关于RSTP中根保护功能的用法，原来这么简单！

前言

本文介绍了RSTP协议中的根保护功能以及如何配置根保护功能，配置此功能有助于提高交换网络的可靠性、可管理性和安全性。

01 关于根保护

由于维护人员的错误配置或网络中的恶意攻击，网络中合法根桥有可能会收到优先级更高的RST BPDU，使得合法根桥失去根地位，从而引起网络拓扑结构的错误变动。这种不合法的拓扑变化，会导致原来应该通过高速链路的流量被牵引到低速链路上，造成网络拥塞。

如图1所示，DeviceA和DeviceB处于网络核心层，两者间的链路带宽为1000M，DeviceA为网络中的根桥。DeviceC处于接入层，DeviceC和DeviceA、DeviceC和DeviceB之间的链路带宽为100M。正常情况下，DeviceB和DeviceC之间的链路被阻塞。

当DeviceD新接入DeviceC时，如果DeviceD的桥优先级高于DeviceA，此时DeviceD会被选举为新的根桥，如果两个核心交换机DeviceA和DeviceB之间的千兆链路被阻塞，会导致VLAN中的流量都通过两条100M链路传输，可能会引起网络拥塞及流量丢失。

图1-1 根保护

此时可以在DeviceC连接DeviceD的端口上，配置根保护。对于启用根保护功能的指定端口，其端口角色只能保持为指定端口。一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU，端口状态将进入Discarding状态，不再转发报文。如果在一段时间（通常为两倍的Forward Delay）内，如果端口没有再收到优先级更高的RST BPDU，端口会自动恢复到正常的Forwarding状态。

• 根保护功能仅在指定端口上生效。
• 环路保护功能和根保护功能不能同时配置在同一端口。
• MSTP、VBST协议中的环路保护功能与RSTP协议类似。三种协议的区别在于RSTP中所有VLAN共享一棵生成树，所有VLAN的流量按照同样的路径转发，而MSTP和VBST可以实现不同VLAN的流量按照不同路径转发。

02 配置根保护功能

• 执行命令system-view，进入系统视图。
• 执行命令interface interface-type interface-number，进入参与生成树协议计算的接口视图。
• 执行命令stp root-protection，配置交换设备的根保护功能。
• 缺省情况下，端口的根保护功能处于去使能状态。当端口的角色是指定端口时，配置的根保护功能才生效。配置了根保护的端口，不可以配置环路保护。

下面这个示例显示了如何在接口GigabitEthernet0/0/1下配置根保护功能，并查看是否配置成功。

 system-view
[HUAWEI] interface GigabitEthernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] stp root-protection
[HUAWEI-GigabitEthernet0/0/1] quit
[HUAWEI] display stp brief
 MSTID   Port                        Role  STP State     Protection
    0    GigabitEthernet0/0/1        DESI  FORWARDING      ROOT
    0    GigabitEthernet0/0/2        DESI  FORWARDING      NONE
    0    GigabitEthernet0/0/4        ROOT  FORWARDING      NONE

由上述信息可以看出，GigabitEthernet0/0/1的“Protection”字段显示为“ROOT”，说明此接口下已经配置了根保护功能。