學(xué)好生成樹協(xié)議，你就可以盡可能避免因某臺交換機(jī)的問題造成整個局域網(wǎng)崩潰。
生成樹協(xié)議是由Sun微系統(tǒng)公司著名工程師拉迪亞•珀爾曼博士(Radia Perlman)發(fā)明的。網(wǎng)橋使用珀爾曼博士發(fā)明的這種方法能夠達(dá)到2層路由的理想境界:冗余和無環(huán)路運行。你可以把生成樹協(xié)議設(shè)想為一個各網(wǎng)橋設(shè)備記在心里的用于進(jìn)行優(yōu)化和容錯發(fā)送數(shù)據(jù)的過程的樹型結(jié)構(gòu)。
[attach]98[/attach]
我們要介紹的這個問題在圖1中進(jìn)行了描述。

圖 1.
如果這些交換機(jī)不采用生成樹協(xié)議并且以這種方式連接，每一臺交換機(jī)將無限地復(fù)制它們收到的第一個數(shù)據(jù)包，直到內(nèi)存耗盡和系統(tǒng)崩潰為止。在2層，沒有任何東西能夠阻止這種環(huán)路的事情發(fā)生。在圖1中，管理員必須要手工關(guān)閉這個紅色連接線路才能讓這個以太網(wǎng)網(wǎng)絡(luò)運行。生成樹協(xié)議在當(dāng)前可用連接有效時關(guān)閉一個或者更多其它冗余連接，而在當(dāng)前連接出現(xiàn)故障后，再啟用這些被關(guān)閉的冗余連接。生成樹協(xié)議決定使用哪一個連接完全取決于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。
生成樹協(xié)議拓?fù)浣Y(jié)構(gòu)的思路是，網(wǎng)橋能夠自動發(fā)現(xiàn)一個沒有環(huán)路的拓?fù)浣Y(jié)構(gòu)的子網(wǎng)，也就是一個生成樹。生成樹協(xié)議還能夠確定有足夠的連接通向這個網(wǎng)絡(luò)的每一個部分。它將建立整個局域網(wǎng)的生成樹。當(dāng)首次連接網(wǎng)橋或者發(fā)生拓?fù)浣Y(jié)構(gòu)變化時，網(wǎng)橋都將進(jìn)行生成樹拓?fù)涞闹匦掠嬎恪?br /> 當(dāng)一個網(wǎng)橋收到某種類型的“設(shè)置信息”(一種特殊類型的橋接協(xié)議數(shù)據(jù)單元，BPDU)時，網(wǎng)橋就開始從頭實施生成樹算法。這種算法從根網(wǎng)橋的選擇開始的。根網(wǎng)橋(root bridge)是整個拓?fù)浣Y(jié)構(gòu)的核心，所有的數(shù)據(jù)實際上都要通過根網(wǎng)橋。順便提示一下，有手工設(shè)置根網(wǎng)橋時要特別注意。對于思科設(shè)備來言其根網(wǎng)橋的選擇過程暴露出一些問題，就是過分簡單化。思科硬件通常使用最低的MAC地址，具備這些地址的設(shè)備通常是網(wǎng)絡(luò)中最古老的設(shè)備，因而其交換速度常是最慢的，而從根網(wǎng)橋在網(wǎng)絡(luò)中的位置看，它負(fù)荷卻最重。生成樹構(gòu)建的下一步是讓每一個網(wǎng)橋決定通向根橋的最短路徑，這樣，各網(wǎng)橋就可以知道如何到達(dá)這個“中心”。這一步會在每個局域網(wǎng)進(jìn)行，它選擇指定的網(wǎng)橋，或者與根橋最接近的網(wǎng)橋。指定的網(wǎng)橋?qū)�把�?shù)據(jù)從局域網(wǎng)發(fā)送到根橋。最后一步是每個網(wǎng)橋要選擇一個根端口。所謂根端口也即“用來向根橋發(fā)送數(shù)據(jù)的端口”。注意，一個網(wǎng)橋上的每一個端口，甚至連接到終端系統(tǒng)(計算機(jī))的端口，都將參加這個這個根端口選擇，除非你將一個端口設(shè)置為“忽略”。
上面就是生成樹算法的過程。但是，這還不能解釋生成樹在現(xiàn)實世界中實際上在做什么。我們說，這種計算是破壞性的。毫無疑問，它確實是如此。要進(jìn)行這種計算，網(wǎng)橋必須停止所有的通信。網(wǎng)橋要經(jīng)過一系列的測試和學(xué)習(xí)階段，只有在拓?fù)浣Y(jié)構(gòu)建立起來之后才開始發(fā)送數(shù)據(jù)。網(wǎng)橋只有在拓?fù)錂C(jī)構(gòu)改變的時候或者網(wǎng)橋得到一個BPDP包時才會進(jìn)行，想起來這種情況應(yīng)該很少，可事實上，這種計算發(fā)生的頻度要比你想象的多。
生成樹協(xié)議思路是，你允許有一個連接錯誤，因為你在一對網(wǎng)橋之間存在兩條物理連接。生成樹協(xié)議在一個端口需要使用之前將封鎖那個端口。因此，我們應(yīng)該可以拔掉冗余的連接，并且在不中斷通信的情況下把它連接到其它的網(wǎng)橋。很可惜，它不是這樣工作的。
當(dāng)一個物理連接的網(wǎng)橋新網(wǎng)橋連線時，它將發(fā)送重新設(shè)置BPDU，其它連接的設(shè)備將遵照施行。當(dāng)生成樹協(xié)議開始計算的時候，所有的通信都要停止大約50秒。這些時間可以說是物有所值，因為你僅僅被限制在一個很短的停機(jī)時間內(nèi)。如果交換機(jī)被擠暴，或者你缺少多余的路徑，將會出現(xiàn)永久的停機(jī)。相比之下，停機(jī)50秒鐘只是非常輕的損失。
另外，很多現(xiàn)代廠商已經(jīng)實現(xiàn)了快速生成樹協(xié)議，這是老的生成樹協(xié)議的一個改進(jìn)版本，更加注意了在重新計算拓?fù)鋾r的開銷，并且與老版本的協(xié)議兼容。在大多數(shù)情況下，它可以把以前多達(dá)50秒的計算時間縮短到不足3秒，從這點看，任何人都應(yīng)該使用新的快速生成樹協(xié)議。
希望上面的介紹已經(jīng)足夠清楚。我們知道，啟用生成樹功能可以讓我們通過多個連接把兩個網(wǎng)橋連接在一起，并且不產(chǎn)生環(huán)路。如果連接之中的一個網(wǎng)橋壞了，我們可以繞過這個網(wǎng)橋，使用另一個網(wǎng)橋。這個工作原理是雖然現(xiàn)用的交換機(jī)封鎖其備用的連接，但是，它默默地監(jiān)聽BPDU更新并且仍然知道哪一個連接通向根橋。這就是說，如果你進(jìn)行了適當(dāng)?shù)脑O(shè)置。還記得虛擬局域網(wǎng)中的trunk?如果其中一個物理連接碰巧是一條虛擬局域網(wǎng)trunkk線，會出現(xiàn)什么情況呢?如果我們只有一個運行的生成樹實例，這個生成樹可能會發(fā)現(xiàn)trunk中的一個網(wǎng)絡(luò)不應(yīng)該使用這個連接（turnk端口匯聚將多條物理連接匯聚為一個帶寬更大的邏輯連接）。除了關(guān)閉整個連接之外，它沒有其它的選擇。
現(xiàn)在進(jìn)入每一個虛擬局域網(wǎng)一個生成樹協(xié)議(PVST/per-VLAN spanning trees)的話題。當(dāng)啟用這項功能的時候，一個網(wǎng)橋?qū)�為該網(wǎng)橋上的每一個虛擬局域網(wǎng)運行一個生成樹實例。如果一個trunk連接包含虛擬局域網(wǎng)1、2和3，它可以決定虛擬局域網(wǎng)1和2不能使用那個路徑，但是仍然允許虛擬局域網(wǎng)3使用這條路徑。在復(fù)雜的網(wǎng)絡(luò)中，還有許多虛擬局域網(wǎng)3只有一個出口的情況，這可能是因為管理員要限制虛擬局域網(wǎng)3訪問的范圍。如果我們不是用PVST，而且trunk端口被生成樹封鎖了，這個網(wǎng)橋上的虛擬局域網(wǎng)3將失去與其局域網(wǎng)的其它方面的連接。每一個人都應(yīng)該使用PVST。
最后，你應(yīng)該不會忘記，發(fā)送BPDU數(shù)據(jù)的任何端口都能夠引起網(wǎng)絡(luò)中斷。這也包括運行ettercap軟件和其它非法程序的計算機(jī)。一定要在所有的端口啟用類似于思科的“BPDU-Guard”這樣的技術(shù)來封鎖BPDU數(shù)據(jù)包。這些BPDU數(shù)據(jù)包不僅能夠引起生成樹協(xié)議重新進(jìn)行計算，而且一臺計算機(jī)也可以參加投票并且贏得這個選擇。你肯定不希望發(fā)現(xiàn)你的生成樹根是某個人的計算機(jī)。當(dāng)所有的通信都涌向你的時候，這種情況很容易完成中間人攻擊。
還有一些沒有提到的BPDU信息以及需要學(xué)習(xí)的有關(guān)生成樹協(xié)議的其它細(xì)節(jié)。這些細(xì)節(jié)有一點復(fù)雜。但是，由于你已經(jīng)了解了生成樹協(xié)議的概況，這些細(xì)節(jié)應(yīng)該很容易理解。如果你要花更多的時間學(xué)習(xí)這些細(xì)節(jié)，從長遠(yuǎn)來看，你會得到回報。
小結(jié)
•生成樹協(xié)議提供一種控制環(huán)路的方法。采用這種方法，在連接發(fā)生問題的時候，你的以太網(wǎng)能夠繞過出現(xiàn)故障的連接。
•生成樹中的根橋是一個邏輯的中心，并且監(jiān)視整個網(wǎng)絡(luò)的通信。最好不要依賴設(shè)備的自動選擇去挑選哪一個網(wǎng)橋會成為根橋。
•生成樹協(xié)議重新計算是痛苦的:恰當(dāng)?shù)卦O(shè)置主機(jī)連接端口(這樣就不會引起重新計算)，推薦使用快速生成樹協(xié)議。