現在我們的生活已經離不開網絡，如果我家斷網，我會抱怨這什麼破網絡，影響我刷抖音、打遊戲；如果公司斷網，那老闆估計會罵娘，因為會影響到公司正常運轉，直接造成經濟損失。網絡通信中，通常是以一條鍊路能夠正常工作為前提，如果鍊路斷開或節點故障，那麼互聯的設備就無法正常通信了，這類網絡問題叫做單點故障。沒有備份的鍊路或節點，出現故障會直接斷網。

如果要提供 7×24 小時不間斷的服務，那就需要在網絡中提前部署冗餘。避免出現單點故障，合理的做法是在網絡中的關鍵設備和關鍵鍊路添加冗餘。在冗餘的網絡環境中，任意一條鍊路發生故障斷開，都不會影響網絡，直接使用其它鍊路繼續轉發數據，解決單點故障的隐患。

但同時也帶來了另外的網絡問題。這種組網會構成二層環路，會引發廣播風暴、重複幀、MAC 地址漂移等問題，嚴重時會占滿鍊路帶寬，或打爆設備 CPU ，導緻設備無法正常工作，最終造成網絡癱瘓。當然，在實際的網絡中，不少二層環路是由于人為的錯誤操作導緻的，比如接錯了網線。

舉個栗子：

大劉的主機想要與小美的主機進行通信，現在隻知道小美主機的 IP 地址，不知道 MAC 地址。有 IP 地址，就可以通過 ARP 協議來獲取小美主機的 MAC 地址。我們來看看有冗餘的網絡中數據交換的過程：

1. 大劉主機向交換機 A 發送 ARP 廣播幀，來解析小美主機的 MAC 地址；

1. 交換機 A 收到廣播幀後，查看自己的 MAC 地址表，沒找到相應的表項，就向所有端口（除接收端口之外）泛洪這個廣播幀。也就是向 G0/1 和 G0/2 兩個端口泛洪廣播幀；

1. 交換機 B 和交換機 C 收到廣播幀後，沒有對應 MAC 地址表項，也将廣播幀所有端口（除接收端口之外）泛洪出去；

1. 小美主機終于收到了大劉發送的 ARP 廣播幀，發現是查詢自己的 MAC 地址後，小美主機将會通過單播幀返回自己的 MAC 地址；

1. 這個過程看似正常，大劉主機發送的 ARP 廣播幀順利到達小美主機，小美主機也進行了響應，但是網絡中廣播幀的傳輸還沒有結束。在第 3 步中，交換機 C 也把 ARP 廣播幀泛洪到交換機 B 。這時交換機 B 就收到了兩個相同的 ARP 廣播幀，分别來自交換機 A 和交換機 C ，收到的廣播幀都會泛洪出去。那麼，小美主機也會收到兩個相同的 ARP 廣播幀，也就是重複幀。出現這種現象說明網絡中存在不合理的冗餘鍊路；

1. 接下來我們看下交換機 C ，交換機 C 收到從交換機 A 發過來的廣播幀，同時交換機 C 的 MAC 地址表添加一條表項，記錄大劉主機 MAC 地址和端口 G0/0 的映射關系。交換機 C 又從交換機 B 收到相同的廣播幀，大劉主機 MAC 地址的映射端口從 G0/0 變成 G0/1 。從不同的端口收到相同的數據幀，導緻 MAC 地址表項發生變化的現象，就叫做 MAC 地址漂移，這種現象說明網絡中可能存在環路。這樣一來，交換機 C 就無法确定大劉主機到底位于自己的哪個端口；
2. 主機收到廣播幀，會進行解封裝，查看上層的 IP 地址是否是發送給自己的，再進行下一步處理。交換機（隻指二層交換機）收到廣播幀，會直接進行泛洪。大劉主機發出的廣播幀，經過交換機 A 後，從交換機 A 的 G0/1 口泛洪的廣播幀，交換機 B 收到後再從 G0/2 口進行泛洪，交換機 C 收到廣播幀後，又從 G0/0 口泛洪出去，結果廣播幀回到了交換機 A ，交換機 A 再從 G0/1 進行泛洪，最終這個廣播幀會一直逆時針、永無止境的進行泛洪；同理，交換機 A 從 G0/2 口進行泛洪的廣播幀，也會按順時針、無休止的在三台交換機上進行泛洪。這種廣播幀不停泛洪的現象，叫做廣播風暴。廣播風暴不僅會大量消耗網絡設備的帶寬和 CPU 使用率，也會影響到主機。主機收到一個廣播幀後，會解封裝上送網絡層去處理，大量的廣播幀泛洪，很可能導緻主機癱瘓。

通過這個簡單的演示，我們看到了冗餘鍊路帶來的風險。重複幀、MAC 地址漂移和廣播風暴，都是由一個廣播幀引起的，可是網絡中不可避免出現廣播幀，也不能因為二層環路問題而忽略冗餘鍊路增加網絡可靠性的好處。

那麼如何在保證網絡冗餘的情況下，消除二層環路呢？實際上交換機的二層環路是一個典型問題，解決方案也有不少。其中的一個解決方案就是 STP（生成樹協議），能夠阻斷冗餘鍊路來消除可能存在的環路，并且在網絡故障時激活被阻斷的冗餘備份鍊路，恢複網絡的連通性，保障業務的不間斷服務。

當網絡中部署了 STP 後，交換機之間會交互相關協議報文，并計算出一個無環路的網絡拓撲。當網絡存在環路時，STP 會将網絡中的一個或多個接口進行阻塞，将環路網絡結構修剪成無環路的樹狀網絡結構。被阻塞的接口不再轉發數據，這樣二層環路問題便迎刃而解。STP 會持續監控網絡拓撲狀況，當網絡拓撲發生變化時，STP 能夠及時感知，并動态調整被阻塞接口，而無需人工幹預。

STP 是用在局域網中消除數據鍊路層物理環路的協議，标準名稱是 802.1D 。STP 帶來的好處有：

• 消除環路：STP 可以通過阻塞冗餘端口，确保網絡無環且連通；
• 鍊路備份：當使用的鍊路因故障斷開時，可以檢測到這種情況，并自動開啟阻塞狀态的冗餘端口，網絡迅速恢複正常。

在了解 STP 的原理之前，我們先來看看幾個專業術語：

在公司内我們使用資産編号标記不同的設備，在 STP 裡我們使用不同的橋 ID 标識不同的交換機。每一台運行 STP 的交換機都有一個唯一的橋 ID 。橋 ID 一共 8 字節，包含 2 字節的橋優先級和 6 字節的橋 MAC 地址。橋優先級的值可以人為設定，默認值是 32768 。橋 MAC 地址通常是交換機默認 VLAN1 的 MAC 地址。

STP 要在整個二層網絡中計算出一棵無環的 “ 樹 ” ，樹形成了，網絡中的無環拓撲也就形成了。其中最重要的就是樹根，樹根明确了，“ 樹枝 ” 才能沿着網絡拓撲進行延伸。STP 的根橋就是這棵樹的樹根。當 STP 啟動後，第一件事就是在網絡中選舉出根橋。在一個二層網絡中，根橋隻有一個，其餘設備都是非根橋。當網絡的拓撲發生變化時，根橋也可能會發生變化。

網絡中橋 ID 最小的交換機将成為根橋。在比較橋 ID 大小時，首先比較的是橋優先級，橋優先級的值最小的交換機選為根橋；如果橋優先級相同，那麼會比較 MAC 地址，MAC 地址最小的交換機選為根橋。

STP 交換機每一個端口都對應一個開銷值，這個值表示數據通過端口發送時的開銷，這個值與端口帶寬有關，帶寬越高，開銷值越小。對于端口開銷值的定義有不同的标準，通常設備默認使用 IEEE 802.1t 中定義的開銷值，同時還支持其它标準，以便兼容不同廠家的設備。

非根橋到達根橋可能有多條路徑，每條路徑都有一個總開銷值，也就是根路徑開銷（ RPC ），這個值是通過這條路徑所有出端口的開銷值累加而來的。STP 不會計算入端口的開銷，隻在數據通過端口發出時，才計算這個端口的開銷。對于根橋來說，根路徑開銷是 0 。

運行 STP 的交換機使用端口 ID 标識每個端口，端口 ID 主要用于選舉指定端口。端口 ID 長度為 16 比特，其中前 4 比特是端口優先級，後 12 比特是端口編号。在進行比較時，先比較端口優先級，優先級小的端口優先；在優先級相同時，再比較端口編号，編号小的端口優先。通常情況下，端口編号無法改變，可通過設置端口優先級來影響生成樹的選路。

STP 協議使用 BPDU 報文進行交互，BPDU 包含與 STP 協議相關的所有信息，并且使用這些信息來完成生成樹的計算。BPDU 是組播幀，地址為 0180-c200-0000 ，并由 STP 交換機産生、發送、接收、處理，終端主機不參與。BPDU 分為兩種類型：

• 配置 BPDU（ Configuration BPDU ）：在 STP 的初始化過程中，每台交換機都會産生并發送配置 BPDU 。在 STP 樹形成後的穩定期，隻有根橋才會周期性地發送配置 BPDU ；相應的，非根橋會從自己的根端口收到配置 BPDU ，并更新自己的配置 BPDU ，再從指定端口發送出去。這個過程看起來像根橋發出的配置 BPDU 逐跳的經過了其它交換機。

配置 BPDU 的參數詳情如下：

• 拓撲變化通知 BPDU（ Topology Change Notification BPDU ）：簡稱 TCN BPDU ，是非根橋通過根端口向根橋發送的。當非根橋檢測到拓撲變化後，就會生成一個描述拓撲變化的 TCN BPDU ，并從自己的根端口發送出去。

STP 的基本原理是在一個有二層環路的網絡中，交換機通過運行 STP ，自動生成一個沒有環路的網絡拓撲。這個無環網絡拓撲也叫做 STP 樹（ STP Tree ），樹節點為某些交換機，樹枝為某些鍊路。當網絡拓撲發生變化時，STP 樹也會自動地發生相應的改變。

STP 樹的生成過程是：首先選舉根橋，然後确定根端口和指定端口，最後阻塞備用端口。既然是選舉，我們就看下參選者和選舉範圍。

STP 是通過比較 BPDU 中的信息進行選舉的，最終的結果是：

• 在整個 STP 網絡中，唯一的一個根橋被選舉出來；
• 對于所有的非根橋，選舉出根端口和指定端口，負責轉發數據；落選的端口就是備用端口，處于阻塞狀态，不能轉發數據。

根橋是 STP 樹的根節點。要生成一棵 STP 樹，首先要确定一個根橋。根橋是整個二層網絡的邏輯中心，但不一定是物理中心。

在 STP 交換機剛連接到網絡時，每台交換機都以自己為根橋，從所有啟動的端口發送 BPDU ，宣告自己是根橋。收到 BPDU 的交換機會比較 BPDU 中的根橋 ID 與自己的根橋 ID ，選擇根橋 ID 值小的配置成自己 BPDU 中的根橋 ID 。交換機不停地交互 BPDU ，同時對根橋 ID 進行比較，直至選出一台根橋 ID 最小的交換機作為根橋。根橋會在固定的時間間隔發送 BPDU ，其它設備對 BPDU 進行轉發，從而保證網絡拓撲的穩定。

根橋交換機往往會承擔這個網絡中最大流量的轉發工作，我們希望性能最高的交換機當選根橋交換機。但是 STP 在選舉時，并不會把交換機的性能列入考量。為了讓網絡流量更合理的轉發，可以通過配置橋優先級的值來影響根橋的選舉。

同時，根橋是可以搶占的，在 STP 完成網絡收斂後，如果網絡中接入一台新的交換機，且新增交換機的優先級比根橋交換機更優，那麼新增交換機會成為網絡中新的根橋。同時，STP 将會重新收斂、重新計算網絡拓撲，這個過程會引發網絡震蕩，對流量的正常轉發造成影響。

根橋選舉出來後，其它沒有成為根橋的交換機稱為非根橋。STP 會為每個非根橋選舉一個根接口，也就是在交換機的所有端口中，選擇距離根橋最近的一個端口，這就是根端口。

在 STP 樹形成後的穩定期，根橋依然會周期性的向網絡中發送 BPDU ，而非根橋的根端口會收到 BPDU ，并向指定端口發送出去。

那是如何選擇根端口的呢？根橋周期性的發送 BPDU ，非根橋的所有端口都能收到 BPDU ，對比端口收到的 BPDU 中的參數值。

• 選擇根路徑開銷（ RPC ）最小的端口；

• 如果 RPC 相同，那就選對端橋 ID（ BID ）最小的端口；

• 如果對端橋 ID 相同，那就選對端端口 ID（ PID ）最小的端口。

準确的說，選舉根端口的目的是選舉出 STP 網絡中每台交換機上與根交換機通信效率最高的端口。

根端口确保了交換機到根橋的路徑是唯一的，也是最優的。網絡中的每條鍊路與根橋之間的路徑也要是唯一且最優的。當一條鍊路中有兩條或兩條以上的路徑到達根橋，就必須确定出一個唯一的指定端口，防止出現二層環路。指定端口不但是這條鍊路内所有端口中到達根橋的最優接口，還會向鍊路内發送 BPDU 。

雖然選舉指定端口的範圍和根端口不同，但是選舉的原則是一緻的。指定端口的選舉同樣會按照以下過程進行：

• 選擇根路徑開銷（ RPC ）最小的端口；
• 如果 RPC 相同，那就選對端橋 ID 最小的端口；
• 如果對端橋 ID 相同，那就選對端端口 ID 最小的端口。

如果有人不小心将同一台交換機上的兩個端口用網線連接起來，網絡中就會産生環路。選舉指定端口就是為了預防這種錯誤連接導緻環路的情況。當出現這種連接時，STP 會以端口 ID 較小的端口作為指定端口，從而打破環路。

為什麼根橋交換機的所有端口都是指定端口呢？

因為根橋交換機端口的根路徑開銷都是 0 ，根據選擇選舉原則，成為這條鍊路的指定端口。

在确定了根端口和指定端口後，交換機上剩下的非根端口和非指定端口都叫做備用端口。備用端口是打破環路的關鍵，STP 會對這些備用端口進行邏輯阻塞。邏輯阻塞，是指端口不會接收或發送任何數據，但是會監聽 BPDU 。當網絡的一些端口出現故障時，STP 會讓備用端口開始轉發數據，用來恢複網絡的正常通信。

三種端口的異同如下：

一旦備用端口被邏輯阻塞後，STP 樹的生成過程就完成了。

STP 不但定義了 3 種端口角色：根端口、指定端口、備用端口，還講定義了 5 種端口狀态：禁用狀态、阻塞狀态、偵聽狀态、學習狀态、轉發狀态。

STP 交換機的端口啟動時，首先會從禁用狀态自動進入到阻塞狀态。在阻塞狀态，端口隻能接收和分析 BPDU ，不能發送 BPDU 。如果端口選為根端口或指定端口，則會進入偵聽狀态，這時端口可以接收并發送 BPDU ，這種狀态會持續一個 Forward Delay 的時間，默認是 15 秒。15 秒後端口會進入到學習狀态，并持續一個 Forward Delay 的時間。學習狀态的端口可以接收和發送 BPDU ，同時開始進行 MAC 地址學習，為數據轉發做好準備。最後，端口由學習狀态進入到轉發狀态，就開始進行數據轉發。在整個狀态的遷移過程中，端口一旦關閉或發生鍊路故障，就會進入到禁用狀态；如果端口不再是根端口或指定端口，那麼端口狀态會立刻退回到阻塞狀态。

在 STP 的生成過程中，為什麼要有兩個 Forward Delay 時間？

在偵聽狀态有一個 Forward Delay 的時間，是因為 BPDU 泛洪到全網需要一定的時間，STP 完成全網拓撲的計算同樣需要時間，所以停留 15 秒讓 STP 有充分的時間計算全網拓撲，避免網絡中出現臨時的環路。在學習狀态又有一個 Forward Delay 的時間，是由于交換機的接口上未學習到任何 MAC 地址，需要時間學習 MAC 地址，避免網絡中出現不必要的數據幀泛洪現象。停留 15 秒，為進入轉發狀态做好準備。

STP 定義了 3 個重要的時間參數。

• Hello Time（ Hello 時間 ）：STP 交換機發送配置 BPDU 的時間間隔，默認是 2 秒。如果要修改時間參數，那麼必須在根橋上修改才有效。
• Forward Delay（轉發延遲）：接口從偵聽狀态進入學習狀态，或從學習狀态進入轉發狀态的延遲時間，默認值是 15 秒。避免在 STP 樹的生成過程中可能出現的臨時環路，或短暫的數據幀泛洪現象，分别在偵聽和學習的端口狀态各停留一個轉發延遲時間。對于 STP 而言，一個阻塞端口選舉為根接口或指定接口後，進入轉發狀态至少需要經曆 30 秒的時間。
• Max Age（最大生存時間）：BPDU 的最大生存時間，也稱為 BPDU 的老化時間，Max Age 的值由根橋指定，默認值是 20 秒。如果端口在 20 秒内收到 BPDU ，最大生存時間會重新計時；如果端口一直沒收到 BPDU ，那麼 BPDU 将會老化，設備會重新在端口上選擇最優 BPDU ，也就是重新進行根接口的選舉。

由于時間參數的設計，一個 STP 接口從阻塞狀态進入到轉發狀态，可能需要 30 ~ 50 秒的時間，這段時間内，網絡無法正常使用。

1. 交換機 A 、B 、C 一起啟動，各交換機的每個互聯端口立即從禁用狀态進入到阻塞狀态。在阻塞狀态的端口隻能接收而不能發送 BPDU ，所以任何端口都收不到 BPDU 。在等待 Max Age 後，每台交換機都會認為自己是根橋，所有端口的角色都成為指定端口，并且端口的狀态遷移為偵聽狀态。
2. 交換機的端口進入到偵聽狀态後，開始發送自己産生的配置 BPDU ，同時也收到其它交換機發送的配置 BPDU 。

• 因為各個交換機發送 BPDU 的時間有一定的随機性，所以有可能交換機 B 和交換機 C 先選舉根橋為交換機 B ，再收到交換機 A 的配置 BPDU ，最後選舉出根橋為交換機 A 。因此，無論交換機開始的狀态如何，也不管中間過程有多大差異，最終的結果總是确定且唯一的：橋 ID 最小的交換機會成為根橋。
• 端口在偵聽狀态持續 Forward Delay 的時間後，開始進入學習狀态。由于交換機 C 的 G0/2 端口已經成為備用端口，所以狀态也會變成阻塞狀态。

1. 各個端口（交換機 C 的 G0/2 端口除外）陸續進入學習狀态後，會持續 Forward Delay 的時間。在這段時間裡，交換機開始學習 MAC 地址和端口的映射關系，同時希望 STP 樹在這個時間内能夠完全收斂。
2. 之後各個端口（交換機 C 的 G0/2 端口除外）相繼進入轉發狀态，開始進行數據幀的轉發。

在實際應用中，STP 有很多不足之處，RSTP/MSTP 對 STP 進行了哪些改良？有哪些其它技術用來代替生成樹技術？欲知具體細節，且看下篇文章。

我們用 3 台交換機搭建一個網絡環境，而且網絡中存在二層環路。為了對網絡進行破環，将在交換機上部署 STP 。

• 三台交換機（ SW ）配置 STP 功能，使用命令指定根橋交換機，使用命令改變端口狀态。

1. 三台 SW 按照網絡拓撲圖，對相應的端口進行連接。SW 默認的生成樹工作模式是 MSTP ，并且自動協商出了根橋、根端口和指定端口。交換機的橋優先級默認是 32768 ，MAC 地址最小的交換機成為網絡中的根橋。通過命令查看，發現 SWB 選舉為根橋。

1. 在三台交換機上分别配置工作模式從默認的 MSTP 改成 STP ，并且啟動 STP 功能。stp mode 命令用來修改交換機的工作模式。stp enable 命令用在設備上激活生成樹功能，默認處于激活狀态，所以這條命令為可選。

1. 在實際的網絡部署中，我們通常會修改某台設備的優先級，确保它成為這個網絡的根橋，從而保證 STP 的穩定性。假設 SW1 是高性能的核心交換機，SW2 和 SW3 是普通性能的接入交換機。可以将 SW1 設置成根橋。在 SW1 配置的 stp root primary 命令讓它成為網絡中的根橋，實際上這條命令是把交換機的優先級設置成最小值 0 ，而且這個優先級不能修改。因此在 SW1 使用替代命令 stp priority 0 也能實現相同效果。stp priority 命令可以修改設備的 STP 優先級，取值範圍是 0 ~ 61440 ，而且要是 4096 的倍數，例如 0 、4096 、8192 等。

1. 在設備上使用 display stp 命令查看 STP 狀态，SW1 上的輸出如下。交換機的橋 ID 是 0.4c1f-ccff-4a7d ，其中 0 為交換機的優先級值，這就是命令 stp root primary 的作用。4c1f-ccff-4a7d 是交換機的 MAC 地址，且根橋的 MAC 地址也是 4c1f-ccff-4a7d ，說明這台交換機就是根橋。

1. 還可以使用 display stp brief 命令查看接口的 STP 狀态，在 SW1 上輸出如下。由于 SW1 是根橋，所有端口都是指定狀态，都處于轉發狀态。

1. SWC 的 G0/0/2 端口将會被阻塞，命令輸出如下。為什麼 G0/0/2 的端口狀态是禁用，而不是阻塞。因為 STP 已經不再使用，交換機默認使用 MSTP ，即使将生成樹的模式修改為 STP ，交換機的端口狀态依然和 MSTP 保持一緻。端口角色（ Role ）也是 MSTP 中的概念。

1. 因為 SWC 的 G0/0/1 端口是根端口，收到的 BPDU 比 G0/0/2 收到的更優，所以端口被阻塞。如果我們希望阻塞的不是 G0/0/2 ，而是 G0/0/1 端口，那就要讓 G0/0/2 成為根端口，比如将 G0/0/1 端口的 Cost 值調大，讓 SWC 的 G0/0/1 到達根橋的 RPC 比 G0/0/2的更大。SWC 增加配置如下：

1. 我們再觀察下 SWC 的端口狀态，G0/0/2 端口成為根端口，G0/0/1 端口被阻塞。

查看三台 STP 交換機的端口狀态，是否符合預期結果。

還可以抓包驗證 STP 交互的 BPDU 報文内容是否正常。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!