廖伯勛

（廣州工商學(xué)院，廣東 廣州 510850）

在中大型企業(yè)園區(qū)網(wǎng)中，大量交換機(jī)彼此連接形成較大的交換區(qū)塊。為了消除單點(diǎn)故障帶來的問題，交換機(jī)之間的連接通常會(huì)增加冗余鏈路，以提高網(wǎng)絡(luò)的可靠性。然而二層交換機(jī)對(duì)主機(jī)在網(wǎng)絡(luò)中的位置認(rèn)知有缺陷，使得冗余鏈路形成的環(huán)路會(huì)導(dǎo)致嚴(yán)重問題。為了解決冗余鏈路帶來的問題，802.1d標(biāo)準(zhǔn)的生成樹協(xié)議被推出［1］。經(jīng)過多年改進(jìn)，最新版為802.1s多生成樹協(xié)議，并在實(shí)際企業(yè)園區(qū)網(wǎng)絡(luò)中廣泛應(yīng)用。然而802.1s多生成樹協(xié)議原理比較抽象復(fù)雜，網(wǎng)絡(luò)學(xué)習(xí)者在缺少實(shí)驗(yàn)設(shè)備的情況下很難理解。為了加深網(wǎng)絡(luò)學(xué)習(xí)者對(duì)其工作原理的理解，掌握其配置命令，本文使用華為模擬器eNSP搭建網(wǎng)絡(luò)拓?fù)?，設(shè)計(jì)了802.1s多生成樹協(xié)議仿真實(shí)驗(yàn)，使網(wǎng)絡(luò)學(xué)習(xí)者不受設(shè)備的限制，隨時(shí)隨地進(jìn)行實(shí)驗(yàn)，提高了網(wǎng)絡(luò)學(xué)習(xí)者分析問題和實(shí)踐操作能力。

一、802.1s多生成樹協(xié)議分析

（一）二層交換環(huán)路引起的問題

交換機(jī)S1和S2之間連接了兩條鏈路，形成了環(huán)路。該環(huán)路將引起廣播風(fēng)暴、MAC地址漂移等問題［2］，如圖1所示。

圖 1 交換機(jī)之間形成的環(huán)路

第一，MAC地址表項(xiàng)漂移。當(dāng)PC1發(fā)送ARP請(qǐng)求時(shí)，交換機(jī)S1先根據(jù)ARP請(qǐng)求報(bào)文的二層源MAC地址建立MAC地址表項(xiàng)，隨后對(duì)該報(bào)文進(jìn)行轉(zhuǎn)發(fā)。由于ARP請(qǐng)求報(bào)文為廣播報(bào)文，交換機(jī)S1無法查詢到與其匹配的表項(xiàng)，故S1會(huì)將該廣播報(bào)文復(fù)制并發(fā)往除了接收接口（Ethernet0/0/1）以外的所有其他接口。假設(shè)交換機(jī)S2先從GE0/0/1接口接收到ARP請(qǐng)求報(bào)文，則建立PC1的MAC地址與GE0/0/1接口相關(guān)聯(lián)的MAC地址表項(xiàng)，并從其他接口轉(zhuǎn)發(fā)該數(shù)據(jù)幀。然后S2再從GE0/0/2接口接收到ARP請(qǐng)求報(bào)文，則建立PC1的MAC地址與GE0/0/2接口相關(guān)聯(lián)的MAC地址表項(xiàng)。此時(shí)新的MAC地址表項(xiàng)立即覆蓋了舊的MAC地址表項(xiàng)，從而產(chǎn)生“MAC地址表項(xiàng)漂移”的現(xiàn)象。而S2將GE0/0/1接收的ARP請(qǐng)求報(bào)文從GE0/0/2轉(zhuǎn)回給S1，然后將GE0/0/2接收的ARP請(qǐng)求報(bào)文從GE0/0/1轉(zhuǎn)回給S1，又會(huì)引起S1上的“MAC地址表項(xiàng)漂移”現(xiàn)象。

第二，廣播風(fēng)暴。網(wǎng)絡(luò)層IP數(shù)據(jù)報(bào)中設(shè)置了TTL字段，TTL的值再經(jīng)過三層設(shè)備轉(zhuǎn)發(fā)后會(huì)遞減。當(dāng)TTL的值為0時(shí)，該IP數(shù)據(jù)報(bào)將被當(dāng)前設(shè)備丟棄，從而防止網(wǎng)絡(luò)層IP數(shù)據(jù)報(bào)因?yàn)榄h(huán)路而被無休止地轉(zhuǎn)發(fā)。而二層交換機(jī)并無類似的機(jī)制，故前文提到的廣播報(bào)文將在該網(wǎng)絡(luò)中無休止地轉(zhuǎn)發(fā)下去，形成“廣播風(fēng)暴”，消耗交換機(jī)S1和S2的CPU資源及網(wǎng)絡(luò)帶寬。

第三，MAC地址表項(xiàng)錯(cuò)誤。由于“MAC地址表項(xiàng)漂移”現(xiàn)象的發(fā)生，交換機(jī)對(duì)PC1的認(rèn)知頻繁更新，并且都是錯(cuò)誤的（交換機(jī)S1認(rèn)為PC1連接在GE0/0/1或GE0/0/2兩個(gè)接口中的其中一個(gè)，但實(shí)際上PC1只連接在S1的Ethernet0/0/1接口上）。這將導(dǎo)致其他設(shè)備將無法與PC1通信。

（二）生成樹協(xié)議簡(jiǎn)介

二層環(huán)路引起的問題是由冗余鏈接產(chǎn)生的，解決這些問題的關(guān)鍵在于消除二層網(wǎng)絡(luò)中的冗余鏈接。生成樹協(xié)議正是通過在邏輯上阻塞冗余鏈接的方式，使交換機(jī)之間無法形成環(huán)路，從而生成一棵無環(huán)的“樹”。此為“生成樹”的由來。若只是為了形成無環(huán)的二層網(wǎng)絡(luò)，則只需在網(wǎng)絡(luò)建設(shè)之初舍棄冗余鏈接即可。但冗余鏈接是為了保證網(wǎng)絡(luò)的可靠性，避免單點(diǎn)故障帶來的網(wǎng)絡(luò)中斷。生成樹協(xié)議并非只能靜態(tài)地阻塞冗余鏈接，若當(dāng)前激活的鏈路發(fā)生故障，生成樹協(xié)議會(huì)將原來處于阻塞狀態(tài)的鏈路激活，從而巧妙地修復(fù)了網(wǎng)絡(luò)故障。

生成樹協(xié)議（Spanning Tree Protocol，STP），是由IEEE（電氣與電子工程師協(xié)會(huì)）發(fā)布的一種通用標(biāo)準(zhǔn)協(xié)議，是一種網(wǎng)橋嵌套協(xié)議，主要用于解決冗余網(wǎng)絡(luò)中的廣播風(fēng)暴問題［2］。

（三）生成樹協(xié)議工作原理

STP一共經(jīng)歷了3個(gè)版本，分別為最初的802.1d生成樹協(xié)議、改進(jìn)的802.1w快速生成樹協(xié)議和最新的802.1s多生成樹協(xié)議。多生成樹協(xié)議允許對(duì)流量進(jìn)行分流并將其分配給不同的虛擬局域網(wǎng)，使每個(gè)虛擬局域網(wǎng)都滿足生成樹協(xié)議［3］。

第一，選舉根橋。只有根橋才能發(fā)送BPDU，非根橋只能接收和轉(zhuǎn)發(fā)根橋始發(fā)的BPDU。在一個(gè)交換區(qū)塊中，開啟了生成樹協(xié)議的交換機(jī)都通過接口發(fā)送BPDU數(shù)據(jù)報(bào)文。通過比較BPDU中Root ID字段的值來選舉根橋，該值為發(fā)送該BPDU交換機(jī)的Bridge ID。先比較Root ID中的優(yōu)先級(jí)，較小者為根橋，如相同，則繼續(xù)比較Root ID中的MAC地址，較小者為根橋。由于MAC地址全球唯一，最終一定能選出根橋。選出根橋之后，只能由根橋發(fā)送BPDU，非根橋接收和轉(zhuǎn)發(fā)BPDU。

第二，選舉根端口。非根橋從所有接口中選出一個(gè)作為根端口，用于接收根橋發(fā)來的BPDU。最多經(jīng)過4個(gè)步驟，即可選出根端口。第一步，先比較接收到的BPDU中的Root ID字段的值。若一個(gè)接口收到的BPDU中的Root ID值最小，則該接口的角色為根端口。第二步，若Root ID相同，則進(jìn)一步比較接口接收到的BPDU中的CoP字段的值加上接口本身的度量值之和，該值最小的接口為根端口。第三步，若該值仍相等，進(jìn)一步比較Bridge ID。若一個(gè)接口收到的BPDU中的Bridge ID值最小，則該接口的角色為根端口。第四步，若Bridge ID相同，最后比較Port ID字段。先比較端口優(yōu)先級(jí)，較小者為優(yōu)，若端口優(yōu)先級(jí)相同，再比較端口編號(hào)，較小者為優(yōu)。由于同一設(shè)備上端口編號(hào)必不相同，故此步驟必定能選出跟端口。

第三，選舉指定端口。在一臺(tái)交換機(jī)上可以有多個(gè)指定端口，用于根橋發(fā)送BPDU，或者非根橋用來轉(zhuǎn)發(fā)根橋發(fā)來的BPDU。選舉辦法與根端口類似，最多經(jīng)過4個(gè)步驟，即可選出指定端口。與根端口選舉不同的地方是，在第二步中，僅比較CoP字段的值即可，無須加上接口本身的度量值。

第四，確定非指定端口。非指定端口為阻塞端口。非根橋上除了根端口和指定端口，其他端口都是非指定端口。

二、802.1s多生成樹協(xié)議在模擬器中的仿真

（一）網(wǎng)絡(luò)拓?fù)?/h3>

eNSP是華為官方的網(wǎng)絡(luò)仿真工具平臺(tái)，可對(duì)路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行軟件仿真，讓廣大網(wǎng)絡(luò)學(xué)習(xí)者可以在缺少網(wǎng)絡(luò)設(shè)備的情況下進(jìn)行模擬實(shí)驗(yàn)。在eNSP中使用2臺(tái)S5700作為匯聚層交換機(jī)、2臺(tái)S3700作為接入層交換機(jī)，接入層交換機(jī)AS1和AS2分別與匯聚層交換機(jī)連接，其拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖 2 802.1s多生成樹協(xié)議仿真實(shí)驗(yàn)拓?fù)鋱D

在以上拓?fù)渲校尤雽咏粨Q機(jī)AS1與匯聚層交換機(jī)DS1和DS2都有連接，DS1和DS2也有直連鏈路。三臺(tái)設(shè)備組成環(huán)形結(jié)構(gòu)，若不開啟生成樹協(xié)議，將容易引起廣播風(fēng)暴、MAC地址漂移等問題。

（二）仿真規(guī)劃

假設(shè)該網(wǎng)絡(luò)中有VLAN110、VLAN120、VLAN130、VLAN140等4個(gè)VLAN。為 了 充 分 利 用 鏈 路 帶寬，將DS1設(shè)置為VLAN110和VLAN130的主根網(wǎng)橋，VLAN120和VLAN140備份根網(wǎng)橋；將DS2設(shè)置為VLAN120和VLAN140的 主 根 網(wǎng) 橋，VLAN110和VLAN130備份根網(wǎng)橋。

（三）配置步驟

第一，配置匯聚層交換機(jī)鏈路模式。在DS1和DS2上將彼此連接的鏈路接口，以及連接接入層交換機(jī)的接口配置成trunk模式，并放行相關(guān)的VLAN。配置如下，GE0/0/2和GE0/0/24的配置與GE0/0/1相同。

以上配置完成后，可用命令display port vlan 查看端口的vlan配置情況。

第二，配接入層交換機(jī)鏈路模式。在接入層交換機(jī)AS1和AS2上將上行鏈路配置為trunk模式，并放行相關(guān)VLAN。配置與上一步驟類似?？捎妹頳isplay port vlan檢查trunk端口的狀態(tài)。

第三，創(chuàng)建VLAN。在各交換機(jī)上創(chuàng)建VLAN110、VLAN120、VLAN130和VLAN140。命令如下，以DS1為例。

［DS1］vlan batch 110 120 130 140

以上命令配置完成后，可用命令display vlan或display vlan summary查看VLAN信息。

第四，配置多生成樹協(xié)議。在各交換機(jī)上配置stp region-configuration。具體命令如下，只列出DS1的配置，DS2、AS1和AS2的配置與AS1類似。

［DS1］stp mode mstp

［DS1］stp region-configuration //進(jìn)入MST域配置視圖

［DS1-mst-region］region-name gzgs //配 置MST域的域名為gzgs

［DS1-mst-region］revision-level 1 //配置MST域的修訂級(jí)別為1

［DS1-mst-region］instance 1 vlan 110 130 //配置實(shí)例1與VLAN的映射關(guān)系

［DS1-mst-region］instance 2 vlan 120 140 //配置實(shí)例2與VLAN的映射關(guān)系

［DS1-mst-region］active region-configuration //激活MST域配置

第五，配置根網(wǎng)橋。將DS1配置為多生成樹實(shí)例1的主根網(wǎng)橋，實(shí)例2的備份根網(wǎng)橋；將DS2配置為多生成樹實(shí)例2的主根網(wǎng)橋，實(shí)例1的備份根網(wǎng)橋。

（四）仿真調(diào)試

第一，正常情況下的多生成樹協(xié)議運(yùn)行情況。在DS1上使用display stp instance 1命令查看多生成樹協(xié)議實(shí)例1的狀態(tài)，如圖3所示。

圖 3 DS1上的多生成樹協(xié)議實(shí)例1的狀態(tài)

圖中顯示，DS1的MSTI 1的Bridge ID與RegRoot ID一致，同 MSTI Root Type也顯示Primary root，說明DS1為instance 1的根網(wǎng)橋。DS1的MSTI 2的Bridge ID與RegRoot ID不一致，優(yōu)先級(jí)為4096，同時(shí)MSTI Root Type顯示Secondary root，說明DS1為instance 2的備份根網(wǎng)橋。

在AS1上使用display stp brief查看的多生成樹協(xié)議接口狀態(tài)。如圖4所示。

圖 4 AS1上的多生成樹協(xié)議接口狀態(tài)

圖中顯示AS1上與DS1相連的GE0/0/1接口為多生成樹協(xié)議實(shí)例1的根端口，同時(shí)與DS2相連的GE0/0/2接口為阻塞端口，即與實(shí)例1關(guān)聯(lián)的VLAN10和VLAN30的流量通過GE0/0/1轉(zhuǎn)發(fā)，而不能通過GE0/0/2接口轉(zhuǎn)發(fā)。表明此時(shí)物理上的環(huán)型鏈路，已被多生成樹協(xié)議從邏輯上進(jìn)行了修剪，變成了樹型的網(wǎng)絡(luò)拓?fù)洹?/p>

第二，模擬鏈路故障時(shí)，多生成樹協(xié)議的運(yùn)行情況。在DS1上，進(jìn)入GE0/0/1接口，并使用命令shutdown關(guān)閉接口。觀察多生成樹協(xié)議的運(yùn)行情況，如圖5所示。

圖 5 關(guān)閉DS1的GE0/0/1接口后AS1上的生成樹協(xié)議端口角色變化

圖中顯示，由于DS1的GE0/0/1已關(guān)閉，導(dǎo)致該鏈路狀態(tài)變?yōu)閐own，故AS1的GE0/0/2接口角色從原來ALTE轉(zhuǎn)變?yōu)镽OOT，端口狀態(tài)從原來的阻塞（DISGARDING）狀態(tài)轉(zhuǎn)變?yōu)檗D(zhuǎn)發(fā)（FORWARDING）。由此可見，生成樹協(xié)議能根據(jù)鏈路狀態(tài)的變化，自動(dòng)調(diào)整端口角色，以適應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兏岣呔W(wǎng)絡(luò)的可用性。

三、結(jié)語

對(duì)802.1s多生成樹協(xié)議進(jìn)行了分析，在eNSP模擬器上搭建了網(wǎng)絡(luò)拓?fù)?，進(jìn)行了多生成樹協(xié)議模擬仿真。完整配置命令較長(zhǎng)，限于篇幅，只列出關(guān)鍵命令。仿真結(jié)果表明，802.1s多生成樹協(xié)議通過多個(gè)生成樹實(shí)例既保證了主備切換的高可靠性，又實(shí)現(xiàn)負(fù)載分擔(dān)的高利用率［4］。