學(xué)好生成樹協(xié)議，你就可以盡可能避免因某臺(tái)交換機(jī)的問題造成整個(gè)局域網(wǎng)崩潰。
生成樹協(xié)議是由Sun微系統(tǒng)公司著名工程師拉迪亞•珀?duì)柭�博�?Radia Perlman)發(fā)明的。網(wǎng)橋使用珀?duì)柭�博士發(fā)明的這種方法能夠達(dá)到2層路由的理想境界:冗余和無環(huán)路運(yùn)行。你可以把生成樹協(xié)議設(shè)想為一個(gè)各網(wǎng)橋設(shè)備記在心里的用于進(jìn)行優(yōu)化和容錯(cuò)發(fā)送數(shù)據(jù)的過程的樹型結(jié)構(gòu)。
[attach]98[/attach]
我們要介紹的這個(gè)問題在圖1中進(jìn)行了描述。

圖 1.
如果這些交換機(jī)不采用生成樹協(xié)議并且以這種方式連接，每一臺(tái)交換機(jī)將無限地復(fù)制它們收到的第一個(gè)數(shù)據(jù)包，直到內(nèi)存耗盡和系統(tǒng)崩潰為止。在2層，沒有任何東西能夠阻止這種環(huán)路的事情發(fā)生。在圖1中，管理員必須要手工關(guān)閉這個(gè)紅色連接線路才能讓這個(gè)以太網(wǎng)網(wǎng)絡(luò)運(yùn)行。生成樹協(xié)議在當(dāng)前可用連接有效時(shí)關(guān)閉一個(gè)或者更多其它冗余連接，而在當(dāng)前連接出現(xiàn)故障后，再啟用這些被關(guān)閉的冗余連接。生成樹協(xié)議決定使用哪一個(gè)連接完全取決于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。
生成樹協(xié)議拓?fù)浣Y(jié)構(gòu)的思路是，網(wǎng)橋能夠自動(dòng)發(fā)現(xiàn)一個(gè)沒有環(huán)路的拓?fù)浣Y(jié)構(gòu)的子網(wǎng)，也就是一個(gè)生成樹。生成樹協(xié)議還能夠確定有足夠的連接通向這個(gè)網(wǎng)絡(luò)的每一個(gè)部分。它將建立整個(gè)局域網(wǎng)的生成樹。當(dāng)首次連接網(wǎng)橋或者發(fā)生拓?fù)浣Y(jié)構(gòu)變化時(shí)，網(wǎng)橋都將進(jìn)行生成樹拓?fù)涞闹匦掠?jì)算。
當(dāng)一個(gè)網(wǎng)橋收到某種類型的“設(shè)置信息”(一種特殊類型的橋接協(xié)議數(shù)據(jù)單元，BPDU)時(shí)，網(wǎng)橋就開始從頭實(shí)施生成樹算法。這種算法從根網(wǎng)橋的選擇開始的。根網(wǎng)橋(root bridge)是整個(gè)拓?fù)浣Y(jié)構(gòu)的核心，所有的數(shù)據(jù)實(shí)際上都要通過根網(wǎng)橋。順便提示一下，有手工設(shè)置根網(wǎng)橋時(shí)要特別注意。對(duì)于思科設(shè)備來言其根網(wǎng)橋的選擇過程暴露出一些問題，就是過分簡(jiǎn)單化。思科硬件通常使用最低的MAC地址，具備這些地址的設(shè)備通常是網(wǎng)絡(luò)中最古老的設(shè)備，因而其交換速度常是最慢的，而從根網(wǎng)橋在網(wǎng)絡(luò)中的位置看，它負(fù)荷卻最重。生成樹構(gòu)建的下一步是讓每一個(gè)網(wǎng)橋決定通向根橋的最短路徑，這樣，各網(wǎng)橋就可以知道如何到達(dá)這個(gè)“中心”。這一步會(huì)在每個(gè)局域網(wǎng)進(jìn)行，它選擇指定的網(wǎng)橋，或者與根橋最接近的網(wǎng)橋。指定的網(wǎng)橋?qū)�把�?shù)據(jù)從局域網(wǎng)發(fā)送到根橋。最后一步是每個(gè)網(wǎng)橋要選擇一個(gè)根端口。所謂根端口也即“用來向根橋發(fā)送數(shù)據(jù)的端口”。注意，一個(gè)網(wǎng)橋上的每一個(gè)端口，甚至連接到終端系統(tǒng)(計(jì)算機(jī))的端口，都將參加這個(gè)這個(gè)根端口選擇，除非你將一個(gè)端口設(shè)置為“忽略”。
上面就是生成樹算法的過程。但是，這還不能解釋生成樹在現(xiàn)實(shí)世界中實(shí)際上在做什么。我們說，這種計(jì)算是破壞性的。毫無疑問，它確實(shí)是如此。要進(jìn)行這種計(jì)算，網(wǎng)橋必須停止所有的通信。網(wǎng)橋要經(jīng)過一系列的測(cè)試和學(xué)習(xí)階段，只有在拓?fù)浣Y(jié)構(gòu)建立起來之后才開始發(fā)送數(shù)據(jù)。網(wǎng)橋只有在拓?fù)錂C(jī)構(gòu)改變的時(shí)候或者網(wǎng)橋得到一個(gè)BPDP包時(shí)才會(huì)進(jìn)行，想起來這種情況應(yīng)該很少，可事實(shí)上，這種計(jì)算發(fā)生的頻度要比你想象的多。
生成樹協(xié)議思路是，你允許有一個(gè)連接錯(cuò)誤，因?yàn)槟阍谝粚?duì)網(wǎng)橋之間存在兩條物理連接。生成樹協(xié)議在一個(gè)端口需要使用之前將封鎖那個(gè)端口。因此，我們應(yīng)該可以拔掉冗余的連接，并且在不中斷通信的情況下把它連接到其它的網(wǎng)橋。很可惜，它不是這樣工作的。
當(dāng)一個(gè)物理連接的網(wǎng)橋新網(wǎng)橋連線時(shí)，它將發(fā)送重新設(shè)置BPDU，其它連接的設(shè)備將遵照施行。當(dāng)生成樹協(xié)議開始計(jì)算的時(shí)候，所有的通信都要停止大約50秒。這些時(shí)間可以說是物有所值，因?yàn)槟銉H僅被限制在一個(gè)很短的停機(jī)時(shí)間內(nèi)。如果交換機(jī)被擠暴，或者你缺少多余的路徑，將會(huì)出現(xiàn)永久的停機(jī)。相比之下，停機(jī)50秒鐘只是非常輕的損失。
另外，很多現(xiàn)代廠商已經(jīng)實(shí)現(xiàn)了快速生成樹協(xié)議，這是老的生成樹協(xié)議的一個(gè)改進(jìn)版本，更加注意了在重新計(jì)算拓?fù)鋾r(shí)的開銷，并且與老版本的協(xié)議兼容。在大多數(shù)情況下，它可以把以前多達(dá)50秒的計(jì)算時(shí)間縮短到不足3秒，從這點(diǎn)看，任何人都應(yīng)該使用新的快速生成樹協(xié)議。
希望上面的介紹已經(jīng)足夠清楚。我們知道，啟用生成樹功能可以讓我們通過多個(gè)連接把兩個(gè)網(wǎng)橋連接在一起，并且不產(chǎn)生環(huán)路。如果連接之中的一個(gè)網(wǎng)橋壞了，我們可以繞過這個(gè)網(wǎng)橋，使用另一個(gè)網(wǎng)橋。這個(gè)工作原理是雖然現(xiàn)用的交換機(jī)封鎖其備用的連接，但是，它默默地監(jiān)聽BPDU更新并且仍然知道哪一個(gè)連接通向根橋。這就是說，如果你進(jìn)行了適當(dāng)?shù)脑O(shè)置。還記得虛擬局域網(wǎng)中的trunk?如果其中一個(gè)物理連接碰巧是一條虛擬局域網(wǎng)trunkk線，會(huì)出現(xiàn)什么情況呢?如果我們只有一個(gè)運(yùn)行的生成樹實(shí)例，這個(gè)生成樹可能會(huì)發(fā)現(xiàn)trunk中的一個(gè)網(wǎng)絡(luò)不應(yīng)該使用這個(gè)連接（turnk端口匯聚將多條物理連接匯聚為一個(gè)帶寬更大的邏輯連接）。除了關(guān)閉整個(gè)連接之外，它沒有其它的選擇。
現(xiàn)在進(jìn)入每一個(gè)虛擬局域網(wǎng)一個(gè)生成樹協(xié)議(PVST/per-VLAN spanning trees)的話題。當(dāng)啟用這項(xiàng)功能的時(shí)候，一個(gè)網(wǎng)橋?qū)�為該網(wǎng)橋上的每一個(gè)虛擬局域網(wǎng)運(yùn)行一個(gè)生成樹實(shí)例。如果一個(gè)trunk連接包含虛擬局域網(wǎng)1、2和3，它可以決定虛擬局域網(wǎng)1和2不能使用那個(gè)路徑，但是仍然允許虛擬局域網(wǎng)3使用這條路徑。在復(fù)雜的網(wǎng)絡(luò)中，還有許多虛擬局域網(wǎng)3只有一個(gè)出口的情況，這可能是因?yàn)楣芾韱T要限制虛擬局域網(wǎng)3訪問的范圍。如果我們不是用PVST，而且trunk端口被生成樹封鎖了，這個(gè)網(wǎng)橋上的虛擬局域網(wǎng)3將失去與其局域網(wǎng)的其它方面的連接。每一個(gè)人都應(yīng)該使用PVST。
最后，你應(yīng)該不會(huì)忘記，發(fā)送BPDU數(shù)據(jù)的任何端口都能夠引起網(wǎng)絡(luò)中斷。這也包括運(yùn)行ettercap軟件和其它非法程序的計(jì)算機(jī)。一定要在所有的端口啟用類似于思科的“BPDU-Guard”這樣的技術(shù)來封鎖BPDU數(shù)據(jù)包。這些BPDU數(shù)據(jù)包不僅能夠引起生成樹協(xié)議重新進(jìn)行計(jì)算，而且一臺(tái)計(jì)算機(jī)也可以參加投票并且贏得這個(gè)選擇。你肯定不希望發(fā)現(xiàn)你的生成樹根是某個(gè)人的計(jì)算機(jī)。當(dāng)所有的通信都涌向你的時(shí)候，這種情況很容易完成中間人攻擊。
還有一些沒有提到的BPDU信息以及需要學(xué)習(xí)的有關(guān)生成樹協(xié)議的其它細(xì)節(jié)。這些細(xì)節(jié)有一點(diǎn)復(fù)雜。但是，由于你已經(jīng)了解了生成樹協(xié)議的概況，這些細(xì)節(jié)應(yīng)該很容易理解。如果你要花更多的時(shí)間學(xué)習(xí)這些細(xì)節(jié)，從長遠(yuǎn)來看，你會(huì)得到回報(bào)。
小結(jié)
•生成樹協(xié)議提供一種控制環(huán)路的方法。采用這種方法，在連接發(fā)生問題的時(shí)候，你的以太網(wǎng)能夠繞過出現(xiàn)故障的連接。
•生成樹中的根橋是一個(gè)邏輯的中心，并且監(jiān)視整個(gè)網(wǎng)絡(luò)的通信。最好不要依賴設(shè)備的自動(dòng)選擇去挑選哪一個(gè)網(wǎng)橋會(huì)成為根橋。
•生成樹協(xié)議重新計(jì)算是痛苦的:恰當(dāng)?shù)卦O(shè)置主機(jī)連接端口(這樣就不會(huì)引起重新計(jì)算)，推薦使用快速生成樹協(xié)議。