STP（MSTP）完整配置实战 —— 华为交换机 HCIA 实验

文章目录实验环境与需求说明MSTP核心规划方案四台交换机完整配置3.1 LSW1Instance 0 总根桥3.2 LSW8Instance 2 / VLAN2 主根桥3.3 LSW3Instance 3 / VLAN3 主根桥安全特性部署3.4 LSW4备份交换机链路开销调优MSTP基础原理简述常用验证与排错命令常见故障与解决办法实验总结一、实验环境与需求说明1.设备清单4台华为二层交换机LSW1、LSW3、LSW4、LSW8交换机之间通过千兆口 Trunk 互联。2.业务需求批量创建业务 VLAN 2、VLAN3部署 MSTP 多实例生成树实现 VLAN 流量负载分担、链路冗余备份部署 STP 安全特性根保护、环路保护、BPDU 防护规避非法交换机入侵、单向链路环路交换机互联端口全部为 Trunk允许所有 VLAN 透传开启设备基础运维、非法 MAC 告警、本地 HTTP 登录管理。二、MSTP 核心规划方案1. MST域统一参数所有交换机必须完全一致MST域名HCIA修订级别1实例映射Instance 2 映射 VLAN2Instance 3 映射 VLAN32.根桥分配Instance 0默认全网实例LSW1 为主根桥Instance 2VLAN2 流量LSW8 为主根桥Instance 3VLAN3 流量LSW3 为主根桥三、交换机完整配置3.1 LSW1sysname 1Instance0 总根桥sysname LSW1 vlan batch 2 to 3 stp mode stp # 自定义STP计时器生产环境不建议修改 stp timer forward-delay 900 stp timer max-age 1200 # 配置实例0为主根桥 stp instance 0 root primary # 基础运维功能 cluster enable ntdp enable ndp enable drop illegal-mac alarm diffserv domain default # MST域配置 stp region-configuration region-name HCIA revision-level 1 instance 2 vlan 2 instance 3 vlan 3 active region-configuration drop-profile default # AAA本地登录管理 aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http # 管理VLAN接口 interface Vlanif1 # 设备管理口 interface MEth0/0/1 # 上联Trunk互联口 interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 2 to 4094 # 空闲接入端口 interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/4 interface GigabitEthernet0/0/5 interface GigabitEthernet0/0/6 interface GigabitEthernet0/0/7 interface GigabitEthernet0/0/83.2 LSW8sysname 2Instance2/VLAN2 主根桥sysname LSW8 vlan batch 2 to 3 stp mode stp # 实例0手动设置优先级不抢占总根 stp instance 0 priority 8192 # VLAN2对应实例2主根桥 stp instance 2 root primary # 基础运维 cluster enable ntdp enable ndp enable drop illegal-mac alarm diffserv domain default # MST域统一配置 stp region-configuration region-name HCIA revision-level 1 instance 2 vlan 2 instance 3 vlan 3 active region-configuration drop-profile default # AAA登录配置 aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http interface Vlanif1 interface MEth0/0/1 # 互联Trunk端口 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 2 to 4094 # 空闲端口 interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/4 interface GigabitEthernet0/0/5 interface GigabitEthernet0/0/6 interface GigabitEthernet0/0/7 interface GigabitEthernet0/0/8 interface GigabitEthernet0/0/93.3 LSW3sysname 3Instance3/VLAN3 主根桥安全特性sysname LSW3 vlan batch 2 to 3 stp mode stp # VLAN3实例主根桥 stp instance 3 root primary # 全局BPDU防护配合边缘端口使用 stp bpdu-protection # 基础运维 cluster enable ntdp enable ndp enable drop illegal-mac alarm diffserv domain default # MST域统一配置 stp region-configuration region-name HCIA revision-level 1 instance 2 vlan 2 instance 3 vlan 3 active region-configuration drop-profile default # AAA管理 aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http interface Vlanif1 interface MEth0/0/1 # Trunk上联口环路保护防止单向链路环路 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 stp loop-protection interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094 stp loop-protection # 下联端口开启根保护阻止非法设备抢占根桥 interface GigabitEthernet0/0/4 stp root-protection # 空闲端口 interface GigabitEthernet0/0/3 interface GigabitEthernet0/0/5 interface GigabitEthernet0/0/6 interface GigabitEthernet0/0/7 interface GigabitEthernet0/0/83.4 LSW4sysname 4备份交换机链路开销调优sysname LSW4 # 基础运维 cluster enable ntdp enable ndp enable drop illegal-mac alarm diffserv domain default drop-profile default # AAA登录 aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password simple admin local-user admin service-type http interface Vlanif1 interface MEth0/0/1 # 增大实例0链路开销作为备用阻断链路 interface GigabitEthernet0/0/3 stp instance 0 cost 10000 # 空闲端口 interface GigabitEthernet0/0/1 interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/4 interface GigabitEthernet0/0/5 interface GigabitEthernet0/0/6 interface GigabitEthernet0/0/7 interface GigabitEthernet0/0/8 interface GigabitEthernet0/0/9 interface GigabitEthernet0/0/10 interface GigabitEthernet0/0/11 interface GigabitEthernet0/0/12 interface GigabitEthernet0/0/13 interface GigabitEthernet0/0/14 interface GigabitEthernet0/0/15 interface GigabitEthernet0/0/16 interface GigabitEthernet0/0/17四、MSTP 基础原理简述MST域概念多台交换机域名、修订号、VLAN 与实例映射关系完全一致即可属于同一个 MST 域域内交换机统一计算生成树域间视为单台交换机。域参数不一致会拆分多个 MST 域环路无法阻断。多实例负载分担Instance 0LSW1 为根承载未绑定实例的所有 VLAN 流量Instance 2LSW8 为根单独转发 VLAN2Instance 3LSW3 为根单独转发 VLAN3不同 VLAN 走不同根桥转发多条链路同时利用解决单实例 STP 带宽浪费问题。三大 STP 安全特性bpdu-protectionBPDU 防护接入终端端口收到 BPDU 直接 Error-Down防止私接交换机篡改拓扑loop-protection环路保护解决链路单向故障避免静默环路root-protection根保护端口拒绝更优 BPDU防止下层设备抢占根桥。五、常用验证与排错命令# 查看全局STP运行信息、根桥信息 display stp # 检查MST域配置是否全网统一 display stp region-configuration # 查看所有实例的根桥、端口角色指定/替代/备份端口 display stp instance all brief # 查看单端口STP保护配置与状态 display stp interface GigabitEthernet 0/0/1六、常见故障与解决办法二层环路、端口无法阻断原因多交换机 MST 域配置不统一解决核对域名、revision、vlan-instance 映射全部保持一致。VLAN流量不通原因互联 Trunk 端口未放行对应 VLAN解决port trunk allow-pass vlan 2 to 4094 放行所有业务 VLAN。根保护端口 Discarding 丢弃状态原因端口收到优先级更优的 BPDU解决检查下联交换机是否错误配置为主根桥。BPDU防护端口自动关闭原因接入端口收到交换机发送的 BPDU 报文解决移除私接交换机执行undo shutdown恢复端口。七、实验总结MSTP是园区网主流二层防环路技术相比传统 STP、RSTP 支持多实例负载分担带宽利用率更高部署前必须提前规划根桥与实例映射不同业务 VLAN 分流转发生产环境强制部署 BPDU 防护、根保护、环路保护提升二层网络安全稳定性MST域一致性是配置核心所有汇聚、接入交换机域参数必须完全相同。