學好生成樹協(xié)議，你就可以盡可能避免因某臺交換機的問題造成整個局域網(wǎng)崩潰。
生成樹協(xié)議是由Sun微系統(tǒng)公司著名工程師拉迪亞•珀爾曼博士(Radia Perlman)發(fā)明的。網(wǎng)橋使用珀爾曼博士發(fā)明的這種方法能夠達到2層路由的理想境界:冗余和無環(huán)路運行。你可以把生成樹協(xié)議設想為一個各網(wǎng)橋設備記在心里的用于進行優(yōu)化和容錯發(fā)送數(shù)據(jù)的過程的樹型結構。
[attach]98[/attach]
我們要介紹的這個問題在圖1中進行了描述。

圖 1.
如果這些交換機不采用生成樹協(xié)議并且以這種方式連接，每一臺交換機將無限地復制它們收到的第一個數(shù)據(jù)包，直到內存耗盡和系統(tǒng)崩潰為止。在2層，沒有任何東西能夠阻止這種環(huán)路的事情發(fā)生。在圖1中，管理員必須要手工關閉這個紅色連接線路才能讓這個以太網(wǎng)網(wǎng)絡運行。生成樹協(xié)議在當前可用連接有效時關閉一個或者更多其它冗余連接，而在當前連接出現(xiàn)故障后，再啟用這些被關閉的冗余連接。生成樹協(xié)議決定使用哪一個連接完全取決于網(wǎng)絡的拓撲結構。
生成樹協(xié)議拓撲結構的思路是，網(wǎng)橋能夠自動發(fā)現(xiàn)一個沒有環(huán)路的拓撲結構的子網(wǎng)，也就是一個生成樹。生成樹協(xié)議還能夠確定有足夠的連接通向這個網(wǎng)絡的每一個部分。它將建立整個局域網(wǎng)的生成樹。當首次連接網(wǎng)橋或者發(fā)生拓撲結構變化時，網(wǎng)橋都將進行生成樹拓撲的重新計算。
當一個網(wǎng)橋收到某種類型的“設置信息”(一種特殊類型的橋接協(xié)議數(shù)據(jù)單元，BPDU)時，網(wǎng)橋就開始從頭實施生成樹算法。這種算法從根網(wǎng)橋的選擇開始的。根網(wǎng)橋(root bridge)是整個拓撲結構的核心，所有的數(shù)據(jù)實際上都要通過根網(wǎng)橋。順便提示一下，有手工設置根網(wǎng)橋時要特別注意。對于思科設備來言其根網(wǎng)橋的選擇過程暴露出一些問題，就是過分簡單化。思科硬件通常使用最低的MAC地址，具備這些地址的設備通常是網(wǎng)絡中最古老的設備，因而其交換速度常是最慢的，而從根網(wǎng)橋在網(wǎng)絡中的位置看，它負荷卻最重。生成樹構建的下一步是讓每一個網(wǎng)橋決定通向根橋的最短路徑，這樣，各網(wǎng)橋就可以知道如何到達這個“中心”。這一步會在每個局域網(wǎng)進行，它選擇指定的網(wǎng)橋，或者與根橋最接近的網(wǎng)橋。指定的網(wǎng)橋將把數(shù)據(jù)從局域網(wǎng)發(fā)送到根橋。最后一步是每個網(wǎng)橋要選擇一個根端口。所謂根端口也即“用來向根橋發(fā)送數(shù)據(jù)的端口”。注意，一個網(wǎng)橋上的每一個端口，甚至連接到終端系統(tǒng)(計算機)的端口，都將參加這個這個根端口選擇，除非你將一個端口設置為“忽略”。
上面就是生成樹算法的過程。但是，這還不能解釋生成樹在現(xiàn)實世界中實際上在做什么。我們說，這種計算是破壞性的。毫無疑問，它確實是如此。要進行這種計算，網(wǎng)橋必須停止所有的通信。網(wǎng)橋要經過一系列的測試和學習階段，只有在拓撲結構建立起來之后才開始發(fā)送數(shù)據(jù)。網(wǎng)橋只有在拓撲機構改變的時候或者網(wǎng)橋得到一個BPDP包時才會進行，想起來這種情況應該很少，可事實上，這種計算發(fā)生的頻度要比你想象的多。
生成樹協(xié)議思路是，你允許有一個連接錯誤，因為你在一對網(wǎng)橋之間存在兩條物理連接。生成樹協(xié)議在一個端口需要使用之前將封鎖那個端口。因此，我們應該可以拔掉冗余的連接，并且在不中斷通信的情況下把它連接到其它的網(wǎng)橋。很可惜，它不是這樣工作的。
當一個物理連接的網(wǎng)橋新網(wǎng)橋連線時，它將發(fā)送重新設置BPDU，其它連接的設備將遵照施行。當生成樹協(xié)議開始計算的時候，所有的通信都要停止大約50秒。這些時間可以說是物有所值，因為你僅僅被限制在一個很短的停機時間內。如果交換機被擠暴，或者你缺少多余的路徑，將會出現(xiàn)永久的停機。相比之下，停機50秒鐘只是非常輕的損失。
另外，很多現(xiàn)代廠商已經實現(xiàn)了快速生成樹協(xié)議，這是老的生成樹協(xié)議的一個改進版本，更加注意了在重新計算拓撲時的開銷，并且與老版本的協(xié)議兼容。在大多數(shù)情況下，它可以把以前多達50秒的計算時間縮短到不足3秒，從這點看，任何人都應該使用新的快速生成樹協(xié)議。
希望上面的介紹已經足夠清楚。我們知道，啟用生成樹功能可以讓我們通過多個連接把兩個網(wǎng)橋連接在一起，并且不產生環(huán)路。如果連接之中的一個網(wǎng)橋壞了，我們可以繞過這個網(wǎng)橋，使用另一個網(wǎng)橋。這個工作原理是雖然現(xiàn)用的交換機封鎖其備用的連接，但是，它默默地監(jiān)聽BPDU更新并且仍然知道哪一個連接通向根橋。這就是說，如果你進行了適當?shù)脑O置。還記得虛擬局域網(wǎng)中的trunk?如果其中一個物理連接碰巧是一條虛擬局域網(wǎng)trunkk線，會出現(xiàn)什么情況呢?如果我們只有一個運行的生成樹實例，這個生成樹可能會發(fā)現(xiàn)trunk中的一個網(wǎng)絡不應該使用這個連接（turnk端口匯聚將多條物理連接匯聚為一個帶寬更大的邏輯連接）。除了關閉整個連接之外，它沒有其它的選擇。
現(xiàn)在進入每一個虛擬局域網(wǎng)一個生成樹協(xié)議(PVST/per-VLAN spanning trees)的話題。當啟用這項功能的時候，一個網(wǎng)橋將為該網(wǎng)橋上的每一個虛擬局域網(wǎng)運行一個生成樹實例。如果一個trunk連接包含虛擬局域網(wǎng)1、2和3，它可以決定虛擬局域網(wǎng)1和2不能使用那個路徑，但是仍然允許虛擬局域網(wǎng)3使用這條路徑。在復雜的網(wǎng)絡中，還有許多虛擬局域網(wǎng)3只有一個出口的情況，這可能是因為管理員要限制虛擬局域網(wǎng)3訪問的范圍。如果我們不是用PVST，而且trunk端口被生成樹封鎖了，這個網(wǎng)橋上的虛擬局域網(wǎng)3將失去與其局域網(wǎng)的其它方面的連接。每一個人都應該使用PVST。
最后，你應該不會忘記，發(fā)送BPDU數(shù)據(jù)的任何端口都能夠引起網(wǎng)絡中斷。這也包括運行ettercap軟件和其它非法程序的計算機。一定要在所有的端口啟用類似于思科的“BPDU-Guard”這樣的技術來封鎖BPDU數(shù)據(jù)包。這些BPDU數(shù)據(jù)包不僅能夠引起生成樹協(xié)議重新進行計算，而且一臺計算機也可以參加投票并且贏得這個選擇。你肯定不希望發(fā)現(xiàn)你的生成樹根是某個人的計算機。當所有的通信都涌向你的時候，這種情況很容易完成中間人攻擊。
還有一些沒有提到的BPDU信息以及需要學習的有關生成樹協(xié)議的其它細節(jié)。這些細節(jié)有一點復雜。但是，由于你已經了解了生成樹協(xié)議的概況，這些細節(jié)應該很容易理解。如果你要花更多的時間學習這些細節(jié)，從長遠來看，你會得到回報。
小結
•生成樹協(xié)議提供一種控制環(huán)路的方法。采用這種方法，在連接發(fā)生問題的時候，你的以太網(wǎng)能夠繞過出現(xiàn)故障的連接。
•生成樹中的根橋是一個邏輯的中心，并且監(jiān)視整個網(wǎng)絡的通信。最好不要依賴設備的自動選擇去挑選哪一個網(wǎng)橋會成為根橋。
•生成樹協(xié)議重新計算是痛苦的:恰當?shù)卦O置主機連接端口(這樣就不會引起重新計算)，推薦使用快速生成樹協(xié)議。