号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
“交换机CPU突然飙到100%?”
“全网Ping延迟上千毫秒,时通时断?”
“监控录像花屏,摄像头频繁离线?”
“交换机CPU突然飙到100%?”
“全网Ping延迟上千毫秒,时通时断?”
“监控录像花屏,摄像头频繁离线?”
这些症状,往往是 网络环路(Loop) 的典型表现。
而环路之所以频发,最常见的原因就是:
STP(生成树协议)被人为关闭了!
STP(生成树协议)被人为关闭了!
很多网工朋友为了“快速接入设备”或“避免STP收敛慢”,直接在端口上执行 undo stp enable,殊不知,这等于拆掉了网络的“保险丝”。
今天就来聊聊:为什么 绝不能随意禁用STP,以及如何安全地优化它。
一、STP是干什么的?展开剩余83%核心功能:防环当网络中存在冗余链路时,如果没有STP,数据包会无限转发,形成广播风暴:
[SW-A] ←→ [SW-B]
↑ ↑
[PC1] [PC2]
PC1发一个广播包 SW-A和SW-B都转发给对方 形成闭环,包越转越多 最终耗尽带宽和CPU✅ STP的作用:
自动阻塞一条冗余链路,逻辑上打破环路,同时保留物理冗余,用于故障切换。
二、谁在禁用STP?为什么?常见场景:典型错误配置:[Huawei] interface gigabitethernet 0/0/5
[Huawei-GigabitEthernet0/0/5] undo stp enable
❌ 这个端口一旦接入另一个交换机,立即形成环路!
三、禁用STP的后果:广播风暴实测实验环境: 两台S5700交换机,通过两条网线互连 关闭STP现象: 连线瞬间,所有端口指示灯疯狂闪烁 交换机CPU从10%飙升至98% display interface 显示:Input: 1254321 packets/sec, 980 Mbps ↑↑↑ 正常应<10Mbps 全网丢包,业务中断⚠️ 一次误操作,
可能让整个办公网瘫痪1小时以上。
⚠️ 一次误操作,
可能让整个办公网瘫痪1小时以上。
四、正确做法:不是禁用,而是优化✅ 方案1:启用 PortFast + BPDU Guard适用于接PC、打印机、摄像头的端口:
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] stp edged-port enable # 相当于PortFast
[Huawei-GigabitEthernet0/0/1] stp root-protection # 可选
[Huawei-GigabitEthernet0/0/1] stp bpdu-protection # 启用BPDU保护
🔺 作用:
端口立即进入转发状态(无需30秒等待)若收到BPDU(说明接了交换机),自动shutdown端口,防止环路🔺 作用:
端口立即进入转发状态(无需30秒等待) 若收到BPDU(说明接了交换机),自动shutdown端口,防止环路✅ 方案2:使用 Rapid STP(RSTP)替代传统STP,收敛更快(<1秒):
[Huawei] stp mode rstp
支持华为、H3C、思科设备,
建议全网统一启用。
支持华为、H3C、思科设备,
建议全网统一启用。
✅ 方案3:启用 环路检测(Loop Detection)作为STP的补充:
[Huawei] loop-detection enable
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] loop-detection enable
当检测到环路,可自动shutdown端口或发送告警。
当检测到环路,可自动shutdown端口或发送告警。
五、真实案例:会议室环路事件故障现象: 每次开会,网络卡顿10分钟 事后恢复正常排查过程: 查日志:核心交换机频繁出现 %STP-4-RING_DETECTED 追踪MAC地址:定位到会议室GE0/0/10 现场检查:用户私接了一台家用交换机,并关闭了STP解决方案: 移除私接设备 在会议室端口启用:stp edged-port enable stp bpdu-protection 用户再接交换机,端口自动shutdown,避免环路六、STP配置最佳实践总结:STP不是“麻烦”,而是“守护者” 禁用STP → 省事一时,风险一世优化STP → 一劳永逸,安全稳定 禁用STP → 省事一时,风险一世 优化STP → 一劳永逸,安全稳定记住:
网络可以没有冗余,但不能没有STP。
下次想敲 undo stp enable 时,请先问自己:
“我真的需要冒全网瘫痪的风险吗?
“我真的需要冒全网瘫痪的风险吗?
原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
发布于:福建省金富宝配资提示:文章来自网络,不代表本站观点。
