一、MSTP技術





• MSTI和MSTI域根





MSTP中的端口角色

3. MSTP工作原理?

MSTP 計算方法





• 3）轉發路徑選擇
• 
• 





保護機制

• 根橋保護機制?

  邊緣端口保護：當邊緣端口收到配置消息時，MSTP會將這些端口關閉，防止非法設備接入網絡。配置命令為[H3C] stp bpdu-protection。
  非法根橋影響：合法根橋收到優先級更高的配置消息時會失去根橋地位，導致網絡拓撲結構變動。
  1. 邊緣端口保護?
  保護原理：通過關閉收到BPDU的邊緣端口來阻止非法設備接入網絡。
  配置方式：在系統視圖下配置stp bpdu-protection命令。
  處理方式：當邊緣端口收到BPDU時，直接關閉該端口，需要管理員手動恢復。
  2. 根橋保護配置?

  配置位置：在接口視圖下配置，而不是系統視圖。
  配置命令：在接口視圖下使用stp root-protection命令。
  配置原因：避免在網絡內部主備根橋切換時誤觸發保護機制。
  3. 根橋保護實例?

  實例配置：
  進入接口視圖：int g0/0/3
  啟用根橋保護：stp root-protection
  設置優先級：stp instance 0 priority 0
  狀態變化：當端口收到更優BPDU時，會進入discarding狀態。
  4. 根橋保護狀態切換?

  狀態轉換：當保護端口收到更優BPDU時，會切換到偵聽狀態（在RSTP中表現為discarding狀態）。
  行為限制：處于保護狀態的端口不會轉發數據報文。
  5. 根橋保護注意事項?
  配置位置限制：
  不應在上行接口配置根橋保護
  只能在連接外部設備的接口配置
  主備切換影響：避免在主備根橋切換的正常過程中誤觸發保護機制
  與邊緣端口保護區別：
  根橋保護在接口視圖配置
  邊緣端口保護在系統視圖配置

環路保護機制

1. 環路保護原理

• 觸發條件：當光纖鏈路單通或網絡擁塞導致BPDU丟失時，下游設備會重新選擇端口角色，可能形成環路
• 保護機制：開啟環路保護的端口若無法收到上游設備的BPDU，無論當前端口角色如何，都會強制轉為Discarding狀態
• 應用場景：特別適用于光纖連接環境（如SFP模塊的雙纖連接），防止因單向鏈路故障導致的環路
• 狀態轉換：保護機制觸發后，端口會先進入Listening狀態，相當于臨時關閉端口功能

TC保護機制

1. TC攻擊防御

• 攻擊原理：偽造大量TC-BPDU報文會導致交換機頻繁刷新MAC地址表，影響網絡穩定性
• 防御措施：設置時間窗口（默認10秒）內處理TC報文的最大次數閾值
• 默認值：系統默認閾值為1次，可根據實際需要調整（但不宜過大）
• 處理邏輯：超過閾值的TC報文將被忽略，避免地址表被惡意刷新

2. TC保護配置

• 配置位置：在系統視圖下進行全局配置
• 驗證方法：通過頻繁開關端口模擬TC攻擊，觀察地址表刷新行為
• 實際應用：在穩定拓撲中TC報文應較少出現，閾值設置需平衡安全性與可用性
• 注意事項：與根保護、環路保護不同，TC保護是針對泛洪攻擊的防御機制

五、VRRP技術

1. VRRP基本概念

• 
• 協議定義: VRRP（Virtual Router Redundancy Protocol）是RFC 3768定義的容錯協議，通過將多個路由器組成備份組形成虛擬路由器來承擔網關功能。
• 核心功能: 實現網關設備冗余備份，當主網關故障時自動切換備份網關，保證網絡連通性。
• 工作邏輯: 將多個三層設備（交換機/路由器）組成邏輯設備，終端只需配置虛擬IP為網關地址，不感知具體轉發設備。

2. VRRP工作原理

• 組結構:
  • 每個VRRP組包含1個Master（主設備）和若干Backup（備份設備）
  • Master實際承擔數據轉發，Backup處于監聽狀態
• 虛擬地址:
  • 虛擬IP：終端配置的網關地址
  • 虛擬MAC：固定格式0000-5E00-01XX（XX對應VRID）
• 切換機制: 當Master故障時，優先級最高的Backup接替轉發工作，虛擬IP/MAC保持不變。

3. VRRP主備切換





• 選舉原則: 通過優先級（Priority）選舉Master，默認優先級100，數值越大越優先
• 故障檢測: Backup通過組播報文檢測Master狀態，3倍Advertisement間隔未收到報文即觸發切換
• 透明切換: 終端無需感知主備切換過程，網關IP/MAC始終保持不變

六、VRRP負載分擔





1. 多網段負載分擔

• 實現條件: 需要至少兩個網段（如10.100.10.0/24和10.100.11.0/24）
• 配置方式:
  • 設備A作為網段1的Master/網段2的Backup
  • 設備B作為網段2的Master/網段1的Backup
• 流量分布: 不同網段流量通過不同物理設備轉發，實現負載均衡

七、VRRP協議報

八、VRRP優先級

1. 默認優先級

• 取值范圍：8位二進制數，默認值為100，最高優先級為255（思科/華為設備默認值相同）
• 選舉規則：
  • 優先級高的設備成為Master路由器
  • 優先級相同時比較接口IP地址，較大者成為Master
  • 同一VRRP組中必須且只能存在一個Master路由器，但可存在多個Backup路由器

2. 特殊優先級255

• 
• 觸發條件：當物理接口IP地址與虛擬路由器IP地址完全相同時
• 特性：
  • 自動獲得255優先級（不可人工修改）
  • 直接成為Master路由器且不可降級
  • 避免網絡中IP地址沖突的保障機制
• 限制：人工配置優先級最高只能設為254

九、VRRP工作過程

1. VRRP協議號

• 協議層：網絡層協議（直接封裝在IP包頭后）
• 協議號：112（無傳輸層封裝）

2. VRRP報文格式



• 
• 基本字段：
  • Version：當前通用v2版本
  • Type：唯一報文類型（只有通告報文）
  • Virtual Rtr ID：VRRP組標識（1-255）
  • Priority：當前設備優先級
  • Count IP Addrs：維護的IP地址數量
• 通信參數：
  • 組播地址：224.0.0.18（首個學習的組播地址）
  • 通告間隔：默認1秒
  • 超時判定：3個周期（3秒）未收到報文即判定Master故障

3. VRRP狀態機





• 
• 三種狀態：
  • Initialize：端口關閉時進入
  • Master：定期發送通告報文（含虛擬MAC應答）
  • Backup：僅監聽報文（不處理任何數據轉發）
• 狀態轉換規則：
  • 優先級≠255：先進入Backup狀態再選舉
  • 優先級=255：直接成為Master
  • 接口恢復后需重新參與選舉

十、VRRP搶占模式



1. 接口跟蹤功能



• 
• 工作機制：
  • 跟蹤接口故障時自動降低優先級
  • 默認搶占模式允許Backup接管
  • 非搶占模式需人工干預切換
• 典型場景：
  • 上行鏈路故障時觸發主備切換
  • 優先級差值需足夠觸發狀態變更

2. 免費ARP機制

• 作用：解決主備切換后的二層通信問題
• 觸發時機：新Master產生時立即發送
• 報文特性：
  • 使用虛擬IP和虛擬MAC（格式：0000-5E00-01XX）
  • 強制更新終端ARP緩存表（無需等待30秒老化）
• 必要性：避免因MAC地址未更新導致通信中斷

十一、VRRP配置實例