一、MSTP技术
- MSTI和MSTI域根
MSTP中的端口角色
3. MSTP工作原理
MSTP 计算方法
• CST/IST的计算和RSTP类似
• MSTI的计算仅限于区域内
• MSTI计算参数包含在IST BPDU中,和IST的计
算同步完成
3)转发路径选择
MSTP的P/A机制
• 上游桥发送的Proposal BPDU中,P标志位和A标志位都置位
• 下游收到P标志位和A标志位都置位的Proposal BPDU,在将端
口同步后会回应Agreement BPDU,使得上游的指定端口快速
进入转发状态
保护机制
根桥保护机制
边缘端口保护:当边缘端口收到配置消息时,MSTP会将这些端口关闭,防止非法设备接入网络。配置命令为[H3C] stp bpdu-protection。
非法根桥影响:合法根桥收到优先级更高的配置消息时会失去根桥地位,导致网络拓扑结构变动。
1. 边缘端口保护
保护原理:通过关闭收到BPDU的边缘端口来阻止非法设备接入网络。
配置方式:在系统视图下配置stp bpdu-protection命令。
处理方式:当边缘端口收到BPDU时,直接关闭该端口,需要管理员手动恢复。
2. 根桥保护配置配置位置:在接口视图下配置,而不是系统视图。
配置命令:在接口视图下使用stp root-protection命令。
配置原因:避免在网络内部主备根桥切换时误触发保护机制。
3. 根桥保护实例实例配置:
进入接口视图:int g0/0/3
启用根桥保护:stp root-protection
设置优先级:stp instance 0 priority 0
状态变化:当端口收到更优BPDU时,会进入discarding状态。
4. 根桥保护状态切换状态转换:当保护端口收到更优BPDU时,会切换到侦听状态(在RSTP中表现为discarding状态)。
行为限制:处于保护状态的端口不会转发数据报文。
5. 根桥保护注意事项
配置位置限制:
不应在上行接口配置根桥保护
只能在连接外部设备的接口配置
主备切换影响:避免在主备根桥切换的正常过程中误触发保护机制
与边缘端口保护区别:
根桥保护在接口视图配置
边缘端口保护在系统视图配置
环路保护机制
1. 环路保护原理
- 触发条件:当光纤链路单通或网络拥塞导致BPDU丢失时,下游设备会重新选择端口角色,可能形成环路
- 保护机制:开启环路保护的端口若无法收到上游设备的BPDU,无论当前端口角色如何,都会强制转为Discarding状态
- 应用场景:特别适用于光纤连接环境(如SFP模块的双纤连接),防止因单向链路故障导致的环路
- 状态转换:保护机制触发后,端口会先进入Listening状态,相当于临时关闭端口功能
TC保护机制
1. TC攻击防御
- 攻击原理:伪造大量TC-BPDU报文会导致交换机频繁刷新MAC地址表,影响网络稳定性
- 防御措施:设置时间窗口(默认10秒)内处理TC报文的最大次数阈值
- 默认值:系统默认阈值为1次,可根据实际需要调整(但不宜过大)
- 处理逻辑:超过阈值的TC报文将被忽略,避免地址表被恶意刷新
2. TC保护配置
- 配置位置:在系统视图下进行全局配置
- 验证方法:通过频繁开关端口模拟TC攻击,观察地址表刷新行为
- 实际应用:在稳定拓扑中TC报文应较少出现,阈值设置需平衡安全性与可用性
- 注意事项:与根保护、环路保护不同,TC保护是针对泛洪攻击的防御机制
五、VRRP技术
1. VRRP基本概念
- 协议定义: VRRP(Virtual Router Redundancy Protocol)是RFC 3768定义的容错协议,通过将多个路由器组成备份组形成虚拟路由器来承担网关功能。
- 核心功能: 实现网关设备冗余备份,当主网关故障时自动切换备份网关,保证网络连通性。
- 工作逻辑: 将多个三层设备(交换机/路由器)组成逻辑设备,终端只需配置虚拟IP为网关地址,不感知具体转发设备。
2. VRRP工作原理
- 组结构:
- 每个VRRP组包含1个Master(主设备)和若干Backup(备份设备)
- Master实际承担数据转发,Backup处于监听状态
- 虚拟地址:
- 虚拟IP:终端配置的网关地址
- 虚拟MAC:固定格式0000-5E00-01XX(XX对应VRID)
- 切换机制: 当Master故障时,优先级最高的Backup接替转发工作,虚拟IP/MAC保持不变。
3. VRRP主备切换
- 选举原则: 通过优先级(Priority)选举Master,默认优先级100,数值越大越优先
- 故障检测: Backup通过组播报文检测Master状态,3倍Advertisement间隔未收到报文即触发切换
- 透明切换: 终端无需感知主备切换过程,网关IP/MAC始终保持不变
六、VRRP负载分担
1. 多网段负载分担
- 实现条件: 需要至少两个网段(如10.100.10.0/24和10.100.11.0/24)
- 配置方式:
- 设备A作为网段1的Master/网段2的Backup
- 设备B作为网段2的Master/网段1的Backup
- 流量分布: 不同网段流量通过不同物理设备转发,实现负载均衡
七、VRRP协议报
八、VRRP优先级
1. 默认优先级
- 取值范围:8位二进制数,默认值为100,最高优先级为255(思科/华为设备默认值相同)
- 选举规则:
- 优先级高的设备成为Master路由器
- 优先级相同时比较接口IP地址,较大者成为Master
- 同一VRRP组中必须且只能存在一个Master路由器,但可存在多个Backup路由器
2. 特殊优先级255
- 触发条件:当物理接口IP地址与虚拟路由器IP地址完全相同时
- 特性:
- 自动获得255优先级(不可人工修改)
- 直接成为Master路由器且不可降级
- 避免网络中IP地址冲突的保障机制
- 限制:人工配置优先级最高只能设为254
九、VRRP工作过程
1. VRRP协议号
- 协议层:网络层协议(直接封装在IP包头后)
- 协议号:112(无传输层封装)
2. VRRP报文格式
- 基本字段:
- Version:当前通用v2版本
- Type:唯一报文类型(只有通告报文)
- Virtual Rtr ID:VRRP组标识(1-255)
- Priority:当前设备优先级
- Count IP Addrs:维护的IP地址数量
- 通信参数:
- 组播地址:224.0.0.18(首个学习的组播地址)
- 通告间隔:默认1秒
- 超时判定:3个周期(3秒)未收到报文即判定Master故障
3. VRRP状态机
- 三种状态:
- Initialize:端口关闭时进入
- Master:定期发送通告报文(含虚拟MAC应答)
- Backup:仅监听报文(不处理任何数据转发)
- 状态转换规则:
- 优先级≠255:先进入Backup状态再选举
- 优先级=255:直接成为Master
- 接口恢复后需重新参与选举
十、VRRP抢占模式
1. 接口跟踪功能
- 工作机制:
- 跟踪接口故障时自动降低优先级
- 默认抢占模式允许Backup接管
- 非抢占模式需人工干预切换
- 典型场景:
- 上行链路故障时触发主备切换
- 优先级差值需足够触发状态变更
2. 免费ARP机制
- 作用:解决主备切换后的二层通信问题
- 触发时机:新Master产生时立即发送
- 报文特性:
- 使用虚拟IP和虚拟MAC(格式:0000-5E00-01XX)
- 强制更新终端ARP缓存表(无需等待30秒老化)
- 必要性:避免因MAC地址未更新导致通信中断
十一、VRRP配置实例
