STP portfast 会防止环路吗?

网络工程 思科 转变 交换 生成树 数据包追踪器
2021-07-16 06:58:45

我试图了解如果同一交换机上的两个端口处于 portfast 模式,当两个端口相互连接时是否会创建循环。即,如果 FastEthernet 0/2 和 0/3 都设置为 portfast,然后通过以太网电缆直接相互连接,或通过集线器连接,其中一个端口会进入“阻塞”状态。

我已经使用 Cisco 的 Packet Tracer 测试过这种行为,但 FastEthernet 0/3 最终被阻止。以下是运行配置的摘录:

!
spanning-tree mode rapid-pvst
!
interface FastEthernet0/1
!
interface FastEthernet0/2
 spanning-tree portfast
!
interface FastEthernet0/3
 spanning-tree portfast
!

以下是显示生成树的输出:

Switch#show spanning-tree 
VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    32769
             Address     0060.3EB7.B631
             Cost        19
             Port        1(FastEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     00D0.D315.4BD5
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/3            Altn BLK 19        128.3    Shr
Fa0/2            Desg FWD 19        128.2    Shr
Fa0/1            Root FWD 19        128.1    P2p

Switch#

如果在使用 portfast 时会出现上述行为,那么使用 bpduguard 有什么优势?看起来很多来源都建议将 portfast 和 bpduguard 一起使用。

1个回答

端口快速绕过通常的 STP 阶段并直接进入转发。这对于连接到使用 DHCP 的终端设备的端口很有用。它不会阻止 BPDU,有人主张在所有端口上使用它,尽管 Cisco 对此有不同的看法

注意: 切勿在连接到其他交换机、集线器或路由器的交换机端口上使用 PortFast 功能。这些连接会导致物理环路,在这些情况下,生成树必须经过完整的初始化过程。生成树循环可能会使您的网络瘫痪。如果您为属于物理环路一部分的端口打开 PortFast,则可能会有一个时间窗口,当数据包以网络无法恢复的方式连续转发(甚至可能成倍增加)时。

BPDU 防护将禁用(errdisable)接收 BPDU 的端口。这有助于防止恶意交换机和 STP 环路。Cisco 有一份文件解释了 BPDU 保护:

功能描述

STP 将网状拓扑配置为无环路的树状拓扑。当网桥端口上的链路上升时,该端口上会进行 STP 计算。计算的结果是端口转换为转发或阻塞状态。结果取决于端口在网络中的位置和 STP 参数。这个计算和过渡期通常需要大约 30 到 50 秒。那时,没有用户数据通过该端口。在此期间,某些用户应用程序可能会超时。

为了允许端口立即转换为转发状态,请启用 STP PortFast 功能。PortFast 在连接时立即将端口转换为 STP 转发模式。该端口仍然参与 STP。因此,如果端口要成为环路的一部分,则端口最终会转换为 STP 阻塞模式。

只要端口参与STP,部分设备就可以承担根桥功能,影响主动STP拓扑。为了承担根桥功能,设备将连接到端口并运行比当前根桥更低的桥优先级的 STP。如果另一个设备以这种方式承担根桥功能,则会导致网络次优。这是对网络的拒绝服务 (DoS) 攻击的一种简单形式。临时引入和随后移除具有低 (0) 桥优先级的 STP 设备会导致永久的 STP 重新计算。

STP PortFast BPDU 保护增强功能允许网络设计人员强制执行 STP 域边界并保持活动拓扑可预测。启用了 STP PortFast 的端口后面的设备无法影响 STP 拓扑。在接收 BPDU 时,BPDU 保护操作禁用已配置 PortFast 的端口。BPDU 防护将端口转换为 errdisable 状态,并在控制台上显示一条消息。

其它你可能感兴趣的问题
上一篇将网桥的优先级设置为 0 但根网桥现在在 STP 中显示优先级为 1 下一篇BGP 对等体必须直连吗?