在面試時，比如被問到HSRP的主備切換時間時多久，STP幾個狀態的停留時間，自己知道有這些東西，但在工作中不會經常用到，就老是記不住，覺得可能還是自己基礎不夠牢固，知識掌握不夠全面。想請教，對于此類技術細節，工作中不常用，但如何才能牢記?

正文

充分而徹底地了解一個協議，是記住它的關鍵!

Spanning tree(802.1d)收斂過程

天下群雄紛起(switch power on)，個個都默認是老大(root bridge)，但都還比較謙虛，保持靜默15秒(listening，unable forwarding end user traffic)，用于收集情報(other switch BPDU)，最早進入靜默狀態的山大王(最先啟動的交換機)等的不耐煩了(listening timeout)，因為他沒有收集到任何消息，開始散發傳單(it's own BPDU)，2秒一次(BPDU interval )，大言不慚稱帝(root bridge)。

各地土匪由于武力不敵(BPDU priority 低)，只好俯首稱臣(non root bridge)，只敢乖乖地接收皇帝的圣旨(BPDU configuration )，然后再 relay 一下皇帝的圣旨到下游郡王…

大梟雄(BPDU priority 最高)醒來的晚(power on)，看到如此情形不愿意了，一個小蝦米竟然充大尾巴狼，于是發出了自己的挑戰書(BPDU)，從自己的各個城門散發出去，意思是：小崽子，快快滾下臺去!

收到挑戰書的郡王們(switch ) 意識到新的皇帝登場了，于是改玄易轍紛紛以新皇帝為中心，重新選擇自己的rootport ;收到挑戰書，舊皇帝倒也遵守游戲規則，很配合地俯首稱臣，至此，天下大勢已定，大梟雄稱帝(root bridge )，于是皇城所有城門選為designated port。

各個郡國選擇離皇城最近的城門做自己的朝圣門(root port) ，如果有相同距離(path cost)的兩個城門，則哪個城門上游的城門(port priority ) 優先級高則選為朝圣門(root port ) 。

各個郡國之間的城門則根據距離皇城的遠近(path cost ) ，誰近則誰的城門選做 designated 城門(designated port)，輸者則為 ( non designated port)。

于是一個以皇帝為中心的權利樹(Spanning Tree)生成了…

[[255766]]

各個城門角色選好，先登記(learning，unable forwarding end user traffic) 一下平民(host/end user)住址信息( MAC Address — Port Number)，周期15秒，完成這個過程，天下太平( 網絡收斂)。

所有非 non-designated城門可以允許平民自由雙向流動(bi-directional end user traffic )。

皇城，所有城門可以發圣旨(BPDU)，也可以接收來自下手郡國的奏折( BPDU Topolology Change Notification)。

皇上的圣旨包含有：

皇帝的國號 ( Root Bridge ID) (Priority + MAC) 皇帝駕崩觀望等待周期 20 秒( max-age) 皇帝頒布圣旨的時間間隔 2 秒 ( BPDU Hello)城門靜默時間 15 秒 ( forward -delay )登記平民住址時間 15 秒 (forward-delay)

皇帝駕崩觀望周期超時(Root Bridge 崩潰重啟，死機，通往root bridge uplinkdown) ，即郡王如果20 秒沒有收到圣旨(RootBridge BPDU)，下屬郡王可以自行選擇新的皇帝(root bridge)。

其它郡國的所有城門都可以接收圣旨，但只會把從朝圣門(root port)收到的圣旨relay 到下游郡國。

如果郡國有什么風吹草動(topology change，Link down ，凡是在這個link下游的MAC Address Entry 要快速超時，否則會造成長時間的流量黑洞)，需要及時上奏皇上(BPDU Notification)，也是通過朝圣門( root port) 一級級上報給皇上(TC，Topology Change)，上游郡國可自行發確認信號(TCA，Topology Change Acknowledge)，然后皇上會發一個國家進入緊急狀態圣旨(BPDU configure with TC bit set ) ，接收到此圣旨的郡王紛紛將缺省的平民(host ) 的地址數據庫 ( MAC Address Table ) 超時時間由 5 分鐘縮短為20 秒(max-age)。

記住一點：圣旨(BPDU Configure)只能由皇帝(root bridge) 一個人向下發，即單向流動，用于管理國家，告訴郡王(non root bridge)如何保持同步。可以稱之為 上游 —> 下游控制流量。

奏折(BPDU notification )由各個郡王向上發，通知皇上地方有暴亂(topology change)。可以稱之為下游 —> 上游 報告流量。

數據傳輸過程

1 屬于同一個郡國(same accessswitch)平民交流

平民(host )之間走親串友(end user traffic ) ，如果屬于同一個郡國(access switch)，則他們之間的走動(bi-directionaltraffic)只局限于郡國之內，這種流量最節省資源。不會干擾上游郡國(aggregate switch)，以及皇帝(core switch) 。

2 不同郡國(different accessswitch)的平民之間的交流，則有二種情況：

2.1 相同的上游郡國(same aggregate switch )

流量需要經過3個郡國，源郡國(access switch)、上游郡國(aggregate switch)、目的郡國(access switch)，需要耗費更多的帶寬資源。

2.2 不同的上游郡國(different aggregate switch )

流量需要經過5個郡國，源郡國(access switch)、上游郡國(aggregate switch)、皇城(core switch)，另一個分支的上游郡國(aggregate switch)、目的郡國(access switch)，需要耗費更多的帶寬資源、以及5臺switch硬件處理資源。

由于皇帝都是坐北朝南的，我們稱凡是途徑皇城的流量為南北流量(South-North Traffic)，而不途徑皇城的流量為 東西流量(West-EastTraffic )。

過去的10年，公司的流量大多為訪問公司服務器、互聯網的流量，它們需要途徑皇城，途徑皇城(RootBridge/Core Switch)南北流量占大多數，采用三層架構(access/aggregate/core)更利于網絡擴展。

而隨著虛擬(Virtual Host)計算的不斷普及，更多的是東西流量，不需要途徑皇城，則流量由aggregate switch 使用 大二層技術(big layer 2 ) , 如 VxLAN 進行擴展，途徑 core switch 的南北流量越來越少，現在的網絡架構慢慢演變成大二層的扁平架構。

上圖中最下方為Access switch， 新的名稱：Leaf，用于連接 host , server 。

上方為Aggregate switch ( VTEP, MP-BGP EVPN)，新的名稱：Spine，用于本地二層(locallayer 2)的交換，大二層的交換 ( remote layer 2 )，同時還負責三層的路由。

讀者一定發現一個規律，我總是把Root Bridge / Core Switch 合二為一，為什么CoreSwitch 一定要做Root Bridge? 或者反過來說，為何 Root Bridge一定要做 Core Switch?

古代大多選長安作為首都皇城，可以更好管理國家，距離上也適中，而如果選擇一個邊緣地區(edge switch)如海南島、黑龍江，則不利于經濟、交通的往來。

Core Switch 一般位于網絡的中心，距離誰也不會太遠(2hop)，而且數據吞吐能力超強，一般不會是流量的瓶頸，所以選擇它做Root Bridge 是最合理不過。

作為網絡設計者，需要防止任何 非core switch 的 閑雜人員自說自話做Root Bridge，一般需要將 core switch 的值設為最小 4096 (值越小越優先)，那4095 不是更小嗎?為何不設成4095?

那是因為 Priority 占據16位中的高4位，最小值即為0001 0000 0000 0000 ，4096 為最小值。

此外需要 access switch 配置 Port Fast ，BPDU Guard，Port Fast可以讓端口不需要經過 listening 、learning 痛苦而漫長的過程，可以直接進入 end user traffic forwarding 狀態。后者可以防范非法軟件發送高優先級的BPDU，一方面由于Enable Port Fast ，disable spanning tree functionality on this port，造成環路;另一方面 如果搶占了 Root Bridge 這個皇帝角色，那將是一個災難，因為途徑皇城(RootBridge )的流量全部被吸引了過來，用戶電腦將流量全被默默地扔了，造成流量黑洞…

HSRP/VRRP

HSRP：Hot Standby Redudant Protocol

VRRP：Viritual Routing Redudant Protocol

稱它們二者為FHRP，即第一跳冗余協議。 HSRP是cisco公司私有協議，后來IETF覺得它挺不錯，就依葫蘆畫瓢打造一個業界標準協議，VRRP，用于不同公司的產品之間的消息交換。

對于用戶電腦/服務器來說，缺省網關就是第一跳路由器，換句話說，所有非本地的流量都需要缺省網關來轉發，如果缺省網關掛了，那是不是本網段的所有主機、服務器都和互聯網隔絕了?既然缺省網關如此重要，那就需要提供備份路由器來進行備份。主缺省網關(primary)和 備份路由器(secondary )之間需要一種消息機制(keepalive 3秒一次)來發現對方，還需要依靠priority大小來選出誰是 primary，誰是secondary? 同時最好有身份驗證(authentication)機制認證彼此。

Primary RouterCrash / LAN Link Down

Primary無法發送keepalive 消息，keepalive 3秒一次，備份路由器連續3次沒有接收到keepalive，則認為自己可以擔當主路由器。

這里有兩個關鍵詞：

VIP： Virtual IP

VMAC： Virtual MAC

誰擔任primary router, 誰的網絡接口就綁定VMAC/VIP，假設 VIP=10.1.1.1 /24，VMAC= xxxxxx.000001，那么VIP就是10.1.1.0/24網段的缺省網關。如果有host ARP request 10.1.1.1 的MAC地址是多少?則擔任primary router 路由器用VMAC=xxxxxx.000001來 ARP reply。

如果主路由器crash、接口down，就無法發送keepalive消息，keepalive 3秒一次，如果備份路由器連續三次沒有接收到keepalive，則認為自己可以擔當主路由器。

Primary Router WANLink Down

Primary失去了Internet access ，主動降低自己的priority，使自己的priority < 備份路由器 Priority，則備份路由器認為自己可以擔當主路由器。

如果原來的primary router WAN 又UP了，并且穩定了一段時間，可以將自己的priority恢復正常，可以恢復自己primary 的地位。