7.22总结mstp，vrrp

一、MSTP技术





• MSTI和MSTI域根





MSTP中的端口角色

3. MSTP工作原理 

MSTP 计算方法





• 3）转发路径选择
• 
• 





保护机制

• 根桥保护机制 

  边缘端口保护：当边缘端口收到配置消息时，MSTP会将这些端口关闭，防止非法设备接入网络。配置命令为[H3C] stp bpdu-protection。
  非法根桥影响：合法根桥收到优先级更高的配置消息时会失去根桥地位，导致网络拓扑结构变动。
  1. 边缘端口保护 
  保护原理：通过关闭收到BPDU的边缘端口来阻止非法设备接入网络。
  配置方式：在系统视图下配置stp bpdu-protection命令。
  处理方式：当边缘端口收到BPDU时，直接关闭该端口，需要管理员手动恢复。
  2. 根桥保护配置 

  配置位置：在接口视图下配置，而不是系统视图。
  配置命令：在接口视图下使用stp root-protection命令。
  配置原因：避免在网络内部主备根桥切换时误触发保护机制。
  3. 根桥保护实例 

  实例配置：
  进入接口视图：int g0/0/3
  启用根桥保护：stp root-protection
  设置优先级：stp instance 0 priority 0
  状态变化：当端口收到更优BPDU时，会进入discarding状态。
  4. 根桥保护状态切换 

  状态转换：当保护端口收到更优BPDU时，会切换到侦听状态（在RSTP中表现为discarding状态）。
  行为限制：处于保护状态的端口不会转发数据报文。
  5. 根桥保护注意事项 
  配置位置限制：
  不应在上行接口配置根桥保护
  只能在连接外部设备的接口配置
  主备切换影响：避免在主备根桥切换的正常过程中误触发保护机制
  与边缘端口保护区别：
  根桥保护在接口视图配置
  边缘端口保护在系统视图配置

环路保护机制

1. 环路保护原理

• 触发条件：当光纤链路单通或网络拥塞导致BPDU丢失时，下游设备会重新选择端口角色，可能形成环路
• 保护机制：开启环路保护的端口若无法收到上游设备的BPDU，无论当前端口角色如何，都会强制转为Discarding状态
• 应用场景：特别适用于光纤连接环境（如SFP模块的双纤连接），防止因单向链路故障导致的环路
• 状态转换：保护机制触发后，端口会先进入Listening状态，相当于临时关闭端口功能

TC保护机制

1. TC攻击防御

• 攻击原理：伪造大量TC-BPDU报文会导致交换机频繁刷新MAC地址表，影响网络稳定性
• 防御措施：设置时间窗口（默认10秒）内处理TC报文的最大次数阈值
• 默认值：系统默认阈值为1次，可根据实际需要调整（但不宜过大）
• 处理逻辑：超过阈值的TC报文将被忽略，避免地址表被恶意刷新

2. TC保护配置

• 配置位置：在系统视图下进行全局配置
• 验证方法：通过频繁开关端口模拟TC攻击，观察地址表刷新行为
• 实际应用：在稳定拓扑中TC报文应较少出现，阈值设置需平衡安全性与可用性
• 注意事项：与根保护、环路保护不同，TC保护是针对泛洪攻击的防御机制

五、VRRP技术

1. VRRP基本概念

• 
• 协议定义: VRRP（Virtual Router Redundancy Protocol）是RFC 3768定义的容错协议，通过将多个路由器组成备份组形成虚拟路由器来承担网关功能。
• 核心功能: 实现网关设备冗余备份，当主网关故障时自动切换备份网关，保证网络连通性。
• 工作逻辑: 将多个三层设备（交换机/路由器）组成逻辑设备，终端只需配置虚拟IP为网关地址，不感知具体转发设备。

2. VRRP工作原理

• 组结构:
  • 每个VRRP组包含1个Master（主设备）和若干Backup（备份设备）
  • Master实际承担数据转发，Backup处于监听状态
• 虚拟地址:
  • 虚拟IP：终端配置的网关地址
  • 虚拟MAC：固定格式0000-5E00-01XX（XX对应VRID）
• 切换机制: 当Master故障时，优先级最高的Backup接替转发工作，虚拟IP/MAC保持不变。

3. VRRP主备切换





• 选举原则: 通过优先级（Priority）选举Master，默认优先级100，数值越大越优先
• 故障检测: Backup通过组播报文检测Master状态，3倍Advertisement间隔未收到报文即触发切换
• 透明切换: 终端无需感知主备切换过程，网关IP/MAC始终保持不变

六、VRRP负载分担





1. 多网段负载分担

• 实现条件: 需要至少两个网段（如10.100.10.0/24和10.100.11.0/24）
• 配置方式:
  • 设备A作为网段1的Master/网段2的Backup
  • 设备B作为网段2的Master/网段1的Backup
• 流量分布: 不同网段流量通过不同物理设备转发，实现负载均衡

七、VRRP协议报

八、VRRP优先级

1. 默认优先级

• 取值范围：8位二进制数，默认值为100，最高优先级为255（思科/华为设备默认值相同）
• 选举规则：
  • 优先级高的设备成为Master路由器
  • 优先级相同时比较接口IP地址，较大者成为Master
  • 同一VRRP组中必须且只能存在一个Master路由器，但可存在多个Backup路由器

2. 特殊优先级255

• 
• 触发条件：当物理接口IP地址与虚拟路由器IP地址完全相同时
• 特性：
  • 自动获得255优先级（不可人工修改）
  • 直接成为Master路由器且不可降级
  • 避免网络中IP地址冲突的保障机制
• 限制：人工配置优先级最高只能设为254

九、VRRP工作过程

1. VRRP协议号

• 协议层：网络层协议（直接封装在IP包头后）
• 协议号：112（无传输层封装）

2. VRRP报文格式



• 
• 基本字段：
  • Version：当前通用v2版本
  • Type：唯一报文类型（只有通告报文）
  • Virtual Rtr ID：VRRP组标识（1-255）
  • Priority：当前设备优先级
  • Count IP Addrs：维护的IP地址数量
• 通信参数：
  • 组播地址：224.0.0.18（首个学习的组播地址）
  • 通告间隔：默认1秒
  • 超时判定：3个周期（3秒）未收到报文即判定Master故障

3. VRRP状态机





• 
• 三种状态：
  • Initialize：端口关闭时进入
  • Master：定期发送通告报文（含虚拟MAC应答）
  • Backup：仅监听报文（不处理任何数据转发）
• 状态转换规则：
  • 优先级≠255：先进入Backup状态再选举
  • 优先级=255：直接成为Master
  • 接口恢复后需重新参与选举

十、VRRP抢占模式



1. 接口跟踪功能



• 
• 工作机制：
  • 跟踪接口故障时自动降低优先级
  • 默认抢占模式允许Backup接管
  • 非抢占模式需人工干预切换
• 典型场景：
  • 上行链路故障时触发主备切换
  • 优先级差值需足够触发状态变更

2. 免费ARP机制

• 作用：解决主备切换后的二层通信问题
• 触发时机：新Master产生时立即发送
• 报文特性：
  • 使用虚拟IP和虚拟MAC（格式：0000-5E00-01XX）
  • 强制更新终端ARP缓存表（无需等待30秒老化）
• 必要性：避免因MAC地址未更新导致通信中断

十一、VRRP配置实例