邊緣端口的特點
1 邊緣端口在LINKUP之後直接進入 forwarding 狀态,避免等待 30 秒轉發延遲。
2 邊緣端口 UP 的時候不産生 TC,不算拓撲變化,
3 生成樹拓撲發生變化時,不會進入阻塞狀态。
4 收到 TC 不重新整理本接口的 MAC 表
5 收到 BPDU 封包,變普通端口
邊緣端口的使用場景
答:
1 連接配接PC、伺服器、IP電話、防火牆、路由器等終端裝置
2大型公司内網有很多電腦,上下班時候産生大量 TC,造成所有交換機的 MAC 位址表頻繁删除,以至于持續泛洪所有資料幀,網絡品質下降(特别重要必講)
3 接 DHCP 用戶端的端口,否則 DHCP 用戶端擷取位址時間變長
4 接重要伺服器和 IP 電話的接口,否則在生成樹拓撲發生變化時,将被阻塞掉,30 秒後才能再次提供服務。
什麼情況一定要用邊緣端口?
答:
邊緣端口是對生成樹的優化,沒有什麼場景必須要用邊緣端口。
如果硬要說必須使用的場景,可以根據邊緣端口的特點說。
使用 edge port 的不足
答:
1 臨時環路(2 個端口直接連起來,或下遊接不支援生成樹的交換機)
臨時環路的持續時間 0-2 秒,收到對方端口發出的 BPDU 後同時進入阻塞狀态,進行生成樹選舉,決出一個 DP,一個 BP。DP 在 30 秒後進入轉發狀态,BP 将維持阻塞狀态。
(臨時環路存在的時間:bpdu 發送間隔+網絡傳輸延時+cpu 處理時延)
2 當邊緣端口收到 BPDU 時,就喪失了邊緣端口的特性,成為普通的 STP 端口,并重新進行生成樹計算,進而引起網絡震蕩。
我們會把連接配接 PC 使用者的端口配置為邊緣端口,那為什麼邊緣端口還要繼續發送 BPDU , 舉出一個用到了邊緣端口發送的 BPDU 的實際場景.
答:
交換機的邊緣端口發出的 BPDU 用來讓下遊裝置感應到交換機的存在. 可在多個邊緣端口互聯時,靠檢測到 BPDU 而引起端口角色的重新确定. 邊緣端口如果不發 BPDU,下面的場景會出現環路,緻網絡不可用.
使用 edge port 導緻臨時環路的解決辦法
答:無。
使用 edge port 的配合技術
答:
BPDU 保護,收到 BPDU 後,端口主動關閉,防止下遊誤接交換機。邊緣端口收到 BPDU 封包會失去其邊緣端口屬性。為防止攻擊者仿造 BPDU 封包導緻邊緣端口屬性變成非邊緣端口,可通過執行指令 stp bpdu-protection 配置交換裝置的 BPDU 保護功能。
此時邊緣端口收到BPDU後将 會将端口shutdown;shutdown後的接口需管理者手工開啟或配置“error-down auto-recovery cause bpdu-protection interval XX”指令,逾時時間後自動開啟。
根保護的作用:
答:
防止交換機接入優先級更高的交換機,影響我的生成樹拓撲發生變化,可能導緻高速鍊路被堵塞,低速鍊路變轉發。配置在指定端口上。
bpdu-filter 介紹
答:
通過在該端口上配置指令 stp bpdu-filter enable 使端口不處理、不發送 BPDU 封包,該端口即為 BPDU filter 端口。配置 bpdu filter 的端口互聯會造成環路。
Note:
Huawei 在端口僅啟用 BPDUfilter 時,端口會經曆 discarding and learning,30s 後進入 forwarding state. 如果端口 BPDUfilter 和 edge port 一起使用,端口會立即進入 forwardingstate.但是容易出環。
如果 SW 上開啟 STP,在某一端口分别開啟 STP、關閉 STP、開啟 EdgePort,哪種 forwarding的快?
答:STP disable 的端口進入 forwarding 快于 EP 端口快于 STP-enabled port;
原因是 stp-disabled 的端口 UP 後,即可傳輸資料; EdgePort 是有 STP running 在 port 上,是以 stp 程序啟動需要時間, 而 normal 的 stp-enabled 端口需要 2 個 forwardingdelay 後才開始轉發資料
如果把邊緣端口去掉,端口不停地 UP/DOWN,用什麼解決 TC 對網絡的影響?
答:
端口上抑制 TCN 消息;防止鍊路振蕩對網絡的影響.
執行指令 system-view,進入系統視圖。
執行指令 stp tc-protection,使能交換裝置對 TC 類型 BPDU 封包的保護功能。
預設情況下,交換裝置的 TC 保護功能處于使能狀态。
stp tc-protection interval interval-value 指定時間
stp tc-protection threshold threshold 上述時間内的可處理次數
啟用 TC 保護功能後,在機關時間内,交換裝置處理拓撲變化封包的次數可配置。如果在機關時間内,交換裝置在收到拓撲變化封包數量大于配置的門檻值,那麼裝置隻會處理門檻值指定的次數。對于其他超出門檻值的拓撲變化封包,定時器到期後裝置隻對其統一處理一次。這樣可以避免頻繁的删除 MAC 位址表項和 ARP 表項,進而達到保護裝置的目的。
擴充問題1:臨時環路存在的時間?
由bpdu發送間隔+網絡傳輸延時+cpu處理時延構成
擴充問題3:edge port持續發送bpdu的作用?邊緣端口是不會産生BPDU還是産生了不會發送?
邊緣端口會産生BPDU的,主要是用于解決臨時環路的問題;
擴充問題4:RSTP的保護機制:BPDU保護(系統)、環路保護(接口)、tc保護(系統)、根保護(接口)
擴充問題5:邊緣端口的端口角色是什麼?為什麼邊緣端口的端口角色是DP呢?
邊緣端口的端口角色為DP;因為一段鍊路(一個網段中)上必須要一個DP,而邊緣端口在該鍊路上,沒有收到比自己更優的BPDU,是以edge-port的端口角色為DP;
擴充問題6:交換機,hub,網橋有什麼差別?
答:hub是一個工作在實體層的半雙工裝置; 而交換機和網橋是工作在資料鍊路層的裝置,一個端口就是一個沖突域; 網橋不支援VLAN,交換機支援VLAN;
擴充問題7:邊緣端口發tc置位BPDU時候沒有重新整理mac會怎麼樣?
答:邊緣端口不會發送TC置位的BPDU的;
擴充問題8:交換機在何時會學習MAC?
STP中端口狀态在學習(Learning)和轉發(Forwarding)時。
擴充問題9:RSTP與MSTP是否相容,為什麼?
相容,MSTP與RSTP互動 RSTP/STP網橋将MSTP域看做一個橋ID為域根ID的RSTP橋 當RSTP/STP網橋收到MST BPDU後,會提取BPDU中的{總根,外部路徑開銷,域根ID,指定端口ID}作為RSTP/STP的{RID,RPC,BID,PID} 當MSTP網橋收到RSTP/STP的BPDU後,會将BPDU中的{RID,RPC, BID,PID}對應到MSTP中,其中,BID作為MSTP中的域根ID,也作為 指定交換機ID,内部路徑開銷為0。
擴充問題10:edgeport 的防護 BPDU 的 down 是處于什麼 down?
error down 和管理者的手工 down 以及線路實體 down 是不同的,是遇到錯誤産生 down 的動作,需要管理者手動開啟,當然也可以使能自動恢複的 指令進行自動恢複。
擴充問題11:RSTP 認為怎麼樣就屬于拓撲變化?
答:一個非邊緣端口轉化為 forwording
擴充問題12:BPDU 封包中 3 個計時器分别是什麼,時間多少?
max-age 20s hello-time 2s forword-delay 15s
擴充問題13: BPDU 保護解決的問題除了解決邊緣端口臨時環路的問題,還有什麼場景?
防私接交換機,防非法BPDU攻擊。
擴充問題14:P/A 同步時邊緣端口處于什麼狀态?
回答:處于轉發狀态。
擴充問題15:知不知道TC While?RSTP TC處理機制。
RSTP拓撲變化處理 在RSTP中檢測拓撲是否發生變化隻有一個标準:一個非邊緣端口遷移到Forwarding狀态。 一旦檢測到拓撲發生變化,将進行如下處理:
1. 為本交換裝置的所有非邊緣指定端口啟動一個TC While Timer,該計時器值是Hello Time的兩倍。
2.在這個時間内,清空狀态發生變化的端口上學習到的MAC位址。 同時,由這些端口向外發送RST BPDU,其中TC置位。一旦TC While Timer 逾時,則停止發送RST BPDU。
3. 其他交換裝置接收到RST BPDU後,清空所有端口學習到MAC位址,除了收到RST BPDU的端口,及邊緣端口。然後也為自己所有的非邊緣指定端口和根端口啟動TC While Timer,重複上述過程。 如此,網絡中 就會産生RST BPDU的泛洪。
擴充問題16:交換機的loopback detection有沒有聽過?
Loopback Detection(環回檢測)通過周期性發送環回檢測封包來檢測裝置下挂網絡是否存在環路。它從接口定時發送檢測封包,檢查該封包是否又從發出去的接口接收到。如果裝置發現該檢測封包從發出去的接口接收到,就檢測出此接口下挂的網絡中存在環路。
擴充問題17:除了BPDU保護,還有什麼方式可以使邊緣端口不接收BPDU。
BPDU-filter