STP在网络配置中的规划

STP的主要作用是防止网桥网络中的冗余链路形成环路，工作在OSI模型 的第2层。但某些特定因素会导致STP失败，要排除故障可能非常困难，这取决于网络设计。所以要先做好周密准备和规划，以免发生故障后束手无策。

图1 网络拓扑图

合理配置根桥

许多时候，人们在着手排除故障时才发现自己不知道根桥的位罝在哪里，如图1所示，不要将根桥交由STP来决定。对于每个VLAN，通常都可以确定哪台交换机最适合作为根桥。一般情况下，选择位于网络中央位置、而且功能较强的网桥，如果将位于网络中央、直接连接到服务器和路由器的设备定为根桥，便可缩短从客户端到服务器和路由器的平均距离。

由图1可知：如果交换机SW2是根桥，则会在SW1或SW3上阻塞从SW1到SW3的链路，此时连接到交换机SW2的主机PC1能够通过2跳访问服务器和路由器，连接到网桥SW3的主机PC2能够通过3跳访问服务器和 路由器，因此平均距离是两跳半。

如果交换机SW1是根桥，那么连接到SW2和SW3的主机PC1、PC2都能通过两跳到达路由器和服务器，现在的平均距离为两跳。

图1所描述的只是一个非常简单的网络拓扑，如果在更复杂的网络拓朴结构中以上的逻辑同样使用，所以根桥的选择在现实环境中显得尤为重要，并不是随便配置一下，让网络自主选择根桥，能够连通就OK了。而且当出现一些不是很明显的网络故障时，会让我们不知所措。

措施：可以通过配置网桥优先级来指定根桥，默认32768，数值越小优先级越高(但必须是4096的倍数)，现在改为4096，最好配另一台为备用根桥，优先级可以配为8192。

尽量减少阻塞端口

STP之所以能够成功阻止环路，采取的惟一一项重要举措就是阻塞端口。只要有一个阻塞端口错误转换到转发状态，就可能对大面积的网络造成负面影响。这就是使用STP可能带来的风险，但是，我们可对此风险加以限制，尽量减少阻塞端口数目。

要想在将来发生STP故障的时候更容易加以解决，就要在一开始的时候规划好冗余链路。

在非分层式网络中，可能需要微调STP开销参数来决定要阻塞的端口。然而，如果采用的是分层设计而且根桥所在的位置恰当，那么一般不需要调整该参数。

注意：为了得到稳定网络，务必了解每个VLAN中应阻塞哪些端口，应具备一张网络图，其中应清晰显示网络中的每个物理环路以及断开这些环路的阻塞端口。

图2 网络拓扑图

图3 网络拓扑图

此外，了解冗余链路的位罝有助于找出偶然的桥接环路以及原因。了解阻塞端口的位置也有助于确定错误的位置。

在交换网络中，两个节点之间可能需要两条以上的冗余链路。然而，图2所示的配置相当常见。每台到汇聚层交换机分别连接到两台核心层交换机，即交换机LSW1和 LSW2。

接入交换机LSW5和LSW6连接到汇聚层交换机LSW3和LSW4, LSW5和LSW6上的用户都只位于网络中可用VLAN的子集中。在该图中，交换机LSW3连接的用户都位于VLAN 20中；交换机LSW4只连接VLAN 30中的用户。

默认情况下，中继承载 VTP域中定义的所有VLAN。使用VTP修剪,交换机LSW3转发VLAN 20的流量,但阻塞不必要的VLAN 30的流最。核心层交换机LSW1和LSW2之间。

一共有3条冗余路径。这种冗余设置会导致更多的端口被阻塞，形成环路的机率也更高。

所有不必要的VLAN流都应该从适当的中继链路中剪除掉。VTP修剪可以起到一定的作用，但是在网络的核心层则没有必要使用此功能。

建议：只使用接入VLAN将汇聚层交换机连接到核心层（图 3），在此设计中，每个VLAN只阻塞了一个端口。此外，如果关闭LSW1或LSW2,那么只需一个步骤 即可删除所有冗余链路。

注意：VTP是思科专有的协议，在IEEE标准中有GVRP 协议，允许对802.1Q VLAN 进行控制。GVRP交换机之间能够相互交换VLAN配置信息，裁剪不必要的广播和未知单播流量以及在通过 802.1Q干线连接的交换机上动态创建和管理VLAN。

使用3层交换

第3层交换意味着以第2层交换的速度执行路由。路由器执行的两种主要功能如下。

1.构建路由表，路由器一般通过路由协议与对等点交换信息；

2.接收数据包，并根据目的地址将它们转发到正确的接口。

第3层交换机现在能够使用与第2层交换功能一样快的速度来有效地执行第2层功能，如图3所示（虚线框），路由的跳转以及LSW1与LSW2之间的额外网段上没有任何对速度的不利影响。

核心层交换机LSW1和LSW2是第3层交换机。VLAN 20与VLAN 30现在在LSW1与LSW2之间路由, 因此不可能形成环路。第三层设备限制了VLAN 20与VLAN 30的广播域边界，而依赖第3层路由协议，冗余功能仍然存在，此设计保证收敛速度比802.1DSTP的收敛速度更快。STP不再阻塞任何单个端口，因此不可能形成桥接环路。

使流量远离本征VLAN

1.默认VLAN

在交换机初始启动之后，交换机的所有端口即加入到默认VLAN中。让所有这些交换机端口参与默认VLAN会使这些端口全部位于同一个广播域中。这样一来，连接到交换机任何端口的任何设备都能与连接到其它端口的其它设备通信。交换机的默认VLAN是VLAN 1。VLAN 1具有VLAN的所有功能，但是不能对它进行重命名，也不能删除。第2层的控制流量（例如CDP流量和生成树协议流量）始终从属于 VLAN 1——这一点无法改变。

2.本征 VLAN

本 征VLAN分 配 给802.1Q中继端口。802.1Q中继端口支持来自多个VLAN 的流量（有标记流量），也支持来自VLAN以外的流量（无 标 记 流 量）。802.1Q中继端口会将无标记流量发送到本征VLAN。

默认情况下TRUNK会把默认VLAN1作为本征VLAN,这样一来，所有无标记流量都通过VLAN1，大量的广播或组播流量太高会对CPU造成不利影响，削弱其处理重要的BPDU的能力。因此，用户流量不应在VLAN1上传输。

最佳做法是使用VLAN 1以外的VLAN作为本征VLAN。这样VLAN1就可以保证二层的控制流量（例如CDP流量和生成树协议流量）畅通。