RSTP,MSTP

RSTP

RSTP协议产生的背景

为了解决STP协议收敛慢的问题

RSTP概述

快速生成树协议(Rapid Spanning Tree Protocol),在STP协议的基础上实现了快速收敛,并且增加了在边缘端口的概念以及保护功能

RSTP的端口角色

RSTP定义了两种新的端口角色:备份端口(Backup Port)和预备端口(Alternate Port)

Backup端口:指定端口的备份
Altermate Port(边缘端口):根端口的备份

边缘端口的特点:

1.边缘端口一般与用户终端设备直接相连
2.边缘端口不参与RSTP运算,但会往外发送BPDU
3.边缘端口会直接从Disabled状态转换成Forwarding,会节省30s的缺省时间
4.边缘端口的启动或关闭不会出发拓扑变化
5.边缘端口接受的TC置为的配置BPDU报文不会将MAC地址的老化时间变成15s
6.一旦边缘端口收到配置BPDU,就丧失了边缘端口的属性,成为普通的STP端口,并重新进行生成树计算,从而引起网络动荡

RSTP端口状态的重新划分

RSTP,MSTP直接节省了Blocking转换Listening状态所需的20s

RSTP的配置

RSTP,MSTP
RSTP,MSTP配置实现:
stp enable //全局开启STP
stp mode rstp //配置STP模式为RSTP
stp root primary //配置SWA为根桥
stp bpdu-protection //全局开启BPDU防护,配合边缘端口一起使用
stp edged-port enable //配置端口为边缘端口

RSTP,MSTPRSTP,MSTP

RSTP快速收敛机制

P/A协商
针对启动STP服务需要运行30s的问题,RSTP采用了P/A(Proposal/Agreement)协商机制

特点:由于有来回确认机制和同步变量机制,故不再依靠计时器来保障无环路

P/A协商过程
1.SW1向SW2发送一个P置位的BPDU包
2.同步变量(阻塞除边缘端口以外的其他端口,防止出现环路)
3.SW2向SW1发送A置位的BPDU包
4.SW1收到SW2发来的A置为的BPDU包,端口即转化为Forwarding状态(秒级)

RSTP报文抓包示例

RSTP,MSTP

STP的不足与RSTP的优化

STP–>问题一:STP从初始状态到完全收敛至少需要经过30s

RSTP,MSTP

RSTP–>RSTP对STP的优化:利用确认机制和同步变量机制,无需依靠计时器来保障无环
RSTP,MSTP
RSTP,MSTPRSTP,MSTP

STP–>问题二:当交换机由BP,RP端口,RP端口down后,BP端口切换成RP端口并进入转发状态至少需要经过30s
RSTP,MSTPRSTP–>RSTP对STP的优化:AP端口会在RP端口down后,快速切换成RP端口,从而进入转发态

RSTP,MSTP
STP–>问题三:当交换机无BP端口,RP端口down掉时,BP端口会接收到认为自己是根桥的SWB的次等BPDU(20s),超时后,BP端口会重新进行收敛,等待从监听到转发状态(30s),此过程,经历了50s

RSTP,MSTP
RSTP–>RSTP对STP的优化:接受到次等BPDU后,会立即发送本地最优的BPDU给对端,节省掉至少30-50s
RSTP,MSTP

STP–>问题四:交换机连接终端的链路进入转发需要经过30-50s

RSTP,MSTP
RSTP–>RSTP对STP的优化:边缘端口不会参加STP的计算和等待计时器的超时等问题,直接进入转发,节省掉30-50s

RSTP,MSTP

STP–>问题五:网络拓扑发生变化时,变更交换机先根桥发送TC置位的BPDU报文,再由根桥向全网发送TC报文,机制复杂

RSTP,MSTP

RSTP–>RSTP对STP的优化:网络拓扑发生变化时,变更交换机直接向全网发生TC置位的BPDU报文,而不是先通知根桥,再由根桥向全网发送TC报文
RSTP,MSTP
STP–>问题六:网络拓扑发生变化时,MAC地址表重新更新,最先意识到链路故障的交换机会向根桥发送TC,然后根桥发TA给交换机,同时发送TC给其他所有的交换机,至少需要35+15s==
RSTP,MSTP
RSTP–>RSTP对STP的优化:网络拓扑发生变化时,感知到链路故障的交换机会直接删除掉有关故障的接口信息,然后向全网发送TC报文,其他交换机收到TC后,只删除掉故障学习的MAC地址**

RSTP,MSTPRSTP,MSTP
RSTP,MSTP

RSTP,MSTP

思考:当黑客在边缘端口接入一台运行生成树的交换机时,如何进行防御?

应用场景:防止有人伪造RST BPDU恶意攻击交换设备,当边缘端口接收到该报文时,会自动设置为非边缘端口,并重新进行生成树计算,引起网络震荡。

RSTP,MSTP
预防方法:给边缘端口配置BPDU保护,当端口收到BPDU报文,端口就会立即关闭

BPDU保护实现原理:配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口将会被立即关闭。
RSTP,MSTP

思考:当黑客机接入一台优先级最高的交换机时,会夺取并成为根桥,那如何进行防御呢?

应用场景:由于维护人员的错误配置或网络中的恶意攻击,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动。

RSTP,MSTP

根保护实现原理:一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。

Root保护功能只能在指定端口上配置生效。

RSTP,MSTP

思考:黑客在边缘端口接入一台计算机不断伪造和发送TC-BPDU,会导致交换机设备在短时间内收到很多TC-BPDU报文,频繁的删除操作会给设备带来很大的负担,给网络的稳定带来隐患,那么如何防御呢?

RSTP,MSTP

RSTP,MSTP

TC-BPDU攻击保护原理:
启用防TC-BPDU报文攻击功能后,在单位时间内,RSTP进程处理TC类型BPDU报文的次数可配置(缺省的单位时间是2秒,缺省的处理次数是3次)。如果在单位时间内,RSTP进程在收到TC类型BPDU报文数量大于配置的阈值,那么RSTP进程只会处理阈值指定的次数;对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。

MSTP

基本概念及功能:MSTP又称“多实例生成树协议”,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。

MSTP产生的技术背景

RSTP在STP基础上进行了改进,实现了网络拓扑快速收敛由于局域网内所有的VLAN共享一棵生成树,因此被阻塞后链路将不承载任何流量,无法在VLAN间实现数据流量的负载均衡,从而造成带宽浪费
为了弥补STP和RSTP的缺陷,IEEE于2002年发布的802.1s标准定义了MSTP。MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,在数据转发过程中实现多VLAN数据的负载均衡

RSTP的不足,与MSRT的优化

RSTP–>问题一:如果连接SWB,SWC的链路发送故障时,SWC下的 LAN B 就会失联,造成部分Vlan路径不通的问题
RSTP,MSTP如图所示,网络中有SWA、SWB、SWC三台交换机。配置VLAN2通过两条上行链路,配置VLAN3只通过一条上行链路。
为了解决VLAN2的环路问题,需要运行生成树。在运行单个生成树的情况下,假设SWC与SWB相连的端口成为预备端口(Discarding状态),那么VLAN3的路径就会被断开,无法上行到SWB。

RSTP–>问题二:无法实现流量分担
RSTP,MSTP为了实现流量分担,需要配置两条上行链路为Trunk链路,允许通过所有VLAN;SWA和SWB之间的链路也配置为Trunk链路,允许通过所有VLAN。将VLAN2的三层接口配置在SWA上,将VLAN3的三层接口配置在SWB上。
我们希望VLAN2和VLAN3分别使用不同的链路上行到相应的三层接口,但是如果连接到SWB的端口成为预备端口(Alternate Port)并处于Discarding状态,则VLAN2和VLAN3的数据都只能通过一条上行链路上行到SWA,这样就不能实现流量分担。

RSTP–>问题三:次优二层路径
RSTP,MSTP如图所示,SWC与SWA和SWB相连的链路配置为Trunk链路,允许通过所有VLAN;SWA与SWB之间的链路也配置为Trunk链路,允许通过所有VLAN。
运行单个生成树之后,环路被断开,VLAN2和VLAN3都直接上行到SWA。
在SWA上配置VLAN2的三层接口,在SWB上配置VLAN3的三层接口,那么,VLAN3到达三层接口的路径就是次优的(最优的处于备份态)。

MSTP–>MSTP的优化:把多个生成树相同的vlan,放到统一的一个实例中管理维护
RSTP,MSTP

MSTP的实现配置

RSTP,MSTP

  • 配置思路
    配置MST域并创建多实例,实现流量的负载分担。
    在MST域内,配置各实例的根桥与备份根桥。
    修改各实例中某端口的路径开销值,实现将该端口阻塞。
    与终端设备相连的端口配置成为边缘端口,加快收敛。
  • 数据准备
    域名为RG1。
    实例为MSTI1和MSTI2。
    实例MSTI1的根桥为SWA,备份根桥为SWB;实例MSTI2的根桥为SWB,备份根桥为SWA。
    实例MSTI1和实例MSTI2的阻塞口的路径开销值修改为200000。
    VLAN号是1~20。
    PC1所属VLAN为10,PC2所属VLAN为20。

RSTP,MSTP

MSTP配置验证

RSTP,MSTPRSTP,MSTP

上一篇:二氧化硅包覆的银纳米颗粒AgNPs作为MEF材料检测四环素类抗生素


下一篇:逸仙电商Seata企业级落地实践