生成树协议是一种二层管理协议它通过选择性地阻塞网络中的冗余链路来消除二层环路，同时还具备链路备份的功能最初的生成树协议为STP（Spanning Tree Protocol，生成树协议）之后又發展出RSTP（Rapid Spanning Tree Protocol，快速生成树协议）、PVST（Per-VLAN Spanning

STP由IEEE制定的802.1D标准定义用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互信息发现网络中的环路并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构从而防止报文在环路网络Φ不断增生和无限循环，避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生

STP包含了两个含义，狭义的STP是指IEEE 802.1D中定义的STP協议广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议。

STP采用的协议报文是BPDU（Bridge Protocol Data Unit网桥协议数据单元），也称为配置消息本文中将把生成树协议的协议报文均简称为BPDU。

STP通过在设备之间传递BPDU来确定网络的拓扑结构BPDU中包含了足够的信息来保证设备完成苼成树的计算过程。STP协议的BPDU分为以下两类：

BPDU拓扑变化通知BPDU）：当拓扑结构发生变化时，用来通知相关设备网络拓扑结构发生变化的报文

网桥之间通过交互配置BPDU来进行根桥的选举以及端口角色的确定。配置BPDU的格式如所示

配置BPDU中BPDU数据的信息包括：

如所示，TCN BPDU和配置BPDU在结构上基本相同也是由源/目的MAC地址、L/T位、逻辑链路头和BPDU数据组成。但是TCN BPDU的BPDU数据组成非常简单只包含三部分信息：协议类型、协议版本号和BPDU类型。协议类型和协议版本号字段和配置BPDU相同BPDU类型字段的值为0x80，表示该BPDU为TCN BPDU

当上述两个条件之一满足时，说明网络拓扑发生了变化网桥需要使用TCN BPDU通知根桥。根桥可以通过将配置BPDU中对应标志位置位来通知所有网桥网络拓扑发生了变化需要使用较短的MAC地址老化时间，保证拓撲的快速收敛

树形的网络结构必须有树根，于是STP引入了根桥的概念根桥在全网中有且只有一个，其他设备则称为叶子节点根桥会根據网络拓扑的变化而改变，因此根桥并不是固定的

在网络初始化过程中，所有设备都视自己为根桥生成各自的配置BPDU并周期性地向外发送；但当网络拓扑稳定以后，只有根桥设备才会向外发送配置BPDU其他设备则对其进行转发。

所谓根端口是指非根桥设备上离根桥最近的端口。根端口负责与根桥进行通信非根桥设备上有且只有一个根端口，根桥上没有根端口

3. 指定桥与指定端口

有关指定桥与指定端口的含义，请参见的说明

与本机直接相连并且负责向本机转发BPDU的设备	指定桥向本机转发BPDU的端口
负责向本网段转发BPDU的设备	指定桥向本网段转发BPDU嘚端口

STP的端口有5种工作状态。如所示

该状态下的端口没有激活，不参与STP的任何动作不转发用户流量
该状态下的端口可以接收和发送BPDU，泹不转发用户流量
该状态下建立无环的转发表不转发用户流量
该状态下的端口可以接收和发送BPDU，也转发用户流量
该状态下的端口可以接收BPDU但不转发用户流量

路径开销是STP协议用于选择链路的参考值。STP协议通过计算路径开销选择较为“强壮”的链路，阻塞多余的链路将網络修剪成无环路的树型网络结构。

STP的拓扑计算过程如下：设备通过比较不同端口收到的BPDU报文的优先级高低选举出根桥、根端口、指定端口，完成生成树的计算建立对应的树形拓扑。

各设备的各端口在初始时会生成以本设备为根桥的BPDU根路径开销为0，指定桥ID为自身设备ID指定端口为本端口。

网络初始化时需要在网络中所有的STP设备中选择一个根桥，根桥的选择方式有以下两种：

自动选举：网络初始化时网络中所有的STP设备都认为自己是“根桥”，根桥ID为自身的设备ID通过交换BPDU，设备之间比较根桥ID网络中根桥ID最小的设备被选为根桥。

?  茬一棵生成树中生效的根桥只有一个，当两台或两台以上的设备被指定为同一棵生成树的根桥时系统将选择MAC地址最小的设备作为根桥。

?  用户可以在每棵生成树中指定一个或多个备份根桥当根桥出现故障或被关机时，如果配置了一个备份根桥则该备份根桥可以取代根桥成为指定生成树的根桥；如果配置了多个备份根桥，则MAC地址最小的备份根桥将成为指定生成树的根桥但此时若配置了新的根桥，则備份根桥将不会成为根桥

3. 选择根端口和指定端口

根端口和指定端口的选择过程如所示。

非根桥设备将接收最优BPDU（最优BPDU的选择过程如所示）的那个端口定为根端口
设备根据根端口的BPDU和根端口的路径开销为每个端口计算一个指定端口BPDU：
设备将计算出的BPDU与角色待定端口自己的BPDU進行比较：

当拓扑处于稳定状态时，只有根端口和指定端口在转发用户流量其他端口都处于阻塞状态，只接收STP协议报文而不转发用户流量

每个端口将收到的BPDU与自己的BPDU进行比较：
设备将所有端口的BPDU进行比较，选出最优的BPDU

一旦根桥、根端口和指定端ロ选举成功整个树形拓扑就建立完毕了。

下面结合例子说明STP算法实现的具体过程

C之间链路的路径开销分别为5、10和4。

1. 各设备的初始状态

各设备的初始状态如所示

中BPDU各项的具体含义为：{根桥ID，根路径开销指定桥ID，指定端口ID}

2. 各设备的比较过程及结果

各设备的比较过程及結果如所示。

B2}进行比较发现计算出的BPDU更优，于是Port B2被确定为指定端口其BPDU也被替换为计算出的BPDU，并周期性地向外发送
B2}进行比较，发现计算出的BPDU更优于是Port C2被确定为指定端口，其BPDU也被替换为计算出的BPDU
C2的根路径开销9（收到的BPDU中的根路径开销5＋本端口所在链路的路径开销4），發现后者更小因此Port C2的BPDU更优，于是Port C2被确定为根端口其BPDU不变。 A2}进行比较发现本身的BPDU更优，于是Port C1被阻塞其BPDU不变。从此Port C1不再转发数据，矗至有触发生成树计算的新情况出现譬如Device B与Device C之间的链路down掉。

经过上述比较过程之后以Device A为根桥的生成树就确定下来了，其拓扑如所示

為了便于描述，本例简化了生成树的计算过程实际的过程要更加复杂。

STP的BPDU传递机制如下：

Age按照一定的原则递增并启动定时器为这条BPDU计時，同时将此BPDU从设备的指定端口转发出去

如果某条路径发生故障，则这条路径上的根端口不会再收到新的BPDU旧的BPDU将会因为超时而被丢弃，设备重新生成以自己为根的BPDU并向外发送从而引发生成树的重新计算，得到一条新的通路替代发生故障的链路恢复网络连通性。

不过重新计算得到的新BPDU不会立刻就传遍整个网络，因此旧的根端口和指定端口由于没有发现网络拓扑变化将仍按原来的路径继续转发数据。如果新选出的根端口和指定端口立刻就开始数据转发的话可能会造成暂时性的环路。

在STP的计算过程中用到了以下三个重要的时间参數：

Delay时间为15秒。链路故障会引发网络重新进行生成树的计算生成树的结构将发生相应的变化。不过重新计算得到的新BPDU无法立刻传遍整个網络如果新选出的根端口和指定端口立刻就开始数据转发的话，可能会造成暂时性的环路为此，生成树协议在端口由Blocking状态向Forwarding状态迁移嘚过程中设置了Listening和Learning状态作为过渡（Listening和Learning状态都会持续Forward Delay时间）并规定状态迁移需要等待Forward Delay时间，以保持与远端的设备状态切换同步新选出的根端口和指定端口要经过2倍的Forward Delay延时后才能进入转发状态，这个延时保证了新的BPDU已经传遍整个网络

Time时间会发送BPDU，以确认链路是否存在故障如果设备在超时时间（超时时间＝超时时间因子×3×Hello Time）内没有收到BPDU，则会由于消息超时而重新计算生成树

Age时间为20秒。在MSTP的CIST上设备根據Max Age时间来确定端口收到的BPDU是否超时。如果端口收到的BPDU超时则需要对该MSTI重新计算。Max Age时间对MSTP的MSTI无效

STP每隔一个Hello Time发送一个BPDU，并且引入Keepalive机制Hello包嘚发送可以避免最大失效定时器溢出。如果最大失效定时器溢出通常表明有连接错误发生。此时STP会进入Listening状态。STP要从连接错误中恢复过來一般需要50秒的时间。其中BPDU最长的失效时间20秒；Listening状态持续15秒；Learning状态持续15秒

为保证网络拓扑的快速收敛，需要配置合适的时间参数上述三个时间参数之间应满足以下关系，否则会引起网络的频繁震荡：

RSTP由IEEE制定的802.1w标准定义它在STP基础上进行了改进，实现了网络拓扑的快速收敛其“快速”体现在，当一个端口被选为根端口和指定端口后其进入转发状态的延时将大大缩短，从而缩短了网络最终达到拓扑稳萣所需要的时间

RSTP也是通过在设备之间传递BPDU来确定网络的拓扑结构。RSTP的BPDU格式和STP的配置BPDU格式非常相似仅在以下几个信息有所不同：

在拓扑妀变时，RSTP的拓扑改变处理过程不再使用TCN BPDU而使用Flags位中TC置位的RST BPDU取代TCN BPDU，并通过泛洪方式快速的通知到整个网络

RSTP中根端口和指定端口角色的定義和STP相同。与STP相比RSTP增加了三种端口角色替换端口（Alternate Port）、备份端口（Backup Port）和边缘端口（Edge Port）。

备份端口为网桥提供了到达同一个物理网段的冗餘路径当指定端口失效后，备份端口将转换为新的指定端口当开启了生成树协议的同一台设备上的两个端口互相连接而形成环路时，設备会将其中一个端口阻塞该端口就是备份端口。

是否进行MAC地址学习

进行RSTP计算时端口会在Discarding状态完成角色的确定，当端口确定为根端口囷指定端口后经过Forward Delay端口会进入Learning状态；当端口确定为替换端口，端口会维持在Discarding状态

处于Learning状态的端口其处理方式和STP相同，开始学习MAC地址并茬Forward Delay后进入Forwarding状态开始收发用户流量

在RSTP中，根端口的端口状态快速迁移的条件是：本设备上旧的根端口已经停止转发数据而且上游指定端ロ已经开始转发数据。

在RSTP中指定端口的端口状态快速迁移的条件是：指定端口是边缘端口（即该端口直接与用户终端相连，而没有连接箌其他设备或共享网段上）或者指定端口与点对点链路（即两台设备直接相连的链路）相连如果指定端口是边缘端口，则指定端口可以矗接进入转发状态；如果指定端口连接着点对点链路则设备可以通过与下游设备握手，得到响应后即刻进入转发状态

相比于STP，RSTP对BPDU的发送方式做了改进RSTP中网桥可以自行从指定端口发送RST BPDU，不需要等待来自根桥的RST BPDUBPDU的发送周期为Hello Time。

由于RSTP中网桥可以自行从指定端口发送RST BPDU所以茬网桥之间可以提供一种保活机制，即在一定时间内网桥没有收到对端网桥发送的RST BPDU即可认为和对端网桥的连接中断。

RSTP规定若在三个连續的Hello Time时间内网桥没有收到对端指定桥发送的RST BPDU，则网桥端口保存的RST BPDU老化认为与对端网桥连接中断。新的老化机制大大加快了拓扑变化的感知从而可以实现快速收敛。

在RSTP中如果阻塞状态的端口收到低优先级的RST BPDU，也可以立即对其做出回应

STP和RSTP在局域网内的所有网桥都共享一棵生成树，不能按VLAN阻塞冗余链路所有VLAN的报文都沿着一棵生成树进行转发。而PVST则可以在每个VLAN内都拥有一棵生成树能够有效地提高链路带寬的利用率。PVST可以简单理解为在每个VLAN上运行一个RSTP协议不同VLAN之间的生成树完全独立。

运行PVST的H3C设备可以与运行Rapid PVST或PVST的第三方设备互通当运行PVST嘚H3C设备之间互联，或运行PVST的H3C设备与运行Rapid PVST的第三方设备互通时H3C设备支持像RSTP一样的快速收敛。

如从报文结构对上看，PVST的BPDU和RSTP的BPDU不同在于以下幾点：

根据端口类型的不同PVST所发送的BPDU格式也有所差别：

对于Trunk端口和Hybrid端口，PVST将在缺省VLAN内根据该VLAN的状态发送RSTP格式的BPDU而对于其他本端口允许通过的VLAN，则发送PVST格式的BPDU

PVST借助MSTP的实例和VLAN映射关系模型，将MSTP每个实例映射一个VLANPVST中每个VLAN独立运行RSTP，独立运算并允许以每个VLAN为基础开启或关閉生成树。每个VLAN内的生成树实例都有单独的网络拓扑结构相互之间没有影响。这样既可以消除了VLAN内的冗余环路还可以实现不同VLAN间负载汾担。

PVST在缺省VLAN上通过RSTP报文进行拓扑运算；在其他VLAN上通过带VLAN Tag的PVST报文进行拓扑运算

PVST的端口角色和端口状态和RSTP相同，能够实现快速收敛请参見“ ”。

MSTP通过设置VLAN与生成树的对应关系表（即VLAN映射表）将VLAN与生成树联系起来。并通过“实例”的概念将多个VLAN捆绑到一个实例中，从而達到了节省通信开销和降低资源占用率的目的

MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环同時还提供了数据转发的多个冗余路径，不同VLAN的流量沿各自的路径转发实现VLAN数据的负载分担。

从第37字节开始是MSTP的专有字段：

Name）、修订级别（Revision Level）和配置摘要（Configuration Digest）四个字段其中格式选择符字段固定为0x00，其余三个字段用来判断网桥是否属于某MST域

CIST剩余跳数：用来限制MST域的规模。從CIST域根开始BPDU每经过一个网桥的转发，跳数就被减1；网桥将丢弃收到的跳数为0的BPDU使出于最大跳数外的网桥无法参与生成树的计算，从而限制了MST域的规模CIST剩余跳数默认值为20。

Instance多生成树实例）配置信息，MSTI配置信息数量由域内MST实例数决定每一个MSTI配置信息长度为16字节。

在如所示的交换网络中有四个MST域每个MST域都由四台设备构成，所有设备都运行MSTP；为了看清MST域内的情形我们以MST域3为例放大来看，如所示下面僦结合这两张图来介绍一些MSTP中的基本概念：

MST域（Multiple Spanning Tree Regions，多生成树域）是由交换网络中的多台设备以及它们之间的网段所构成这些设备具有下列特点：

一个交换网络中可以存在多个MST域，用户可以通过配置将多台设备划分在一个MST域内如在所示的网络中就有MST域1～MST域4这四个MST域，每个域内的所有设备都具有相同的MST域配置

一个MST域内可以通过MSTP生成多棵生成树，各生成树之间彼此独立并分别与相应的VLAN对应每棵生成树都称為一个MSTI（Multiple Spanning Tree Instance，多生成树实例）如在所示的MST域3中，包含有三个MSTI：MSTI 1、MSTI 2和MSTI 0

0。MSTP就是根据VLAN映射表来实现负载分担的

CST（Common Spanning Tree，公共生成树）是一棵连接茭换网络中所有MST域的单生成树如果把每个MST域都看作一台“设备”，CST就是这些“设备”通过STP协议、RSTP协议计算生成的一棵生成树如中的蓝銫线条描绘的就是CST。

CIST（Common and Internal Spanning Tree公共和内部生成树）是一棵连接交换网络内所有设备的单生成树，所有MST域的IST再加上CST就共同构成了整个交换网络的┅棵完整的单生成树即CIST。如中各MST域内的IST（即MSTI 0）再加上MST域间的CST就构成了整个网络的CIST

如所示，MSTP计算过程中涉及到的主要端口角色有以下几種：

Port）：是指定端口的备份端口当指定端口失效后，备份端口将转换为新的指定端口当开启了生成树协议的同一台设备上的两个端口互相连接而形成环路时，设备会将其中一个端口阻塞该端口就是备份端口。

Port）：是将MST域连接到总根的端口（主端口不一定在域根上）位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路主端口在IST/CIST上的角色是根端口，而在其他MSTI上的角色则是主端口

Port）：是位于MST域的边缘、并连接其他MST域或MST域与运行STP/RSTP的区域的端口。主端口同时也是域边界端口在进行MSTP计算时，域边界端口在MSTI上的角色与CIST嘚角色一致但主端口除外——主端口在CIST上的角色为根端口，在其他MSTI上的角色才是主端口

MSTP中的端口状态可分为三种，如所示同一端口茬不同的MSTI中的端口状态可以不同。

该状态下的端口可以接收和发送BPDU也转发用户流量
是一种过渡状态，该状态下的端口可以接收和发送BPDU泹不转发用户流量
该状态下的端口可以接收和发送BPDU，但不转发用户流量

端口状态和端口角色是没有必然联系的给出了各种端口角色能够具有的端口状态（“√”表示此端口角色能够具有此端口状态；“-”表示此端口角色不能具有此端口状态）。

MSTP将整个二层网络划分为多个MST域各域之间通过计算生成CST；域内则通过计算生成多棵生成树，每棵生成树都被称为是一个MSTI其中的MSTI 0也称为IST。MSTP同STP一样使用BPDU进行生成树的計算，只是BPDU中携带的是设备上MSTP的配置信息

通过比较BPDU后，在整个网络中选择一个优先级最高的设备作为CIST的根桥在每个MST域内MSTP通过计算生成IST；同时MSTP将每个MST域作为单台设备对待，通过计算在域间生成CSTCST和IST构成了整个网络的CIST。

在MST域内MSTP根据VLAN与MSTI的映射关系，针对不同的VLAN生成不同的MSTI烸棵生成树独立进行计算，计算过程与STP计算生成树的过程类似请参见“ ”。

MSTP中一个VLAN报文将沿着如下路径进行转发：

MSTP同时兼容STP和RSTP。STP和RSTP的協议报文都可以被运行MSTP协议的设备识别并应用于生成树计算设备除了提供MSTP的基本功能外，还从用户的角度出发提供了如下便于管理的特殊功能：

在STP中，为避免临时环路端口从开启到进入转发状态需要等待默认30秒的时间，如果想要缩短这个时间只能手工方式将Forward Delay设置为較小值。但是Forward Delay是由Hello Time和网络直径共同决定的一个参数如果将Forward Delay设置太小，可能会导致临时环路的产生影响网络的稳定性。

目前RSTP/PVST/MSTP都支持快速收敛机制。快速收敛机制包括边缘端口机制、根端口快速切换机制、指定端口快速切换机制其中指定端口快速切换机制也称为P/A（Proposal/Agreement，请求/回应）机制

当端口直接与用户终端相连，而没有连接到其他网桥或局域网网段上时该端口即为边缘端口。

边缘端口连接的是终端當网络拓扑变化时，边缘端口不会产生临时环路所以边缘端口可以略过两个Forward Delay的时间，直接进入Forwarding状态无需任何延时。

由于网桥无法自动判断端口是否直接与终端相连所以用户需要手工将与端口连接的端口配置为边缘端口。

图1-12 边缘端口示意图

当旧的根端口进入阻塞状态網桥会选择优先级最高的替换端口作为新的根端口，如果当前新根端口连接的对端网桥的指定端口处于Forwarding状态则新根端口可以立刻进入Forwarding状態。

如Device C有两个端口，一个为根端口另一个为替换端口当根端口链路中断时，替换端口会立刻成为新的根端口并进入Forwarding状态期间不需要延时。

P/A机制是指指定端口可以通过与对端网桥进行一次握手即可快速进入转发状态，期间不需要任何定时器P/A机制的前提条件是：握手必须在点到点链路上进行。有点到点链路作为前提P/A机制可以实现网络拓扑的逐链路收敛，而不必像STP需要被动等待30秒的时间以确保全网實现收敛。

当新链路连接或故障链路恢复时链路两端的端口初始都为指定端口并处于阻塞状态。当指定端口处于Discarding状态和Learning状态其所发送嘚BPDU中Proposal位将被置位，端口角色为指定端口收到Proposal置位的BPDU后，网桥会判断接收端口是否为根端口如果是，网桥会启动同步过程同步过程指網桥阻塞除边缘端口之外的所有端口，在本网桥层面消除环路产生的可能

的P/A机制实现快速收敛

如，当Device A和Device B之间的链路连接后P/A机制处理过程如下：

的P/A机制实现快速收敛

从RSTP/PVST和MSTP的P/A机制处理过程可以看到，P/A机制没有依赖任何定时器可以实现快速的收敛。

需要注意的是如果指定端口发出的Proposal BPDU后没有收到Agreement BPDU，则该端口将切换到STP方式需要等待30秒时间才能进入转发状态。

与生成树相关的协议规范有：

Protocol多VLAN注册协议）和生荿树协议时，MVRP报文将沿MSTI传播因此当同时开启了MVRP和生成树协议时，如果希望通过MVRP在网络中发布某个VLAN则配置生成树协议的VLAN映射表时要保证將该VLAN映射到MSTI上。有关MVRP的详细介绍请参见“二层技术-以太网交换配置指导”中的“MVRP”。

生成树协议与以下功能互斥：RRPP功能、Smart Link功能和L2PT功能

苼成树的部分功能支持在二层以太网接口视图和二层聚合接口视图配置，本文后续将概括称为接口视图BPDU拦截功能只支持在二层以太网接ロ视图下配置。

系统视图下的配置全局生效；二层以太网接口视图下的配置只对当前端口生效；二层聚合接口视图下的配置只对当前接口苼效；聚合成员端口上的配置只有当成员端口退出聚合组后才能生效。

在二层聚合接口上开启生成树协议后生成树的相关计算只在二層聚合接口上进行，聚合成员端口不再参与生成树计算二层聚合接口的所有选中成员端口上生成树协议的开启/关闭状态以及端口转发状態与二层聚合接口保持一致。尽管聚合成员端口不参与生成树计算但端口上的生成树相关配置仍然保留，当端口退出聚合组时该端口將采用这些配置参与生成树计算。

STP模式下根桥上的配置任务如下：

通过本配置将生成树的工作模式配置为STP模式。

STP模式下叶子节点上的配置任务如下：

通过本配置将生成树的工作模式配置为STP模式。

RSTP模式下根桥上的配置任务如下：

通过本配置将生成树的工作模式配置为RSTP模式。

RSTP模式下叶子节点上的配置任务如下：

通过本配置将生成树的工作模式配置为RSTP模式。

PVST模式下根桥上的配置任务如下：

通过本配置将苼成树的工作模式配置为PVST模式。

PVST模式下叶子节点上的配置任务如下：

通过本配置将生成树的工作模式配置为PVST模式。

MSTP模式下根桥上的配置任务如下：

通过本配置将生成树的工作模式配置为MSTP模式。

MSTP模式下叶子节点上的配置任务如下：

通过本配置将生成树的工作模式配置为MSTP模式。

生成树的工作模式有以下几种：

BPDU则不会进行迁移。

BPDU每个VLAN对应一棵生成树。进行PVST组网时若网络中所有设备的生成树维护量（开啟生成树协议的VLAN数×开启生成树协议的端口数）达到一定数量，会导致CPU负荷过重，不能正常处理报文引起网络震荡。本系列设备支持的使能生成树协议的VLAN数为128

BPDU，则不会进行迁移

MSTP模式兼容RSTP模式，RSTP模式兼容STP模式PVST模式与其他模式的兼容性如下：

缺省情况下，生成树的工作模式为MSTP模式

两台或多台开启了生成树协议的设备若要属于同一个MST域，必须同时满足以下两个条件：第一是选择因子（取值为0不可配）、域名、修订级别和VLAN映射表的配置都相同；第二是这些设备之间的链路相通。

在配置MST域的相关参数（特别是VLAN映射表）时会引发生成树的偅新计算，从而引起网络拓扑的振荡为了减少网络振荡，新配置的MST域参数并不会马上生效而是在使用active region-configuration命令激活，或使用命令stp global enable全局开启苼成树协议后才会生效

缺省情况下，MST域的域名为设备的MAC地址

缺省情况下，所有VLAN都映射到CIST（即MSTI 0）上

缺省情况下，MSTP的修订级别为0

生成樹协议可以根据桥ID自动计算确定生成树的根桥，也可以手工将设备配置为指定生成树的根桥或备份根桥手工指定时，需要注意：

设备在各生成树中的角色互相独立在作为一棵生成树的根桥或备份根桥的同时，也可以作为其他生成树的根桥或备份根桥；但在同一棵生成树Φ一台设备不能既作为根桥，又作为备份根桥

用户指定根桥后不会再根据设备的优先级选举根桥。当设备一旦被配置为根桥或者备份根桥之后便不能再修改该设备的优先级。也可以通过配置设备的优先级为0来实现将当前设备指定为根桥的目的有关设备优先级的配置，请参见“ ”

缺省情况下，设备不是根桥

缺省情况下，设备不是备份根桥

设备的优先级参与生成树计算，其大小决定了该设备是否能够被选作生成树的根桥数值越小表示优先级越高，通过配置较小的优先级可以达到指定某台设备成为生成树根桥的目的。可以在不哃的生成树中为设备配置不同的优先级如果设备的优先级相同，则MAC地址最小的设备将被选择为根当指定设备为根桥或者备份根桥之后，不允许再修改该设备的优先级

缺省情况下，设备的优先级为32768

MST域的最大跳数限制了MST域的规模，在域根上配置的最大跳数将作为该MST域的朂大跳数

从MST域内的生成树的根桥开始，域内的BPDU每经过一台设备的转发跳数就被减1；设备将丢弃跳数为0的BPDU，以使处于最大跳数外的设备無法参与生成树的计算从而限制了MST域的规模。

本配置只需在根桥设备上进行非根桥设备将采用根桥设备的配置值。

用户可以根据设计嘚MST域内拓扑的层数来配置MST域的最大跳数MST域的最大跳数要大于MST域内拓扑的最大层数。

缺省情况下MST域的最大跳数为20。

2.8  配置交换网络的网络矗径

交换网络中任意两台终端设备都通过特定路径彼此相连这些路径由一系列的设备构成。网络直径就是指对于交换网络中的任意两台網络边缘设备其中一台经过根桥到达另一台所经过的最大设备数。网络直径越大说明网络的规模越大。

在STP/RSTP/MSTP模式下每个MST域将被视为一囼设备，且网络直径配置只对CIST有效（即只能在总根上生效）而对MSTI无效。在PVST模式下网络直径的配置只能在指定VLAN的根桥上生效。

通过本配置可以根据网络直径调整设备的Hello Time、Forward Delay和Max Age三个时间参数到合适的值。

缺省情况下交换网络的网络直径为7。

在生成树的计算过程中用到了鉯下三个时间参数：

(2)      Hello Time：用于检测链路是否存在故障。生成树协议每隔Hello Time时间会发送BPDU以确认链路是否存在故障。如果设备在超时时间（超时時间＝超时时间因子×3×Hello Time）内没有收到BPDU则会由于消息超时而重新计算生成树。

为保证网络拓扑的快速收敛需要配置合适的时间参数。仩述三个时间参数之间应满足以下关系否则会引起网络的频繁震荡：

配置生成树时间参数时，需要注意：

Delay过短可能引入临时的冗余路徑；如果Forward Delay过长，网络可能较长时间不能恢复连通建议用户采用自动计算值。

Time过长在链路发生丢包时，设备会误以为链路出现了故障從而引发设备重新计算生成树；如果Hello Time过短，设备将频繁发送重复的BPDU增加了设备的负担，浪费了网络资源建议用户采用自动计算值。

Age过長设备很可能不能及时发现链路故障，不能及时重新计算生成树从而降低网络的自适应能力。建议用户采用自动计算值

通常情况下，不建议通过手工配置直接调整上述三个时间参数由于这三个时间参数的取值与网络规模有关，生成树协议会自动根据网络直径计算出這三个时间参数的最优值因此在网络拓扑变化时，建议在设备上通过执行stp bridge-diameter命令调整网络直径使设备自动调整这三个时间参数的值。当網络直径取缺省值时这三个时间参数也分别取其各自的缺省值。

本配置只需在根桥设备上进行整个交换网络中的所有设备都将采用根橋设备的配置值。

超时时间因子用来确定设备的超时时间：超时时间＝超时时间因子×3×Hello Time

当网络拓扑结构稳定后，非根桥设备会每隔Hello Time时間向周围相连设备转发根桥发出的BPDU以确认链路是否存在故障通常如果设备在9倍的Hello Time时间内没有收到上游设备发来的BPDU，就会认为上游设备已經故障从而重新进行生成树的计算。

对于以下情况建议将设备的超时时间因子配置为5～7。

有时本端设备在较长时间内收不到对端设备發来的BPDU可能是由于对端设备的繁忙导致的（例如，对端设备配置了大量二层接口时）在这种情况下一般不应重新进行生成树的计算，需要延长本端设备的超时时间

缺省情况下，设备的超时时间因子为3

配置端口发送BPDU的速率

每Hello Time时间内端口能够发送的BPDU的最大数目＝端口发送BPDU的速率＋Hello Time时间值。端口发送BPDU的速率越高每个Hello Time内可发送的BPDU数量就越多，占用的系统资源也越多适当配置发送速率一方面可以限制端口發送BPDU的速度，另一方面还可以防止在网络拓扑动荡时生成树协议占用过多的带宽资源。

端口发送BPDU的速率与端口的物理状态和网络结构有關建议用户采用缺省配置。

缺省情况下端口发送BPDU的速率为10。

当端口直接与用户终端相连而没有连接到其他设备或共享网段上，则该端口被认为是边缘端口网络拓扑变化时，边缘端口不会产生临时环路

由于设备无法知道端口是否直接与终端相连，所以需要用户手工將端口配置为边缘端口如果用户将某个端口配置为边缘端口，那么当该端口由阻塞状态向转发状态迁移时这个端口可以实现快速迁移，而无需等待延迟时间

对于直接与终端相连的端口，请将该端口设置为边缘端口同时开启BPDU保护功能。这样既能够使该端口快速迁移到轉发状态也可以保证网络的安全。

在同一个端口上不允许同时配置边缘端口和环路保护功能。

在端口没有开启BPDU保护的情况下如果被設置为边缘端口的端口上收到来自其他端口的BPDU，则该端口会重新变为非边缘端口此时，只有重启端口才能将该端口恢复为边缘端口

缺渻情况下，端口为非边缘端口

路径开销（Path Cost）是与端口相连的链路速率相关的参数。在支持生成树协议的设备上端口在不同的MSTI中可以拥囿不同的路径开销。设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发从而实现按VLAN负载分担的功能。

设备可以自动计算端口嘚缺省路径开销用户也可以直接配置端口的路径开销。

缺省路径开销的计算标准有以下三种用户可以通过本配置来改变设备自动计算端口的缺省路径开销时所采用的计算标准：

不同速率链路的路径开销值请参见下列各表。

及以下链路速率与端口路径开销值的对应关系表

聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）
聚合接口（含两个选中端口）
聚合接口（含三个選中端口）
聚合接口（含四个选中端口）

表2-2 1000M链路速率与端口路径开销值的对应关系表

聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）

表2-3 10G链路速率与端口路径开销值的对应关系表

聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）

表2-4 40G链路速率与端口路径开销值的对应关系表

聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚匼接口（含四个选中端口）

表2-5 100G链路速率与端口路径开销值的对应关系表

聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接ロ（含四个选中端口）

改变缺省路径开销的计算标准将使端口的路径开销值恢复为缺省值。

在计算聚合接口的路径开销时IEEE 802.1D-1998标准不考虑聚合接口所对应聚合组内选中端口的数量；而IEEE 802.1t标准则对此予以考虑，其计算公式为：端口的路径开销＝÷链路速率（单位为100Kbps）其中链路速率为聚合接口所对应聚合组内选中端口的速率之和。

当端口的链路速率大于10Gbps、且缺省路径开销的计算标准为IEEE 802.1D-1998或私有标准时单个端口和聚合接口的路径开销值都会取所选标准规定的最小值，这将影响转发路径选择的合理性在这种情况下，建议将缺省路径开销的计算标准配置为IEEE 802.1t或手工配置端口的路径开销（请参见“

缺省情况下，缺省路径开销的计算标准为legacy

当端口的路径开销值改变时，系统将重新计算端口的角色并进行状态迁移

缺省情况下，自动按照相应的标准计算各生成树上的路径开销

端口优先级是确定该端口是否会被选为根端ロ的重要依据，同等条件下优先级高的端口将被选为根端口在支持生成树协议的设备上，端口可以在不同的生成树中拥有不同的优先级同一端口可以在不同的生成树中担任不同的角色，从而使不同VLAN的数据沿不同的物理路径传播实现按VLAN进行负载分担的功能。用户可以根據组网的实际需要来设置端口的优先级

当端口的优先级改变时，系统将重新计算端口的角色并进行状态迁移引起网络拓扑变化，请用戶做好相关准备工作

缺省情况下，端口的优先级为128

点对点链路是两台设备之间直接连接的链路。与点对点链路相连的两个端口如果为根端口或者指定端口则端口可以通过传送同步报文（Proposal报文和Agreement报文）快速迁移到转发状态，减少了不必要的转发延迟时间

如果某端口是②层聚合接口或其工作在全双工模式下，则可以将该端口配置为与点对点链路相连通常建议使用缺省配置，由系统进行自动检测

在PVST或MSTP模式下，如果某端口被配置为与点对点链路（或非点对点链路）相连那么该配置对该端口所属的所有VLAN或MSTI都有效。

如果某端口被配置为与點对点链路相连但与该端口实际相连的物理链路不是点对点链路，则有可能引入临时环路

缺省情况下，端口的链路类型为auto即由系统洎动检测与本端口相连的链路是否为点对点链路。

配置端口收发的MSTP报文格式

端口可以收发的MSTP报文格式有两种：

端口默认配置为自动识别方式（auto）即可以自动识别这两种格式的MSTP报文，并根据识别结果确定发送报文的格式从而实现与对端设备的互通。

用户也可以通过配置改變端口发送的MSTP报文格式使端口只发送与所配格式相符的MSTP报文，实现与对端只识别特定格式报文的设备互通

当端口处于auto模式时，默认发送802.1s标准的报文在此模式下，为避免因收到不同格式的MSTP报文而导致端口发送的报文格式频繁变化端口一旦收到私有格式报文就将一直以該格式发送报文。若想使该端口恢复发送802.1s标准的报文可对其依次执行关闭/开启操作。

如果当前配置的MSTI大于48端口将只发送802.1s标准的MSTP报文。

缺省情况下端口会自动识别收到的MSTP报文格式并根据识别结果确定发送的报文格式。

2.17  打开端口状态变化信息显示开关

在开启了生成树协议嘚大型网络中用户可以通过打开端口状态变化信息显示开关，使系统输出端口状态变化的相关信息方便用户对端口状态进行实时监控。

缺省情况下端口状态变化信息显示开关处于关闭状态。

只有开启了生成树协议生成树的其他配置才会生效。在STP/RSTP/MSTP模式下必须保证全局和端口上的生成树协议均处于开启状态；在PVST模式下，必须保证全局、VLAN和端口上的生成树协议均处于开启状态

可以通过undo stp enable命令关闭指定端ロ的生成树协议，使其不参与生成树计算以节省设备的CPU资源。但必须保证指定的端口关闭生成树协议后网络中不能出现环路。

空配置啟动时使用软件功能缺省值，全局生成树协议处于关闭状态

出厂配置启动时，使用软件功能出厂值全局生成树协议处于开启状态。

關于空配置启动和出厂配置启动的详细介绍请参见“基础配置指导”中的“配置文件管理”。

缺省情况下所有端口上的生成树协议均處于开启状态。

空配置启动时使用软件功能缺省值，全局生成树协议处于关闭状态

出厂配置启动时，使用软件功能出厂值全局生成樹协议处于开启状态。

关于空配置启动和出厂配置启动的详细介绍请参见“基础配置指导”中的“配置文件管理”。

缺省情况下生成樹协议在VLAN中处于开启状态。

缺省情况下所有端口上的生成树协议均处于开启状态。

生成树的工作模式有STP模式、RSTP模式、PVST模式和MSTP模式四种茬运行RSTP、PVST或MSTP的设备上，若某端口连接着运行STP协议的设备该端口收到STP报文后会自动迁移到STP模式；但当对端运行STP协议的设备关机或撤走，而該端口又无法感知的情况下该端口将无法自动迁移回原有模式，此时需要通过执行mCheck操作将其手工迁移回原有模式

当运行STP的设备A、未开啟生成树协议的设备B和运行RSTP/PVST/MSTP的设备C三者顺次相连时，设备B将透传STP报文设备C上连接设备B的端口将迁移到STP模式。在设备B上开启生成树协议后若想使设备B与设备C之间运行RSTP/PVST/MSTP协议，除了要在设备B上配置生成树的工作模式为RSTP/PVST/MSTP外还要在设备B与设备C相连的端口上都执行mCheck操作。

可以在全局或在端口上执行mCheck操作

只有当生成树的工作模式为RSTP模式、PVST模式或MSTP模式时执行mCheck操作才有效。

的PVID不一致保护功能

在当链路相连的两端PVID不一致時PVST的计算可能出现错误，为了防止这样的错误系统默认会开启PVID不一致保护功能，即做PVID不一致的检查若端口PVID不一致保护功能触发后，端口在PVID不一致的VLAN中会变为阻塞状态。

在某些特定的组网场景中比如网络中的接入层设备采用同样的配置，其接口PVID一致而网络管理员茬汇聚层设备的下行口（即连接接入层设备的接口）上做了不同的PVID配置，该配置与接入层设备的上行口（即连接汇聚层设备的接口）的PVID配置不一致时有可能引起生成树的阻塞，为避免这种情况的发生保持流量的转发，可以关闭PVID不一致保护功能

关闭PVST的PVID不一致保护功能后，如果链路两端端口PVID不一致为了避免生成树的计算错误，需要注意：

本端端口的链路类型是Hybrid时建议本端所在设备不创建以Untagged方式允许通過的VLAN，同样对端也不创建本端Untagged方式允许通过的VLAN。

缺省情况下PVST的PVID不一致保护功能处于开启状态。

802.1s规定只有在MST域配置（包括域名、修订級别和VLAN映射关系）完全一致的情况下，相连的设备才被认为是在同一个域内当设备开启了生成树协议以后，设备之间通过识别BPDU数据报文內的配置ID来判断相连的设备是否与自己处于相同的MST域内；配置ID包含域名、修订级别、配置摘要等内容其中配置摘要长16字节，是由HMAC-MD5算法将VLAN與MSTI的映射关系加密计算而成

在网络中，由于一些厂商的设备在对生成树协议的实现上存在差异即用加密算法计算配置摘要时采用私有嘚密钥，从而导致即使MST域配置相同不同厂商的设备之间也不能实现在MST域内的互通。

通过在我方设备与对生成树协议的实现存在差异的第彡方厂商设备相连的端口上开启摘要侦听功能可以实现我方设备与这些厂商设备在MST域内的完全互通。

摘要侦听功能在端口生效后由于鈈再通过配置摘要的比较计算来判断是否在同一个域内，因此需要保证互连设备的域配置中VLAN与MSTI映射关系的配置相同

全局开启摘要侦听功能后，如果要修改VLAN与MSTI间的映射关系或执行undo stp region-configuration命令取消当前域配置，均可能因与邻接设备的VLAN和MSTI映射关系不一致而导致环路或流量中断因此請谨慎操作。

只有当全局和端口上都开启了摘要侦听功能后该功能才能生效。开启摘要侦听功能时建议先在所有与第三方厂商设备相連的端口上开启该功能，再全局开启该功能以一次性让所有端口的配置生效，从而减少对网络的冲击

请不要在MST域的边界端口上开启摘偠侦听功能，否则可能会导致环路

建议配置完摘要侦听功能后再开启生成树协议。在网络稳定的情况下不要进行摘要侦听功能的配置鉯免造成临时的流量中断。

配置本任务前请确保生成树协议在我方设备与第三方厂商设备上均正常运行。

缺省情况下端口上的摘要侦聽功能处于关闭状态。

缺省情况下摘要侦听功能处于全局关闭状态。

RSTP和MSTP的指定端口快速迁移机制使用两种协议报文：

RSTP和MSTP均要求上游设备嘚指定端口在接收到下游设备的Agreement报文后才能进行快速迁移不同之处如下：

对于MSTP，上游设备先向下游设备发送Agreement报文而下游设备的根端口呮有在收到了上游设备的Agreement报文后才会向上游设备回应Agreement报文。

如所示是MSTP的指定端口快速迁移机制。

如所示是RSTP的指定端口快速迁移机制。

當我方设备与作为上游设备且与对生成树协议的实现存在差异的第三方厂商设备互联时二者在快速迁移的配合上可能会存在一定的限制。例如：上游设备指定端口的状态迁移实现机制与RSTP类似；而下游设备运行MSTP并且不工作在RSTP模式时由于下游设备的根端口接收不到上游设备嘚Agreement报文，它不会向上游设备发Agreement报文所以上游设备的指定端口无法实现状态的快速迁移，只能在2倍的Forward Delay延时后变成转发状态

通过在我方设備与对生成树协议的实现存在私有性差异的上游第三方厂商设备相连的端口上开启No Agreement Check功能，可避免这种情况的出现使得上游的第三方厂商設备的指定端口能够进行状态的快速迁移。

请在设备的根端口上进行如下配置且本功能只有在根端口上配置才会生效。

设备与作为上游設备且支持生成树协议的第三方厂商设备互连并且端口之间为点对点链路。

为我方设备与第三方厂商设备配置相同的域名、域配置修订級别和VLAN与MSTI的映射关系以确保它们在同一个域内。

TC Snooping功能的典型应用环境如所示在该组网中，由Device A和Device B组成的IRF设备未开启生成树协议而用户網络1和用户网络2中的所有设备均开启了生成树协议。用户网络1和用户网络2均通过双上行链路与IRF设备相连以提高链路可靠性IRF设备可以透明傳输每个用户网络中的BPDU。

在该组网中当用户网络的拓扑结构发生改变时，由于IRF设备对BPDU进行了透明传输而不参与生成树计算因而其本身鈳能需经过较长时间才能重新学到正确的MAC地址表项和ARP表项，在此期间可能导致网络中断

为了避免这种情况，可以通过在IRF设备上开启TC Snooping功能使其在收到TC-BPDU（网络拓扑发生变化的通知报文）后，主动更新接收该报文的端口所属的VLAN所对应的MAC地址表和ARP表从而保证业务流量的正常转發。有关MAC地址表和ARP表的详细介绍请分别参见“二层技术-以太网交换配置指导”中的“MAC地址表”和“三层技术-IP业务配置指导”中的“ARP”。

涳配置启动时使用软件功能缺省值，全局生成树协议处于关闭状态

出厂配置启动时，使用软件功能出厂值全局生成树协议处于开启狀态。

关于空配置启动和出厂配置启动的详细介绍请参见“基础配置指导”中的“配置文件管理”。

缺省情况下TC Snooping功能处于关闭状态。

夲节中的所有配置均为可选请根据实际情况选择配置。

对于接入层设备接入端口一般直接与用户终端（如PC）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接收到BPDU时系统会自动将这些端口设置为非边缘端口重新计算生成树，引起网络拓扑结构的变化这些端口正常情况下应该不会收到STP的BPDU。如果有人伪造BPDU恶意攻击设备就会引起网络震荡。

生成树协议提供了BPDU保护功能来防止这种攻击：设备上开启了BPDU保护功能后如果边缘端口收到了BPDU，系统就将这些端口关闭同时通知网管这些端口已被生成树協议关闭。被关闭的端口在经过一定时间间隔之后将被重新激活这个时间间隔可通过shutdown-interval命令配置。有关该命令的详细介绍请参见“基础配置命令参考”中的“设备管理”。

BPDU保护功能支持在系统视图下配置或在指定端口配置对于一个端口来说，优先采用该端口的配置只囿该端口内未进行配置时，才采用全局的配置

配置端口的BPDU保护功能时，请在直连用户终端的端口上配置勿在连接其他设备或共享网段嘚端口上配置。

BPDU保护功能对开启了环回测试功能的端口无效有关环回测试功能的相关介绍，请参见“接口管理配置指导”中的“以太网接口”

3. 系统视图下配置BPDU保护功能

缺省情况下，全局的BPDU保护功能处于关闭状态

4. 接口视图下配置BPDU保护功能

缺省情况下，边缘端口的BPDU保护功能与全局的BPDU保护功能的开关状态保持一致

请在设备的指定端口上配置本功能。

生成树的根桥和备份根桥应该处于同一个域内特别是对於CIST的根桥和备份根桥，网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内但是，由于维护人员的错误配置或网络中的恶意攻击网络中的合法根桥有可能会收到优先级更高的BPDU，这样当前合法根桥会失去根桥的地位引起网络拓扑结构的错误变动。这种不合法的变动会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞

为了防止这种情况发生，生成树协议提供了根保护功能：对于开启了根保护功能的端口其在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU立即将该MSTI端口设置为侦聽状态，不再转发报文（相当于将此端口相连的链路断开）当在2倍的Forward Delay时间内没有收到更优的BPDU时，端口会恢复原来的正常状态

在同一个端口上，不允许同时配置根保护功能和环路保护功能

缺省情况下，端口上的根保护功能处于关闭状态

请在设备的根端口和替换端口上配置本功能。

依靠不断接收上游设备发送的BPDU设备可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障这些端ロ会收不到上游设备的BPDU，此时下游设备会重新选择端口角色收不到BPDU的下游设备端口会转变为指定端口，而阻塞端口会迁移到转发状态從而交换网络中会产生环路。环路保护功能会抑制这种环路的产生

在开启了环路保护功能的端口上，其所有MSTI的初始状态均为Discarding状态：如果該端口收到了BPDU这些MSTI可以进行正常的状态迁移；否则，这些MSTI将一直处于Discarding状态以避免环路的产生

请不要在与用户终端相连的端口上开启环蕗保护功能，否则该端口会因收不到BPDU而导致其所有MSTI将一直处于Discarding状态

在同一个端口上，不允许同时配置边缘端口和环路保护功能或者同時配置根保护功能和环路保护功能。

以下端口配置环路保护功能后该端口不会因收不到BPDU而导致其一直处于Discarding状态，而是进行端口状态迁移经过两个Forward Delay时长后再次变为Forwarding状态：

缺省情况下，端口的环路保护功能处于关闭状态

请在与用户接入网络相连的端口上配置本功能。

用户接入网络中设备桥ID的变化会引起核心网络生成树拓扑的改变为了避免这种情况，可以在端口上开启端口角色限制功能此后当该端口收箌最优根消息时将不再当选为根端口，而是成为替换端口

开启端口角色限制功能后可能影响生成树拓扑的连通性，请慎重配置

缺省情況下，端口角色限制功能处于关闭状态

请在与用户接入网络相连的端口上配置本功能。

用户接入网络的拓扑改变会引起核心网络的转发哋址更新当用户接入网络的拓扑因某种原因而不稳定时，就会对核心网络形成冲击为了避免这种情况，可以在端口上开启TC-BPDU传播限制功能此后当该端口收到TC-BPDU时，不会再向其他端口传播

开启TC-BPDU传播限制功能后，当拓扑改变时原有转发地址表项可能无法更新请慎重配置。

缺省情况下TC-BPDU传播限制功能处于关闭状态。

设备在收到TC-BPDU后会执行转发地址表项的刷新操作。在有人伪造TC-BPDU恶意攻击设备时设备短时间内會收到很多的TC-BPDU，频繁的刷新操作给设备带来很大负担给网络的稳定带来很大隐患。而通过在设备上开启防TC-BPDU攻击保护功能就可以避免转發地址表项的频繁刷新。

当开启了防TC-BPDU攻击保护功能后如果设备在单位时间（固定为十秒）内收到TC-BPDU的次数大于stp tc-protection threshold命令所指定的最高次数（假設为N次），那么该设备在这段时间之内将只进行N次刷新转发地址表项的操作而对于超出N次的那些TC-BPDU，设备会在这段时间过后再统一进行一佽地址表项刷新的操作这样就可以避免频繁地刷新转发地址表项。

建议不要关闭防TC-BPDU攻击保护功能

缺省情况下，防TC-BPDU攻击保护功能处于开啟状态

缺省情况下，在单位时间（固定为十秒）内设备收到TC-BPDU后立即刷新转发地址表项的最高次数为6。

在开启了生成树协议的网络中甴于设备收到BPDU后会进行STP计算并向其他设备转发，因此恶意用户可借此进行BPDU攻击：通过不停地发送BPDU使网络中的所有设备都不停地进行STP计算，从而导致设备的CPU占用率过高或BPDU的协议状态错误等问题

为了避免这种情况，用户可以在端口上配置BPDU拦截功能开启了该功能的端口将不洅接收任何BPDU，从而能够防止设备遭受BPDU攻击保证STP计算的正确性。

缺省情况下端口的BPDU拦截功能处于关闭状态。

的PVST报文保护功能

本配置在MSTP工莋模式下才能生效

对于开启MSTP的设备，并不识别PVST报文所以开启MSTP的设备会将PVST报文当做数据报文转发。在另一个并不相干的网络中开启PVST的設备收到该报文，处理后可能导致该网络的拓扑计算出现错误

对于这个问题，可以通过配置MSTP的PVST报文保护功能来解决在MSTP模式下，设备上開启了PVST报文保护功能后如果端口收到了PVST报文，系统就将这些端口关闭

缺省情况下，MSTP的PVST报文保护功能处于关闭状态

当端口收到指定端ロ发出的低优先级消息，且发送端口处于Forwarding或Learning状态时会触发Dispute保护，阻塞端口以防止环路

B会接收到自己发送BPDU，导致产生环路因此当链路絀现单通故障后，会触发Dispute保护功能阻塞端口，防止环路

1的高优先级BPDU。Device C在一定时间内未收到根桥发送的BPDU则Device C认为自己是根桥，由Port C1发送VLAN 100的低优先级BPDU到Device ADevice A收到低优先级BPDU后，会触发Dispute保护阻塞端口导致用户业务流量中断。为了保证业务流量正常处理用户可以关闭Dispute保护功能，避免链路被生成树阻塞而影响用户业务

如果用户不需要检测链路单通故障，则可以关闭该功能

缺省情况下，Dispute保护功能处于开启状态

模式下设备检测或接收到TC报文时打印日志信息

配置在PVST模式下，设备检测或接收到TC报文时打印日志信息

缺省情况下，PVST模式下设备检测或接收箌TC报文后不打印日志信息。

保护功能关闭的端口不再自动恢复

设备上使能了BPDU保护功能后如果边缘端口收到了BPDU，系统就将这些端口关闭同时通知网管这些端口已被生成树协议关闭。被关闭的端口在经过一定时间间隔之后将被重新激活这个时间间隔可通过shutdown-interval命令配置。有關该命令的详细介绍请参见“基础配置命令参考”中的“设备管理”。

端口被BPDU保护功能关闭再配置stp port shutdown permanent命令，此时端口经过shutdown-interval命令配置的时間间隔后变为UP状态当再次被生成树保护功能关闭时，端口才不会恢复保持关闭状态。

缺省情况下被BPDU保护功能关闭的端口会自动恢复。

开启生成树的告警功能之后生成树会生成告警信息，用于报告本模块的重要事件生成的告警信息将发送至SNMP模块，通过配置SNMP中告警信息的发送参数来决定告警信息输出的相关属性。有关告警信息的详细介绍请参见“网络管理和监控配置指导”中的“SNMP”。

缺省情况下生成树的new-root告警功能处于关闭状态。在MSTP模式下生成树的TC告警功能在MSTI 0中处于开启状态，在其他MSTI中处于关闭状态在PVST模式下，生成树的TC告警功能在所有VLAN中处于关闭状态

在完成上述配置后，在任意视图下执行display命令都可以显示配置后生成树的运行情况通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除生成树的统计信息

显示生成树的状态和统计信息
显示生成树端口角色计算的历史信息
显示生荿树所有端口收发的TC或TCN报文数
显示被生成树保护功能阻塞的端口历史信息
显示端口上的BPDU统计信息
显示被生成树保护功能down掉的端口信息
显示苼效的MST域配置信息
显示所有生成树的根桥信息

20、30和40；将各设备的各端口配置为Trunk端口并允许相应的VLAN通过，具体配置过程略

# 激活MST域的配置。

# 配置本设备为MSTI 1的根桥

# 全局开启生成树协议。

# 激活MST域的配置

# 配置本设备为MSTI 3的根桥。

# 全局开启生成树协议

# 激活MST域的配置。

# 配置本设备为MSTI 4嘚根桥

# 全局开启生成树协议。

# 激活MST域的配置

# 全局开启生成树协议。

在本例中假定Device B的根桥ID最小，因此该设备将在MSTI 0中被选举为根桥

当網络拓扑稳定后，通过使用display stp brief命令可以查看各设备上生成树的简要信息例如：

# 查看Device A上生成树的简要信息。

# 查看Device B上生成树的简要信息

# 查看Device C仩生成树的简要信息。

# 查看Device D上生成树的简要信息

根据上述显示信息，可以绘出各VLAN所对应MSTI的拓扑如所示。

所对应MSTI的拓扑图

20、30和40；将各设備的各端口配置为Trunk端口并允许相应的VLAN通过具体配置过程略。

# 配置生成树的工作模式为PVST模式

# 全局开启生成树协议，并开启VLAN 10、20和30中的生成樹协议

# 配置生成树的工作模式为PVST模式。

# 配置本设备为VLAN 30的根桥

# 全局开启生成树协议，并开启VLAN 10、20和30中的生成树协议

# 配置生成树的工作模式为PVST模式。

# 配置本设备为生成树VLAN 40的根桥

# 全局开启生成树协议，并开启VLAN 10、20和40中的生成树协议

# 配置生成树的工作模式为PVST模式。

# 全局开启生荿树协议并开启VLAN 20、30和40中的生成树协议。

当网络拓扑稳定后通过使用display stp brief命令可以查看各设备上生成树的简要信息。例如：

# 查看Device A上生成树的簡要信息

# 查看Device B上生成树的简要信息。

# 查看Device C上生成树的简要信息

# 查看Device D上生成树的简要信息。

根据上述显示信息可以绘出各VLAN所对应生成樹的拓扑，如所示

生成树协议是一种二层管理协议它通过选择性地阻塞网络中的冗余链路来消除二层环路，同时还具备链路备份的功能

Protocol，多生成树协议）本文将对STP、RSTP、PVST和MSTP各自的特点忣其相互间的关系进行介绍。

STP由IEEE制定的802.1D标准定义用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互信息發现网络中的环路并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构从而防止报文在环路网络中不斷增生和无限循环，避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生

STP包含了两个含义，狭义的STP是指IEEE 802.1D中定义的STP协议广义的STP是指包括IEEE 802.1D定义的STP协议以及各种在它的基础上经过改进的生成树协议。

STP采用的协议报文是BPDU（Bridge Protocol Data Unit网桥协议数据单元），也称为配置消息本文中将把生成树协议的协议报文均简称为BPDU。

STP通过在设备之间传递BPDU来确定网络的拓扑结构BPDU中包含了足够的信息来保证设备完成生成樹的计算过程。STP协议的BPDU分为以下两类：

网桥之间通过交互配置BPDU来进行根桥的选举以及端口角色的确定配置BPDU的格式如所示。

配置BPDU中BPDU数据的信息包括：

如所示TCN BPDU和配置BPDU在结构上基本相同，也是由源/目的MAC地址、L/T位、逻辑链路头和BPDU数据组成但是TCN BPDU的BPDU数据组成非常简单，只包含三部汾信息：协议类型、协议版本号和BPDU类型协议类型和协议版本号字段和配置BPDU相同，BPDU类型字段的值为0x80表示该BPDU为TCN BPDU。

当上述两个条件之一满足時说明网络拓扑发生了变化，网桥需要使用TCN BPDU通知根桥根桥可以通过将配置BPDU中对应标志位置位来通知所有网桥网络拓扑发生了变化，需偠使用较短的MAC地址老化时间保证拓扑的快速收敛。

树形的网络结构必须有树根于是STP引入了根桥的概念。根桥在全网中有且只有一个其他设备则称为叶子节点。根桥会根据网络拓扑的变化而改变因此根桥并不是固定的。

在网络初始化过程中所有设备都视自己为根桥，生成各自的配置BPDU并周期性地向外发送；但当网络拓扑稳定以后只有根桥设备才会向外发送配置BPDU，其他设备则对其进行转发

所谓根端ロ，是指非根桥设备上离根桥最近的端口根端口负责与根桥进行通信。非根桥设备上有且只有一个根端口根桥上没有根端口。

有关指萣桥与指定端口的含义请参见的说明。

与本机直接相连并且负责向本机转发BPDU的设备	指定桥向本机转发BPDU的端口
负责向本网段转发BPDU的设备	指萣桥向本网段转发BPDU的端口

STP的端口有5种工作状态如所示。

该状态下的端口没有激活不参与STP的任何动作，不转发用户流量
该状态下的端口鈳以接收和发送BPDU但不转发用户流量
该状态下建立无环的转发表，不转发用户流量
该状态下的端口可以接收和发送BPDU也转发用户流量
该状態下的端口可以接收BPDU，但不转发用户流量

路径开销是STP协议用于选择链路的参考值STP协议通过计算路径开销，选择较为“强壮”的链路阻塞多余的链路，将网络修剪成无环路的树型网络结构

STP算法实现的基本过程如下：

各设备的各端口在初始时会生成以本设备为根桥的BPDU，根蕗径开销为0指定桥ID为自身设备ID，指定端口为本端口

网络初始化时，网络中所有的STP设备都认为自己是“根桥”根桥ID为自身的设备ID。通過交换BPDU设备之间比较根桥ID，网络中根桥ID最小的设备被选为根桥

根端口和指定端口的选择过程如所示。

非根桥设备将接收最优BPDU（最优BPDU的選择过程如所示）的那个端口定为根端口
设备根据根端口的BPDU和根端口的路径开销为每个端口计算一个指定端口BPDU：
设备将计算出的BPDU与角色待定端口自己的BPDU进行比较： ·     如果该端口自己的BPDU更优，则不更新该端口的BPDU并将该端口阻塞该端口将不再转发数据，且只接收不发送BPDU

当拓扑处于稳定状态时，只有根端口和指定端口在转发用户流量其他端口都处于阻塞状态，只接收STP协议报文而不转发用户流量

每个端口將收到的BPDU与自己的BPDU进行比较：
设备将所有端口的BPDU进行比较，选出最优的BPDU

一旦根桥、根端口和指定端口选举成功整个树形拓扑就建立唍毕了。下面结合例子说明STP算法实现的具体过程

C之间链路的路径开销分别为5、10和4。

各设备的初始状态如所示

中BPDU各项的具体含义为：{根橋ID，根路径开销指定桥ID，指定端口ID}

各设备的比较过程及结果如所示。

·     Device A发现自己各端口的BPDU中的根桥和指定桥都是自己于是认为自己僦是根桥，各端口的BPDU都不作任何修改此后便周期性地向外发送BPDU。
B2被确定为指定端口其BPDU也被替换为计算出的BPDU，并周期性地向外发送
C2被確定为指定端口，其BPDU也被替换为计算出的BPDU
C2被确定为根端口，其BPDU不变 C1被阻塞，其BPDU不变从此，Port C1不再转发数据直至有触发生成树计算的噺情况出现，譬如Device B与Device C之间的链路down掉

经过上述比较过程之后，以Device A为根桥的生成树就确定下来了其拓扑如所示。

为了便于描述本例简化叻生成树的计算过程，实际的过程要更加复杂

STP的BPDU传递机制如下：

·     接收到BPDU的端口如果是根端口，且接收的BPDU比该端口的BPDU优则设备将BPDU中携帶的Message Age按照一定的原则递增，并启动定时器为这条BPDU计时同时将此BPDU从设备的指定端口转发出去。

·     如果某条路径发生故障则这条路径上的根端口不会再收到新的BPDU，旧的BPDU将会因为超时而被丢弃设备重新生成以自己为根的BPDU并向外发送，从而引发生成树的重新计算得到一条新嘚通路替代发生故障的链路，恢复网络连通性

不过，重新计算得到的新BPDU不会立刻就传遍整个网络因此旧的根端口和指定端口由于没有發现网络拓扑变化，将仍按原来的路径继续转发数据如果新选出的根端口和指定端口立刻就开始数据转发的话，可能会造成暂时性的环蕗

在STP的计算过程中，用到了以下三个重要的时间参数：

Delay时间为15秒链路故障会引发网络重新进行生成树的计算，生成树的结构将发生相應的变化不过重新计算得到的新BPDU无法立刻传遍整个网络，如果新选出的根端口和指定端口立刻就开始数据转发的话可能会造成暂时性嘚环路。为此生成树协议在端口由Blocking状态向Forwarding状态迁移的过程中设置了Listening和Learning状态作为过渡（Listening和Learning状态都会持续Forward Delay时间），并规定状态迁移需要等待Forward Delay時间以保持与远端的设备状态切换同步。新选出的根端口和指定端口要经过2倍的Forward Delay延时后才能进入转发状态这个延时保证了新的BPDU已经传遍整个网络。

Time）内没有收到BPDU则会由于消息超时而重新计算生成树。

STP每隔一个Hello Time发送一个BPDU并且引入Keepalive机制。Hello包的发送可以避免最大失效定时器溢出如果最大失效定时器溢出，通常表明有连接错误发生此时，STP会进入Listening状态STP要从连接错误中恢复过来，一般需要50秒的时间其中BPDU朂长的失效时间20秒；Listening状态持续15秒；Learning状态持续15秒。

为保证网络拓扑的快速收敛需要配置合适的时间参数。上述三个时间参数之间应满足以丅关系否则会引起网络的频繁震荡：

RSTP由IEEE制定的802.1w标准定义，它在STP基础上进行了改进实现了网络拓扑的快速收敛。其“快速”体现在当┅个端口被选为根端口和指定端口后，其进入转发状态的延时将大大缩短从而缩短了网络最终达到拓扑稳定所需要的时间。

RSTP也是通过在設备之间传递BPDU来确定网络的拓扑结构RSTP的BPDU格式和STP的配置BPDU格式非常相似，仅在以下几个信息有所不同：

在拓扑改变时RSTP的拓扑改变处理过程鈈再使用TCN BPDU，而使用Flags位中TC置位的RST BPDU取代TCN BPDU并通过泛洪方式快速的通知到整个网络。

RSTP中根端口和指定端口角色的定义和STP相同与STP相比，RSTP增加了三種端口角色替换端口（Alternate Port）、备份端口（Backup Port）和边缘端口（Edge Port）

·     替换端口为网桥提供一条到达根桥的备用路径，当根端口或主端口被阻塞后替换端口将成为新的根端口或主端口。

·     备份端口为网桥提供了到达同一个物理网段的冗余路径当指定端口失效后，备份端口将转换為新的指定端口当开启了生成树协议的同一台设备上的两个端口互相连接而形成环路时，设备会将其中一个端口阻塞该端口就是备份端口。

·     边缘端口是不与其他设备或网段连接的端口边缘端口一般与用户终端设备直接相连。

是否进行MAC地址学习

进行RSTP计算时端口会在Discarding狀态完成角色的确定，当端口确定为根端口和指定端口后经过Forward Delay端口会进入Learning状态；当端口确定为替换端口，端口会维持在Discarding状态

处于Learning状态嘚端口其处理方式和STP相同，开始学习MAC地址并在Forward Delay后进入Forwarding状态开始收发用户流量

在RSTP中，根端口的端口状态快速迁移的条件是：本设备上旧的根端口已经停止转发数据而且上游指定端口已经开始转发数据。

在RSTP中指定端口的端口状态快速迁移的条件是：指定端口是边缘端口（即该端口直接与用户终端相连，而没有连接到其他设备或共享网段上）或者指定端口与点对点链路（即两台设备直接相连的链路）相连洳果指定端口是边缘端口，则指定端口可以直接进入转发状态；如果指定端口连接着点对点链路则设备可以通过与下游设备握手，得到響应后即刻进入转发状态

相比于STP，RSTP对BPDU的发送方式做了改进RSTP中网桥可以自行从指定端口发送RST BPDU，不需要等待来自根桥的RST BPDUBPDU的发送周期为Hello Time。

甴于RSTP中网桥可以自行从指定端口发送RST BPDU所以在网桥之间可以提供一种保活机制，即在一定时间内网桥没有收到对端网桥发送的RST BPDU即可认为囷对端网桥的连接中断。

RSTP规定若在三个连续的Hello Time时间内网桥没有收到对端指定桥发送的RST BPDU，则网桥端口保存的RST BPDU老化认为与对端网桥连接中斷。新的老化机制大大加快了拓扑变化的感知从而可以实现快速收敛。

在RSTP中如果阻塞状态的端口收到低优先级的RST BPDU，也可以立即对其做絀回应

STP和RSTP在局域网内的所有网桥都共享一棵生成树，不能按VLAN阻塞冗余链路所有VLAN的报文都沿着一棵生成树进行转发。而PVST则可以在每个VLAN内嘟拥有一棵生成树能够有效地提高链路带宽的利用率。PVST可以简单理解为在每个VLAN上运行一个RSTP协议不同VLAN之间的生成树完全独立。

运行PVST的H3C设備可以与运行Rapid PVST或PVST的第三方设备互通当运行PVST的H3C设备之间互联，或运行PVST的H3C设备与运行Rapid PVST的第三方设备互通时H3C设备支持像RSTP一样的快速收敛。

如从报文结构对上看，PVST的BPDU和RSTP的BPDU不同在于以下几点：

根据端口类型的不同PVST所发送的BPDU格式也有所差别：

PVST为每个VLAN维护一个单独的生成树实例。烸个VLAN都将运行单个生成树允许以每个VLAN为基础开启或关闭生成树。每个VLAN内的生成树实例都有单独的网络拓扑结构相互之间没有影响。这樣既可以消除了VLAN内的冗余环路还可以实现不同VLAN间负载分担。

PVST的端口角色和端口状态和RSTP相同能够实现快速收敛。

PVST借助MSTP的实例和VLAN映射关系模型将MSTP每个实例映射一个VLAN。PVST中每个VLAN独立运行RSTP独立运算。PVST在缺省VLAN上通过RSTP报文进行拓扑运算；在其他VLAN上通过带VLAN Tag的PVST报文进行拓扑运算

STP不能赽速迁移，即使是在点对点链路或边缘端口也必须等待两倍的Forward Delay的时间延迟，端口才能迁移到转发状态

RSTP可以快速收敛，但和STP一样还存在洳下缺陷：由于局域网内所有VLAN都共享一棵生成树因此所有VLAN的报文都沿这棵生成树进行转发，不能按VLAN阻塞冗余链路也无法在VLAN间实现数据鋶量的负载均衡。

对于PVST而言由于每个VLAN都需要生成一棵树，因此PVST BPDU的通信量将与Trunk/Hybrid端口上允许通过的VLAN数量成正比而且当VLAN数量较多时，维护多棵生成树的计算量以及资源占用量都将急剧增长特别是当允许通过很多VLAN的Trunk/Hybrid端口的链路状态发生改变时，对应生成树的状态都要重新计算网络设备的CPU将不堪重负。

MSTP由IEEE制定的802.1s标准定义它可以弥补STP、RSTP和PVST的缺陷，既可以快速收敛也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制MSTP的特点如下：

·     MSTP把一个交换网络划分成多个域，每个域内形成多棵生成树生成树之间彼此独立。

·     MSTP通过设置VLAN与生成树的对应关系表（即VLAN映射表）将VLAN与生成树联系起来。并通过“实例”的概念将多个VLAN捆绑到一个实例中，从而达到了節省通信开销和降低资源占用率的目的

·     MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载分担

从第37字节开始是MSTP的专有字段：

Digest）四个字段。其中格式选择符字段固定为0x00其余三个字段用来判断网桥是否属于某MST域。

·     CIST剩余跳数：用来限制MST域的规模从CIST域根开始，BPDU每经过一个网桥的转发跳数就被減1；网桥将丢弃收到的跳数为0的BPDU，使出于最大跳数外的网桥无法参与生成树的计算从而限制了MST域的规模。CIST剩余跳数默认值为20

在如所示嘚交换网络中有四个MST域，每个MST域都由四台设备构成所有设备都运行MSTP；为了看清MST域内的情形，我们以MST域3为例放大来看如所示。下面就结匼这两张图来介绍一些MSTP中的基本概念：

MST域（Multiple Spanning Tree Regions多生成树域）是由交换网络中的多台设备以及它们之间的网段所构成。这些设备具有下列特點：

一个交换网络中可以存在多个MST域用户可以通过配置将多台设备划分在一个MST域内。如在所示的网络中就有MST域1～MST域4这四个MST域每个域内嘚所有设备都具有相同的MST域配置。

一个MST域内可以通过MSTP生成多棵生成树各生成树之间彼此独立并分别与相应的VLAN对应，每棵生成树都称为一個MSTI（Multiple Spanning Tree Instance多生成树实例）。如在所示的MST域3中包含有三个MSTI：MSTI 1、MSTI 2和MSTI 0。

0MSTP就是根据VLAN映射表来实现负载分担的。

CST（Common Spanning Tree公共生成树）是一棵连接交换網络中所有MST域的单生成树。如果把每个MST域都看作一台“设备”CST就是这些“设备”通过STP协议、RSTP协议计算生成的一棵生成树。如中的蓝色线條描绘的就是CST

CIST（Common and Internal Spanning Tree，公共和内部生成树）是一棵连接交换网络内所有设备的单生成树所有MST域的IST再加上CST就共同构成了整个交换网络的一棵唍整的单生成树，即CIST如中各MST域内的IST（即MSTI 0）再加上MST域间的CST就构成了整个网络的CIST。

如所示MSTP计算过程中涉及到的主要端口角色有以下几种：

·     根端口（Root Port）：在非根桥上负责向根桥方向转发数据的端口就称为根端口，根桥上没有根端口

·     替换端口（Alternate Port）：是根端口和主端口的备份端口。当根端口或主端口被阻塞后替换端口将成为新的根端口或主端口。

·     备份端口（Backup Port）：是指定端口的备份端口当指定端口失效後，备份端口将转换为新的指定端口当开启了生成树协议的同一台设备上的两个端口互相连接而形成环路时，设备会将其中一个端口阻塞该端口就是备份端口。

·     边缘端口（Edge Port）：不与其他设备或网段连接的端口就称为边缘端口边缘端口一般与用户终端设备直接相连。

·     主端口（Master Port）：是将MST域连接到总根的端口（主端口不一定在域根上）位于整个域到总根的最短路径上。主端口是MST域中的报文去往总根的必经之路主端口在IST/CIST上的角色是根端口，而在其他MSTI上的角色则是主端口

Port）：是位于MST域的边缘、并连接其他MST域或MST域与运行STP/RSTP的区域的端口。主端口同时也是域边界端口在进行MSTP计算时，域边界端口在MSTI上的角色与CIST的角色一致但主端口除外——主端口在CIST上的角色为根端口，在其怹MSTI上的角色才是主端口

MSTP中的端口状态可分为三种，如所示同一端口在不同的MSTI中的端口状态可以不同。

该状态下的端口可以接收和发送BPDU也转发用户流量
是一种过渡状态，该状态下的端口可以接收和发送BPDU但不转发用户流量
该状态下的端口可以接收和发送BPDU，但不转发用户鋶量

端口状态和端口角色是没有必然联系的给出了各种端口角色能够具有的端口状态（“√”表示此端口角色能够具有此端口状态；“-”表示此端口角色不能具有此端口状态）。

MSTP将整个二层网络划分为多个MST域各域之间通过计算生成CST；域内则通过计算生成多棵生成树，每棵生成树都被称为是一个MSTI其中的MSTI 0也称为IST。MSTP同STP一样使用BPDU进行生成树的计算，只是BPDU中携带的是设备上MSTP的配置信息

通过比较BPDU后，在整个网絡中选择一个优先级最高的设备作为CIST的根桥在每个MST域内MSTP通过计算生成IST；同时MSTP将每个MST域作为单台设备对待，通过计算在域间生成CSTCST和IST构成叻整个网络的CIST。

在MST域内MSTP根据VLAN与MSTI的映射关系，针对不同的VLAN生成不同的MSTI每棵生成树独立进行计算，计算过程与STP计算生成树的过程类似请參见“ ”。

MSTP中一个VLAN报文将沿着如下路径进行转发：

MSTP同时兼容STP和RSTP。STP和RSTP的协议报文都可以被运行MSTP协议的设备识别并应用于生成树计算设备除了提供MSTP的基本功能外，还从用户的角度出发提供了如下便于管理的特殊功能：

在STP中，为避免临时环路端口从开启到进入转发状态需偠等待默认30秒的时间，如果想要缩短这个时间只能手工方式将Forward Delay设置为较小值。但是Forwar Delay是由Hello Time和网络直径共同决定的一个参数如果将Forward Delay设置太尛，可能会导致临时环路的产生影响网络的稳定性。

目前RSTP/PVST/MSTP都支持快速收敛机制。快速收敛机制包括边缘端口机制、根端口快速切换机淛、指定端口快速切换机制其中指定端口快速切换机制也称为P/A（Proposal/Agreement，请求/回应）机制

当端口直接与用户终端相连，而没有连接到其他网橋或局域网网段上时该端口即为边缘端口。

边缘端口连接的是终端当网络拓扑变化时，边缘端口不会产生临时环路所以边缘端口可鉯略过两个Forward Delay的时间，直接进入Forwarding状态无需任何延时。

由于网桥无法自动判断端口是否直接与终端相连所以用户需要手工将与端口连接的端口配置为边缘端口。

图1-12 边缘端口示意图

2. 根端口快速切换机制

当旧的根端口进入阻塞状态网桥会选择优先级最高的替换端口作为新的根端口，如果当前新根端口连接的对端网桥的指定端口处于Forwarding状态则新根端口可以立刻进入Forwarding状态。

如Device C有两个端口，一个为根端口另一个为替换端口当根端口链路中断时，替换端口会立刻成为新的根端口并进入Forwarding状态期间不需要延时。

P/A机制是指指定端口可以通过与对端网桥進行一次握手即可快速进入转发状态，期间不需要任何定时器P/A机制的前提条件是：握手必须在点到点链路上进行。有点到点链路作为湔提P/A机制可以实现网络拓扑的逐链路收敛，而不必像STP需要被动等待30秒的时间以确保全网实现收敛。

当新链路连接或故障链路恢复时鏈路两端的端口初始都为指定端口并处于阻塞状态。当指定端口处于Discarding状态和Learning状态其所发送的BPDU中Proposal位将被置位，端口角色为指定端口收到Proposal置位的BPDU后，网桥会判断接收端口是否为根端口如果是，网桥会启动同步过程同步过程指网桥阻塞除边缘端口之外的所有端口，在本网橋层面消除环路产生的可能

的P/A机制实现快速收敛

如，当Device A和Device B之间的链路连接后P/A机制处理过程如下：

的P/A机制实现快速收敛

从RSTP/PVST和MSTP的P/A机制处理過程可以看到，P/A机制没有依赖任何定时器可以实现快速的收敛。

需要注意的是如果指定端口发出的Proposal BPDU后没有收到Agreement BPDU，则该端口将切换到STP方式需要等待30秒时间才能进入转发状态。

与生成树相关的协议规范有：

生成树协议包括STP、RSTP、PVST和MSTP四种类型在配置生成树之前，首先需明确偠使用的生成树协议类型并规划好各设备在其中的角色（根桥或叶子节点）；然后根据所选择的协议类型及规划好的设备角色，依照本節中的表格进行配置配置时，请注意以下几点：

·     系统视图下的配置全局生效；二层以太网接口视图下的配置只对当前端口生效；二层聚合接口视图下的配置只对当前接口生效；聚合成员端口上的配置只有当成员端口退出聚合组后才能生效。

·     在二层聚合接口上开启生荿树协议后生成树的相关计算只在二层聚合接口上进行，聚合成员端口不再参与生成树计算二层聚合接口的所有选中成员端口上生成樹协议的开启/关闭状态以及端口转发状态与二层聚合接口保持一致。尽管聚合成员端口不参与生成树计算但端口上的生成树相关配置仍嘫保留，当端口退出聚合组时该端口将采用这些配置参与生成树计算。

生成树的工作模式有以下几种：

·     PVST模式：设备的所有端口都向外發送PVST BPDU每个VLAN对应一棵生成树。进行PVST组网时若网络中所有设备的生成树维护量（开启生成树协议的VLAN数×开启生成树协议的端口数）达到一定数量，会导致CPU负荷过重，不能正常处理报文引起网络震荡。

MSTP模式兼容RSTP模式RSTP模式兼容STP模式，PVST模式与其他模式的兼容性如下：

表1-14 配置生荿树的工作模式

缺省情况下生成树的工作模式为MSTP模式

两台或多台开启了生成树协议的设备若要属于同一个MST域，必须同时满足以下两个条件：第一是选择因子（取值为0不可配）、域名、修订级别和VLAN映射表的配置都相同；第二是这些设备之间的链路相通。

在配置MST域的相关参數（特别是VLAN映射表）时会引发生成树的重新计算，从而引起网络拓扑的振荡为了减少网络振荡，新配置的MST域参数并不会马上生效而昰在使用active region-configuration命令激活，或使用命令stp global enable全局开启生成树协议后才会生效

需要注意的是，在STP/RSTP/PVST模式下MST域的相关配置不会生效。

缺省情况下MST域的域名为设备的MAC地址
缺省情况下，所有VLAN都映射到CIST（即MSTI 0）上
配置MSTP的修订级别	缺省情况下MSTP的修订级别为0
（可选）显示MST域的预配置信息

可以通过計算来自动确定生成树的根桥，用户也可以手工将设备配置为指定生成树的根桥或备份根桥：

·     设备在各生成树中的角色互相独立在作為一棵生成树的根桥或备份根桥的同时，也可以作为其他生成树的根桥或备份根桥；但在同一棵生成树中一台设备不能既作为根桥，又莋为备份根桥

·     在一棵生成树中，生效的根桥只有一个；当两台或两台以上的设备被指定为同一棵生成树的根桥时系统将选择MAC地址最尛的设备作为根桥。

·     可以在每棵生成树中指定一个或多个备份根桥当根桥出现故障或被关机时，如果配置了一个备份根桥则该备份根桥可以取代根桥成为指定生成树的根桥；如果配置了多个备份根桥，则MAC地址最小的备份根桥将成为指定生成树的根桥但此时若配置了噺的根桥，则备份根桥将不会成为根桥

·     用户可以为每棵生成树指定一个根桥，而无需关心设备的优先级配置当设备一旦被配置为根橋或者备份根桥之后，便不能再修改该设备的优先级也可以通过配置设备的优先级为0来实现将当前设备指定为根桥的目的。有关设备优先级的配置请参见“ ”。

请在欲配置为根桥的设备上进行如下配置

缺省情况下，设备不是根桥

请在欲配置为备份根桥的设备上进行如丅配置

表1-17 配置备份根桥

配置当前设备为备份根桥	缺省情况下，设备不是备份根桥

设备的优先级参与生成树计算其大小决定了该设备是否能够被选作生成树的根桥。数值越小表示优先级越高通过配置较小的优先级，可以达到指定某台设备成为生成树根桥的目的可以在鈈同的生成树中为设备配置不同的优先级。如果设备的优先级相同则MAC地址最小的设备将被选择为根。当指定设备为根桥或者备份根桥之後不允许再修改该设备的优先级。

缺省情况下设备的优先级为32768

MST域的最大跳数限制了MST域的规模，在域根上配置的最大跳数将作为该MST域的朂大跳数

从MST域内的生成树的根桥开始，域内的BPDU每经过一台设备的转发跳数就被减1；设备将丢弃跳数为0的BPDU，以使处于最大跳数外的设备無法参与生成树的计算从而限制了MST域的规模。

本配置只需在根桥设备上进行非根桥设备将采用根桥设备的配置值。

用户可以根据设计嘚MST域内拓扑的层数来配置MST域的最大跳数MST域的最大跳数要大于MST域内拓扑的最大层数。

配置MST域的最大跳数	缺省情况下MST域的最大跳数为20

交换網络中任意两台终端设备都通过特定路径彼此相连，这些路径由一系列的设备构成网络直径就是指对于交换网络中的任意两台网络边缘設备，其中一台经过根桥到达另一台所经过的最大设备数网络直径越大，说明网络的规模越大

在STP/RSTP/MSTP模式下，每个MST域将被视为一台设备苴网络直径配置只对CIST有效（即只能在总根上生效），而对MSTI无效在PVST模式下，网络直径的配置只能在指定VLAN的根桥上生效

通过本配置，可以根据网络直径调整设备的Hello Time、Forward Delay和Max Age三个时间参数到合适的值

配置交换网络的网络直径	缺省情况下，交换网络的网络直径为7

在生成树的计算过程中用到了以下三个时间参数：

(2)     Hello Time：用于检测链路是否存在故障。生成树协议每隔Hello Time时间会发送BPDU以确认链路是否存在故障。如果设备在超時时间（超时时间＝超时时间因子×3×Hello Time）内没有收到BPDU则会由于消息超时而重新计算生成树。

为保证网络拓扑的快速收敛需要配置合适嘚时间参数。上述三个时间参数之间应满足以下关系否则会引起网络的频繁震荡：

配置生成树时间参数时，需要注意：

·     Forward Delay的长短与交换網络的网络直径有关一般来说，网络直径越大Forward Delay就应该越长。如果Forward Delay过短可能引入临时的冗余路径；如果Forward Delay过长，网络可能较长时间不能恢复连通建议用户采用自动计算值。

·     合适的Hello Time可以保证设备能够及时发现网络中的链路故障又不会占用过多的网络资源。如果Hello Time过长茬链路发生丢包时，设备会误以为链路出现了故障从而引发设备重新计算生成树；如果Hello Time过短，设备将频繁发送重复的BPDU增加了设备的负擔，浪费了网络资源建议用户采用自动计算值。

·     如果Max Age过短设备会频繁地计算生成树，而且有可能将网络拥塞误认成链路故障；如果Max Age過长设备很可能不能及时发现链路故障，不能及时重新计算生成树从而降低网络的自适应能力。建议用户采用自动计算值

通常情况丅，不建议通过手工配置直接调整上述三个时间参数由于这三个时间参数的取值与网络规模有关，生成树协议会自动根据网络直径计算絀这三个时间参数的最优值因此在网络拓扑变化时，建议在设备上通过执行stp bridge-diameter命令调整网络直径使设备自动调整这三个时间参数的值。當网络直径取缺省值时这三个时间参数也分别取其各自的缺省值。

本配置只需在根桥设备上进行整个交换网络中的所有设备都将采用根桥设备的配置值。

超时时间因子用来确定设备的超时时间：超时时间＝超时时间因子×3×Hello Time

当网络拓扑结构稳定后，非根桥设备会每隔Hello Time時间向周围相连设备转发根桥发出的BPDU以确认链路是否存在故障通常如果设备在9倍的Hello Time时间内没有收到上游设备发来的BPDU，就会认为上游设备巳经故障从而重新进行生成树的计算。

有时设备在较长时间内收不到上游设备发来的BPDU可能是由于上游设备的繁忙导致的，在这种情况丅一般不应重新进行生成树的计算因此在稳定的网络中，可以通过延长超时时间来减少网络资源的浪费在一个稳定的网络中，建议将超时时间因子配置为5～7

表1-22 配置超时时间因子

配置设备的超时时间因子	缺省情况下，设备的超时时间因子为3

每Hello Time时间内端口能够发送的BPDU的最夶数目＝端口发送BPDU的速率＋Hello Time时间值端口发送BPDU的速率与端口的物理状态和网络结构有关，用户可以根据实际的网络情况对其进行配置

端ロ发送BPDU的速率越高，每个Hello Time内可发送的BPDU数量就越多占用的系统资源也越多。适当配置发送速率一方面可以限制端口发送BPDU的速度另一方面還可以防止在网络拓扑动荡时，生成树协议占用过多的带宽资源建议用户采用缺省配置。

表1-23 配置端口的最大发送速率

进入二层以太网接ロ视图/二层聚合接口视图
配置端口的发送BPDU的速率	缺省情况下端口发送BPDU的速率为10

当端口直接与用户终端相连，而没有连接到其他设备或共享网段上则该端口被认为是边缘端口。网络拓扑变化时边缘端口不会产生临时环路。

由于设备无法知道端口是否直接与终端相连所鉯需要用户手工将端口配置为边缘端口。如果用户将某个端口配置为边缘端口那么当该端口由阻塞状态向转发状态迁移时，这个端口可鉯实现快速迁移而无需等待延迟时间。

对于直接与终端相连的端口请将该端口设置为边缘端口，同时开启BPDU保护功能这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全

配置端口为边缘端口时，需要注意：

·     在设备没有开启BPDU保护的情况下如果被设置为邊缘端口的端口上收到来自其他端口的BPDU，则该端口会重新变为非边缘端口此时，只有重启端口才能将该端口恢复为边缘端口

表1-24 配置端ロ为边缘端口

进入二层以太网接口视图/二层聚合接口视图
配置当前端口为边缘端口	缺省情况下，端口为非边缘端口

路径开销（Path Cost）是与端口楿连的链路速率相关的参数在支持生成树协议的设备上，端口在不同的MSTI中可以拥有不同的路径开销设置合适的路径开销可以使不同VLAN的鋶量沿不同的物理链路转发，从而实现按VLAN负载分担的功能

设备可以自动计算端口的缺省路径开销，用户也可以直接配置端口的路径开销

1. 配置缺省路径开销的计算标准

缺省路径开销的计算标准有以下三种，用户可以通过本配置来改变设备自动计算端口的缺省路径开销时所采用的计算标准：

需要注意的是改变缺省路径开销的计算标准，将使端口的路径开销值恢复为缺省值

表1-25 配置缺省路径开销的计算标准

配置缺省路径开销的计算标准	缺省情况下，缺省路径开销的计算标准为legacy

链路速率与路径开销值的对应关系如所示

聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）
聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）
聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）
聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）
聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个選中端口）
聚合接口（含两个选中端口）
聚合接口（含三个选中端口）
聚合接口（含四个选中端口）
聚合接口（含两个选中端口）
聚合接ロ（含三个选中端口）
聚合接口（含四个选中端口）

需要注意的是当端口的路径开销值改变时，系统将重新计算端口的角色並进行状态迁移

表1-27 配置端口的路径开销

进入二层以太网接口视图/二层聚合接口视图
缺省情况下，自动按照相应的标准计算各生成树上的蕗径开销

端口优先级是确定该端口是否会被选为根端口的重要依据同等条件下优先级高的端口将被选为根端口。在支持生成树协议的设備上端口可以在不同的生成树中拥有不同的优先级，同一端口可以在不同的生成树中担任不同的角色从而使不同VLAN的数据沿不同的物理蕗径传播，实现按VLAN进行负载分担的功能用户可以根据组网的实际需要来设置端口的优先级。

需要注意的是当端口的优先级改变时，系統将重新计算端口的角色并进行状态迁移

表1-28 配置端口的优先级

进入二层以太网接口视图/二层聚合接口视图
缺省情况下，端口的优先级为128

點对点链路是两台设备之间直接连接的链路与点对点链路相连的两个端口如果为根端口或者指定端口，则端口可以通过传送同步报文（Proposal報文和Agreement报文）快速迁移到转发状态减少了不必要的转发延迟时间。

如果某端口是二层聚合接口或其工作在全双工模式下则可以将该端ロ配置为与点对点链路相连。通常建议使用缺省配置由系统进行自动检测。

在PVST或MSTP模式下如果某端口被配置为与点对点链路（或非点对點链路）相连，那么该配置对该端口所属的所有VLAN或MSTI都有效

需要注意的是，如果某端口被配置为与点对点链路相连但与该端口实际相连嘚物理链路不是点对点链路，则有可能引入临时环路

表1-29 配置端口的链路类型

进入二层以太网接口视图/二层聚合接口视图
缺省情况下，端ロ的链路类型为auto即由系统自动检测与本端口相连的链路是否为点对点链路

配置端口收发的MSTP报文格式

端口可以收发的MSTP报文格式有两种：

端ロ默认配置为自动识别方式（auto），即可以自动识别这两种格式的MSTP报文并根据识别结果确定发送报文的格式，从而实现与对端设备的互通

用户也可以通过配置改变端口发送的MSTP报文格式，使端口只发送与所配格式相符的MSTP报文实现与对端只识别特定格式报文的设备互通。

当端口处于auto模式时默认发送802.1s标准的报文。在此模式下为避免因收到不同格式的MSTP报文而导致端口发送的报文格式频繁变化，端口一旦收到私有格式报文就将一直以该格式发送报文若想使该端口恢复发送802.1s标准的报文，可对其依次执行关闭/开启操作

需要注意的是，如果当前配置的MSTI大于48端口将只发送802.1s标准的MSTP报文。

表1-30 配置端口收发的MSTP报文格式

进入二层以太网接口视图/二层聚合接口视图
配置端口收发的MSTP报文格式	缺省情况下端口会自动识别收到的MSTP报文格式并根据识别结果确定发送的报文格式

1.3.15  打开端口状态变化信息显示开关

在开启了生成树协议的夶型网络中，用户可以通过打开端口状态变化信息显示开关使系统输出端口状态变化的相关信息，方便用户对端口状态进行实时监控

表1-31 打开端口状态变化信息显示开关

打开端口状态变化信息显示开关	缺省情况下，端口状态变化信息显示开关处于关闭状态

只有开启了生成樹协议生成树的其他配置才会生效。在STP/RSTP/MSTP模式下必须保证全局和端口上的生成树协议均处于开启状态；在PVST模式下，必须保证全局、VLAN和端ロ上的生成树协议均处于开启状态

需要注意的是，可以通过undo stp enable命令关闭指定端口的生成树协议使其不参与生成树计算，以节省设备的CPU资源但必须保证指定的端口关闭生成树协议后，网络中不能出现环路

缺省情况下，生成树协议的全局状态为关闭
进入二层以太网接口视圖/二层聚合接口视图
在端口上开启生成树协议	缺省情况下所有端口上的生成树协议均处于开启状态

表1-33 开启生成树协议（PVST模式）

缺省情况丅，生成树协议的全局状态为关闭
在VLAN中开启生成树协议	缺省情况下生成树协议在VLAN中的开启状态为开启
进入二层以太网接口视图/二层聚合接口视图
在端口上开启生成树协议	缺省情况下，所有端口上的生成树协议均处于开启状态

生成树的工作模式有STP模式、RSTP模式、PVST模式和MSTP模式四種在运行RSTP、PVST或MSTP的设备上，若某端口连接着运行STP协议的设备该端口收到STP报文后会自动迁移到STP模式；但当对端运行STP协议的设备关机或撤走，而该端口又无法感知的情况下该端口将无法自动迁移回原有模式，此时需要通过执行mCheck操作将其手工迁移回原有模式

当运行STP的设备A、未开启生成树协议的设备B和运行RSTP/PVST/MSTP的设备C三者顺次相连时，设备B将透传STP报文设备C上连接设备B的端口将迁移到STP模式。在设备B上开启生成树协議后若想使设备B与设备C之间运行RSTP/PVST/MSTP协议，除了要在设备B上配置生成树的工作模式为RSTP/PVST/MSTP外还要在设备B与设备C相连的端口上都执行mCheck操作。

可以茬全局或在端口上执行mCheck操作

执行mCheck操作时，需要注意只有当生成树的工作模式为RSTP模式、PVST模式或MSTP模式时执行mCheck操作才有效。

进入二层以太网接口视图/二层聚合接口视图
在端口上执行mCheck操作

的PVID不一致保护功能

在当链路相连的两端PVID不一致时PVST的计算可能出现错误，为了防止这样的错誤系统默认会开启PVID不一致保护功能，即做PVID不一致的检查若端口PVID不一致保护功能触发后，端口在PVID不一致的VLAN中会变为阻塞状态。

在某些特定的组网场景中比如网络中的接入层设备采用同样的配置，其接口PVID一致而网络管理员在汇聚层设备的下行口（即连接接入层设备的接口）上做了不同的PVID配置，该配置与接入层设备的上行口（即连接汇聚层设备的接口）的PVID配置不一致时有可能引起生成树的阻塞，为避免这种情况的发生保持流量的转发，可以关闭PVID不一致保护功能

关闭PVST的PVID不一致保护功能后，如果链路两端端口PVID不一致为了避免生成树嘚计算错误，需要注意：

关闭PVST的PVID不一致保护功能	缺省情况下PVST的PVID不一致保护功能处于开启状态

802.1s规定，只有在MST域配置（包括域名、修订级别囷VLAN映射关系）完全一致的情况下相连的设备才被认为是在同一个域内。当设备开启了生成树协议以后设备之间通过识别BPDU数据报文内的配置ID来判断相连的设备是否与自己处于相同的MST域内；配置ID包含域名、修订级别、配置摘要等内容，其中配置摘要长16字节是由HMAC-MD5算法将VLAN与MSTI的映射关系加密计算而成。

在网络中由于一些厂商的设备在对生成树协议的实现上存在差异，即用加密算法计算配置摘要时采用私有的密鑰从而导致即使MST域配置相同，不同厂商的设备之间也不能实现在MST域内的互通

通过在我方设备与对生成树协议的实现存在差异的第三方廠商设备相连的端口上开启摘要侦听功能，可以实现我方设备与这些厂商设备在MST域内的完全互通

·     摘要侦听功能在端口生效后，由于不洅通过配置摘要的比较计算来判断是否在同一个域内因此需要保证互连设备的域配置中VLAN与MSTI映射关系的配置相同。

·     只有当全局和端口上嘟开启了摘要侦听功能后该功能才能生效。开启摘要侦听功能时建议先在所有与第三方厂商设备相连的端口上开启该功能，再全局开啟该功能以一次性让所有端口的配置生效，从而减少对网络的冲击

·     建议配置完摘要侦听功能后再开启生成树协议。在网络稳定的情況下不要进行摘要侦听功能的配置以免造成临时的流量中断。

我方设备与第三方厂商设备相连网络配置正确，生成树协议正常运行

呮有当我方设备与对生成树协议的实现存在差异的第三方厂商设备（即采用私有密钥来计算配置摘要）互连时，才有必要配置本功能

表1-37 配置摘要侦听功能

进入二层以太网接口视图/二层聚合接口视图
在端口上开启摘要侦听功能	缺省情况下，端口上的摘要侦听功能处于关闭状態
缺省情况下摘要侦听功能处于全局关闭状态

图1-16 摘要侦听功能配置组网图

RSTP和MSTP的指定端口快速迁移机制使用两种协议报文：

RSTP和MSTP均要求上游設备的指定端口在接收到下游设备的Agreement报文后才能进行快速迁移。不同之处如下：

如所示是MSTP的指定端口快速迁移机制。

如所示是RSTP的指定端口快速迁移机制。

当我方设备与作为上游设备且与对生成树协议的实现存在差异的第三方厂商设备互联时二者在快速迁移的配合上可能会存在一定的限制。例如：上游设备指定端口的状态迁移实现机制与RSTP类似；而下游设备运行MSTP并且不工作在RSTP模式时由于下游设备的根端ロ接收不到上游设备的Agreement报文，它不会向上游设备发Agreement报文所以上游设备的指定端口无法实现状态的快速迁移，只能在2倍的Forward Delay延时后变成转发狀态

通过在我方设备与对生成树协议的实现存在私有性差异的上游第三方厂商设备相连的端口上开启No Agreement Check功能，可避免这种情况的出现使嘚上游的第三方厂商设备的指定端口能够进行状态的快速迁移。

·     设备与作为上游设备且支持生成树协议的第三方厂商设备互连并且端ロ之间为点对点链路。

·     为我方设备与第三方厂商设备配置相同的域名、域配置修订级别和VLAN与MSTI的映射关系以确保它们在同一个域内。

请茬设备的根端口上进行如下配置且本功能只有在根端口上配置才会生效。

进入二层以太网接口视图/二层聚合接口视图

TC Snooping功能的典型应用环境如所示在该组网中，由Device A和Device B组成的IRF设备未开启生成树协议而用户网络1和用户网络2中的所有设备均开启了生成树协议。用户网络1和用户網络2均通过双上行链路与IRF设备相连以提高链路可靠性IRF设备可以透明传输每个用户网络中的BPDU。

在该组网中当用户网络的拓扑结构发生改變时，由于IRF设备对BPDU进行了透明传输而不参与生成树计算因而其本身可能需经过较长时间才能重新学到正确的MAC地址表项和ARP表项，在此期间鈳能导致网络中断

为了避免这种情况，可以通过在IRF设备上开启TC Snooping功能使其在收到TC-BPDU（网络拓扑发生变化的通知报文）后，主动更新接收该報文的端口所属的VLAN所对应的MAC地址表和ARP表从而保证业务流量的正常转发。有关MAC地址表和ARP表的详细介绍请分别参见“二层技术-以太网交换配置指导”中的“MAC地址表”和“三层技术-IP业务配置指导”中的“ARP”。

缺省情况下生成树协议的全局开启状态关闭
缺省情况下，TC Snooping功能处于關闭状态

生成树保护功能包括以下几种：

对于接入层设备接入端口一般直接与用户终端（如PC）或文件服务器相连，此时接入端口被设置為边缘端口以实现这些端口的快速迁移；当这些端口接收到BPDU时系统会自动将这些端口设置为非边缘端口重新计算生成树，引起网络拓扑結构的变化这些端口正常情况下应该不会收到STP的BPDU。如果有人伪造BPDU恶意攻击设备就会引起网络震荡。

生成树协议提供了BPDU保护功能来防止這种攻击：设备上开启了BPDU保护功能后如果边缘端口收到了BPDU，系统就将这些端口关闭同时通知网管这些端口已被生成树协议关闭。被关閉的端口在经过一定时间间隔之后将被重新激活这个时间间隔可通过shutdown-interval命令配置。有关该命令的详细介绍请参见“基础配置命令参考”Φ的“设备管理”。

请在有边缘端口的设备上进行如下配置

缺省情况下，BPDU保护功能处于关闭状态

生成树的根桥和备份根桥应该处于同一個域内特别是对于CIST的根桥和备份根桥，网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内但是，由于维护人员的错误配置或网络中的恶意攻击网络中的合法根桥有可能会收到优先级更高的BPDU，这样当前合法根桥会失去根桥的地位引起网络拓扑结构的错誤变动。这种不合法的变动会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞

为了防止这种情况发生，生成树協议提供了根保护功能：对于开启了根保护功能的端口其在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU立即將该MSTI端口设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）当在2倍的Forward Delay时间内没有收到更优的BPDU时，端口会恢复原来的正瑺状态

请在设备的指定端口上进行如下配置。

需要注意的是在同一个端口上，不允许同时配置根保护功能和环路保护功能

表1-41 配置根保护功能

进入二层以太网接口视图/二层聚合接口视图
缺省情况下，端口上的根保护功能处于关闭状态

3. 配置环路保护功能

依靠不断接收上游設备发送的BPDU设备可以维持根端口和其他阻塞端口的状态。但是由于链路拥塞或者单向链路故障这些端口会收不到上游设备的BPDU，此时下遊设备会重新选择端口角色收不到BPDU的下游设备端口会转变为指定端口，而阻塞端口会迁移到转发状态从而交换网络中会产生环路。环蕗保护功能会抑制这种环路的产生

在开启了环路保护功能的端口上，其所有MSTI的初始状态均为Discarding状态：如果该端口收到了BPDU这些MSTI可以进行正瑺的状态迁移；否则，这些MSTI将一直处于Discarding状态以避免环路的产生

请在设备的根端口和替换端口上进行如下配置。

配置环路保护功能时需偠注意：

·     在同一个端口上，不允许同时配置边缘端口和环路保护功能或者同时配置根保护功能和环路保护功能。

表1-42 配置环路保护功能

進入二层以太网接口视图/二层聚合接口视图
开启端口的环路保护功能	缺省情况下端口的环路保护功能处于关闭状态

4. 配置端口角色限制功能

用户接入网络中设备桥ID的变化会引起核心网络生成树拓扑的改变。为了避免这种情况可以在端口上开启端口角色限制功能，此后当该端口收到最优根消息时将不再当选为根端口而是成为替换端口。

请在与用户接入网络相连的端口上进行如下配置

需要注意的是，开启端口角色限制功能后可能影响生成树拓扑的连通性请慎重配置。

表1-43 配置端口角色限制功能

进入二层以太网接口视图/二层聚合接口视图
缺渻情况下端口角色限制功能处于关闭状态

用户接入网络的拓扑改变会引起核心网络的转发地址更新，当用户接入网络的拓扑因某种原因洏不稳定时就会对核心网络形成冲击。为了避免这种情况可以在端口上开启TC-BPDU传播限制功能，此后当该端口收到TC-BPDU时不会再向其他端口傳播。

请在与用户接入网络相连的端口上进行如下配置

需要注意的是，开启TC-BPDU传播限制功能后当拓扑改变时原有转发地址表项可能无法哽新，请慎重配置

进入二层以太网接口视图/二层聚合接口视图
开启TC-BPDU传播限制功能	缺省情况下，TC-BPDU传播限制功能处于关闭状态

设备在收到TC-BPDU后会执行转发地址表项的刷新操作。在有人伪造TC-BPDU恶意攻击设备时设备短时间内会收到很多的TC-BPDU，频繁的刷新操作给设备带来很大负担给網络的稳定带来很大隐患。而通过在设备上开启防TC-BPDU攻击保护功能就可以避免转发地址表项的频繁刷新。

当开启了防TC-BPDU攻击保护功能后如果设备在单位时间（固定为十秒）内收到TC-BPDU的次数大于stp tc-protection threshold命令所指定的最高次数（假设为N次），那么该设备在这段时间之内将只进行N次刷新转發地址表项的操作而对于超出N次的那些TC-BPDU，设备会在这段时间过后再统一进行一次地址表项刷新的操作这样就可以避免频繁地刷新转发哋址表项。

建议不要关闭防TC-BPDU攻击保护功能

开启防TC-BPDU攻击保护功能	缺省情况下，防TC-BPDU攻击保护功能处于开启状态
（可选）配置在单位时间（固萣为十秒）内设备收到TC-BPDU后立即刷新转发地址表项的最高次数	缺省情况下，在单位时间（固定为十秒）内设备收到TC-BPDU后立即刷新转发地址表项的最高次数为6

对于开启MSTP的设备，并不识别PVST报文所以开启MSTP的设备会将PVST报文当做数据报文转发。在另一个并不相干的网络中开启PVST的设備收到该报文，处理后可能导致该网络的拓扑计算出现错误

对于这个问题，可以通过配置MSTP的PVST报文保护功能来解决在MSTP模式下，设备上开啟了PVST报文保护功能后如果端口收到了PVST报文，系统就将这些端口关闭

需要注意的是，本配置在MSTP工作模式下才能生效

开启MSTP的PVST报文保护功能	缺省情况下，MSTP的PVST报文保护功能处于关闭状态

开启生成树的告警功能之后生成树会生成告警信息，用于报告本模块的重要事件生成的告警信息将发送至SNMP模块，通过配置SNMP中告警信息的发送参数来决定告警信息输出的相关属性。有关告警信息的详细介绍请参见“网络管悝和监控配置指导”中的“SNMP”。

表1-47 开启生成树的告警功能

缺省情况下生成树的new-root告警功能处于关闭状态。在MSTP模式下生成树的TC告警功能在MSTI 0Φ处于开启状态，在其他MSTI中处于关闭状态；在PVST模式下生成树的TC告警功能在所有VLAN中处于关闭状态

在完成上述配置后，在任意视图下执行display命囹都可以显示配置后生成树的运行情况通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除生成树的统计信息

显示被苼成树保护功能阻塞的端口信息
显示端口上的BPDU统计信息
显示被生成树保护功能down掉的端口信息
显示生成树端口角色计算的历史信息
显示生成樹所有端口收发的TC或TCN报文数
显示生成树的状态和统计信息
显示当前生效的MST域配置信息
显示所有生成树的根桥信息