STP增强

802.1DSTP增强

说明：此些特性，在802.1D和PVST+的基础上增强，对于802.1W和RPVST+。则已经集成，

portfast：

使生成树被配置为2层接入端口的接口立即进入转发状态，从监听直接进入转发状态，节省了30S。

Portfast可以抑制TCN。

一个交换机连接的终端设备是不会影响整个二层拓扑，也不会产生环路的。如果终端设备频繁的开关机而连接此终端的交换机认为拓扑发生变化，就会频繁的老化MAC地址表。连接该设备的接口也要经历50S左右来进入转发状态。(STP拓扑中，终端接口不会被阻塞，因为DP一链路一个)

接口下开启：

(Switch-if)#spanning-tree portfast

全局下开启

(Switch)#spanning-tree portfast default

注意：如果启用了portfast特性的交换机端口收到了BPDU，则BPDU防护会使得端口进入err-disable。此状态等同于禁用状态，防止从此端口进出数据。除非手工干预。

也可以使用如下命令，使接口配置为主机接口：

SW1(config-if)#switchport host

switchport mode will be set to access

spanning-tree portfast will be enabled

channel group will be disabled

uplinkfast：

能够在直连的链路故障之后提供快速的收敛，





当SW1做正常转发的链路DOWN了以后，uplinkfast将解除SW1上的阻塞端口，并将他过渡到转发状态，从阻塞到转发，跨越了侦听和学习状态，节约了30S。

在没有uplinkfast的时候，检测到直连链路故障的时候，会从阻塞跳入侦听，需要30S的时间将端口过渡到转发状态。

除非最大寿命设置所定义的时间到期，否则，SW1不会在阻塞的端口中发出任何BPDU

命令：

Sw2(config)#spanning-tree uplinkfast

将影响所有VLAN

Sw2(config)#spanning-tree uplinkfast max-update-rate 200

（每秒所发包的数目，默认值150）

uplinkfast将网桥优先级增加至49152，并将交换机上所有接口STP的端口开销增加3000.此特征只针对优先级和端口开销默认配置的设备，更改过这两个值的设备不会有此特性(并不是更改过某接口的cost后，此接口不会增加，所有接口都不会增加，有裙带关系)。

这样的默认配置，是为了防止根桥的转移，如果不更改，如图，SW1会向SW3发送自己是根的配置信息，这样有可能会有问题。

backbonefast：

STP最大寿命相关

STP的默认最大寿命计时器为7,表示最大的网络直径可达7台设备.

bpdu广播2s一次，允许有3个包丢失即6s,当假设最大为7跳的时候，则一共要用20s,所以BPDU的有效时间为20s 丢三个6S，第四个8S。7跳取极端状态，到第八个网桥的时候是20S。

(config)#spanning-tree vlan 2 hello-time 2 //范围1-10s

spanning-tree vlan 2 forwad-time 4 //范围4-30s 侦听——学习 学习——转发

spanning-tree vlan 2 max-age 6 阻塞——侦听

是uplinkfast的一种补充，尽管uplinkfast能够对直连链路做出迅速的反应，但对于主干核心链路的故障爱莫能助。backbonefast可以使阻塞端口立即进入监听状态，无需等待最大寿命计时器，节省20S。

backbonefast不能够排除转发延迟(15S)，并且不支持直连的链路失效(即直连链路失效，backbonefast不支持)





当主干链路故障以后，SW1会从备根桥收到次级BPDU(备根桥声称自己是根桥，但BID比主根桥发送的BPDU要大)

如果SW1有到达根桥的替代路径，将使用替代路径发送RLQ BPDU查询 (root link qurey BPDU)。目的是确定当前的根桥是否依然健在。RLQ会通过链路中的交换机进行传播，根桥会用RLQ 相应来进行响应。如果响应的根桥是最初的根桥，对于接收到的次级BPDU端口，SW1会立即跳到监听状态，节省阻塞——侦听(20S).起到加快收敛的作用。

命令

(Switch)#spanning-tree backbonefast

backbonefast使阻塞端口直接进入监听状态。节约20S

而其他两种情况直接从阻塞到转发，节约了30S

加强STP弹性

BPDU防护：

portfast端口不接收BPDU，当交换机从portfast端口接收到了BPDU的时候，BPDU防护会将此端口设置为err-disable状态

BPDU防护是一种针对portfast的安全响应。如果启用了portfast的端口收到了BPDU，此端口将进入err-disable

命令

(config)#spanning-tree portfast bpduguard default 全局下

(config-if)#spanning-tree bpduguard enable 接口下

查看命令

SW1#show spanning-tree summary totals

Switch is in pvst mode

Root bridge for: VLAN0010, VLAN0030, VLAN0300

Extended system ID is enabled

Portfast Default is disabled

PortFast BPDU Guard Default is enabled

Portfast BPDU Filter Default is disabled

BPDU过滤：

防止交换机在启用portfast的接口上发送BPDU，因为终端设备通常不需要参与STP，所以，收到BPDU的设备会丢弃BPDU，通过BPDU过滤，将防止向主机设备发送不必要的BPDU。

接口下启用BPDU过滤：交换机将不发送任何BPDU，并将接收到的所有BPDU都丢弃。

全局下启用BPDU过滤：端口在接口收到BPDU时，交换机将把接口更改会正常的STP操作，对于启用portfast的端口，如果收到BPDU，则会丢弃portfast状态。

BPDU防护可以覆盖BPDU过滤，err-disable掉一个接口。

命令

(config)#spanning-tree portfast bpdufilter default 全局下

(config-if)#spanning-tree bpdufilter enable 接口下

根防护：

交换机让启用根防护特性的端口成为指定端口，也就是意味着此链路对端只有根端口或者阻塞端口。如果交换机在启用根防护的端口收到上级BPDU(其中BID优于原始根桥的BID)。那么端口将进入"不一致"状态(等效于监听)。





当SW3下接入一个SW4，SW4的优先级小于当前主根桥的优先级，按照正常的STP来说，这个二层网络会重新运行STP选举，使SW4成为新的根桥。阻塞主备根桥之间的链路。这样显然是有问题的

跟防护特性用来防止这种问题的产生，当端口启用根防护特性的时候，交换机不允许这个端口成为根端口，如果端口接收到上级BPDU。根防护会err-disable这个接口，不处理BPDU。

命令

(Switch-if)#spanning-tree guard root

查看“不一致根”状态

Switch#show spanning-tree inconsistentports

避免二层环路和黑洞

环路防护：

某个阻塞接口收不到传来的BPDU，3倍的HELLO时间到了时候，会将原本阻塞的端口过渡到指定端口，进入STP转发状态。使拓扑产单向环路。

使用环路防护特性，交换机在过渡到转发之前执行额外的检查，如果交换机在启用环路防护特性的非指定交换机上停止接收BPDU，那么交换机的这个端口会进入"不一致环路"的阻塞状态。

命令

全局 spanning-tree loopguard default

接口 spanning-tree guard loop

UDLD：

单向链路失效是比较常见的现象，以太网线缆的收发出现问题。

当链路保持“UP”的时候，接口却没有流量收到。

UDLD是一种二层协议，它与第一层机制协同工作来确定链路的物理状态。

启用UDLD能使得这种接口自动进入“err-disable”状态。

启用了UDLD的交换机之间会互相发送UDLD协议包来保持联系，默认间隔15S

如果在计时器到期之前没有接收到回包，交换机将确定该链路是单向链路。

Sw1(config)#udld enable 也可在接口下配

积极模式的UDLD--当端口停止接收UDLD的数据包时，UDLD将尝试重新建立与邻居的连接，但如果尝试8次之后还不成功，那么两端的端口都将成为“err-disable”状态。

err-disable有关：

接口shutdown no shutdown

errdisable recovery interval 30 指定自动恢复时间间隔

本文出自 “_癫人。” 博客，请务必保留此出处http://zhangchiccie.blog.51cto.com/1579309/721989