迫切！——當(dāng)這個(gè)詞用到STP上的時(shí)候……

迫切！——當(dāng)這個(gè)詞用到STP上的時(shí)候……

奧斯科國(guó)際IT教育中心
咨詢熱線：0551-63839550    18756583226
地址：合肥市蜀山區(qū)潛山路新華國(guó)際廣場(chǎng)C座8樓

STP是什么？如果只說(shuō)STP三個(gè)字母，汽修工認(rèn)會(huì)以為是燃油添加劑(燃油寶)，精神科醫(yī)生會(huì)以為是二甲氧基甲苯異丙胺，建筑專家會(huì)以為是超薄真空絕熱（保溫）板，而我們今天討論的都不是上述的東西，我們今天討論的STP是：生成樹協(xié)議。

生成樹協(xié)議(Spanning Tree Protocol)，是一款家族式協(xié)議，旨在消除二層網(wǎng)絡(luò)中部署的冗余路徑產(chǎn)生的環(huán)路問題。
由于交換機(jī)對(duì)于廣播幀進(jìn)行泛洪處理，若存在環(huán)路且不加以控制就會(huì)導(dǎo)致廣播幀一直存在于網(wǎng)絡(luò)之中占用轉(zhuǎn)發(fā)資源。STP這款協(xié)議就是為了通過(guò)協(xié)議消息(BPDU 橋協(xié)議數(shù)據(jù)單元)的交互，首先選舉出根橋，在非根設(shè)備上選舉出根端口(RP)，*將不是根端口也不是指定端口(DP)的接口邏輯上進(jìn)行阻塞。由于阻塞端口(AP)不轉(zhuǎn)發(fā)用戶數(shù)據(jù)，所以阻塞端口可以邏輯上對(duì)二層網(wǎng)絡(luò)環(huán)境中的環(huán)路進(jìn)行消除。
由于STP收斂速度的問題，后來(lái)人們提出了MSTP和RSTP協(xié)議。改進(jìn)的協(xié)議中增加了快速收斂機(jī)制(P/A，Edge Port等)，還針對(duì)于阻塞鏈路造成的帶寬浪費(fèi)提出了多實(shí)例生成樹。不過(guò)今天迫切的問題也就出現(xiàn)了……

生成樹就生成樹唄？可為啥迫切了呢？一切的一切還得從奧斯科劉講師的好兄弟的一通電話說(shuō)起……

“喂？”
“啊！什么事？”
“我問你啊，什么情況下迫切需要使用STP邊緣端口？”
“我……”

劉講師頓時(shí)語(yǔ)塞。迫切需要使用邊緣端口？！從來(lái)沒想過(guò)??！
“你的問題是哪來(lái)的？STP哪有邊緣端口？那是RSTP！”
“反正考官就這么問的。我今天面試被問的，我說(shuō)了半天都說(shuō)不對(duì)！”
分析這個(gè)問題還得從邊緣端口的特點(diǎn)開始分析。
首先，邊緣端口是存在于RSTP和MSTP中的一種快速收斂機(jī)制。由于STP家族協(xié)議中的所有端口都需要從Discarding(Blocking)狀態(tài)切換至Forwarding狀態(tài)才能夠發(fā)送用戶數(shù)據(jù)。而接入層交換機(jī)向下直接連接用戶端設(shè)備。用戶端設(shè)備一般被認(rèn)為是不會(huì)發(fā)出BPDU消息的，同時(shí)也是不會(huì)成環(huán)的(改變拓?fù)涑?。所以在RSTP和MSTP中，為了快速收斂定義了邊緣端口機(jī)制。

常用特性來(lái)說(shuō)有兩個(gè)：
1. 被配置為邊緣端口的端口，當(dāng)端口處于UP狀態(tài)時(shí)，不經(jīng)歷時(shí)延直接進(jìn)入Forwarding狀態(tài)轉(zhuǎn)發(fā)用戶數(shù)據(jù)，且不參與RSTP、MSTP生成樹計(jì)算。
2. 若邊緣端口收到了BPDU消息，則將該端口從邊緣端口中遷出，參與RSTP、MSTP生成樹計(jì)算，通過(guò)P/A機(jī)制快速收斂，喪失UP即Forwarding的快速特性。

很明顯，第二個(gè)特性是拓?fù)涓淖儾艜?huì)發(fā)生的，并非是一種“迫切”的情況。那么*種情況還是可以說(shuō)說(shuō)的：

“你都說(shuō)了什么了？”
“我說(shuō)，在工程上邊緣交換機(jī)上都配邊緣端口，為了設(shè)備重啟、掉線之類的可以快速收斂。考官說(shuō)不對(duì)再想想。然后我又說(shuō)有些設(shè)備啟動(dòng)速度很快，進(jìn)入系統(tǒng)之后無(wú)法獲取IP地址，所以需要配邊緣端口加快IP地址獲取?？脊龠€說(shuō)不對(duì)。后來(lái)我說(shuō)現(xiàn)在有很多無(wú)盤工作環(huán)境，為了盡快能夠下發(fā)操作系統(tǒng)到終端?？脊僖琅f說(shuō)不對(duì)。然后我就想不出還有什么了”

說(shuō)到這里，其實(shí)劉講師也有點(diǎn)懵圈，因?yàn)橐话闱闆r下對(duì)于RSTP，MSTP邊緣端口的認(rèn)識(shí)確實(shí)是如此。此時(shí)劉講師的直覺告訴他：迫切，這兩個(gè)字有問題。
因?yàn)闆]想通，聊了幾句就這么把電話掛了。可迫切這倆字算是印在腦子里了。

轉(zhuǎn)眼第二天，又是一個(gè)電話。此人曾是劉講師的同事，但分飛之后有事沒事還得出來(lái)聚聚餐。電話那頭略顯急促的直接發(fā)問：“我問你個(gè)事情，我們這邊網(wǎng)絡(luò)現(xiàn)在遭受攻擊，檢查到整個(gè)交換網(wǎng)里頭路徑全亂了，核心層交換機(jī)根端口指向匯聚層，匯聚層的根端口指向接入，接入層我們還沒去查，這是什么情況？”
一個(gè)霹靂一樣的，回答了昨天的問題：終于知道迫切需要開啟邊緣端口的原因了！
給這位同事的解決方案很簡(jiǎn)單：進(jìn)每一臺(tái)接入層設(shè)備，所有除上聯(lián)端口以外，所有接口開邊緣端口，并開啟BPDU保護(hù)功能，檢查攻擊源。

其實(shí)，邊緣端口還有第三個(gè)特性，只不過(guò)在一般的教學(xué)中被概括了，并沒有在邊緣端口中被總結(jié)。而記憶的時(shí)候，提及到邊緣端口很難再回想或串聯(lián)起和其它技術(shù)的配合使用。
這第三個(gè)特性，就是：如果設(shè)備上開啟了BPDU保護(hù)功能，則邊緣端口不能收到BPDU消息。一旦收到則認(rèn)為網(wǎng)絡(luò)存在環(huán)路或者攻擊，會(huì)立即將邊緣端口置位Error-down狀態(tài)。除非手工恢復(fù)或配置了自動(dòng)恢復(fù)，否則該端口會(huì)一直保存Down狀態(tài)。
問題就這樣被解答了：當(dāng)網(wǎng)絡(luò)中存在邊緣攻擊時(shí)，攻擊會(huì)導(dǎo)致網(wǎng)絡(luò)中的生成樹發(fā)生變化，造成網(wǎng)絡(luò)通信影響或終端。此時(shí)，開啟邊緣端口并配置BPDU保護(hù)，生成樹協(xié)議會(huì)自動(dòng)將BPDU攻擊端口關(guān)閉，從而解決掉攻擊問題。
迫切需要？呵呵。

其實(shí)很多的問題本身并不難，難的是在被問及這個(gè)問題的時(shí)候能否想到，能否想通?？赡芤恍┘夹g(shù)是常用的，可能一些技術(shù)是你在學(xué)習(xí)的過(guò)程中有一個(gè)突然的點(diǎn)使你記得的，那么這些就會(huì)很簡(jiǎn)單。另一些技術(shù)是不常用的，是從一開始就比較發(fā)暈的，那么這些技術(shù)可能在未來(lái)的使用中就會(huì)稍遜一些。
人，慢慢的學(xué)習(xí)，慢慢的成長(zhǎng)，逐漸的收集和積累。
*劉講師引用一句“航空事業(yè)”中的經(jīng)典語(yǔ)句：
一位飛行員，當(dāng)他拿到執(zhí)照的時(shí)候，他的左右手里也各拿著一個(gè)袋子。一個(gè)袋子是空的，留著讓他去裝知識(shí)；另一個(gè)袋子是滿的，那里面裝滿了運(yùn)氣。你要在用光運(yùn)氣之前盡可能去填滿你的知識(shí)，否則你所面臨的，只有死亡。
學(xué)無(wú)止境，奧斯科還在這里等你，希望有更多的小伙伴加入我們，我們隨時(shí)歡迎你。奧斯科和各位閱讀者共勉！

—————奧斯科(  簡(jiǎn)稱：AUSCOO）華東區(qū)域運(yùn)營(yíng)中心設(shè)在*四大科教基地之一的安徽省合肥市，西北區(qū)域運(yùn)營(yíng)中心設(shè)在甘肅省蘭州市，公司主要從事于高端IT教育和IT系統(tǒng)集成。奧斯科自成立以來(lái)一直都力求打造國(guó)際高端IT教育的*，始終堅(jiān)持“信息化*”的使命與愿景。緊跟時(shí)代發(fā)展，不斷創(chuàng)新突圍，著力構(gòu)建完整的IT服務(wù)價(jià)值鏈，提供端到端的整合IT服務(wù)，致力成為一流的信息通信技術(shù)綜合服務(wù)提供商。