、MSTPプロトコル
MSTPスパニングツリープロトコルは、広く本番環境で使用される、一般的です。
一例のみを実行している従来のスパニングツリー、および遅い収束は、伝統的なSTP、RSTPは、ネットワークの収束を促進する目的を向上させることによって達成し、まだ不備。それ以来、STPやRSTP全体のローカルエリアネットワーク、すべての共有ツリーインスタンスにまたがるVLANは、VLANベースのロードバランシングを実現することができない、ネットワーク環境は常に定常状態のバックアップリンクは、帯域幅の浪費で、その結果、データトラフィックを転送することはできません。
MSTPは、(マルチプルスパニングツリーアルゴリズム及びプロトコル)技術は、各スパニングツリーインスタンス(インスタンス)と呼ばれる、環境を複数のスイッチングにまたがる実行させ、マルチスパニングです。互いに独立のMSTI時間は、ブロッキングインタフェースの一例としての別の実施例で転送ポートであってもよいです。MSTPは、MSTIのVLANを複数実行できるようにシスコ独自のPVSTと異なる技術は、PVSTシスコのテクノロジーを比較PVST技術を実行しているCiscoスイッチは、木の一例であるので、それは、例えば、利点でありますそしてより多くの、よりにまたがる、これらのスイッチは、スパニングツリーを維持するだけでなく、ハードウェアリソースとネットワークのオーバーヘッドを消費する必要があります。ほとんどの場合、複数のスパニングツリーインスタンスを実行していることの利点は、負荷分散であるが、二つのMSTIを実行している唯一の冗長リンクは、ロードバランシングを実現することができたときに、オーバーヘッドを節約しながら。
ネットワーク環境の2つのMSTI図がありますが、その後、ルートブリッジの異なるインスタンス別の物理スイッチは、ロードバランシングは、なくので、過剰なシステムリソースのインスタンスでないだけで達成することができます。
また、データ転送のための冗長パスを複数提供しながら、ブロードキャストストームを回避するために、ループフリーにツリー状のネットワークを剪定MSTPループネットワーク、データ転送処理にVLANデータをロード・バランシング。また、MSTP STPおよびRSTPと互換性があります。
MSTPは、各スパニングツリーの複数、互いのスパニングツリーの独立を形成する、複数の領域にスイッチングネットワークを分割します。各スパニングツリーは、MSTI(マルチプルスパニングツリーインスタンス、MSTI)と呼ばれ、各ドメインは、MST領域と呼ばれます。
MSTP通过设置VLAN映射表(即VLAN和MSTI的对应关系表),把VLAN和MSTI联系起来。每个VLAN只能对应一个MSTI,即同一VLAN的数据只能在一个MSTI中传输,而一个MSTI可以对应多和VLAN。如上图所示,instance 1对应vlan 10,instance 2对应vlan 20,S1为MSTI1的根交换机,S2为MSTI2的根交换机,instance 1阻塞S2与S3之间链路,instance 2阻塞S1与S3之间链路,可以充分利用网络带宽,有效避免资源浪费。
二、MSTP的基本原理是什么?
在MSTP中,通过把整个互联的二层网络划分成若干个域。在域内,把其中的vlan分成若干组,每组具有相同的拓扑结构,然后定义若干个MSTI,并把这些生成树实例和不同的vlan映射起来。
所谓实例就是多个vlan的一个集合。通过将多个vlan映射到一个实例,可以节省通信开销和资源占用率。MSTP各个实例拓扑的计算相互独立,在这些实例上可以实现负载均衡。可以把多个相同拓扑结构的vlan映射到同一个实例里,这些vlan在接口上的转发状态取决于接口在对应MSTP实例的状态。
如果仅仅是为了防止广播风暴等环路问题,运行CST(CST也是一种生成树协议,关于CST技术自行查阅相关资料,这里不叙述了)已经足够。运行多实例的主要目的在于使其负载分担链路负载。所以运行的生成树实例数量一般取决于冗余线路的数量,如果只有一条冗余链路,那么最好运行两个实例。如果有两条冗余链路,那么运行三个实例将是最好的选择,并尽可能保证每个实例中流量相差不大。
1、 MSTP的网络层次
一个二层交换网络可以划分多个MST域(多生成树域),每个生成树域可以划分多个MSTI,每个实例中可以映射多个vlan。
如上图中的MSTP网络包含3个MST域,分别是A、B、C。每个MST域中包含一个或多个MSTI。MST域B中包含两个MSTI,分别是instance 1和instance 2。instance 1和vlan 1-5映射,instance 2和vlan 6-10映射。
2、 MST域
MST域是多生成树域,由局域网中的多台交换机及他们之间的网段构成。一个局域网可以存在多个MST域,各MST域之间在物理上直接相连。用户可以通过MSTP配置命令把多台交换机划分在同一个MST域内。MST域中的交换机都启用了MSTP,配置了相同的域名及vlan映射表(VLAN映射表是MST域的属性,它描述了VLAN和MSTI之间的映射关系)。
3、MSTI
一个MST域内可以运行多个MSTI,MSTI之间彼此独立,MSTI可以与一个或者多个VLAN对应,但一个VLAN只能与一个MSTI对应。
4、端口角色
MSTP中的端口角色主要有根端口,指定端口 ,预备端口,备份端口和边缘端口。除边缘端口外其他端口角色都参与MSTP的计算过程。同一端口在不同的MSTI中可以担任不同的角色。
根端口:非根交换机上到根交换机开销最小的端口就是该交换机的根端口,根端口能够转发数据流量到根交换机。下图中的P3、P4和P8为根端口。
指定端口:该交换机向下游交换机发送BPDU(一种桥协议数据单元,用来交换网桥ID、根路径成本等信息,用来选举交换机端口角色)或者数据流量的端口。在下图中,P1、P2和P6为指定端口(当S3优先级高于S2时)。
边缘端口:位于网络最边缘处,不参与生成树计算,一般连接非交换机设备,如终端服务器、PC、路由器等。
预备端口:从转发数据流量的角度来看,预备端口提供了到达根交换机的一条备份链路,其接口状态为阻塞,不转发数据流量,当根端口被阻塞时,预备端口将成为新的根端口。在下图中P5为预备端口。
备份端口:当同一台交换机的两个端口互相连接时就存在一个环路(聚合链路除外),此时,交换机就会将其中一个端口阻塞,备份端口就是被阻塞的那个端口。从发送BPDU来看,备份端口就是由于学习到本设备上其他端口发送的BPDU而被阻塞的端口。从转发数据流量来看,备份端口作为指定端口的备份,提供了一条从根交换机到非根交换机的备份链路,在下图中,P7就是备份端口。
5、MSTP的端口状态
Forwarding(转发状态):在这种状态下,端口即转发用户流量,又接收/发送BPDU报文。
Learning(学习状态):这是一种过渡状态,在Learning状态下交换机会根据收到的用户流量,学习MAC地址表,但不转发用户流量,所以称为学习状态。Learning状态的端口接收/发送BPDU报文,不转发用户流量。
Discarding(阻塞状态):在这种状态下,端口只接收BPDU报文。
三、 MSTP的保护功能
在面对一些二层生成树攻~击时,下面四个技术可以增加生成树的安全性。
1、 BPDU保护
在交换机上,通常将直接与用户终端(如PC机)或服务器等非交换机设备相连的端口配置为边缘接口,以实现这些端口的快速收敛,正常情况下,这些端口是不会接收到BPDU。如果有人伪造BPDU恶意攻~击交换机,当这些端口收到BPDU时,交换机会自动将这些端口设置为非边缘端口,并重新进行生成树计算,从而引起网络震荡。
启用BPDU保护功能后,如果接口收到BPDU报文,那么该接口将被自动关闭,从而避免了后续的攻~击及由此带来的网络震荡。
配置命令如下:
[LSW1]stp bpdu-protection #开启BPDU保护2、 根保护
由于网络管理人员失误或人为恶意攻 击,网络中的合法交换机端口可能会收到优先级更高的BPDU,这将使目前网络中的根失去根地位,之后将重新计算生成树,引起网络震荡,还有可能将网络流量从高速链路上转移到低俗链路中,造成网络拥塞。为了防止这种情况出现,交换机提供根保护功能。根保护功能通过维持指定端口的角色来保护根交换机的地位。配置了根保护功能的端口,在所有实例上的端口角色都保持为指定端口。当端口接收到优先级更高的BPDU时,端口角色不会变为非指定端口,而是进入侦听状态,不再转发报文。经过足够长的时间,如果端口一直没有再收到优先级较高的BPDU,端口会恢复到原来的正常状态。
配置命令如下:
[LSW1]in g0/0/1 #进入指定端口
[LSW1-GigabitEthernet0/0/1]stp root-protection #开启根保护3、 环路保护
根端口和其他阻塞端口状态会周期性地接收来自上游交换机(在本博文的第三张配图中,R1就是R2和R3的上游交换机,R4就是R2和R3的下游交换机)的BPDU。当链路拥塞或者单向链路故障时,这些端口无法接收来自上游交换机的BPDU,交换机会重新选择根端口。原先的根端口会转变为指定端口,而原先的阻塞端口会迁移到转发状态,从而造成交换网络中可能产生环路。环路保护功能会抑制这种环路产生。在启动了环路保护功能后,如果根端口收不到来自上游的BPDU,根端口会被设置进入阻塞状态;而阻塞端口则会一直保持在阻塞状态,不转发报文,从而不会在网络中形成环路 。
配置命令如下:
[LSW1]in g0/0/1 #进入根端口
[LSW1-GigabitEthernet0/0/1]stp loop-protection #启用环路保护功能4、 TC保护
誰かがTC-BPDUは、悪意のある攻撃をパケット偽造場合はTC-BPDUパケットを受信した後、スイッチは、そのMACアドレスエントリとARPエントリを削除し、 - スイッチを打つ、スイッチは、より多くのTC-BPDUを受信しますメッセージは、頻繁にネットワークリスクの多大の安定性に大きな負担が発生します切り替えて、TCの保護は、一定時間内に、有効になっている、削除、TC-BPDUパケット処理プロセスMSTPの数設定可能。、一定時間内に、MSTP処理はTC BPDUの種類の数が設定された閾値よりも大きいパケット受信した場合、その後MSTPプロセスは、しきい値を指定された回数に対応します。タイマーが満了した後、TC BPDUパケットの他のタイプの場合、一度その統一プロセスのMSTPプロセスをしきい値を超えています。これは、スイッチを保護する目的を達成するために、頻繁にMACアドレスエントリとARPエントリを削除して回避します。
次のようにコンフィギュレーションコマンドは、次のとおりです。
[LSW1]stp tc-protection threshold 3 #指定阈值为3。第四に、簡単な構成MSTP
実験環境:
3つのスイッチ、2日エンドPC、スイッチは、MSTP領域名HUAWEI、リビジョンレベル1をオンにします。MSTI1が確立され、MSTI2、VLAN10がMSTI1にマッピングし、VLAN20はS1、S2 MSTI2ルートブリッジMSTI1のルートブリッジで、MSTI2にマッピングされました。10.1.10.1へVLAN10クライアントアドレスは、VLAN20内のクライアントアドレスは10.1.20.1です。VLAN10 VLAN20訪問を使用して実装、およびゲートウェイVLAN10を通る流路がS3→S1→R1、VLAN20流路がS3→S2→R1を介してゲートウェイに到達達する。MSTPと
次のようにトポロジは次のとおりです。
推奨手順:
- クライアントとルータのIPアドレスを設定
- VLANとトランクの設定
- MSTPの設定
- 検証
ステップ:
- クライアントとルータのIPアドレスを設定
R1
[R1]INT G0/0/0 #进入接口
[R1-GigabitEthernet0/0/0]ip add 10.1.10.254 24 #配置IP地址
[R1-GigabitEthernet0/0/0]int g0/0/1 #进入接口
[R1-GigabitEthernet0/0/1]ip add 10.1.20.254 24 #配置IP地址
[R1-GigabitEthernet0/0/1]quit #保存退出- VLANとトランクの設定
S1
[S1]vlan batch 10 20 #批量创建vlan
[S1]int g0/0/2 #进入接口
[S1-GigabitEthernet0/0/2]port link-type trunk #配置为trunk模式
[S1-GigabitEthernet0/0/2]port trunk allow-pass vlan all #配置承载所以vlan通信
[S1-GigabitEthernet0/0/2]int g0/0/1 #进入接口
[S1-GigabitEthernet0/0/1]port link-type trunk #配置为trunk
[S1-GigabitEthernet0/0/1]port trunk allow-pass vlan all #配置承载所有vlan通信
[S1-GigabitEthernet0/0/1]int g0/0/3 #进入接口
[S1-GigabitEthernet0/0/3]port hybrid untagged vlan 10 #转发数据移除vlan 10的标识
[S1-GigabitEthernet0/0/3]port hybrid pvid vlan 10 #配置PVID为vlan 10
[S1-GigabitEthernet0/0/3]quit #保存退出S2
[S2]vlan batch 10 20
[S2]int g0/0/2
[S2-GigabitEthernet0/0/2]port link-type trunk
[S2-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[S2-GigabitEthernet0/0/2]int g0/0/1
[S2-GigabitEthernet0/0/1]port link-type trunk
[S2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[S2-GigabitEthernet0/0/1]int g0/0/3
[S2-GigabitEthernet0/0/3]port link-type hybrid
[S2-GigabitEthernet0/0/3]port hybrid untagged vlan 20 #转发数据移除vlan 20的标识
[S2-GigabitEthernet0/0/3]port hybrid pvid vlan 20 #配置PVID为vlan 20
[S2-GigabitEthernet0/0/3]quitS3
[S3]vlan batch 10 20 #批量创建vlan
[S3]int eth0/0/3 #进入接口
[S3-Ethernet0/0/3]port link-type access #接口配置为access模式
[S3-Ethernet0/0/3]port default vlan 10 #vlan 10加入接口
[S3-Ethernet0/0/3]int eth 0/0/4 #进入接口
[S3-Ethernet0/0/4]port link-type access #接口配置为access模式
[S3-Ethernet0/0/4]port default vlan 20 #vlan 20加入接口
[S3-Ethernet0/0/4] int eth0/0/1 #进入接口
[S3-Ethernet0/0/1]port link-type trunk #接口配置为trunk模式
[S3-Ethernet0/0/1]port trunk allow-pass vlan all #承载所以vlan通信
[S3-Ethernet0/0/1]int e0/0/2 #进入接口
[S3-Ethernet0/0/2]port link-type trunk #接口配置为trunk模式
[S3-Ethernet0/0/2]port trunk allow-pass vlan all #承载所有vlan通信
[S3-Ethernet0/0/2]quit #保存并退出- MSTPの設定
S1
[S1]stp mode mstp #开启生成树(将交换机配置成MSTP模式)
[S1]stp region-configuration #进入到stp配置模式
[S1-mst-region]region-name HUAWEI #配置stp域名
[S1-mst-region]revision-level 1 #配置stp版本为1
[S1-mst-region]instance 1 vlan 10 #将vlan 10添加到stp实例1中
[S1-mst-region]instance 2 vlan 20 #将vlan 20添加到stp实例2中
[S1-mst-region]active region-configuration #激活生成树实例 (必须激活,否则无效)
[S1-mst-region]quit #保存并退出
[S1]stp instance 1 root primary #配置为实例1的根网桥
[S1]stp instance 2 root secondary #配置为实例2的备份根网桥S2
[S2]stp mode mstp #开启生成树(将交换机配置成MSTP模式)
[S2]stp region-configuration #进入到stp配置模式
[S2-mst-region]region-name HUAWEI #配置stp域名
[S2-mst-region]revision-level 1 #配置stp版本为1
[S2-mst-region]instance 1 vlan 10 #将vlan 10添加到stp实例1中
[S2-mst-region]instance 2 vlan 20 #将vlan 20添加到stp实例2中
[S2-mst-region]active region-configuration #激活生成树实例 (必须激活,否则无效)
[S2-mst-region]quit
[S2]stp instance 1 root secondary #配置为实例1的备份根网桥
[S2]stp instance 2 root primary #配置为实例2的根网桥S3
[S3]stp mode mstp #开启生成树(将交换机配置成MSTP模式)
[S3]stp region-configuration #进入到stp配置模式
[S3-mst-region]region-name HUAWEI #配置stp域名
[S3-mst-region]revision-level 1 #配置stp版本为1
[S3-mst-region]instance 1 vlan 10 #将vlan 10添加到stp实例1中
[S3-mst-region]instance 2 vlan 20 #将vlan 20添加到stp实例2中
[S3-mst-region]active region-configuration #激活生成树实例 (必须激活,否则无效)
[S3-mst-region]quit- 検証
検証は、ブロックされた状態で2 Ethernet0に/ 0/1、見1 Ethernet0に/ 0/2のインスタンスとインスタンスにすることができ、2つのインスタンスの間で互いに独立している間は、お互いに影響を与えました。
