? 一、鏈路聚合！鏈路備份技術之一

-----鏈路聚合（Link Aggregation）被視為鏈路備份技術，核心原因在于它能通過多條物理鏈路的捆綁，實現 “一條鏈路故障時，其他鏈路自動接管流量” 的冗余備份效果，同時還能疊加帶寬。

1.概念

2.作用

3.鏈路聚合模式

3.1靜態鏈路聚合模式

3.2動態鏈路聚合模式

3.3靜態聚合 vs 動態聚合（核心差異）

4.鏈路聚合的工作原理?

1. 鏈路聚合組（LAG）的創建

• 首先在網絡設備（如交換機、路由器、服務器）上配置鏈路聚合組（LAG，Link Aggregation Group），將需要捆綁的物理端口加入同一 LAG。
• 例如，交換機 A 的端口 1-4 與交換機 B 的端口 1-4 加入同一 LAG，形成一個邏輯鏈路。

2. 協商與協議適配

• 鏈路聚合需要遵循標準化協議，確保兩端設備（如交換機 A 和 B）對 LAG 的配置一致，常用協議包括：

  • LACP（Link Aggregation Control Protocol，鏈路聚合控制協議）：IEEE 802.3ad 標準，是最常用的協議。通過交換 LACP 報文，自動協商哪些物理鏈路可以加入 LAG，并動態維護鏈路狀態（如檢測鏈路故障）。
  • 靜態聚合：無需協議協商，由管理員手動指定加入 LAG 的物理鏈路。但靈活性低，無法自動檢測鏈路故障或動態調整。

• LACP 的協商過程：

  • 兩端設備通過專用的 LACP 報文（包含設備 ID、端口優先級、LAG 編號等信息）交換配置。
  • 協商成功后，兩端確認哪些物理鏈路可用，并將其激活為 LAG 的成員鏈路；未通過協商的鏈路則處于備用狀態。

3. 數據幀的分發與負載均衡

• 當數據通過邏輯鏈路傳輸時，設備需要通過負載均衡算法決定將數據幀（數據包）發送到哪條物理鏈路。
• 常用的負載均衡算法（根據數據幀的特征分類）：
  • 基于源 / 目的 MAC 地址：根據數據幀的源 MAC 或目的 MAC 地址哈希計算，相同地址的幀固定走某條鏈路（適合二層網絡）。
  • 基于源 / 目的 IP 地址：根據源 IP 或目的 IP 地址哈希計算（適合三層網絡，如跨子網通信）。
  • 基于端口號：對于 TCP/UDP 流量，根據源端口或目的端口哈希（適合區分不同應用的流量）。
• 示例：若采用 “源 IP + 目的 IP” 算法，同一對 IP 地址的通信會固定使用某條物理鏈路，不同 IP 對的通信則可能分配到其他鏈路，實現負載分散。

4. 故障檢測與鏈路切換

• 鏈路聚合技術會實時監控各物理鏈路的狀態（通過 LACP 報文或鏈路層檢測機制，如鏈路脈沖信號）。
• 若某條物理鏈路故障（如網線斷裂、端口損壞）：
  • LACP 會立即檢測到故障，并將該鏈路從 LAG 中移除。
  • 原本通過該鏈路傳輸的流量，會根據負載均衡算法自動切換到其他正常鏈路，整個過程通常在毫秒級完成，對上層應用無感知。

二、?RSTP技術-鏈路備份技術

回顧STP技術?

1.端口角色確定

2.臨時環路怎么產生的？?

3.通過定義端口規則避免環路?

STP 為了避免網絡環路，給交換機端口定義了?5 種狀態，不同狀態下端口的行為（收發 BPDU、學習 MAC、轉發數據）不同，目的是有序控制端口角色，逐步放開數據轉發，防止環路：

4.STP 的傳統缺陷—— 拓撲變化時收斂慢?

5.TCN BPDU?

前提：拓撲變化觸發

情況 1：網絡里新接了一臺交換機，或者原本阻塞的端口（Blocking）被激活，變成 Forwarding 狀態（能轉發流量了 ）。

• 條件細化：
  不僅要 “有端口進入 Forwarding”，還得滿足?“該交換機至少有一個指定端口（Designated Port）”?。
  • 解釋：“指定端口” 是 STP 里每個網段（鏈路）中負責轉發 BPDU 的端口，有指定端口說明交換機在網絡里 “有正式角色”，不是孤立的。如果新激活的端口所在交換機是 “孤網”（沒指定端口），就算端口狀態變，也不用發 TCN（發了也沒人處理 ）。

情況 2：有端口 “丟失活躍鏈路”（從 Forwarding/Learning 轉 Blocking）

• 場景：常見的如鏈路中斷（網線被拔、設備斷電 ）、端口被手動關閉，或者 STP 重新計算后，端口從 Forwarding（轉發流量 ）或 Learning（學習 MAC 地址 ）狀態，被迫變成 Blocking（阻塞，不轉發流量，防止環路 ）。
• 本質：原本能轉發 / 學習的路徑失效了，網絡拓撲實際 “斷了一塊”，需要通知全網更新。

6.總結

??1.流程分步解析

1. （綠虛線，TCN 消息）SWD → SWC：上報拓撲變化

SWD 發現鏈路中斷，符合?TCN拓撲變化通知，于是向自己的指定上游交換機（SWC ）?發?TCN BPDU?，說 “拓撲變啦，快處理” 。

2. （紅虛線，TCA 消息）SWC → SWD：確認收到 TCN

SWC 收到 SWD 的 TCN 后，需要回復?TCA拓撲變化確認，告訴 SWD“我收到消息了，你別一直發” 。這一步是 “確認機制”，避免 TCN 消息一直刷屏 。

3. （綠虛線，TCN 消息）SWC → SWA：繼續上報給根橋

SWC 除了回 TCA 給 SWD ，還要把 TCN 消息繼續往根橋（SWA ）?轉發（因為拓撲變化必須讓根橋知道，根橋才能發全網更新指令 ），同樣走 “逐級上報” 邏輯 。

4. （紫實線，TCA 消息）SWA → SWB、SWA → SWC：根橋回 TCA

根橋 SWA 收到 SWC 轉發的 TCN 后，會向所有非根橋交換機（這里是 SWB、SWC ）?發?帶 TCA 置位的配置 BPDU?，確認 “我收到拓撲變化消息了” 。這一步是根橋對全網的 “確認反饋” 。

5. （紫實線，TC 置位 BPDU ）SWA → SWB、SWA → SWC：根橋發全網更新指令

根橋 SWA 確認拓撲變化后，開始發?帶 TC（Topology Change，拓撲變化執行）置位的 BPDU?，告訴所有交換機：“拓撲變了，趕緊把 MAC 地址表老化時間從默認 300 秒改成 15 秒” 。這樣交換機能快速老化舊表項，重新學習新拓撲下的 MAC 映射，保證流量轉發正確 。

6. （隱含邏輯）全網更新 MAC 表

所有收到?TC 置位 BPDU?的交換機（SWB、SWC、SWD 等 ），會加速老化自己的 MAC 地址表。比如原本主機 A 走 SWB→SWD 的路徑，鏈路斷了后，新路徑可能變 SWB→SWC→SWD ，加速老化能讓交換機更快 “忘掉” 舊路徑，學習新路徑的 MAC 映射，網絡重新收斂 。

7.STP 的缺點

2.RSTP技術

1.概念

2. RST BPDU端口

2.1 端口狀態

2.2 端口角色

邊緣端口：不影響結果的都可以設置邊緣端口，他還可以接路由器、服務器、終端。?

3.RST BPDU格式

第二位第七位指定收斂，快速機制

56表示狀態?

必須在點對點鏈路進行，不能接集線器和傻瓜交換機這種。

4.RSTP快速收斂原理

要是邊緣端口收到了 BPDU，說明這端口實際連的可能不是終端，而是其他交換機（或者能發 BPDU 的設備 ），原本 “接終端” 的假設不成立了。

邊緣端口和根端口都不會產生環路，唯一會產生的是指定端口。

三、MSTP技術--鏈路備份技術

1.回顧STP和SRSTP的局限性

總結（STP/RSTP 兩大核心局限）

1. 負載分擔難：所有 VLAN 綁定同一棵生成樹，多條 Trunk 鏈路無法按 VLAN 分流，鏈路帶寬浪費。
2. 路徑不最優：為了破除環路，STP 會阻塞端口，導致部分 VLAN 流量繞遠路，產生 “次優路徑”，影響傳輸效率。

2.MSTP的基本概念及優勢

2.1定義

2.2MST域

2.3 CST、IST、CIST、總根和域根

注意：MST 域是 “設備 + 鏈路 + 統一配置” 的整體環境；

IST 是這個環境?內部?設備和鏈路共同跑出來的 “生成樹邏輯” ，不是單純的鏈路！！，而是域內所有元素參與的拓撲結果 。

MSTP 里生成樹是分層嵌套的，理解這幾個 “樹” 的關系，就懂 MSTP 整網邏輯：

• IST（內部生成樹 ）：

  • 每個 MST 域內默認存在的生成樹，承載 “未映射到其他實例的 VLAN” + 域內控制信息（比如 BPDU 交互 ）。實例0就是IST。

• CST（公共生成樹 ）：

  • 跨 MST 域的生成樹，把每個 MST 域當 “單一網橋” 看待，計算域間的生成樹。

• CIST（Common and Internal Spanning Tree，公共和內部生成樹 ）：

  • 整網唯一的 “超級樹”?，= IST（域內 ） + CST（域間 ），把所有域和設備納入統一邏輯。
  • 關鍵角色：
    • CIST 總根：整網生成樹的根橋（優先級最高的設備 ）；
    • CIST 域根：每個 MST 域在 CIST 里的根（域內 IST 根橋，同時參與 CIST 計算

2.4. MSTP 端口角色

MSTP 端口角色繼承 RSTP 大部分邏輯（比如 DP 是指定端口、RP 是根端口、AP 是替代端口 ），但新增?Master 端口：

• Master 端口：

  • 作用：連接 MST 域與外部（其他域或 STP/RSTP 設備）?，是 IST 根橋在 CIST 里的 “根端口”，負責域間生成樹信息交互。
  • 位置：MST 域的邊界端口（圖中 SWA 連接域外的端口，既是 “域邊界端口” 也是 “Master 端口” ）。

• 其他角色（和 RSTP 兼容）：

  • DP（Designated Port，指定端口 ）：負責向網段發流量（每個網段選一個 ）；
  • RP（Root Port，根端口 ）：交換機到根橋的最優端口；
  • AP（Alternate Port，替代端口 ）：備份根端口，阻塞狀態，根端口故障時啟用。

?3. MSTP的工作原理

?3.1MSTP的BPDU格式

BPDU 交互邏輯：MSTP 交換機之間，同一域內會交互完整的 MSTP BPDU（含多實例信息 ）；跨域或和 RSTP 交換機交互時，會 “裁剪” MST 專有字段，只發 RST BPDU 部分 → 保證整網兼容。

3.1.1 CIST的優先級向量?

?3.1.2 MSTI的優先級向量80

3.2 MSTP的計算方法?

3.3 MSTP的PA機制?

4.保護機制

1.BPDU的保護

1.1 為什么會有BPDU的保護？又或者說為什么會和邊緣端口產生關系？

因為邊緣端口是交換機連?終端設備（電腦 / 服務器）?的端口，默認是不會收到 BPDU。但是

有人?誤接交換機 / 惡意注入 BPDU，邊緣端口就會收到 BPDU，此時，邊緣端口會轉化成非邊緣端口，就會發收BPUD報文，可能會導致整個網絡發生變化，甚至可能因為錯誤的拓撲計算產生網絡環路，影響網絡的正常運行。

1.2 BPDU保護機制的作用

一旦邊緣端口收到 BPDU，交換機就會將該端口關閉，避免因端口角色的改變而引發網絡拓撲的不必要變動。

2.根橋保護

2.1為什么要有根橋保護

存在一些惡意攻擊者，會發送優先級更高的 BPDU（橋協議數據單元），宣稱自己是根橋，從而使合法根橋失去根橋地位，造成網絡癱瘓。

也可能存在因誤配設備、私接高優交換機等操作，引發根橋異常變更。

2.2 根橋保護的作用

專注于 “防御更優根橋 BPDU”，保護當前根橋不被替換。

3.環路保護

針對根端口或 Alternate 端口，防止因鏈路單向故障導致端口誤判為 “轉發” 而形成環路（通過監控 BPDU 接收，若超時則進入 Discarding 狀態）。

4.tc保護

4.1為什么會有TC保護？

在生成樹協議中，當網絡拓撲發生變化時，交換機會發送?TC - BPDU（拓撲變化橋協議數據單元）?報文，通知其他設備刪除過時的 MAC 地址表項，重新學習拓撲，確保流量正常轉發。

而 TC 攻擊，是攻擊者?偽造大量 TC - BPDU 報文?注入網絡。交換機收到這些虛假報文后，會頻繁執行 “刪除 MAC 地址表項 → 重新學習” 操作，導致：

• 設備資源耗盡：CPU 忙于處理刪除 / 學習任務，無法響應正常業務，甚至設備死機。
• 網絡震蕩：MAC 地址表頻繁清空，流量轉發混亂（如用戶斷網、業務中斷 ）。

4.2 TC 保護機制的作用

TC 保護機制通過?“限制 TC - BPDU 處理頻率”?抵御攻擊，主要在以下兩個方面：

1. 時間閾值控制

• 配置?TC 保護閾值，限定單位時間（默認 1 秒 ）內可處理的 TC - BPDU 數量。
• 例如：設置閾值為 5，若 1 秒內收到超過 5 個 TC - BPDU，交換機只處理前 5 個，丟棄剩余虛假報文，避免資源過載。

2. 抑制不必要的 MAC 刪除

• 當 TC - BPDU 數量超過閾值時，交換機進入?“抑制狀態”，不再盲目刪除所有 MAC 地址表項。
• 僅刪除?與拓撲變化相關端口?的 MAC 表項（而非全局清空 ），減少無效操作對設備的沖擊。

總結來說：通過限制單位時間內處理 TC-BPDU 報文的數量，抵御惡意攻擊導致的設備資源過度占用，同時避免頻繁刪除 MAC 地址表項引發的網絡轉發混亂。?