stp協議會影響網路安全性

① STP的工作原理和作用

STP的基本原理是通過在交換機之間傳遞一種特殊的協議報文，網橋協議數據單元（簡稱BPDU），來確定網路的拓撲結構。BPDU有兩種，配置BPDU（和TCNBPDU。前者是用於計算無環的生成樹的，後者則是用於在二層網路拓撲發生變化時產生用來縮短MAC表項的刷新時間的。

STP的作用：可應用於計算機網路中樹形拓撲結構建立，主要作用是防止網橋網路中的冗餘鏈路形成環路工作，即能解決了核心層網路需要冗餘鏈路的網路健壯性要求，又能解決因為冗餘鏈路形成的物理環路導致「廣播風暴」問題。

(1)stp協議會影響網路安全性擴展閱讀：

STP的潛在故障

1、生成樹演算法不穩定

STP協議工作在第二層，在交換機埠之間傳遞網路協議單元獲取網路拓撲，並通過STA演算法阻斷環路形成樹形邏輯網路拓撲。但如果網路拓撲過於復雜，STA演算法有時會存在失效的情況，這時根橋、根埠和指定埠的選舉失敗，導致環路的產生，使網路癱瘓。

2、埠工作方式導致埠工作模式不匹配

工作在全雙工模式下的埠在發送數據前不載波偵聽鏈路是否處於空閑狀態，直接發送數據，而工作在半雙工模式下的埠在發送數據前先執行載波偵聽且當鏈路處於空閑狀態時才發送數據，此時，全雙工埠持續性的有大量數據需要發送，那麼半雙工狀態的埠將不會有數據傳送給對端。

3、單向鏈路故障

在採用光纖為通信介質的網路中，往往採用兩組光纖收發鏈路來保證網路的可靠性和穩定性。單鏈路故障影響了STP的網橋協議單元的發送，致使STA計算出現錯誤碼，將本應處於阻斷狀態的埠轉變為轉發狀態，從而導致環路的產生。

② STP的作用是什麼

STP的作用是防止網橋網路中的冗餘鏈路形成環路工作。

STP是Spanning Tree Protocol的縮寫，意思是指生成樹協議，可應用於計算機網路中樹形拓撲結構建立，主要作用是防止網橋網路中的冗餘鏈路形成環路工作。

但某些特定因素會導致STP失敗，要排除故障可能非常困難，這取決於網路設計。生成樹協議適合所有廠商的網路設備，在配置上和體現功能強度上有所差別，但是在原理和應用效果是一致的。

(2)stp協議會影響網路安全性擴展閱讀：

STP的基本思想就是按照樹的結構構造網路的拓撲結構，樹的根是一個稱為根橋的橋設備，根橋的確立是由交換機或網橋的BID確定的，BID最小的設備成為二層網路中的根橋。

BID又是由網橋優先順序和MAC地址構成，不同廠商的設備的網橋優先順序的位元組個數可能不同。由根橋開始，逐級形成一棵樹，根橋定時發送配置BPDU，非根橋接收配置BPDU，刷新最佳BPDU並轉發。

③ STP生成樹協議

為了提高網路可靠性，交換機網路中通常會使用冗餘鏈路，冗餘鏈路會給交換機帶來環路風險，並導致 廣播風暴 以及 MAC地址表不穩定 等問題，生成樹協議STP（Spanning Tree Protocol）可以在提高可靠性的同時又避免環路帶來的各種問題。

根據交換機的轉發原則， 如果交換機從一個埠上接收到的是一個廣播幀， 或者是一個目的MAC地址未知的單播幀，則會將這個幀向除源埠之外的所有其他埠轉發。如果交換網路中有環路，則這個幀會被無限轉發，此時便會形成廣播風暴，網路中也會充斥著重復的數據幀。

STP的主要作用： 利用生成樹演算法、在乙太網絡中，創建一個以某台交換機的某個埠為根的生成樹，自動地在邏輯上阻塞一個或多個冗餘埠，避免環路。

STP的基本工作原理為：通過 BPDU (Bridge Protocol Data Unit,橋接協議數據單元)的交互來傳遞STP計算所需要的條件，隨後根據特定的演算法，阻塞特定埠，從而得到無環的樹形拓撲。

為了計算生成樹， 交換機之間需要交換相關的信息和參數， 這些信息和參數被封裝在BPDU（Bridge Protocol Data Unit） 中。
BPDU有兩種類型：配置BPDU和TCN BPDU（拓撲變更BPDU）。

STP中根橋的選舉依據的是橋ID， STP中的每個交換機都會有一個橋ID(Bridge ID) 。 橋ID由16位的橋優先順序（Bridge Priority） 和48位的MAC地址構成。 在STP網路中， 橋優先順序是可以配置的， 取值范圍是0～65535， 默認值為32768。 優先順序最高的設備（數值越小越優先） 會被選舉為根橋。 如果優先順序相同， 則會比較MAC地址， MAC地址越小則越優先 。

非根交換機在選舉根埠時分別依據該埠的 根路徑開銷、 對端BID（Bridge ID） 、 對端PID（Port ID） 和本端PID。

交換機的每個埠都有一個 埠開銷 （Port Cost） 參數， 此參數表示該埠在STP中的開銷值。 默認情況下埠的開銷和埠的帶寬有關，帶寬越高，開銷越小。從一個非根橋到達根橋的路徑可能有多條，每一條路徑都有一個總的開銷值，此開銷值是該路徑上所有接收BPDU埠的埠開銷總和（即BPDU的入方向埠），稱為路徑開銷。非根橋通過對比多條路徑的路徑開銷，選出到達根橋的最短路徑，這條最短路徑的路徑開銷被稱為 RPC （Root Path Cost， 根路徑開銷），並生成無環樹狀網路。 根橋的根路徑開銷是0。

如果有兩個或兩個以上的埠計算得到的累計路徑開銷相同，那麼選擇收到發送者BID最小的那個埠作為根埠。

運行STP交換機的每個埠都有一個埠ID，埠ID由埠優先順序和埠號構成。埠優先順序取值范圍是0到240，步長為16，即取值必須為16的整數倍。預設情況下，埠優先順序是128。埠ID（Port ID)可以用來確定埠角色，值小者優先。

在網段上抑制其他埠（無論是自己的還是其他設備的）發送BPDU報文的埠，就是該網段的指定埠。

根橋的每個埠總是指定埠。

根埠相對應的埠（即與根埠直連的埠）皆為指定埠。

指定埠的選舉也是首先比較累計路徑開銷，累計路徑開銷最小的埠就是指定埠。如果累計路徑開銷相同，則比較埠所在交換機的橋ID，所在橋ID最小的埠被選舉為指定埠。如果通過累計路徑開銷和所在橋ID選舉不出來，則比較埠ID，埠ID最小的被選舉為指定埠。(同根埠選舉)

網路收斂後，只有指定埠和根埠可以轉發數據。其他埠為預備埠，被阻塞，不能轉發數據，只能夠從所連網段的指定交換機接收到BPDU報文，並以此來監視鏈路的狀態。

1、 Forwarding：轉發狀態。 埠既可轉發用戶流量也可轉發BPDU報文， 只有根埠或指定埠才能進入Forwarding狀態。

2、 Learning：學習狀態。 埠可根據收到的用戶流量構建MAC地址表，但不轉發用戶流量。 增加Learning狀態是為了防止臨時環路。

3、 Listening：偵聽狀態。 埠可以轉發BPDU報文， 但不能轉發用戶流量。

4、 Blocking：阻塞狀態。 埠僅僅能接收並處理BPDU， 不能轉發BPDU， 也不能轉發用戶流量。 此狀態是預備埠的最終狀態。

5、 Disabled：禁用狀態。 埠既不處理和轉發BPDU報文， 也不轉發用戶流量。

在穩定的STP拓撲里， 非根橋會定期收到來自根橋的BPDU報文。如果根橋發生了故障，停止發送BPDU報文，下游交換機就無法收到來自根橋的BPDU報文。如果下游交換機一直收不到BPDU報文，Max Age定時器就會超時（Max Age的默認值為20秒），從而導致已經收到的BPDU報文失效，此時，非根交換機會互相發送配置BPDU報文，重新選舉新的根橋。根橋故障會導致50秒左右的恢復時間，恢復時間約等於Max Age加上兩倍的Forward Delay收斂時間。

1、SWA和SWB使用了兩條鏈路互連，其中一條是主用鏈路，另外一條是備份鏈路。生成樹正常收斂之後，如果SWB檢測到根埠的鏈路發生物理故障，則其Alternate埠會遷移到Listening、Learning、Forwarding狀態，經過兩倍的Forward Delay後恢復到轉發狀態。

2、SWB經過集線器與SWA通過兩條鏈路互連，當主用鏈路故障時，SWB尚未檢測到信號丟失，因此保持原狀態不變，但是，根埠已經無法收到來至根橋的BPDU報文，經過T=Max_Age-Message_Age 時間後，原BPDU報文過期，SWB的Alternate埠會遷移到Listening、Learning、Forwarding狀態， 經過兩倍的Forward Delay後恢復到轉發狀態。因此，鏈路經過2xForward_Time + (Max_Age-Message_Age)時間後恢復。

SWB與SWA之間的鏈路發生了某種故障（非物理層故障），SWB因此一直收不到來自SWA的BPDU報文。 等待Max Age定時器超時後，SWB會認為根橋SWA不再有效，並認為自己是根橋，於是開始發送自己的BPDU報文給SWC，通知SWC自己作為新的根橋。在此期間，由於SWC的Alternate埠再也不能收到包含原根橋ID的BPDU報文。其Max Age定時器超時後，SWC會切換Alternate埠為指定埠並且轉發來自其根埠的BPDU報文給SWB。所以，Max Age定時器超時後，SWB、SWC幾乎同時會收到對方發來的BPDU。 經過STP重新計算後，SWB放棄宣稱自己是根橋並重新確定埠角色。非直連鏈路故障後，由於需要等待Max Age加上兩倍的Forward Delay時間，埠需要大約50秒才能恢復到轉發狀態。

實驗拓撲如上圖所示，PCA的IP地址為2.2.2.1/24，PCB的IP地址配置為2.2.2.2/24。

由於網路中存在環路，此時可以看到交換機的所有互聯埠以及連接主機的埠的指示燈均快速閃動，表示形成了廣播風暴。此時PCA 無法ping通PCB。

在SW1上通過命令stp mode配置生成樹協議的模式為RSTP，通過命令stp enable在交換機上使能生成樹協議。

SW2、SW3、SW4的配置和SW1相同。啟用生成樹協議後可以看到交換機各埠指示燈停止快速閃動，網路恢復正常。此時PCA可以ping通PCB。

通過命令display stp brief可以查看交換機各埠的STP狀態以及埠角色:

由上可以看出各交換機的根埠為連接SW3的埠，SW3不存在根埠，說明SW3即為網路中的根橋。

2中已知SW3為現根橋，我們可以通過以下命令指定根橋：

該配置將SW1設置為根橋，將SW2設置為備份根橋，我們也可以通過更改橋優先順序控制根橋的選舉，將SW3的優先順序修改為8192，SW2的優先順序修改為4096。

查看STP信息：

可以看到，SW2已成為新的根橋。

步驟3後，SW3的GigabitEthernet0/0/3埠為根埠，與根橋SW2互聯，埠優先順序默認為128，數值越大優先順序越小。

將SW2的埠GigabitEthernet0/0/3埠優先順序設置為32，GigabitEthernet0/0/6埠優先順序設置為16：

注意：此處是修改SW2的埠優先順序，而不是修改SW3的埠優先順序。

在SW3上查看埠角色：

SW3的GigabitEthernet0/0/6埠成為了根埠。

SW4的GigabitEthernet0/0/3為替代埠，SW1的GigabitEthernet0/0/3為指定埠，修改SW1埠GigabitEthernet0/0/2路徑開銷為2000000。

查看當前埠角色信息。

STP能夠提供無環網路，但是收斂速度較慢。如果STP網路的拓撲結構頻繁變化，網路也會隨之頻繁失去連通性，從而導致用戶通信頻繁中斷。快速生成樹協議RSTP使用了Proposal/Agreement機制保證鏈路及時協商，從而有效避免收斂計時器在生成樹收斂前超時。

RSTP的埠角色共有4種： 根埠、指定埠、Alternate埠和Backup埠。

Alternate埠：由於學習到其它網橋發送的更優配置BPDU報文而阻塞的埠；作為根埠的備份埠。

Backup埠：由於學習到自己發送的更優配置BPDU報文而阻塞的埠；作為指定埠的備份埠。

Discarding狀態 ， 埠既不轉發用戶流量也不學習MAC地址。

Learning狀態 ， 埠不轉發用戶流量但是學習MAC地址。

Forwarding狀態 ， 埠既轉發用戶流量又學習MAC地址。

RSTP收斂遵循STP基本原理。網路初始化時，網路中所有的RSTP交換機都認為自己時「根橋」，並設置每個埠為指定埠，此時，埠為Discarding狀態。

每個認為自己是「根橋」 的交換機生成一個RST BPDU報文來協商指定網段的埠狀態，此RST BPDU報文的Flags欄位裡面的Proposal位需要置位。當一個埠收到RST BPDU報文時，此埠會比較收到的RST BPDU報文和本地的RST BPDU報文。如果本地的RST BPDU報文優於接收的RST BPDU報文，則埠會丟棄接收的RST BPDU報文，並發送Proposal置位的本地RST BPDU報文來回復對端設備。

當確認下游指定埠遷移到Discarding狀態後，設備發送RST BPDU報文回復上游交換機發送的Proposal消息。在此過程中，埠已經確認為根埠，因此RST BPDU報文Flags欄位裡面設置了Agreement標記位和根埠角色。

在P/A進程的最後階段，上游交換機收到Agreement置位的RST BPDU報文後，指定埠立即從Discarding狀態遷移為Forwarding狀態，然後，下游網段開始使用同樣的P/A進程協商埠角色。

首先，RSTP將網路拓撲的變化定義為埠角色的變化，因為網路拓撲的變化可以描述為某些網路埠在轉發/阻塞態之間的轉換，而RSTP將埠角色和埠狀態進行了明確的定義（這是RSTP比STP優勝的地方）。

其次，RSTP埠角色的變化直接影響埠狀態的變化。R-Port、D-Port、Edge Port處於Forwarding狀態；Alternated Port（以下簡稱A-Port）和Backup Port處於Discarding狀態。

若某條鏈路失效，即鏈路兩端的埠從轉發態變為阻塞態。從生成樹協議的目的來看，並不會使得網路形成環路。RSTP僅需要找到處於合適的阻塞態埠，並將其轉為轉發態，使拓撲重新連通起來。由於RSTP在計算時已經分配好R-Port的備份埠A-Port，因此若從轉發態變為阻塞態的是R-Port，則把對應的A-Port改為轉發態；同理，D-Port的則色也可置相應的Backup Port為轉發來實現。而Edge Port並不影響生成樹的計算，故忽略。這樣，當某個（些）埠狀態從轉發到阻塞，對於RSTP而言，無需重新計算（是不是有點熟悉，好像哪兒見過不用計算直接使用備用路徑的演算法。聰明的你一定想到了：DUAL）。

由於某條鏈路的連通有可能導致生成樹域成環。在RSTP里，該行為定義為D-Port從阻塞態轉化為轉發態，相對的檢查機制應的就是P/A機制，即從需要進入轉發態的D-Port，建議對端進行同步，待收到確認後進入轉發態。

對端Bridge在接收到「建議」消息後，一方面阻塞自身所有D-Port，並返回「同意」消息給「建議」消息發送方；另一方面，對自身埠進行同步。同步分兩種類型：若埠為E-Port，或者原來就是非轉發態，則為「已同步」；若埠原來為轉發態，為重新進入轉發態，將對對端進行「建議」並等待確認。

下面將結合圖例，演示P/A機制的流程：

1、B、E之間建立一條新鏈路，首先進行埠角色選擇；

2、B、E通過該鏈路交換BPDU，由於B埠發送的BPDU較優（superior），因此B埠角色為D-Port；與此同時，E從B收到的BPDU比從C收到的較優，因此E把連接B的埠轉換為Root Port，同時，連接C的埠轉換為A-Port。要注意的是，RSTP相對STP進行了根埠轉發的改進，一旦確定了舊的R-Port非轉發態，且新的R-Port已確定，則新的R-Port立即進入轉發態；

3、此刻B埠仍為Discarding狀態，並期望進入Forwarding狀態，因此它將從該D-Port發送「Proposal「置位的配置BPDU給E；E接收到該BPDU後，進入同步狀態：即將所有轉發態埠轉為丟棄，並檢查埠同步情況；

4、從同步原理可知，E中只有連接D的埠為轉發態，因此E繼續阻塞該埠，並向B返回」同意「置位的BPDU。自此，B-E鏈路進入已完成同步，立即進行流量轉發；而由於D連接E的埠為A-Port，不轉發BPDU，因此E發出的」Proposal「置位BPDU將不會被」Agreement「置位的BPDU回應。該埠將一直保持阻塞態。

實驗拓撲如上圖所示，交換機各埠均屬於VLAN1，PCA的IP地址為2.2.2.1/24，PCB的IP地址配置為2.2.2.2/24。

測試SW2和SW3的連通性：

查看SW2的埠角色

SW2的GigabitEthernet0/0/3為根埠，用ping測試S1到S2的連通性20次。

提示：SW2執行ping操作之後立刻關閉SW3的GigabitEthernet0/0/3介面。

查看SW2的埠角色

SW2的GigabitEthernet0/0/6 成為根埠，埠進入FORWARDING狀態，1個包超時。

在SW1上通過命令stp mode配置生成樹協議的模式為RSTP，通過命令stp enable在交換機上使能生成樹協議。

SW2、SW3、SW4的配置和SW1相同。

配置SW2為STP生成樹，其他配置保持不變。

查看SW2埠角色信息

SW2的GigabitEthernet0/0/3為根埠，用ping測試S1到S2的連通性30次。

提示：SW2執行ping操作之後立刻關閉SW3的GigabitEthernet0/0/3介面。

查看SW2埠信息

SW2的GigabitEthernet0/0/6 成為根埠，埠進入FORWARDING狀態，16個包超時。

RSTP兼容STP，但收斂方式以STP模式運行。

不管是STP還是RSTP，在網路中進行生成樹計算的時候都沒有考慮到VLAN的情況。它們都是對單一生成樹實例進行應用的。也就是說，在STP和RSTP中所有的VLAN都共享相同的生成樹。

為了解決這一個問題，思科提出了第二代生成樹 - PVST、PVST+。按照PVST協議規定，每一個VLAN都有一個生成樹，而且是每隔2秒就會發送一個BPDU，這對於一個有著上千萬個VLAN網路來說，一方面這么多生成樹維護起來比較困難，另一方面，為每個VLAN每隔2秒就發送一個BPDU，交換機也是難以承受的。

為了解決PVST帶來的困難，思科又提出了第三代生成樹 - MST（MSTP）多生成樹協議。MSTP可以對網路中眾多的VLAN進行分組，把VLAN分到組里。這里的組就是後面講的MST實例（Instance）。每個實例一個生成樹，BPDU只對實例進行發送。這樣就達到了負載均衡。

多生成樹協議MSTP（Multiple Spanning Tree Protocol）是IEEE 802.1s中定義的一種新型生成樹協議。簡單說來，STP/RSTP是基於埠的，PVST＋是基於VLAN的，而MSTP是基於實例的。與STP/RSTP和PVST+相比，MSTP中引入了「實例」（Instance）和「域」(Region) 「的概念。

所謂「實例」就是多個VLAN的一個集合，這種通過多個VLAN捆綁到一個實例中去的方法可以節省通信開銷和資源佔用率。MSTP各個實例拓撲的計算是獨立的，在這些實例上就可以實現負載均衡。使用的時候，可以把多個相同拓撲結構的VLAN映射到某一個實例中，這些VLAN在埠上的轉發狀態將取決於對應實例在MSTP里的轉發狀態。

所謂「域」，即MST域（MST Region），由域名(Configuration Name)、修訂級別(Revision Level)、格式選擇器(Configuration Identifier Format Selector)、VLAN與實例的映射關系(mapping of VIDs to spanning trees)，其中域名、格式選擇器和修訂級別在BPDU報文中都有相關欄位，而VLAN與實例的映射關系在BPDU報文中表現摘要信息(Configuration Digest)，該摘要是根據映射關系計算得到的一個16位元組簽名。只有上述四者都一樣且相互連接的交換機才認為在同一個域內。如上圖所示，每個域內所有交換機都有相同的MST域配置（具有相同的域名；具有相同的VLAN到生成樹實例映射配置；具有相同的MSTP修訂級別配置）。預設時，域名就是交換機的橋MAC地址，修訂級別等於0，格式選擇器等於0，所有的VLAN都映射到實例0上。

MSTP的實例0具有特殊的作用，稱為CIST（Common Internal Spanning Tree），即公共與內部生成樹，其他的實例稱為MSTI（Multiple Spanning Tree Instance），即多生成樹實例。CIST由通過STP/RSTP計算得到的單生成樹和MSTP計算得到的域組成，是為了保證在所有橋接的區域網是簡單的和全連接的。CST（Common Spanning Tree）是STP/RSTP也是MSTP計算出的用於連接MST域的單生成樹。IST（Internal Spanning Tree）是在一個給定的MST域內由CIST提供的連通性。如上圖所示，如果把每個MST域看作是一個「交換機」，CST就是這些「交換機」通過STP/RSTP或者MSTP協議計算生成的一棵生成樹。IST是CIST在MST域內的片段，是一個特殊的多生成樹實例。

與STP和RSTP相比，MSTP中引入了總根和域根的概念。總根是一個全局概念，對於所有互連的運行STP/RSTP/MSTP的交換機只能有一個總根，也即是CIST的根；而域根是一個局部概念，是相對於某個域的某個實例而言的。上圖所示，所有相連的設備，總根只有一個，而每個域所包含的域根數目與實例個數相關。

與STP和RSTP相比，MSTP中引入了外部路徑開銷和內部路徑開銷的概念。外部路徑開銷是相對於CIST而言的，同一個域內外部路徑開銷是相同的；內部路徑開銷是域內相對於某個實例而言的，同一埠對於不同實例對應不同的內部路徑開銷。

與STP和RSTP相比，MSTP中引入了域邊緣埠和Master埠的概念。域邊緣埠是連接不同MST域、MST域和運行STP的區域、MST域和運行RSTP的區域的埠，位於MST域的邊緣；在某個不包含總根的域中，Master埠是所有邊界埠中，到達總根具有最小開銷的埠，也就是連接MST域到總根的埠，位於整個域到總根的最短路徑上；Alternate埠是Master埠的備份埠，如果Master埠被阻塞後，Alternate埠將成為新的Master埠。

MSTP協議在計算生成樹時使用的演算法和原理與STP/RSTP大同小異，只是因為在MSTP中引入了域和內部路徑開銷等參數，故MSTP中的優先順序向量是7維，而STP/RSTP是5維。

STP/RSTP中的優先順序向量是：

{根橋標識符,根路徑開銷,橋標識符, 發送BPDU報文埠標識符, 接收BPDU報文埠標識符}

MSTP中的優先順序向量是：

{CIST根橋標識符，CIST外部根路徑開銷，CIST域根標識符，CIST內部根路徑開銷，CIST指定橋標識符，CIST指定埠標識符，CIST接收埠標識符}

其中STP/RSTP中的橋標識符實際上是發送BPDU的設備的標識符，與MSTP中的CIST指定橋標識符對應。MSTP中的CIST域根標識符有兩種情況，一種是總根所在域內，BPDU報文中該欄位是參考總根的標識符，另一種情況是不包含總根的域中，BPDU報文該欄位是參考主設備的標識符。運行MSTP的實體初始化時認為自己是總根、域根，通過交互配置消息，按照上面介紹的7維向量計算CIST生成樹和MSTI。

網路中的設備發送接受BPDU報文，在經過比較配置消息後，在整個網路中選擇一個優先順序最高的交換機作為CIST的樹根。在每個MST域內MSTP通過計算生成IST；同時MSTP將每個MST域作為單台交換機對待，通過計算在MST域間生成CST。如前所述，CST和IST構成了整個交換機網路的CIST。

在MST域內，MSTP根據VLAN和生成樹實例的映射關系，針對不同的VLAN生成不同的生成樹實例。每棵生成樹獨立進行計算，計算過程與STP/RSTP計算生成樹的過程類似。

MSTI的特點：

MSTP拓撲變化處理與RSTP拓撲變化處理過程類似。

在RSTP中檢測拓撲是否發生變化只有一個標准：一個非邊緣埠遷移到Forwarding狀態。

如此，網路中就會產生RST BPDU的泛洪。

定義VLAN1-10屬於INSTANCE 1，VLAN11-20屬於INSTANCE 2。

配置SW2在實例1中的優先順序為4096, 在實例2中的優先順序為8192。

配置SW3在實例2中的優先順序為4096，在實例1中的優先順序為8192。

查看實例1和實例2的狀態

SW2為實例1的根橋，SW3為實例2的根橋。

查看MSTP實例1的埠角色

實例1中SW2為根網橋，SW1的VLAN 1到VLAN10的用戶經過GigabitEthernet0/0/1 介面和SW2、 SW3、 SW4的VLAN 1到VLAN10的用戶通訊。

④ stp 作用一百字以上

STP的全稱是spanning-tree protocol,STP協議是一個二層的鏈路管理協議，它在提供鏈路冗餘的同時防止網路產生環路。STP協議(Spanning tree protocol)的本質就是實現在交換網路中鏈路的備份和負載的分擔.stp是生成樹協議,主要功能是從拓撲中清除第2層環路
一.STP增強特性:
傳統的802.1d標準的STP,有一些缺陷,比如當一個交換機檢測到鏈路發生故障,再到網路重新收斂的時候,至少要等50秒的時間(轉發延遲+BPDU最大生存周期).當一個端工作站,比如PC或伺服器,插到交換機某個埠後,該埠同樣會經歷STP的一些狀態,比如監聽和學習.但是端工作站不會引起層2環路,因此,對於接端工做站的埠,沒必要經歷這相對漫長的STP收斂時間.因此 CISCO提出了Port Fast這一特性.啟用該特性的埠無需經歷轉發延遲可以直接進入轉發狀態,減少收斂時間.該特性類似802.1w標准里的邊緣埠(EP):

在啟用這種特性的時候,必須保證該埠連接的是端工作站,而不是交換機或者集線器等網路設備,否則會引起環路問題.另外,如果在該埠啟用了語音VLAN,那麼Port /---全局啟用Port Fast特性---/
Switch(config-if)# spanning-tree portfast [trunk] /---基於介面的啟用Port Fast特性---/
Switch(config-if)# spanning-tree portfast disable /---禁用Port Fast特性---/
注意,如果要在trunk埠啟用該特性,先要確保該trunk埠不會引起環路.

另外一種減少STP收斂時間的技術是Uplink Fast特性:
當交換機A檢測到鏈路L2出故障後,會立刻切換到L3,從而跳過STP的監聽和學習階段(轉發延遲),節約近30秒的時間達到快速收斂.另外要注意的是,如果配置了VLAN的優先順序,那麼不能啟用該特性.因為該特性是對所有VLAN生效而不是針對某一個VLAN生效.一旦啟用該特性後,交換機的網橋優先順序自動被設置為49152;如果你的鏈路開銷小於3000,那麼開銷將自動增大為3000(如果大於3000則不會).該舉動的意圖是防止交換機(如上圖里的交換機A)成為根橋.
配置方式如下:
Switch(config)# spanning-tree uplinkfast [max-update-rate pps] /---全局啟用Uplink Fast---/
可選參數值的范圍是0-32000,默認每秒150個包,值越低收斂越慢.

如果照上圖里,當鏈路L1出故障後,Uplink Fast特性就不能彌補該缺點.因此出現了Backbone Fast特性:

當交換機C通過下級BPDU信息(inferior BPDU)檢測到L1出故障後,由於L1不是它到根橋的直連鏈路.因此,交換機C會發送根鏈路查詢信息(RLQ).當收到RLQ的應答後,交換機C將自己原本處於堵塞狀態的埠立即設置為轉發狀態(把最大生存周期的20秒給老化掉),為B提供一條到根橋的替代路徑.但要經過轉發延遲,也就是大約30的時間.一旦啟用該特性,必須在所有的交換幾上都使用.但如果此時新增加一個交換機進來,該交換機也會發送下級BPDU信息聲稱自己想成為根橋(野心夠大啊).不過其他交換機會忽略該下級BPDU,並且交換機B會告訴它A才是根橋:

配置方式:
Switch(config)# spanning-tree backbonefast /---全局啟用Backbone /---在啟用了Port Fast特性的埠上啟用BPDU Guard---/
Switch(config-if)# spanning-tree bpguard enable /---在不啟用Port Fast特性的情況下啟用BPDU Guard---/

而BPDU Filtering特性和BPDU Guard特性非常類似.通過使用BPDU Filtering,將能夠防止交換機在啟用了Port Fast特性的埠上發送BPDU給主機:
如果全局配置了BPDU /---在啟用了Port Fast特性的埠上啟用BPDU Filtering---/
Switch(config-if)# spanning-tree bpfilter enable /---在不啟用Port Fast特性的情況下啟用BPDU Filtering---/

一般層2網路的SP可能會有多條達到客戶網路的連接.為了防止客戶交換機偶然成為根橋,可以在連接到客戶交換機的埠上使用Root Guard特性來避免這一問題的發生.如果STP偶然選出客戶交換機的某個埠做為根埠(RP),那麼Root Guard特性將把該埠設置為root-inconsistent狀態(堵塞)來防止客戶交換機成為根橋:

配置Root /---啟用Root Guard特性---/
注意,Root Guard和Loop Guard特性不可同時使用,也不要在啟用了Uplink Fast特性的埠上啟用該特性.該特性一旦配置後,對所有VLAN都生效.

另外,也可以使用Loop Guard技術替代埠(AP)或RP由於單向鏈路的故障問題成為指定埠(DP):

如上圖,交換機A做為根橋,由於交換機B和C之間發生單向鏈路故障,C將不能從B那裡接收到BPDU.如果沒有啟用該特性,那麼交換機C在最大生存周期(Max Age)計時器超時之後,交換機C上的堵塞埠將轉換到監聽狀態,並最終會在30秒之後轉換到轉發狀態.當交換機C的原先處於堵塞狀態的埠進入到轉發狀態的時候,交換機B上原先的DP還處於轉發狀態,而一個橋接網段上只能有一個DP,因此就產生了環路.如果啟用了Loop Guard特性之後,當最大生存周期超時之後,交換機C上的堵塞埠將過渡到loop-inconsistent狀態(堵塞),處於該狀態的埠不能傳遞任何流量.因此就不會產生層2環路.
配置Loop Guard:
Switch(config)# spanning-tree loopguard default /---啟用Loop Guard特性---/
注意,Loop Guard和Root Guard特性不可同時使用.

⑤ 如果取消了VLAN、STP,對校園網有什麼影響

回答如下：1.取消VLAN會造成校園網廣播域太多，大量廣播報文佔用網路帶寬，導致網路擁塞和性能下降。

2.取消STP，因為STP是生成樹協議，它的功能是防止二層網路中出現環路，造成數據幀在網路中永遠循環轉發，使網路很快處於擁塞狀態。這是保護網路安全的。

一般規模大一點的校園網、區域網都需要劃分VLAN，網段，並用路由器等三層設備進行廣播域的分隔、隔離。再在二層網路內啟用STP、RSTP、MSTP等防環協議，消除網路中可能出現的環路，比如網線亂接導致成環。

希望對你有幫助，麻煩給個採納、點個贊，謝謝！

⑥ 我的對三層交換機之間進行埠聚合和配置生成樹協議後，整個網路好像癱瘓了，，都通訊不了請教高手指導

這應該是stp協議沒有收斂導致的。非指定埠沒有正常阻塞，導致它成了轉發模式，形成了環路。
你可以在每台交換機上show spanning-tree，看看是不是有的埠沒有阻塞。
你在核心層的交換機上重新配置一個較低的優先順序，確保它能夠成為跟橋。讓它們重新選舉，看看能不能收斂。 或者重啟交換機。

⑦ 在H3C 3352 三層交換機上能需要開啟STP協議嗎，如果開了對整個內網有影響嗎，請教各位高手！

STP的全稱是spanning-tree protocol,STP協議是一個二層的鏈路管理協議，它在提供鏈路冗餘的同時防止網路產生環路。
開啟來對你內網沒有任何影響的。

⑧ STP協議的主要用途是什麼為什麼要用STP

主要用途：1、STP通過阻塞冗餘鏈路，來消除橋接網路中可能存在的路徑回環；2、當前活動路徑發生故障時，STP激活冗餘鏈路恢復網路連通性。
ACL：1、訪問控制列表（ACL）是應用在路由器介面的指令列表（規則），用來告訴路由器哪些數據包可以接收轉發，哪些數據包需要拒絕；2、ACL的工作原理 ：讀取第三層及第四層包頭中的信息，根據預先定義好的規則對包進行過濾；3、使用ACL實現網路控制：實現訪問控制列表的核心技術是包過濾；4、ACL的兩種基本類型（標准訪問控制列表；擴展訪問控制列表）

⑨ 如何理解STP（生成樹協議）的安全與穩定性

三個方面：
一 什麼是STP
二 STP的原理與機制
三 STP的功能與作用

具體你可以參考：
http://ke..com/view/28816.htm

我無版權，就不復制了，為網路節省空間。

⑩ 華為交換機如果做手動鏈路聚合，可不可以關閉stp協議關和不關stp有什

STP協議是生成樹協議，防環的。你做鏈路聚合只是解除了現有環境中的環路問題、並且提高了線路利用率。但是未知的變化最可怕，尤其是大型企業二層交換機多的情況下，經常會出現員工不懂網路的情況下私接網線等造成各種環路的問題，STP雖然會佔用設備性能，但不會影響生產正常運行，建議開啟。