将被选择为树根。

 

2. 配置举例

# 配置交换机在生成树实例1中的桥优先级为4096。

<H3C> system-view

[H3C] stp instance 1 priority 4096

1.2.5  配置端口的MSTP报文格式

用户可以自行配置端口的MSTP报文格式,可以配置为三种格式:自动识别报文格式、私有报文格式、标准报文(802.1s)格式。

l              当用户配置端口的MSTP报文识别方式为自动识别的时候,端口可以自动识别收到的MSTP报文格式是标准报文格式还是私有报文格式,并依据识别的结果决定发送报文的格式,从而实现与对端设备的互通。如果对端的报文格式反复变化,MSTP会将对应端口关闭(Shutdown)以防止网络风暴出现,但是取消端口关闭(Shutdown)的操作需要网络管理员登录交换机来进行。

l              当用户配置端口的MSTP报文识别方式为私有报文格式时,端口可以识别并发送私有格式报文,实现与对端发送私有格式报文的设备互通。如果接收到的报文格式为标准格式时,MSTP会将对应端口设置为Discarding以防止网络风暴。

l              当用户配置端口的MSTP报文识别方式为标准报文格式时,端口可以识别并发送标准格式报文,实现与对端发送标准格式报文的设备互通。如果接收到的报文格式为私有格式时,MSTP会将对应的端口设置为Discarding以防止网络风暴。

l              当存在聚合组时,MSTP会将聚合组内所有端口所配置的报文格式统一。

1. 配置过程

表1-7 配置端口的MSTP报文格式

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置端口的MSTP报文格式

stp compliance { auto | dot1s | legacy }

必选

缺省情况下,端口被配置为legacy,即采用私有报文格式

 

2. 配置举例

# 配置端口MSTP报文格式为标准报文(802.1s)格式。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp compliance dot1s

# 恢复端口缺省MSTP报文格式配置。

[H3C-Ethernet1/0/1] undo stp compliance

1.2.6  配置MSTP的工作模式

l              STP兼容模式。交换机各个端口将发送STP报文。如果交换网络中存在运行STP协议的交换机,可以通过stp mode stp命令配置当前的MSTP运行在STP兼容模式下。

l              RSTP兼容模式。交换机各个端口将发送RSTP报文。如果交换网络中存在运行RSTP协议的交换机,可以通过stp mode rstp命令配置当前的MSTP运行在RSTP兼容模式下。

l              MSTP模式。交换机的各个端口将发送MSTP报文或者STP报文(如果端口上连接了STP交换机),并且具备多生成树的功能。

1. 配置过程

表1-8 MSTP的运行模式配置过程

操作

命令

说明

进入系统视图

system-view

-

配置MSTP的工作模式

stp mode { stp | rstp | mstp }

必选

缺省值为MSTP模式

 

2. 配置举例

# 配置MSTP的工作模式为STP兼容模式。

<H3C> system-view

[H3C] stp mode stp

1.2.7  配置MST域的最大跳数

配置在域根上的最大跳数将作为MST域的最大跳数,它限制了MST域的规模。

从MST域内的生成树的根桥开始,域内的配置消息每经过一台交换机的转发,跳数就被减1;交换机将丢弃跳数为0的配置消息,使处于最大跳数外的交换机无法参与生成树的计算,从而限制了MST域的规模。

如果当前交换机成为MST域中CIST的根桥或MSTI的根桥时,此交换机配置的最大跳数将成为该生成树的网络直径,限制该生成树在当前MST域内的规模。在MST域中不是生成树根桥的交换机将采用根桥设置的最大跳数参数。

1. 配置过程

表1-9 MST域的最大跳数配置过程

操作

命令

说明

进入系统视图

system-view

-

配置MST域的最大跳数

stp max-hops hops

必选

缺省情况下,MST域的最大跳数为20

 

MST域的最大跳数越大,说明MST域的规模越大。只有配置在作为域根的交换机上的MST域的最大跳数才能限制MST域的规模。

2. 配置举例

# 配置MST域的最大跳数为30。

<H3C> system-view

[H3C] stp max-hops 30

1.2.8  配置交换网络的网络直径

交换网络中任意两台主机都通过特定路径彼此相连,这些路径由一系列交换机构成。网络直径指的是这些路径中交换机个数最多的那条路径,用路径经过的交换机个数来表征。

1. 配置过程

表1-10 交换网络的网络直径配置过程

操作

命令

说明

进入系统视图

system-view

-

配置交换网络的网络直径

stp bridge-diameter bridgenumber

必选

缺省情况下,网络直径为7

 

网络直径是表征网络规模的一个参数,网络直径越大,说明一个网络的规模越大。

当用户配置交换机的网络直径参数时,MSTP通过计算自动将交换机的Hello Time、Forward Delay以及Max Age三个时间参数设置为一个较优的值。

设置网络直径只对CIST有效,对多生成树实例无效。

2. 配置举例

# 配置交换网络的网络直径为6。

<H3C> system-view

[H3C] stp bridge-diameter 6

1.2.9  配置MSTP的时间参数

交换机有三个时间参数:Forward Delay、Hello Time和Max Age。

l              Forward Delay为交换机状态迁移的延迟时间。

链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化。不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的路径回环。

为此,生成树协议采用了一种状态迁移的机制,根端口和指定端口重新开始数据转发之前要经历一个中间状态,中间状态经过Forward Delay的延时后才能进入Forwarding状态,这个延时保证了新的配置消息已经传遍整个网络。

l              Hello Time用于交换机检测链路是否存在故障。

交换机每隔Hello Time时间会向周围的交换机发送hello报文,以确认链路是否存在故障。

l              Max Age是用来判断配置消息是否“过时”的参数,交换机会将过时的配置消息丢弃。

1. 配置过程

表1-11 MSTP时间参数配置过程

操作

命令

说明

进入系统视图

system-view

-

配置Forward Delay时间参数

stp timer forward-delay centiseconds

必选

缺省情况下,Forward Delay时间为1500厘秒(即15秒)

配置Hello Time时间参数

stp timer hello centiseconds

必选

缺省情况下,Hello Time时间为200厘秒(即2秒)

配置Max Age时间参数

stp timer max-age centiseconds

必选

缺省情况下,Max Age时间为2000厘秒(即20秒)

 

交换网络中所有的交换机采用CIST的根桥上的三个时间参数。

  注意:

l      交换机的Forward Delay时间参数的长短与交换网络的网络直径有关。一般来说,网络直径越大,Forward Delay就应该配置得越长。需要注意的是,如果Forward Delay配置的过小,可能会引入临时的冗余路径;如果Forward Delay配置的过大,网络可能会较长时间不能恢复连通。建议用户采用缺省值。

l      合适的Hello Time时间值可以保证交换机能够及时发现网络中的链路故障,又不会占用过多的网络资源。如果用户设置的Hello Time过长,在链路发生丢包时,交换机会误以为链路出现了故障,从而引发网络设备重新计算生成树;如果用户设置的Hello Time过短,交换机将频繁发送重复的配置消息,增加了交换机的负担,浪费了网络资源。建议用户使用缺省值。

l      如果用户配置的Max Age时间过小,网络设备会频繁地计算生成树,而且有可能将网络拥塞误认成链路故障;如果用户配置的Max Age时间过大,网络设备很可能不能及时发现链路故障,不能及时重新计算生成树,从而降低网络的自适应能力。建议用户采用缺省值。

 

根桥的Hello Time、Forward Delay以及Max Age三个时间参数取值之间应该满足如下公式,否则网络会频繁震荡:

2×(Forward Delay-1 second)¦ Max Age ¦2×(Hello Time+1 second)

建议用户优先使用stp root primarystp root secondary命令指定交换网络的网络直径及Hello Time。MSTP会自动计算出这三个时间参数的较优值。

2. 配置举例

# 配置Forward Delay为1600厘秒,Hello Time为300厘秒,Max Age为2100厘秒。

<H3C> system-view

[H3C] stp timer forward-delay 1600

[H3C] stp timer hello 300

[H3C] stp timer max-age 2100

1.2.10  配置超时时间因子

交换机每隔Hello Time时间会向周围设备发送协议报文,以确认链路是否存在故障。通常如果交换机在3倍的Hello Time时间内没有收到上游交换机发送的协议报文,就会认为上游交换机已经故障,从而重新进行生成树的计算。

在非常稳定的网络中,可能由于上游交换机的繁忙而导致这种生成树的重新计算。此时,用户可以通过配置来延长超时时间来避免这种情况,将超时时间设置为Hello Time时间的4倍或更长。在一个稳定的网络中,建议将倍数设置为5~7倍。

1. 配置过程

表1-12 超时时间因子配置过程

操作

命令

说明

进入系统视图

system-view

-

配置特定交换机的超时时间因子

stp timer-factor number

必选

缺省情况下,交换机的超时时间因子为3

 

一般情况下,在稳定的网络中,推荐用户将超时时间因子设置为5~7。

2. 配置举例

# 配置超时时间因子为6。

<H3C> system-view

[H3C] stp timer-factor 6

1.2.11  配置端口的最大发送速率

端口的最大发送速率是用来表示端口在每个Hello Time内最多可发送多少个MSTP报文的参数。它与端口的物理状态和网络结构有关,用户可以根据实际的网络情况对其进行配置。

1. 系统视图下端口的最大发送速率配置过程

表1-13 系统视图下端口的最大发送速率配置过程

操作

命令

说明

进入系统视图

system-view

-

配置端口的最大发送速率

stp interface interface-list transmit-limit  packetnum

必选

缺省情况下,交换机上所有以太网端口的最大发送速率为10

 

2. 以太网端口视图下端口的最大发送速率配置过程

表1-14 以太网端口视图下端口的最大发送速率配置过程

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置端口的最大发送速率

stp transmit-limit packetnum

必选

缺省情况下,交换机上所有以太网端口的最大发送速率为10

 

以上两种方法都可以配置端口的最大发送速率。

如果该参数被配置的过大,则每个Hello Time内发送的MSTP报文数就很多,从而占用过多的网络资源。建议用户采用缺省值。

3. 配置举例

# 配置Ethernet1/0/1的最大发送速率为15。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 transmit-limit 15

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp transmit-limit 15

1.2.12  配置端口为边缘端口

边缘端口是指不直接与任何交换机连接,也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口,那么当该端口由堵塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间。

可以通过下面两种途径来配置端口为边缘端口或者非边缘端口。

1. 在系统视图下配置端口为边缘端口

表1-15 在系统视图下配置端口为边缘端口

操作

命令

说明

进入系统视图

system-view

-

配置端口为边缘端口

stp interface interface-list edged-port enable

必选

缺省情况下,交换机所有以太网端口均被配置为非边缘端口

 

2. 在以太网端口视图下配置端口为边缘端口

表1-16 在以太网端口视图下配置端口为边缘端口

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置端口为边缘端口

stp edged-port enable

必选

缺省情况下,交换机所有以太网端口均被配置为非边缘端口

 

在交换机没有使能BPDU保护的情况下,如果被设置为边缘端口的端口上收到来自其它端口的BPDU报文,则该端口会重新变为非边缘端口。

&  说明:

对于直接与终端相连的端口,请将该端口设置为边缘端口,同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全。

 

3. 配置举例

# 配置Ethernet1/0/1为边缘端口。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 edged-port enable

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp edged-port enable

1.2.13  配置端口是否与点对点链路相连

点到点链路是两台交换机之间直接连接的链路。以点对点链路相连的两个端口,如果端口角色满足一定条件,则可以通过传送同步报文快速迁移到转发状态,减少了不必要的转发延迟时间。

可以通过下面两种途径来配置端口相连的链路是否是点到点链路。

1. 在系统视图下配置端口是否与点对点链路相连

表1-17 在系统视图下配置端口是否与点对点链路相连

操作

命令

说明

进入系统视图

system-view

-

配置端口是否与点对点链路相连

stp interface interface-list point-to-point { force-true | force-false | auto }

必选

缺省情况下,该参数被配置为auto

force-true:用来标识与当前以太网端口相连的链路是点到点链路

force-false:用来标识与当前以太网端口相连的链路不是点到点链路

auto:采用自动方式检测与该以太网端口相连的链路是否是点到点链路

 

2. 在以太网端口视图下配置端口是否与点对点链路相连

表1-18 在以太网端口视图下配置端口是否与点对点链路相连

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置端口是否与点对点链路相连

stp point-to-point { force-true | force-false | auto }

必选

缺省情况下,该参数被配置为auto

force-true:用来标识与当前以太网端口相连的链路是点到点链路

force-false:用来标识与当前以太网端口相连的链路不是点到点链路

auto:采用自动方式检测与该以太网端口相连的链路是否是点到点链路

 

&  说明:

对于汇聚端口,只有汇聚端口的主端口才可以被配置成与点对点链路相连;一个端口工作在自协商模式,协商出来的工作模式是全双工,可以将此端口配置为点到点链路。

 

当端口被设置为与点对点链路相连,则该端口在所有生成树实例上均被设置为与点对点链路相连。如果端口实际物理链路不是点对点链路,用户错误配置为强制点对点链路,则有可能会引入临时回路。

3. 配置举例

# 配置Ethernet1/0/1和点到点链路相连。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 point-to-point force-true

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp point-to-point force-true

1.2.14  开启MSTP特性

1. 配置过程

表1-19 在系统视图下开启MSTP特性

操作

命令

说明

进入系统视图

system-view

-

开启设备MSTP特性

stp enable

必选

缺省情况下,不运行MSTP

关闭指定端口的MSTP特性

stp interface interface-list disable

可选

缺省情况下,设备MSTP特性开启后所有端口上的MSTP特性都是开启的

为了灵活地控制MSTP工作,可以关闭交换机上特定以太网端口的MSTP特性,使这些端口不参与生成树计算,节省交换机的CPU资源

 

表1-20 在以太网端口视图下开启MSTP特性

操作

命令

说明

进入系统视图

system-view

-

开启设备MSTP特性

stp enable

必选

缺省情况下,不运行MSTP

进入以太网端口视图

interface interface-type interface-number

-

关闭指定端口的MSTP特性

stp disable

可选

缺省情况下,设备MSTP特性开启后所有端口上的MSTP特性都是开启的

为了灵活地控制MSTP工作,可以关闭交换机上特定以太网端口的MSTP特性,使这些端口不参与生成树计算,节省交换机的CPU资源

 

只有开启了设备的MSTP特性,MSTP的其他配置才能生效。

2. 配置举例

# 开启设备的MSTP特性,并关闭Ethernet1/0/1上的MSTP特性。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp enable

[H3C] stp interface Ethernet1/0/1 disable

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] stp enable

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp disable

1.3  配置叶子节点

叶子节点的MSTP配置如表1-21所示。

表1-21 叶子节点的配置

操作

说明

详细配置

启动MSTP特性

必选

为了减少由于配置引起的网络拓扑振荡,一般在完成其他参数配置后才启动MSTP特性

1.2.14 

配置MST域

必选

1.2.2 

配置MSTP的工作模式

可选

1.2.5 

配置超时时间因子

可选

1.2.10 

配置当前端口的最大发送速率

可选

建议用户使用缺省值

1.2.11 

配置当前端口为边缘端口

可选

1.2.12 

配置端口的路径开销

可选

1.3.7 

配置端口的优先级

可选

1.3.8 

配置当前端口与点对点链路相连

可选

1.2.13 

 

&  说明:

当GVRP和MSTP同时在交换机上启动时,GVRP报文将沿着生成树实例CIST进行传播。因此在GVRP和MSTP同时在交换机上启动的情况下,如果用户希望通过GVRP在网络中发布某个VLAN,则用户在配置MSTP的VLAN映射表时要保证把这个VLAN映射到CIST(即生成树实例0)上。

 

1.3.1  配置准备

用户确定了交换机在生成树中的角色,明确了各个交换机在各个生成树实例中的树根地位或者叶子节点的地位。

1.3.2  配置MST域

请参见1.2.2  配置MST域

1.3.3  配置MSTP的工作模式

请参见1.2.6  配置MSTP的工作模式

1.3.4  配置超时时间因子

请参见1.2.10  配置超时时间因子

1.3.5  配置端口的最大发送速率

请参见1.2.11  配置端口的最大发送速率

1.3.6  配置端口为边缘端口

请参见1.2.12  配置端口为边缘端口

1.3.7  配置端口的路径开销

路径开销是与端口相连链路的速率有关的参数。在支持MSTP的交换机上,端口在不同的生成树实例中可以拥有不同的路径开销。设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发,从而实现按VLAN负载分担的功能。

交换机可以自动计算端口的路径开销,也可以由用户直接配置端口的路径开销。

1. 计算端口路径开销的标准

交换机提供计算端口路径开销的标准如下:

l              dot1d-1998:按照标准IEEE 802.1D-1998来计算端口的缺省路径开销值。

l              dot1t:按照标准IEEE 802.1t来计算端口的缺省路径开销值。

l              legacy:按照私有标准来计算端口的缺省路径开销值。

表1-22 指定计算路径开销所采用的标准

操作

命令

说明

进入系统视图

system-view

-

设定交换机在计算与交换机端口相连的链路的缺省路径开销时采用的标准

stp pathcost-standard { dot1d-1998 | dot1t | legacy }

可选

缺省情况下,交换机按照legacy标准来计算端口的缺省路径开销值

 

表1-23 端口速率与路径开销值对应表

链路速率

双工状态

802.1D-1998

IEEE 802.1t

私有标准

0

-

65535

200,000,000

200,000

10 Mbit/s

Half-Duplex/Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

100

95

95

95

200,000

1,000,000

666,666

500,000

2,000

1,800

1,600

1,400

100 Mbit/s

Half-Duplex/Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

19

15

15

15

200,000

100,000

66,666

50,000

200

180

160

140

1000Mbit/s

Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

4

3

3

3

200,000

10,000

6,666

5,000

20

18

16

14

10

Gbit/s

Full-Duplex

Aggregated Link 2 Ports

Aggregated Link 3 Ports

Aggregated Link 4 Ports

2

1

1

1

200,000

1,000

666

500

2

1

1

1

 

一般情况下,全双工状态下链路的路径开销值比半双工状态下略小一点。

在计算聚合链路路径开销值时,802.1D-1998标准不考虑该聚合链路的链路数量。802.1T标准则考虑聚合链路的链路数量,计算公式为:

路径开销 = 200,000/ 链路速率

公式中,链路速率为聚合链路中处于非阻塞状态的端口速率之和,单位为100Kbit/s。

2. 配置端口的路径开销

表1-24 在系统视图下端口路径开销的配置

操作

命令

说明

进入系统视图

system-view

-

配置端口的路径开销

stp interface interface-list [ instance instance-id ] cost cost

必选

缺省情况下,由MSTP计算各个端口的路径开销

 

表1-25 在以太网端口视图下端口路径开销的配置

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置端口的路径开销

stp [ instance instance-id ] cost cost

必选

缺省情况下,由MSTP计算各个端口的路径开销

 

端口路径开销改变时,MSTP会重新计算端口的角色并进行状态迁移。instance-id为0时表示设置端口在CIST上的路径开销。

3. 配置举例一

# 配置Ethernet1/0/1在生成树实例1中的路径开销为2000。

(1)        在系统视图下实现配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 instance 1 cost 2000

(2)        在以太网端口视图下实现配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp instance 1 cost 2000

4. 配置举例二

# 配置Ethernet1/0/1在生成树实例1中的路径开销由MSTP自动计算,采用的标准为IEEE 802.1D-1998。

(1)        在系统视图下实现配置。

<H3C> system-view

[H3C] undo stp interface Ethernet1/0/1 instance 1 cost

[H3C] stp pathcost-standard dot1d-1998

(2)        在以太网端口视图下实现配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] undo stp instance 1 cost

[H3C-Ethernet1/0/1] quit

[H3C] stp pathcost-standard dot1d-1998

1.3.8  配置端口的优先级

端口优先级是确定该端口是否会被选为根端口的重要依据,在同等条件下,表示端口优先级的数值越小的端口,将会被交换机选为根端口。

在支持MSTP的交换机上,端口可以在不同的生成树实例中拥有不同的优先级,同一端口可以在不同生成树实例中担任不同的角色,从而使不同VLAN的数据沿不同的物理路径传播,实现按VLAN进行负载分担的功能。

可以通过下面两种途径来配置端口的优先级。

1. 在系统视图下进行配置

表1-26 系统视图下端口优先级配置过程

操作

命令

说明

进入系统视图

system-view

-

配置端口的优先级

stp interface interface-list instance instance-id port priority priority

必选

缺省情况下,交换机所有以太网端口的优先级为128

 

2. 在以太网端口视图下进行配置

表1-27 以太网端口视图下端口优先级配置过程

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置端口的优先级

stp [ instance instance-id ] port priority priority

必选

缺省情况下,交换机所有以太网端口的优先级为128

 

端口优先级改变时,MSTP会重新计算端口的角色并进行状态迁移。

一般情况下,配置的值越小,端口被选为根端口的机会越大。如果交换机所有的以太网端口采用相同的优先级参数值,则以太网端口的优先级高低就取决于该以太网端口的索引号。改变以太网端口的优先级会引起生成树重新计算。

用户可以根据组网的实际需要来设置端口的优先级。

3. 配置举例

# 配置Ethernet1/0/1在生成树实例1中的端口优先级为16。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 instance 1 port priority 16

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp instance 1 port priority 16

1.3.9  配置端口是否与点对点链路相连

请参见1.2.13  配置端口是否与点对点链路相连

1.3.10  开启MSTP特性

请参见1.2.14  开启MSTP特性

1.4  执行mCheck操作

在支持MSTP的交换机上端口有三种工作模式:STP兼容模式、RSTP兼容模式、MSTP模式。

假设在一个交换网络中,运行MSTP协议的上游交换机的端口,连接着运行STP协议的下游交换机,该端口会自动迁移到STP兼容模式下工作。但是如果运行STP协议的下游交换机被拆离,更换为运行了MSTP协议的交换机,则该端口不能自动迁移到MSTP模式,仍然会工作在STP兼容模式下。此时,执行mCheck操作可以迫使其迁移到MSTP模式下运行。

同样,假设在一个交换网络中,运行RSTP协议的上游交换机的端口,连接着运行STP协议的下游交换机,该端口会自动迁移到STP兼容模式下工作。但是此时如果运行了STP协议的下游交换机被拆离,更换为运行了MSTP协议的交换机,则该端口不能自动迁移到MSTP兼容模式,仍然会工作在STP兼容模式下。此时,执行mCheck操作可以迫使其迁移到MSTP兼容模式下运行。

1.4.1  配置准备

MSTP在交换机上已经被正确配置。

1.4.2  配置过程

在端口上执行mCheck操作有下面两种途径。

1. 在系统视图下执行mCheck操作

表1-28 在系统视图下执行mCheck操作

操作

命令

说明

进入系统视图

system-view

-

执行mCheck操作

stp [ interface interface-list ] mcheck

必选

 

2. 在以太网端口视图下执行mCheck操作

表1-29 在以太网端口视图下执行mCheck操作

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

执行mCheck操作

stp mcheck

必选

 

1.4.3  配置举例

# 对Ethernet1/0/1执行mCheck操作。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 mcheck

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp mcheck

1.5  配置交换机的保护功能

1.5.1  保护功能简介

支持MSTP的交换机提供BPDU保护功能、Root保护功能、环路保护功能和防止TC-BPDU报文攻击的保护功能。

1. BPDU保护功能

对于接入层设备,接入端口一般直接与用户终端(如PC机)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移。当这些边缘端口接收到配置消息后,系统会自动将这些端口设置为非边缘端口,重新计算生成树,这样就引起网络拓扑的震荡。

正常情况下,边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机,就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后,如果边缘端口收到了配置消息,系统就将这些端口关闭,同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。

2. Root保护功能

生成树的根桥及备份根桥应该处于同一个域内,特别是对于CIST的根桥和备份根桥,网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内。但是由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根桥有可能会收到优先级更高的配置消息,这样当前根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。

Root保护功能可以防止这种情况的发生。对于设置了Root保护功能的端口,其在所有实例上的端口角色只能保持为指定端口。一旦这种端口上收到了优先级高的配置消息,即其将被选择为非指定端口时,这些端口的状态将被设置为Discarding状态,不再转发报文(相当于将与此端口相连的链路断开)。当在足够长的时间内没有收到更优的配置消息时,端口会恢复原来的正常状态。

3. 环路保护功能

依靠不断接收上游交换机发送的BPDU,交换机可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障,这些端口会收不到上游交换机的BPDU。此时交换机会重新选择根端口,根端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路。

环路保护功能会抑制这种环路的产生。在启动了环路保护功能后,如果发生链路拥塞或者单向链路故障,则根端口的角色变为指定端口,端口的状态为Discarding状态;阻塞端口同样也变为指定端口,端口状态为Discarding状态,不转发报文,从而不会在网络中形成环路。

4. 防止TC-BPDU报文攻击的保护功能

交换机在接收到TC-BPDU报文后,会执行MAC地址表项和ARP表项的删除操作。当有人伪造TC-BPDU报文恶意攻击交换机时,交换机短时间内会收到很多的TC-BPDU报文,频繁的删除操作会给交换机带来很大负担,给网络的稳定带来很大隐患。

防止TC-BPDU报文攻击的保护功能使能后,交换机在收到TC-BPDU报文后的一定时间内(一般为10秒),只进行一次删除操作,同时监控该时间段内是否收到TC-BPDU报文。如果在该时间段内收到了TC-BPDU报文,则交换机在该时间超时后再进行一次删除操作。这样可以避免频繁的删除MAC地址表项和ARP表项。

  注意:

当对一个端口进行配置时,环路保护功能、Root保护功能和设置边缘端口三个配置项中,同一时刻只能有一个配置项生效。

 

5. BPDU报文拦截功能

在使能了STP协议的网络中,可能会有恶意用户为了达到破坏的目的,不停的向交换机发送BPDU报文。交换机收到BPDU报文以后,会向网络中的其他交换机转发,使网络内的交换机不停的进行STP计算,导致交换机的CPU占用率过高或者BPDU报文的协议状态错误等问题。

为了避免这个问题的发生,用户可以在交换机的以太网端口上配置BPDU报文拦截功能。在使能了BPDU报文拦截功能的端口,将不再接收和转发任何BPDU报文,从而防止交换机受到BPDU报文攻击,保证STP计算的正确性。

1.5.2  配置准备

MSTP在交换机上已经被正确配置。

1.5.3  BPDU保护功能的配置

1. 配置过程

表1-30 BPDU保护功能配置过程

操作

命令

说明

进入系统视图

system-view

-

配置BPDU保护功能

stp bpdu-protection

必选

缺省情况下,交换机不启动BPDU保护功能

 

2. 配置举例

# 配置BPDU保护功能。

<H3C> system-view

[H3C] stp bpdu-protection

  注意:

由于千兆端口不能关闭,当对S3600的千兆端口进行配置时,即使用户已经启动了BPDU保护功能,并且指定了千兆端口为MSTP的边缘端口,BPDU保护功能也不会在千兆端口上生效。

 

1.5.4  Root保护功能的配置

1. 配置过程

表1-31 在系统视图下配置Root保护功能

操作

命令

说明

进入系统视图

system-view

-

配置交换机的Root保护功能

stp interface interface-list root-protection

必选

缺省情况下,交换机不启动Root保护功能

 

表1-32 在以太网端口视图下配置Root保护功能

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置交换机的Root保护功能

stp root-protection

必选

缺省情况下,交换机不启动Root保护功能

 

2. 配置举例

# 配置Ethernet1/0/1的Root保护功能。

(1)        在系统视图下实现该配置。

<H3C> system-view

[H3C] stp interface Ethernet1/0/1 root-protection

(2)        在以太网端口视图下实现该配置。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp root-protection

1.5.5  环路保护功能的配置

1. 配置过程

表1-33 环路保护功能配置过程

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

配置交换机的环路保护功能

stp loop-protection

必选

缺省情况下,交换机不启动环路保护功能

 

2. 配置举例

# 配置Ethernet1/0/1的环路保护功能。

<H3C> system-view

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] stp loop-protection

1.5.6  防止TC-BPDU报文攻击的保护功能的配置

1. 配置过程

表1-34 防止TC-BPDU报文攻击的保护功能配置过程

操作

命令

说明

进入系统视图

system-view

-

启动防止TC-BPDU报文攻击的保护功能

stp tc-protection enable

必选

缺省情况下,交换机不启动本保护功能

 

2. 配置举例

# 配置防止TC-BPDU报文攻击的保护功能。

<H3C> system-view

[H3C] stp tc-protection enable

1.5.7  BPDU报文拦截的配置

表1-35 BPDU报文拦截的配置过程

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-name

-

在以太网端口视图下使能BPDU报文拦截功能

bpdu-drop any

必选

 

# 配置以太网端口Ethernet1/0/1的BPDU报文拦截功能。

<H3C>system-view

[H3C] interface Ethernet 1/0/1

[H3C-Ethernet1/0/1] bpdu-drop any

1.6  配置摘要侦听特性

1.6.1  简介

根据IEEE 802.1s规定,只有MST域配置完全一致的情况下,相连的交换机才可以实现MST域内MSTI的完全互通。当交换机配置了MSTP以后,交换机之间通过识别BPDU数据报文内的配置ID(由域名ID与配置摘要等一系列信息构成),来判断相连的交换机是否与自己处于相同的MST域内。

在网络中,由于一些友商的交换机配置了与生成树相关的私有协议,即使MST域配置相同,交换机之间也不能实现MSTP域内的互通。

摘要侦听特性可以避免这样的情况出现。在与采用生成树相关的私有协议的友商交换机相连的端口开启了摘要侦听特性后,当接收这些友商交换机发送过来的BPDU报文时,交换机认为是来自同一个MST域内的报文,同时将配置摘要记录下来;当发送BPDU报文给这些友商交换机时,交换机将配置摘要补充进去。这样,交换机就实现了和这些友商交换机在MSTP域内互通。

  注意:

边缘端口不能启动摘要侦听功能。

 

1.6.2  摘要侦听特性的配置

配置摘要侦听特性,实现和其他采用私有协议计算配置摘要的交换机在MST域内MSTI互通。

1. 配置准备

与采用生成树相关的私有协议的友商交换机相连,网络配置正确,MSTP配置正确。

2. 配置过程

表1-36 摘要侦听配置过程

配置步骤

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

使能端口摘要侦听特性

stp config-digest-snooping

必选,缺省情况下端口关闭摘要侦听特性

退出以太网端口视图

quit

-

全局使能摘要侦听特性

stp config-digest-snooping

必选,缺省情况下设备关闭摘要侦听特性。

显示配置的信息

display current-configuration

可在任意视图执行

 

&  说明:

l      在端口使能了摘要侦听特性后,端口状态会变为DISCARDING状态,不向外发送BPDU报文。直到收到对端端口发送的BPDU报文以后,端口才参与STP计算。

l      只在与采用生成树相关的私有协议的友商交换机相连时才有必要使能摘要侦听特性。

l      配置时,请先在与友商相连的交换机所有端口使能摘要侦听特性,然后在系统使能摘要侦听特性,否则摘要侦听功能不能生效。

l      使能摘要侦听特性时要求与采用生成树相关的私有协议的友商交换机配置完全相同,具体为域名、修订级别、VLAN实例映射关系。

l      MST域内与采用生成树相关的私有协议的友商交换机互连的端口必须全部使能摘要侦听特性。

l      如果系统已经使能了摘要侦听特性,用户不能修改MST域配置中VLAN与实例的映射关系

l      在MST域边界端口不允许使能摘要侦听特性。

 

1.7  快速迁移特性

1.7.1  简介

RSTP和MSTP的指定端口快速迁移机制使用两种协议报文:

l              proposal报文:指定端口请求快速迁移的报文。

l              agreement报文:同意对端进行快速迁移的报文。

RSTP和MSTP均要求接收到下游交换机的agreement报文后,上游交换机的指定端口才能进行快速迁移。不同之处如下:

l              对于MSTP,上游交换机会先向下游设备发送agreement报文,下游交换机在收到此报文后才会向上游发送agreement报文;

l              对于RSTP,上游交换机不会向下游交换机发送agreement报文。

图1-3图1-4说明了RSTP和MSTP的指定端口快速迁移机制。

图1-3 RSTP指定端口快速迁移机制

图1-4 MSTP指定端口快速迁移机制

RSTP和MSTP在快速迁移的配合上有一定的限制。例如:当上游交换机运行RSTP,下游交换机运行MSTP,并且下游MSTP不支持RSTP兼容模式时,由于下游MSTP的根端口接收不到上游交换机的agreement报文,它不会向上游交换机发agreement报文,所以上游交换机的指定端口无法实现状态的快速迁移,只能在2倍的Forward Delay延时后变成Forwarding状态。

在网络中,由于有些厂商的交换机配置了与生成树相关的私有协议,其指定端口的状态迁移实现机制与RSTP类似,这就导致这些厂商的交换机作为上游交换机与运行MSTP的H3C系列交换机互连时,上游的指定端口不能实现状态的快速迁移。

为了避免这种情况,H3C系列交换机提供了快速迁移特性。在运行MSTP的H3C系列交换机和某些厂商的交换机相连时,用户可以在作为下游的H3C系列交换机的端口上使能快速迁移特性,则如果该端口是根端口,它在收到上游指定端口的proposal报文后,会主动向上游发送agreement报文,而不是在等待接收上游的agreement报文后才发送agreement报文,这样就使上游交换机的指定端口能够进行状态的快速迁移。

1.7.2  快速迁移配置

1. 配置准备

H3C交换机作为下游交换机,某些厂商的交换机作为上游交换机,网络正确连接,如图1-5所示。

上游交换机使能了与生成树相关的私有协议,其指定端口的状态迁移实现机制与RSTP类似。port1是指定端口。

下游交换机H3C Switch上使能MSTP。port2是根端口。

图1-5 组网图

2. 配置过程

(1)        在系统视图下配置快速迁移特性

表1-37 系统视图下快速迁移特性配置过程

操作

命令

说明

进入系统视图

system-view

-

使能快速迁移特性

stp interface interface-type interface-number no-agreement-check

必选

缺省情况下,端口的快速迁移特性处于关闭状态

 

(2)        在以太网端口视图下配置快速迁移特性

表1-38 以太网端口视图下快速迁移特性配置过程

操作

命令

说明

进入系统视图

system-view

-

进入以太网端口视图

interface interface-type interface-number

-

使能快速迁移特性

stp no-agreement-check

必选

缺省情况下,端口的快速迁移特性处于关闭状态

 

&  说明:

l      快速迁移特性仅可以在根端口或Alternate端口进行配置。

l      用户可以在指定端口配置快速迁移特性,但此特性不会在端口上生效。

 

1.8  VLAN-VPN TUNNEL特性的配置

1.8.1  简介

VLAN-VPN TUNNEL功能可以使在不同地域的用户网络,通过运营商网络内指定的VLAN VPN进行STP报文的透明传输,从而使用户网络能够进行统一的生成树计算。并且用户网络和运营商网络拥有各自的生成树,互不干扰。

图1-6上部为运营商网络,下部为用户网络。其中运营商网络包括报文输入/输出设备,用户网络分别为用户网络A和用户网络B两个部分。通过在运营商网络两端报文/输入输出设备上的设置,在一端将STP报文的目的MAC地址格式替换成为特殊格式的MAC地址,在另一端还原,从而使报文在运营商网络中实现了透明传输。

图1-6 VLAN-VPN TUNNEL网络层次示意图

1.8.2  VLAN-VPN TUNNEL的配置

表1-39 VLAN-VPN TUNNEL配置过程

操作

命令

说明

进入系统视图

system-view

-

系统启动MSTP

stp enable

-

系统启动VLAN-VPN TUNNEL功能

vlan-vpn tunnel

必选

进入以太网端口视图

interface interface-type interface-number

进入需要开启VLAN VPN功能的端口视图

关闭端口的MSTP功能

stp disable

-

启动以太网端口下VLAN VPN功能

vlan-vpn enable

必选

缺省情况下,所有端口都关闭VLAN VPN功能

 

&  说明:

l      使能VLAN-VPN TUNNEL的设备上一定要启动STP协议。

l      运营商网络之间要配置为Trunk链路。

l      如果交换机上有Fabric端口,则交换机上的所有端口都不能配置VLAN-VPN。

 

1.9  MSTP显示和维护

在完成上述配置后,在任意视图下执行display命令都可以显示配置后MSTP的运行情况。用户可以通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以将有关MSTP的统计信息清除。

表1-40 MSTP显示和调试

操作

命令

显示本设备生成树的状态信息与统计信息

display stp [ instance instance-id ] [ interface interface-list | slot slot-number ] [ brief ]

显示域的配置信息

display stp region-configuration

清除MSTP的统计信息

reset stp [ interface interface-list ]

 

1.10  MSTP典型配置案例

1. 组网需求

配置MSTP使图1-7中不同VLAN的报文按照不同的生成树实例转发。具体配置为:

l              网络中所有交换机属于同一个MST域;

l              VLAN 10的报文沿着实例1转发,VLAN 30沿着实例3转发,VLAN 40沿着实例4转发,VLAN 20沿着实例0转发。

图1-7中Switch A和Switch B为汇聚层设备,Switch C和Switch D为接入层设备。VLAN 10、VLAN30在汇聚层设备终结,VLAN 40在接入层设备终结,因此可以配置实例1和实例3的树根分别为Switch A和Switch B,实例4的树根为Switch C。

2. 组网图

图1-7 MSTP配置组网图

&  说明:

图1-7中链路上的说明“permit: ”表示该链路允许哪些VLAN的报文通过。

 

3. 配置步骤

(1)        配置Switch A

# 进入 MST域视图。

<H3C> system-view

[H3C] stp region-configuration

# 配置 MST域。

[H3C-mst-region] region-name example

[H3C-mst-region] instance 1 vlan 10

[H3C-mst-region] instance 3 vlan 30

[H3C-mst-region] instance 4 vlan 40

[H3C-mst-region] revision-level 0

# 手工激活MST域的配置。

[H3C-mst-region] active region-configuration

# 定义Switch A为实例1的树根。

[H3C] stp instance 1 root primary

(2)        配置Switch B

# 进入 MST域视图。

<H3C> system-view

[H3C] stp region-configuration

# 配置 MST域。

[H3C-mst-region] region-name example

[H3C-mst-region] instance 1 vlan 10

[H3C-mst-region] instance 3 vlan 30

[H3C-mst-region] instance 4 vlan 40

[H3C-mst-region] revision-level 0

# 手工激活MST域的配置。

[H3C-mst-region] active region-configuration

# 定义Switch B为实例3的树根。

[H3C] stp instance 3 root primary

(3)        配置Switch C

# MST域。

<H3C> system-view

[H3C] stp region-configuration

[H3C-mst-region] region-name example

[H3C-mst-region] instance 1 vlan 10

[H3C-mst-region] instance 3 vlan 30

[H3C-mst-region] instance 4 vlan 40

[H3C-mst-region] revision-level 0

# 手工激活MST域的配置。

[H3C-mst-region] active region-configuration

# 定义Switch C为实例4的树根。

[H3C] stp instance 4 root primary

(4)        配置Switch D

# 进入MST域视图。

<H3C> system-view

[H3C] stp region-configuration

# 配置 MST域。

[H3C-mst-region] region-name example

[H3C-mst-region] instance 1 vlan 10

[H3C-mst-region] instance 3 vlan 30

[H3C-mst-region] instance 4 vlan 40

[H3C-mst-region] revision-level 0

# 手工激活MST域的配置。

[H3C-mst-region] active region-configuration

1.11  VLAN-VPN TUNNEL配置典型案例

1. 组网需求

l              S3600系列交换机作为运营商网络接入设备,即组网图中的Switch C、Switch D;

l              S3100系列交换机为用户网络接入设备,即组网图中的Switch A、Switch B;

l              Switch C与Switch D设备之间通过交换机配置好的Trunk端口实现连接,并在系统视图下使能VLAN-VPN TUNNEL功能,从而使用户网络与运营商网络之间实现透明传输。

2. 组网图

图1-8 VLAN-VPN TUNNEL的配置示意图

3. 配置步骤

(1)        Switch A的配置

# 设备启动MSTP。

<H3C> system-view

[H3C] stp enable

# 将端口加入VLAN 10。

[H3C] vlan 10

[H3C-Vlan10] port Ethernet 1/0/1

(2)        Switch B的配置

# 设备启动MSTP。

<H3C> system-view

[H3C] stp enable

# 将端口加入VLAN 10。

[H3C] vlan 10

[H3C-Vlan10] port Ethernet 1/0/1

(3)        Switch C的配置

# 设备启动MSTP。

<H3C> system-view

[H3C] stp enable

# 设备启动VLAN-VPN TUNNEL。

[H3C] vlan-vpn tunnel

# 将Ethernet1/0/1加入VLAN 10。

[H3C] vlan 10

[H3C-Vlan10] port Ethernet 1/0/1

[H3C-Vlan10] quit

# 关闭端口Ethernet1/0/1的STP特性,并打开VLAN-VPN。

[H3C] interface Ethernet 1/0/1

[H3C-Ethernet1/0/1] port access vlan 10

[H3C-Ethernet1/0/1] stp disable

[H3C-Ethernet1/0/1] vlan-vpn enable

[H3C-Ethernet1/0/1] quit

# 将端口Ethernet 1/0/2设置为Trunk口。

[H3C] interface Ethernet 1/0/2

[H3C-Ethernet1/0/2] port link-type trunk

# 将Trunk端口加入到所有的VLAN中。

[H3C-Ethernet1/0/2] port trunk permit vlan all

(4)        Switch D的配置

# 设备启动MSTP。

<H3C> system-view

[H3C] stp enable

# 设备启动VLAN-VPN TUNNEL。

[H3C] vlan-vpn tunnel

# 将Ethernet1/0/2加入VLAN 10。

[H3C] vlan 10

[H3C-Vlan10] port Ethernet 1/0/2

# 关闭端口Ethernet1/0/2的STP特性,并打开VLAN-VPN。

[H3C] interface Ethernet 1/0/2

[H3C-Ethernet1/0/2] port access vlan 10

[H3C-Ethernet1/0/2] stp disable

[H3C-Ethernet1/0/2] vlan-vpn enable

[H3C-Ethernet1/0/2] quit

# 将端口Ethernet1/0/1设置为Trunk口。

[H3C] interface Ethernet 1/0/1

[H3C-Ethernet1/0/1] port link-type trunk

# 将Trunk端口加入到所有的VLAN中。

[H3C-Ethernet1/0/1] port trunk permit vlan all

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们