某局点单端口接入STP阻塞经验案例

某局点组网图如下：

HuaWei128为STP根桥，下联两台S75E-1与S75E-2（为指定桥），下挂一组S75E堆叠组（全局去使能STP），S75E（IRF）下挂接入设备S5560-EI（单线接入）。接入设备S5560-EI上联口g1/3/0/44计算为STP根端口，此时发现S5560-EI设备上联口STP状态为BLOCK，导致流量转发不通。

现网中STP根桥为亦庄生产的huawei128设备，中间STP指定桥为S7510E生产1和S7510E生产2。因为S7506E的IRF堆叠系统中STP全局是去使能的，对STP报文来说就相当于一台透传的HUB设备。其它终端用户都通过接入交换机连接到HUB后再与核心生产网络相连。

 现网配置中，HUB上是通过多条Access端口链路连接到右侧的生产网络。这些Access端口各自都只允许一个VLAN通过，且这些Access VLAN都不相同。因为报文进入交换机转发处理都是按入端口确定的VLAN内转发的，也就是说如图所示Access Port1与Access Port2之间是VLAN隔离的。这样，S7510E-1的Port3发出的STP报文，实际上就不会被HUB透传给S7510E-1的Port4；同样，S7510E-2的Port4发出的STP报文，也不会被HUB透传给S7510E-1的Port3；这就导致S7510E-1的Port3和S7510E-2的Port4之间没有了STP报文交换计算。

结果就导致S7510E-1的Port3和S7510E-2的Port4分别都在以自己为发送桥向HUB连接的接入交换机传播根信息（根桥ID相同，但发送桥（即指定桥ID）不同），这样在以HUB连接的接入网络中就同时存在不同来源的根消息。而这两个不同来源的根消息因为发送桥（即指定桥ID）和发送端口不一样，对于接收端口的STP计算来说是能比较出优先级差别的。

这与常规的组网差异在于，如果S7510E-1的Port3和S7510E-2的Port4之间的STP报文能够互通（交换机之间是VLAN trunk口），那么STP的计算结果：S7510E-1的Port3和S7510E-2的Port4之中就只有一个端口会定时向外发送传播根信息，那么在已HUB连接的接入网络中就只会有一个唯一发送桥来源的根信息。

现网中的设备，包括H3C的V5设备的STP都还是IEEE 802.1D-2004之前的标准实现，STP端口对于就收到两个不同来源的STP根信息后，不管不同来源的指定桥端口是否是forwarding状态，直接丢弃指定桥优先级较低的一个报文不处理。

但在H3C的V7设备版本中，按照最新的协议标准IEEE 802.1D-2004，IEEE 802.1Q-2005和IEEE 802.1Q-2011，实现了一个STP的增强特性: STP端口dispute保护。此特性是用于检测接入网络链路中存在链路单通故障或STP端口之间完全不通的情况，并自动阻塞端口进行保护，防止网络中可能存在故障而出现数据环路。

  把V7 S5560设备后接入现网后，接收端口收计算为STP根端口：假定S7510E-2的桥ID比S7510E-1的桥ID小（包含优先级值和桥MAC，ID值比较小为优），则S5560上行的STP根端口持有的根信息就是来自S7510E-2发送桥的。但同时又收到了来自S7510E-1的根信息（发送桥ID没有S7510E-1优），且S7510E-1的发送端口还是forwarding的。按照新协议标准，这就触发了STP根端口的dispute保护机制，而结果把端口阻塞了。STP dispute保护机制是假定了STP网络对于一个STP接收端口来说，不应该有不同来源的根信息。

建议调整组网方式，或中间IRF堆叠组开启STP功能。