MSTP多生成树协议

1STP/RSTP的局限性

(1)所有VLAN共享一颗生成树--无法实现不同VLAN在多条Trunk链路上的负载分担

(2)二层次优路径

2MSTP的基本概念及优势

2.1MSTP的定义

(1)MSTP（Multiple Spanning Tree，多生成树协议）

(2)基于实例 计算出多颗生成树，实例间实现负载分担

(3)MSTP标准协议为IEEE802.1s

(4)MSTP可以将一个或多个VLAN映射到一个Instance(实例)，再基于Instance计算生成述，映射到同一个instance的vlan共享同一个生成树。

2.2MST域

(1)域配置相同的网桥会构成一个域

(2)MST域（MST Region）：拥有相同MST配置标识的网桥构成的集合

-- 域名-- 配置修订号-- VLAN与实例映射关系

(3)3个域配置相同，说明在同一个域，3个域配置有一个不同，说明不在同一个域。

(4)由交换网络中的多台交换设备以及它们之间的网段所构成

(5)一个局域网可以存在多个域，各MST域之间在物理上直接或间接相连。用户可以通过MSTP配置命令把多台交换设备划分在同一个MST域内

(6)MSTP网络中包含一个或多个MST域，每个MST域中包含一个或多个多生成树实例

2.3MSTI

(1)MSTI（多生成树实例）：

一个MST域内可以生成多棵生成树，每棵生成树都成为一个MSTI

MSTI使用instance ID标识，华为设备取值为0-4096

(2)VLAN映射表

MST域的属性，描述了VLAN和MSTI之间的映射关系

2.4CST、IST、CIST、总根和域根

a.CST（Common Spanning Tree，公共生成树）：连接交换网络内所有 MST 域的一棵生成树。如果把每个MST域看作是一个节点，CST就是这些节点通过生成树协议计算生成的一棵生成树。

b.IST（Internal Spanning Tree，内部生成树） ：是各 MST 域内的一棵生成树。IST是一个特殊的MSTI,MSTI的instance ID为0。

c.CIST（Common and Internal Spanning Tree，公共和内部生成树）：通过 STP 或 RSTP 协议计算生成，连接一个交换网络内所有交换设备的单生成树，由所有 MST 域的 IST 加上 CST 构成。

d.总根：也叫 CIST 根桥，是 CIST 的根桥，是整个网络中优先级最高（网桥 ID BID 最小 ，BID 由优先级和 MAC 地址组成）的网桥设备，一个网络中有且只有一个。

e.域根：

分为 IST 域根和 MSTI 域根 ：

IST 域根：在 MST 域中，IST 生成树里距离总根最近的交换设备就是 IST 域根。

MSTI 域根：在一个 MST 域内可以生成多棵生成树（即 MSTI），MSTI 域根是每个多生成树实例的树根，即每个 MSTI 上优先级最高的网桥。不同的 MSTI 可以有各自独立的域根，通过这样的方式，可以在不同的 MSTI 中为不同的 VLAN 流量选择不同的转发路径，实现流量的负载分担 。

2.5MSTP中的端口角色

2.6MSTP的端口状态

3MSTP的工作原理

3.1MSTP的BPDU报文

3.2CIST的优先级向量

(1)在同一个域中：

首先比较CST域根ID

其次比较CIST内部路径开销

再其次比较发送方ID

最后比较发送方网桥端口ID

(2)在不同域中：

首先比较CIST总根ID

其次比较CIST外部路径开销

再其次比较发送方ID

最后比较发送方网桥端口ID

3.3MSTI的优先级向量

比较原则：最小最优

首先比较MSTI域根ID

其次比较MSTI内部路径开销

再其次比较MSTI指定桥ID

再其次比较MSTI指定端口ID

最后比较MSTI接收端口ID

3.4CST计算

3.5IST计算

3.6MSTI计算

3.7MSTP计算结果及其分析

3.8MSTP的P/A机制

4MSTP兼容性

4.1MSTP和RSTP的互操作

4.2MSTP工作模式

5保护机制

5.1BPDU保护

(1)BPDU保护需求:防止边缘端口受到攻击

(2)BPDU保护的机制：如果一个边缘端口接收到配置消息，将从边缘端口转换成非边缘端口，从而导致生成树重新计算。启动了BPDU保护功能后，如果边缘端口收到了配置消息，MSTP 就将这些端口关闭。

**当端口关闭后，只有管理员才可以将关闭的端口打开。**生成树本身是无法拒绝BPDU的，在保护过程中，只可以强行将端口关闭，以保持拓扑的稳定。

5.2根桥保护

(1)合法根桥收到优先级更高的配置消息，失去根桥的地位，引起网络拓扑结构的变动。

(2)根桥保护机制：对于设置了根保护功能的端口，一旦该端口收到某实例优先级更高的配置消息BPDU，立即将该实例端口设置为侦听状态，不再转发报文。（在端口上配置）

5.3环路保护

(1)环路的产生：由于链路拥塞或者单向链路故障，端口会收不到上游设备的BPDU报文，此时下游设备重新选择端口角色，会导致环路的产生

(2)环路保护机制：

配置了环路保护的端口，当接收不到上游设备发送的BPDU报文时，环路保护生效。

如果该端口参与了STP计算，则不论其角色如何，该端口在所有实例都将处于Discarding状态。

5.4TC保护

(1)TC攻击：在有伪造的TC-BPDU报文恶意攻击设备时，设备短时间内会收到很多的TC-BPDU报文，频繁的删除操作给设备带来很大负担，给网络的稳定带来很大隐患。

(2)TC保护机制：

设置设备在收到TC-BPDU报文后的10秒内，进行地址表项删除操作的最多次数

监控在该时间段内收到的TC-BPDU报文数是否大于门限值。

6MSTP实验(BPDU保护+根桥保护)

6.1实验拓扑图

6.2实验目的

（1）将五个交换机划分到同一个域中

（2）在交换机上验证两种保护机制（BPDU保护和根桥保护）

6.3实验步骤

6.3.1配置左侧三层交换机为vlan10的根桥，vlan20的备份根桥。

[Huawei]vlan batch 10 20	
[Huawei]port-group group-member g0/0/1 to g0/0/4
[Huawei-port-group]port link-t	
[Huawei-port-group]port link-type trunk
[Huawei-port-group]port trunk allow-pass vlan all
[Huawei-port-group]quit
[Huawei]stp enable 
[Huawei]stp mode m	
[Huawei]stp mode mstp 	
[Huawei]stp region-configuration 	
[Huawei-mst-region]region-name A
[Huawei-mst-region]revision-level 1
[Huawei-mst-region]instance 10 vlan 10
[Huawei-mst-region]instance 20 vlan 20
[Huawei-mst-region]active re	
[Huawei-mst-region]active region-configuration 
[Huawei-mst-region]quit
[Huawei]stp instance 10 priority 4096
[Huawei]stp instance 20 priority 8192	
[Huawei]stp instance 0 priority 4096

6.3.2配置二层交换机

<Huawei>sys
[Huawei]vlan batch 10 20
[Huawei]port-group group-member e0/0/1 e0/0/2
[Huawei-port-group]port link-type trunk
[Huawei-port-group]port trunk a	
[Huawei-port-group]port trunk allow-pass vlan all
[Huawei-port-group]quit
[Huawei]interface e0/0/3
[Huawei-Ethernet0/0/3]port link-type access
[Huawei-Ethernet0/0/3]port default vlan 10
[Huawei-Ethernet0/0/3]quit
[Huawei]interface e0/0/4
[Huawei-Ethernet0/0/4]port link-type access
[Huawei-Ethernet0/0/4]port default vlan 20
[Huawei-Ethernet0/0/4]quit
[Huawei]stp enable 
[Huawei]stp mode mstp 
[Huawei]stp region-configuration 	
[Huawei-mst-region]region-name A	
[Huawei-mst-region]revision-level 1
[Huawei-mst-region]instance 10 vlan 10	
[Huawei-mst-region]instance 20 vlan 20	
[Huawei-mst-region]active region-configuration 
[Huawei-mst-region]quit

6.3.3查看此时的某个交换机的MSTP生成树

6.3.4在二层交换机3上设置边缘端口

[Huawei]port-group group-member e0/0/3 e0/0/4
[Huawei-port-group]stp edged-port enable

6.3.5设置边缘端口BPDU保护

6.3.5.1配置边缘端口BPDU保护（在全局模式下启动BPDU保护）

[Huawei]stp bpdu-protection 

6.3.5.2当在3端口接入交换机日志信息

前提是我将3端口连接的设备从PC更换为了交换机，因为启动了BPDU保护，边缘端口收到了BPDU，MSTP将关联的端口关闭了。

6.3.5.3此时查看stp端口信息

6.3.5.4此时查看端口状态管理员关闭了该端口

[Huawei]dis interface e0/0/3

6.3.6设置根桥保护（在端口上设置）

6.3.6.1配置根桥保护命令

[Huawei]interface e0/0/3
[Huawei-Ethernet0/0/3]stp root-protection 

6.3.6.2打开优先级比根桥高的交换机（优先级需要重新配置）

[Huawei]stp mode mstp
[Huawei]stp instance 0 priority 0

6.3.6.3查看stp中端口3的状态

因为启动了根桥保护机制，端口状态从forwarding变为discarding。

注：根桥保护不可以写在上行接口中。