建议在网关设备上行口上去使能STP

夜猫侠

STP
建议在网关设备上行口上去使能STP
网关设备是二三层网络的分界线，如果网关设备下行二层网络中使能了STP，为避免STP收敛影响上行三层链路，建议在上行口上去使能STP。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] stp disable

接入交换机的用户侧接口建议配置为边缘端口

通过将用户侧接口配置成边缘端口，该端口便不再参与生成树计算，从而帮助加快网络拓扑的收敛时间以及加强网络的稳定性。接入交换机连接PC和接入终端的接口上建议部署边缘端口。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] stp edged-port enable

建议配置BPDU保护

为防止攻击者仿造BPDU报文导致边缘端口属性变成非边缘端口，可配置BPDU保护功能，配置BPDU保护功能后，如果边缘端口收到BPDU报文，边缘端口将会被shutdown，边缘端口属性不变。

<HUAWEI> system-view说明：
配置BPDU保护功能后，如果边缘端口收到BPDU报文，边缘端口将会被shutdown，边缘端口属性不变。在配置了BPDU保护功能后关闭端口的情况下，被关闭的端口默认不会自动恢复，可以由网管先执行shutdown命令再执行undo shutdown命令手动恢复，也可以在接口视图下执行restart命令重启端口。如果用户希望被关闭的端口可以自动恢复，则可以通过在系统视图下执行error-down auto-recoverycausebpdu-protection interval interval-value命令使能端口状态自动恢复为Up的功能并设置端口自动恢复为Up的延时时间，使被关闭的端口经过延时时间后能够自动恢复。

[HUAWEI] stp bpdu-protection

说明：
配置BPDU保护功能后，如果边缘端口收到BPDU报文，边缘端口将会被shutdown，边缘端口属性不变。在配置了BPDU保护功能后关闭端口的情况下，被关闭的端口默认不会自动恢复，可以由网管先执行shutdown命令再执行undo shutdown命令手动恢复，也可以在接口视图下执行restart命令重启端口。如果用户希望被关闭的端口可以自动恢复，则可以通过在系统视图下执行error-down auto-recoverycausebpdu-protection interval interval-value命令使能端口状态自动恢复为Up的功能并设置端口自动恢复为Up的延时时间，使被关闭的端口经过延时时间后能够自动恢复。

建议手工指定根桥优先级和位置在根桥选举过程中，通常希望性能高、网络层次高的交换设备会被选举为根桥。但是，性能高、网络层次高的交换设备其优先级不一定高，因此可以指定生成树的根桥，以保证该设备成为根桥。为了保证网络流量不中断配置备份根桥，当根桥出现故障或被关机，备份根桥会在生成树计算时成为根桥。

# 当运行MSTP协议时，配置交换设备为生成树实例1的根桥。

<HUAWEI> system-view
[HUAWEI] stp instance 1 root primary# 当运行MSTP协议时，指定当前交换设备为指定生成树实例2的备份根桥。

<HUAWEI> system-view
[HUAWEI] stp instance 2 root secondary建议在根交换机的指定端口上配置根保护由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根交换机有可能会收到优先级更高的BPDU报文，使得合法根交换机失去根交换机的地位，引起网络拓扑结构的错误变动。这种不合法的拓扑变化，可能会导致原来应该通过高速链路的流量被牵引到低速链路上，造成网络拥塞。为了防止这种情况发生，可在根交换机上部署根保护功能，通过维持指定端口的角色来保护根交换机的地位。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] stp root-protection

说明：
根保护是指定端口上的特性。当端口的角色是指定端口时，配置根保护功能才生效。

建议Eth-Trunk接口配置固定Cost值，防止端口闪断STP反复收敛Eth-Trunk接口使能STP功能后，如果其成员口变动（如成员接口Down等），STP的Cost值就会变化。因此建议将Eth-Trunk接口配置固定Cost值，防止成员口变化带来STP的收敛。

# 当运行MSTP协议时，配置端口Eth-Trunk1在生成树实例2上的路径开销为200。

<HUAWEI> system-view
[HUAWEI] interface Eth-trunk 1
[HUAWEI-Eth-trunk1] stp instance 2 cost 200