边缘端口

（一）特点:1、收敛快：不需要等待30秒的时间，详细解释，正常情况下一台交换机接一台主机这个端口如果不配置边缘端口，会选举为DP口，不能进行PA，并且要经历30秒的转发延时，如果配置成边缘端口会立马变成fording状态，可以加快主机间的通信

2、进入fording不产生TC： 在正常情况下一台交换机一个端口进入fording会触发拓扑发生变化，拓扑变化之后，触发拓扑变化会删除MAC地址表象向其他接口转发TC,但是边缘端口接的是主机，下面的拓扑基本上是固定的，所以在边缘端口进入fording时我们不认为拓扑发生变化。

边缘端口一般放在下面接有终端设备，因为是终端设备不是交换机，因为下面没有BPDU流出来，所以我们的上游设备不认为是交换设备，所以这个端口接上线， 能立刻up，能访问网络，所以就不能做一个生成树的计算，所以要配置成边缘端口，端口一旦Up就能立刻up进入转发状态，场景就是立刻进入转发的场景

3、收到TC不删除MAC地址表，删除MAC地址的原因是啥了？ 拓扑发生了变化，删除MAC地址表的原因是MAC地址表发生了错误，但是边缘端口下面拓扑是固定的，并且也不会向下转发TC。

边缘端口的变化不会引起拓扑变化通知，因为不会引起变化通知，所有不会导致频繁的up、down，可以把数量说的多一些，然后就是MAC地址表也可以更新的特别快,MAC地址表被清空的话会导致单播的以太网的帧都能产生开销，回答的时候就这么说：避免网络中出现出现端口up、down引入过量的拓扑通知而带来的TC通知因为TC过多交换机会反复的刷新，就会导致数据包fluding

4、收到TC不向边缘端口转发，下面接的主机或者用户的设备，发TC给他干啥、TC的作用是啥？是拓扑改变，这个就不改变，所有不发

5、P/A机制不阻塞边缘端口，因为边缘端口接的是终端设备，阻塞下游设备是为了防止临时环路

6、收到BPDU会变成普通端口，假设把2个端口连起来会形成临时的环路

（二）边缘端口的作用：1、快速收敛

2、防止设备之间通讯中断，因为如果是普通端口上游进行收敛进行PA机制的时候会阻塞这个除了BP和EB之外的所有端口，所以如果不配置边缘可能可能存在中断的风险  

3、可以更好的通信减少带宽的占用如果是普通端口首先进入fording的时候会产生TC，产生TC就会导致全网的MAC地址删除和清空，那下次所有的数据都是以广播的形式泛洪的，所以会加大流量发泛洪，占用带宽 ，可以减少单播帧的泛洪，因为不删除MAC地址表来的数据有可能是单播，如果把MAC地址表给删除了，来的帧就是未知单播，所以这两个点都是减少数据帧的泛洪。

（三）边缘端口的应用场景：1、接办公网络，主机，固定的场景下，减少流量的泛洪，拓扑变化导致收敛频繁，如果不配置边缘端口会产生TC导致STP频繁计算泛洪，会导致网络品质变差

2、接服务器设备，服务器是24小时工作的，业务会对外提供，如果进行PA机制不设置为边缘端口会中断通信，拓扑不会变化，也不会产生TC

3、为了让主机更快的获取地址，会导致30S以后要重启网卡

4、接路由器防火墙

（四）不足：1、可能会出现临时的环路，下面接了一个hub，环路的持续时间大概为0-2秒，由于收到自己的bpdu端口另一个端口变为BP端口

[w1]display stp brief   mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        desi  forwarding      none   0    gigabitethernet0/0/2        back  discarding      none

2、永久环路，即使开启了bpdu-protection，也不能解决环路问题，因为里面的数据帧都是不带生成树协议帧的；下面接着一台没有运行stp的交换机，虽然是边缘端口，但收到的帧是不带“bpdu”的是纯的数据帧或者广播帧，会在网络中一直泛洪，因为W2收到的STP BPDU数据帧会被CPU进行丢弃，只转发数据包

W1]display stp brief mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        desi  forwarding      none   0    gigabitethernet0/0/2        desi  forwarding      none

提示日志： MAC move detected, VlanId = 1, MacAddress = 5489-983f-08c0, Original-Port = GE0/0/1, Flapping port = GE0/0/2. Please check the network accessed to flapp翻译：检测到MAC移动，VlanId=1，MacAddress=5489-983f-08c0，原始端口。T=GE0/0/1，摆动端口=GE0/0/2，请检查接入flapp的网络。

①没有使能BPDU功能的接口是否能发送BPDU报文？使能BPDU功能只影响BPDU报文的接收，不影响报文发送。因此，没有使能BPDU功能的接口可以发送BPDU报文，如果不使能BPDU功能，将影响LACP、LLDP、STP和HGMP等需要通过BPDU报文进行交互的功能。，S2700仅支持配置全局使能BPDU功能，不支持接口配置，S3700、S5700和S6700仅需要在接口下配置BPDU使能。

②BPDU报文能在设备上被透传么？端口上配置了bpdu enable后，bpdu报文会上送CPU处理被终结。设备是否处理，要看各个模块相应开关是否打开。例如，如果是STP报文的话，要看端口上是否使能了stp enable。端口上配置了bpdu disable后，bpdu报文会直接在芯片丢弃。如果要BPDU报文在设备上被透传，需要在设备相应端口上使能接二层协议透明传输功能。在V100R005及以后版本上，需要在设备相应端口上配置l2protocol-tunnel all enable命令。另外为了控制报文转发的路径，需要在报文的入端口、出端口及转发路径上的所有端口都配置缺省的VLAN，保证正常的转发。

3、没有环路，W1下面接了一个HUB，HUB下面接了一个启动了STP的交换机，这种不会环路，因为下面的交换机收到自己的bpdu会把端口阻塞

[w1]display stp brief mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        root  forwarding      none

[w2]display stp  brief  mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        desi  forwarding      none   0    gigabitethernet0/0/2        back  discarding      none   0    gigabitethernet0/0/3        desi  forwarding      none

4、一个接口下面接了一个hub,但HUB下面有接了HUB，这样W4的边缘端口也会变为阻塞状态，但是链路能收到转发的数据包，只有配置边缘端口的保护才能彻底解决环路，因为discarding状态下是能转发bpdu帧的，这种情况会把你的bpdu数据帧一直复制复制复制，回送到端口，你可以不转发用户流量，但是不能不接受数据帧，意思就是不管我来的bpdu数据帧是怎么样的，你都会判断下，是不是优先级比我高，或者低，因为如果高的话，我会认为你是一台交换机，而不是我自己的设备，如果是我自己的设备，我只会不转发，但我还是会持续监听下游交换机来的

[w1]display stp brief mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        desi  discarding    loopback

aug  5 2021 22:23:43-08:00 w1 %%01mstp/4/loopback_detected(l)[14]:the port gigabitethernet0/0/1 was blocked because it received the bpdu packets sent by itself.翻译为：（端口Gigab ITEthernet0/0/1被拦截，因为它收到了自己发送的BPDU数据包。）

5、一个交换机的两个端口，下面接了2个HUB，但HUB和HUB之间连这，分为2种情况，一种是一根线的情况，一种是2根线的情况

①HUB之间一根线的情况：这种不会环路，因为收到BPDU包就被阻塞了interface GigabitEthernet0/0/1 stp edged-port enable

interface GigabitEthernet0/0/2 stp edged-port enable    [w4]display stp brief mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        desi  forwarding      none   0    gigabitethernet0/0/2        back  discarding      none

②HUB之间二根线的情况：这种情况下，会导致环路，因为BPDU的转发会通过HUB之间的链路转发,HUB-HUB直连环路，泛洪到别的线路上去，虽然两个端口都是DISC的状态，但是还是会收到BPDU包的，解决的办法就是在交换机上启用BPDU的保护，这样如果收到BPDU的报文就会直接关闭端口，这种情况会把你的bpdu数据帧一直复制复制复制，回送到端口，你可以不转发用户流量，但是不能不接受数据帧，意思就是不管我来的bpdu数据帧是怎么样的，你都会判断下，是不是优先级比我高，或者低，因为如果高的话，我会认为你是一台交换机，而不是我自己的设备，如果是我自己的设备，我只会不转发，但我还是会持续监听下游交换机来的

[w4]display stp brief   mstid  port                        role  stp state     protection   0    gigabitethernet0/0/1        desi  discarding    loopback   0    gigabitethernet0/0/2        back  discarding      none

总结：为啥是零时的了？边缘端口虽不参数生成树的计算，但是了会往外发BPDU,（边缘端口默认会往外流BPDU），边缘端口如果收到BPDU就不会再是边缘端口了就会变为一个正常的端口，变为了正常的端口就会计算生成树的计算；开发时候假定他不是边缘端口，一个就是让你解决环路的场景；边缘端口开发的时候就是网络的边界，bpdu的流出来是对邻居有用的

（五）配合技术：配置边缘端口以后，要配置BPDU保护，主要起到防止攻击的行为，一般的攻击都是来自用户侧的，如果配置了功能以后如果手打了了BPDU，端口会down，必须人工开启和手工设置为自动启动配置命令：stp   bpdu-protection error-down  auto-recovery  cause  ?  auto-defend           Auto-defend punishing function  bpdu-protection       Specify BPDU protection function  efm-remote-failure    Dying-gasp, link-fault, critical-event, or timeout  efm-threshold-event   Error-frame, error-code, or error-frame-second event  link-flap             Specify link flap Protection function  mac-address-flapping  Mac address flapping protection function

（六）那什么情况下会产生过量的tc？没有配置边缘端口的时候，可以把电脑开关机都给说一下，电脑开关机导致交换机产生TC，这不算是TC攻击

（七）排查环路：

1、检查所有设备是否都开启了协议STP

2、一般检查用户侧这边，一般可以试着一个一个的去关掉，环路一般发生在用户侧，因为一般在用户侧，用户会接一个HUB,因为便宜，然后接好几天主机，很可能会存在插拔错误

3、暂时抑制方案W4]int  g0/0/1     storm-control    action     Storm-control action  broadcast  Broadcast packets  enable     Enable  interval   Interval  multicast  Multicast packets  unicast    Unicast packets

4、int  g0/0/1     broadcast-suppression ?  INTEGER  Specify the value of percent  block           Block the packets of this port  packets         Set packet rate