13.18-工作项目中STP设计和实践

1.建议在网关设备的上行接口去使能STP

网关是二、三层设备的分界线，如果网关设备下行二层网络中使能了STP，为避免STP收敛影响三层链路，建议上行接口去使能STP

<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]stp disable 

2.接入交换机的用户侧建议配置为边缘端口

通过将用户侧接口配置边缘端口，该端口便不再参与生成树计算，从而帮助加快网络的收敛时间以及加强网络的稳定性。接入交换机连接PC和接入终端的接口上都建议配置边缘端口

<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]stp edged-port enable 

3.建议配置BPDU保护

为了防止攻击者仿造BPDU报文导致边缘端口属性变成非边缘端口，可配置BPDU保护功能，配置BPDU保护功能后，如果边缘端口收到BPDU报文，边缘端口会shutdown，边缘端口属性不变

<Huawei>sys
[Huawei]stp bpdu-protection 

在配置了BPDU保护功能后，关闭端口的情况下，被关闭的端口不会自动恢复，可由网管执行shutdown再执行 undo shutdown手动恢复，也可在接口视图下reset重启端口

如果用户希望被关闭的端口可以自动恢复，则可以在系统视图下执行

[Huawei]error-down auto-recovery cause  bpdu-protection interval [interval-value]

命令，使能端口状态的自动恢复为UP功能，并设置自动恢复为UP的延时时间

4.建议手动指定根桥优先级和位置

在根桥选举过程中，通常希望性能高、网络层次高的交换设备被选举为根桥。但是性能高、网络层次高的交换设备其优先级不一定高，因此可以指定生成树的根桥，以保证该设备成为根桥。为了让网络流量不中断，配置备份跟桥，当根桥出现故障或关机时，备份跟桥会在生成树计算时成为根桥。

当运行MSTP协议时，配置交换设备为实例1的根桥

<Huawei>sys
[Huawei]stp instance 1 root primary

当运行MSTP协议时，配置交换设备为实例2的备份根桥

<Huawei>sys
[Huawei]stp instance 2 root secondary

5.建议在根交换机指定端口上配置根保护

由于维护人员的错误配置或网络中的恶意攻击，网络中合法根交换机可能会受到优先级更高的BPDU报文，使得合法根交换机失去根的地位，引起网络拓扑结构的错误变动，这种不合法的拓扑变化，可能会导致原来应该通过高速链路的流量被牵引到低俗链路上，造成网络拥堵。为了防止这种情况的发生，可在根交换机上部署根保护功能，通过维持指定端口的角色来保护根交换机的地位。

<Huawei>sys
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]stp root-protection

root-protection注意事项：

（1） 根保护功能是指定端口的特性，当端口角色是指定端口时，配置根保护功能才生效 ，且只能在端口下配置
（2）作用是保护当前根桥的地位
（3）当配置了root-protection的接口收到了BID更小的BPDU报文时，该接口会立即进入discarding状态，不再转发报文，在经过一段时间（通常为2倍的forwarding delay），如果端口没有再收到BID更小的BPDU报文，端口自动恢复到正常forwarding状态

当配置了root-protection的接口收到了BID更小的BPDU报文时，该接口会立即进入discarding状态，此时会断网，如图1

6.建议在Eth-Trunk接口固定cost值，防止端口闪断，STP反复收敛

Eth-Trunk接口使能STP功能后，如果其成员变动（如成员接口down等），STP的cost值就会变化，因此建议将Eth-Trunk接口配置固定cost值，防止成员变化带来STP的收敛

当运行MSTP协议时，配置端口Eth-Trunk在生成树实例2上路径开销为200

<Huawei>sys
[Huawei]int Eth-Trunk 1
[Huawei-Eth-Trunk1]stp instance 2 cost 200