号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部

生成树协议（STP）是防止二层网络环路的“安全网”。然而，在实际运维中，不少网工都遇到过这样的问题：

★“我已经在交换机上全局启用了 STP，为啥 网络还是出现了广播风暴？交换机 CPU 突然飙升？甚至用户大面积断网？！”

这说明：启用了 STP，并不等于环路就被杜绝了。

STP 的生效依赖于正确的配置、一致的协议协商和稳定的拓扑环境。

一旦某个环节出错，STP就“形同虚设”。

关于 STP 失效，到底是哪些问题让大家这么头疼？这五大常见原因避无可避，且听我细细分析。

一、根本问题：STP 没有在所有设备上启用

这是最常见也最容易被忽视的问题。

场景还原：

• 核心和汇聚层交换机启用了 STP
• 接入层使用了非网管交换机或默认关闭 STP 的低端交换机
• 用户私自接入一个家用路由器或小型交换机，形成物理环路

由于非网管设备不参与 STP 计算，BPDU 报文无法穿透，上层交换机无法感知环路存在，导致广播帧无限复制，引发广播风暴。

✅ 解决方案：

• 接入层设备必须启用 STP（建议使用 RSTP 或 MSTP）
• 对无法启用 STP 的端口，配置 边缘端口（Portfast） + BPDU Guard
• 通过 display stp brief 确认所有关键端口处于 FORWARDING 或 BLOCKING 状态，而非 DISABLED

二、协议类型不匹配：RSTP 与 MSTP 混用未正确配置

不同厂商或不同系列设备可能默认运行不同的 STP 变种：

• 华为设备默认：MSTP（兼容 RSTP/STP）
• 思科设备默认：PVST+ 或 Rapid-PVST+
• 部分设备配置了 RSTP，但未启用实例（Instance）

当 MSTP 与 RSTP 混用时，若未正确配置实例映射或区域划分，可能导致：

• 某些 VLAN 的拓扑未被计算
• 出现“隐性环路”——STP 认为无环，实际存在转发环路

✅ 解决方案：

• 统一网络中 STP 模式（推荐 MSTP）
• 在 MSTP 中明确配置 VLAN 到 Instance 的映射
• 使用 display stp region-configuration 检查 MST 域配置一致性

# 华为设备配置 MSTP 示例
[Huawei] stp mode mstp
[Huawei] stp region-configuration
[Huawei-mst-region] region-name Campus
[Huawei-mst-region] instance 1 vlan 10
[Huawei-mst-region] instance 2 vlan 20
[Huawei-mst-region] active region-configuration

三、根桥被意外抢占

STP 的稳定性依赖于根桥位置的稳定。如果网络中突然出现一个桥优先级更低的设备，它会成为新的根桥，导致拓扑重新收敛。

常见原因：

• 新接入的交换机未修改默认优先级（华为默认 32768）
• 配置了 stp root primary 但未保存配置，重启后失效
• 有人误操作，执行了 stp priority 0

这会导致：

• 所有流量被迫经过非核心设备
• 转发路径非最优，甚至形成临时环路

✅ 解决方案：

• 明确指定核心交换机为根桥和备份根桥
• 配置桥优先级（建议 4096 和 8192）
• 启用根保护（Root Guard）

# 指定根桥
[Huawei] stp priority 4096

# 在连接接入层的端口启用根保护
[
Huawei-GigabitEthernet0/0/1] stp root-protection

★⚠️ 根保护会阻塞收到更优 BPDU 的端口，防止非法根桥抢占。

四、BPDU 传输受阻：过滤或丢失

STP 依赖 BPDU 报文进行拓扑计算。如果 BPDU 被过滤或丢弃，STP 将“失明”。

常见原因：

• 人为配置了 ACL 过滤组播地址 01-80-C2-00-00-00（BPDU 目的 MAC）
• 端口启用了 bpdu-filter，导致不发送也不接收 BPDU
• 网络拥塞或低端设备处理能力不足，BPDU 丢包

结果：交换机误认为链路中断，重新开放阻塞端口，形成环路。

✅ 解决方案：

• 避免在二层网络中过滤 STP 报文
• 谨慎使用 bpdu-filter，仅在确认无环的边缘端口启用
• 使用 display stp statistics 查看 BPDU 收发情况，确认无丢包

五、端口状态异常：边缘端口误接交换机

边缘端口（Edge Port）是 STP 的优化机制，启用后端口直接进入 Forwarding 状态，加快终端接入。

但问题在于：

• 管理员将用户端口配置为 stp edged-port enable
• 用户却在该端口下联了一个小型交换机或路由器

由于边缘端口不参与 STP 计算，下联设备形成的环路无法被检测，广播帧直接泛洪。

✅ 解决方案：

• 启用 BPDU Guard：一旦收到 BPDU，立即禁用端口
• 启用 Loop Protection：防止因上游阻塞导致的非对称环路

# 配置 BPDU Guard
[
Huawei-GigabitEthernet0/0/1] stp bpdu-protection
[Huawei] stp bpdu-protection # 全局启用（针对边缘端口）

# 配置环路保护
[
Huawei-GigabitEthernet0/0/1] stp loop-protection

★ 提示：stp bpdu-protection 是全局命令，保护所有边缘端口。

六、STP 稳定运行的五大检查项

★ 运维建议：定期执行 display stp brief 和 display stp topology-change，监控拓扑变化频率，及时发现异常。

STP 不是“一启了之”的功能，而是需要精细化配置与持续监控的防御机制。

只有真正理解其失效场景，才能让这道“二层防火墙”始终坚不可摧。

原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部