1.建议在网关设备的上行接口去使能STP
网关是二、三层设备的分界线,如果网关设备下行二层网络中使能了STP,为避免STP收敛影响三层链路,建议上行接口去使能STP
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]stp disable
2.接入交换机的用户侧建议配置为边缘端口
通过将用户侧接口配置边缘端口,该端口便不再参与生成树计算,从而帮助加快网络的收敛时间以及加强网络的稳定性。接入交换机连接PC和接入终端的接口上都建议配置边缘端口
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]stp edged-port enable
3.建议配置BPDU保护
为了防止攻击者仿造BPDU报文导致边缘端口属性变成非边缘端口,可配置BPDU保护功能,配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口会shutdown,边缘端口属性不变
<Huawei>sys
[Huawei]stp bpdu-protection
在配置了BPDU保护功能后,关闭端口的情况下,被关闭的端口不会自动恢复,可由网管执行shutdown再执行 undo shutdown手动恢复,也可在接口视图下reset重启端口
如果用户希望被关闭的端口可以自动恢复,则可以在系统视图下执行
[Huawei]error-down auto-recovery cause bpdu-protection interval [interval-value]
命令,使能端口状态的自动恢复为UP功能,并设置自动恢复为UP的延时时间
4.建议手动指定根桥优先级和位置
在根桥选举过程中,通常希望性能高、网络层次高的交换设备被选举为根桥。但是性能高、网络层次高的交换设备其优先级不一定高,因此可以指定生成树的根桥,以保证该设备成为根桥。为了让网络流量不中断,配置备份跟桥,当根桥出现故障或关机时,备份跟桥会在生成树计算时成为根桥。
当运行MSTP协议时,配置交换设备为实例1的根桥
<Huawei>sys
[Huawei]stp instance 1 root primary
当运行MSTP协议时,配置交换设备为实例2的备份根桥
<Huawei>sys
[Huawei]stp instance 2 root secondary
5.建议在根交换机指定端口上配置根保护
由于维护人员的错误配置或网络中的恶意攻击,网络中合法根交换机可能会受到优先级更高的BPDU报文,使得合法根交换机失去根的地位,引起网络拓扑结构的错误变动,这种不合法的拓扑变化,可能会导致原来应该通过高速链路的流量被牵引到低俗链路上,造成网络拥堵。为了防止这种情况的发生,可在根交换机上部署根保护功能,通过维持指定端口的角色来保护根交换机的地位。
<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]stp root-protection
root-protection注意事项:
(1) 根保护功能是指定端口的特性,当端口角色是指定端口时,配置根保护功能才生效 ,且只能在端口下配置
(2)作用是保护当前根桥的地位
(3)当配置了root-protection的接口收到了BID更小的BPDU报文时,该接口会立即进入discarding状态,不再转发报文,在经过一段时间(通常为2倍的forwarding delay),如果端口没有再收到BID更小的BPDU报文,端口自动恢复到正常forwarding状态
当配置了root-protection的接口收到了BID更小的BPDU报文时,该接口会立即进入discarding状态,此时会断网,如图1
6.建议在Eth-Trunk接口固定cost值,防止端口闪断,STP反复收敛
Eth-Trunk接口使能STP功能后,如果其成员变动(如成员接口down等),STP的cost值就会变化,因此建议将Eth-Trunk接口配置固定cost值,防止成员变化带来STP的收敛
当运行MSTP协议时,配置端口Eth-Trunk在生成树实例2上路径开销为200
<Huawei>sys
[Huawei]int Eth-Trunk 1
[Huawei-Eth-Trunk1]stp instance 2 cost 200
评论(0)