-
邊緣端口
鎖定
邊緣端口(portfast)是指不直接與任何交換機連接,也不通過端口所連接的網絡間接與任何交換機相連的端口。 可以通過下面兩種途徑來配置端口為邊緣端口或者非邊緣端口。用户如果將某個端口指定為邊緣端口,那麼當該端口由堵塞狀態向轉發狀態遷移時,這個端口可以實現快速遷移,而無需等待延遲時間。用户只能將與終端連接的端口設置為邊緣端口。該參數對所有生成樹實例有效,也就是説,當端口被配置為邊緣端口或非邊緣端口時,該端口在所有生成樹實例上都被設置為邊緣端口或非邊緣端口。
用户如果將某個端口指定為邊緣端口,那麼當該端口由堵塞狀態向轉發狀態遷移時,這個端口可以實現快速遷移,而無需等待延遲時間。用户只能將與終端連接的端口設置為邊緣端口。該參數對所有生成樹實例有效,也就是説,當端口被配置為邊緣端口或非邊緣端口時,該端口在所有生成樹實例上都被設置為邊緣端口或非邊緣端口。
如果交換機使能了bpdu保護,當被設置為邊緣端口收到來自用户的bpdu報文,則該邊緣端口會被關閉,僅有網絡管理員能將它重新打開。
缺省情況下,交換機所有以太網端口均被配置為非邊緣端口。
對於直接與終端相連的端口,請將該端口設置為邊緣端口,同時啓動bpdu保護功能。這樣既能夠使該端口快速遷移到轉發狀態,也可以保證網絡的安全。
如果交換機的下掛設備使用了stp功能,請不要在該下掛設備上配置邊緣端口,否則會導致系統刪除該端口上的mac地址表項、arp地址表項操作失敗。
相關應用
portfast應用
PortFast 加快終端主機連接入stp網絡的收斂.
把一個port設置了portfast,就是讓那個port不再使用STP的算法。
只有forwarding狀態,port才能發送用户數據。如果一個port一開始是沒有接pc,一旦pc接上,就會經歷blocking->listening->learing->forwarding,每個狀態的變化要經歷一段時間,這樣總共會有3個階段時間,缺省的配置要50秒鐘。這樣從pc接上網線,到能發送用户數據,需要等50秒的時間,但如果設置了portfast,那就不需要等待這50秒了。
portfast只能用在接入層,也就是説交換機的端口是接HOST的才能起用portfast,如果是接交換機的就一定不能啓用,否則會造成新的環路.
起用portfast往往是因為一些應用的要求,cisco是建議將符合條件的port設置成portfast的.
bpduguard應用
將SWITCH的端口設置為spanning-tree portfast後,如果這個端口接到其他SWITCH或者HUB上就可能造成環路問題。加上spanning-tree bpduguard enable之後,當這個端口在收到BPDU包後就會進入errdisable狀態,從而避免環路。BPDU GUARD的功能是當這個端口收到任何的BPDU就馬上設為Error-Disabled狀態。
Portfast和bpduguard配置:
switch(config)#interface range f0/1 - 5
switch(config-if-range)#spanning-tree portfast
switch(config-if-range)#spanning-tree bpduguard enable
BPDU Guard使具備PortFast特性的端口在接收到BPDU時進入err-disable狀態來避免橋接環路,其可在全局或接口下進行配置(默認關閉),可使用errdisable recovery cause bpduguard命令開啓端口狀態的自動恢復。
BPDU GUARD工作原理:當交換機STP功能啓用的時候,默認所有端口都會參與STP,併發送和接受BPDU,當BPDU GUARD開啓後,在正常情況下,一個下聯的端口是不會收到任何BPDU的,因為PC和非網管換機都不支持STP,所以不會收發BPDU。當這個端口下如果有自迴環的環路,那麼它發出去的BPDU在非網管換機上回環後就會被自己接收到,這個時候BPDU GUARD就會把它立刻設為Error-Disabled狀態,這個端口就相當於被關閉了,不會轉發任何數據,也就切斷了環路,保護了整個網絡。BPDU Guard特性可以全局下啓用也可以基於接口下啓用,兩種方法稍有不同. 當在啓用了Port Fast特性的端口收到了BPDU後,BPDU Guard將關閉該端口,使該端口處於err-disable狀態,這時必須手動才能把此端口回覆為正常狀態。
BPDU Filter
不同於BPDU防護,BPDU Filter配置於全局/接口模式時,功能有所不同,當啓用於PortFast端口模式時,交換機將不發送任何BPDU,並且把接收到的所有BPDU都丟棄;而啓用於全局模式時,端口在接收到任何BPDU時,將丟棄PortFast狀態和BPDU過濾特性,更改回正常的STP操作,BPDU Filter特性默認關閉。
當同時啓用bpduguard與bpdufilter時,bpdufilter優先級較高,bpduguard將失效。
BPDU Filtering特性和BPDU Guard特性非常類似.通過使用BPDU Filtering,將能夠防止交換機在啓用了Port Fast特性的端口上發送BPDU給主機。 如果全局配置了BPDU Filtering,當某個Port Fast端口接收到了BPDU,那麼交換機將禁用Port Fast和BPDU Filtering特性,把端口更改回正常的STP狀態.如果在單獨的Port Fast端口啓用BPDU Filtering,此端口將不發送任何的BPDU並忽略所有接收到的BPDU. 注意,如果在連接到其他交換機的端口(不是連的主機的端口)上配置了BPDUFiltering,那麼就有可能導致層2環路(Prevent from sending and receiving BPDU).另外,如果在與啓用了BPDU Filtering的相同端口上配置了BPDU Guard特性,所以BPDU Guard將不起作用,起作用的將是BPDU Filtering.
配置BPDU Filtering:
Switch(config)# spanning-tree portfast bpdufilter default /---在啓用了Port Fast特性的端口上啓用BPDU Filtering---/
Switch(config-if)# spanning-tree bpdufilter enable /---在不啓用Port Fast特性的情況下啓用BPDU Filtering---/
ROOT Guard
Root Guard:防止新加入的交換機(有更低根網橋ID)影響一個已經穩定了(已經存在根網橋)的交換網絡,阻止未經授權的交換機成為根網橋。工作原理:當一個端口啓動了此特性,當它收到了一個比根網橋優先值更優的BPDU包,則它會立即阻塞該端口,使之不能形成環路等情況。這個端口特性是動態的,當沒有收到更優的包時,則此端口又會自己變成轉發狀態了。ROOT Guard在DP(designated port)指定端口上做,該端口就不會改變了,只會是DP了,這樣可以防止新加入的交換機成為root,該端口就變成了永久的DP了,(show spanning-tree inconsistentport),若新加入的交換機想成為root,則它的端口不能工作,直到這個新交換機委曲求全做RP為止。
LOOP Guard
LOOP Guard主要用來避免阻塞端口錯誤地過渡到轉發狀態而產生橋接環路的情況;當交換機在啓用loop guard特性的非指定端口上停止接收BPDU時,交換機將使得端口進入STP“不一致環路"(inconsistentports)阻塞狀態,當不一致端口再次收到BPDU時,端口將根據BPDU自動過濾到STP狀態。通過sh spanning-tree inconsistentports命令可以查看不一致端口狀態。loopguard特性默認開啓。
Loop Guard:防止一個阻斷的端口由於鏈路不正常(不能雙向通信等)接不到BPDU後變成轉發,配了此項後,即使接不到BPDU也是阻斷的loop-inconsistent blocking state(啓用loop guard時自動關閉root guard);
Loop guard在RP接口或替代端口啓用:
Switch(config-if)# spanning-tree guard loop
全局啓用:
Switch(config)#spantree global-default loopguard enable
如果在一個啓用了root guard的端口上啓用loop guard,loop guard將禁用root guard功能。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:26次歷史版本
- 最近更新: 磨掉的风雨003