ADCampus自动化STP环路保护设计

1、检测环路并阻断环路，以避免环路影响业务流量正常转发

2、保证在环路条件下，自动化上线功能正常运行

实现方式：Spine与Leaf之间配置PVST，仅针对Vlan 1开启.其它Vlan关闭STP；      Access设备之间是MSTP，所有Vlan均在默认实例0中。

1.  步骤：指定主备Spine分别为主备根桥，指定Leaf的桥优先级为8192，防止整网选取生成树树根慢，或者Access替换可能导致的重新选取根桥。推荐Spine设备堆叠，由此也可以增加根桥稳定性。

2.  步骤：配置根桥保护，防止高优先级STP BPDU攻击导致整棵生成树树根变化。指定主备Spine为主备根桥，主备Spine连接Leaf下行口开Root-Protection。

说明：

对于开启了根保护功能的端口，其在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU，立即将该MSTI端口设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在2倍的Forward Delay时间内没有收到更优的BPDU时，端口会恢复原来的正常状态。

3.  步骤：配置TC-BPDU传播限制功能。用于限制TC报文传播范围效果：每个Leaf下行口一个STP TC传播域。主要是针对Vlan 1中的TC 报文。保证每个Leaf下行口构成一个TC的传播域。

4.  步骤：配置边缘端口以及BPDU保护。从而减少端口Up后迁移到Forwarding状态的时间以及端口频繁Up、Down时，保证边缘端口不会参加生成树的计算，从而减少网络震荡的可能性。端口收到BPDU报文时，会将边缘端口关闭，默认关闭30s,超时会取消关闭动作，使端口恢复到真实的物理状态。可以通过“shutdown-interval time”更改端口状态检测定时器市场。

综上所述配置步骤，下图为所有配置关键点：

补充单Leaf + 多级Access场景配置关键点：

说明：

Spine和Leaf之间通过Vlan虚接口进行三层互联，同一设备上的三层互联口均借用设备Loopback0接口ip地址，但是物理口均为二层接口。每互连端口仅放通互联Vlan和Vlan 1通过。