在规模较大的局域网网络中，为了保障整个网络的运行稳定性，网络管理员通常会选用物理冗余连接方式。从表面上来看，虽然整个网络结构形成了物理环路，但是生成树协议在工作状态正常的情况下，会自动按照特定传输规则来规定网络中的数据传输通道，保证数据流的传输不会出现环路现象；然而在网络运行状态不正常，并且在恢复的情况下，物理链路就可能真的变成桥回路，那样一来整个网络的运行稳定性就会受到破坏。有鉴于此，我们可以在局域网网络中采取某种安全保护机制，来预防桥回路现象的出现。

桥接回路故障的产生
假设甲网络要与乙网络相互通信，为了保证它们之间的通信连接稳定，网络管理员特意采用了物理冗余连接方式，确保甲、乙两个网络出现连接错误时，甲网络仍然可以绕道通过丙网络，实现与乙网络的正常通信连接，只是数据传输的通道不同而已，它们之间的连接关系见图1所示，在这里甲交换机被假定为根路由器，很明显这三个网络之间的连接形成了物理回路。在正常状态下，由于局域网中的生成树协议规定了数据流的传输通道，数据流在传输过程中不会出现网络环路现象。不过，一旦局域网网络遇到错误的时候，就可能出现网络回路故障；比方说由于某些方面的因素，丙交换机无法从甲交换机那里正常接受数据信息，换句话说，就是丙交换机与甲交换机之间的数据链路可能存在单向失效问题。在网络管理员对局域网网络没有采取任何安全保护机制的情况下，究竟会发生什么问题呢？这个时候，丙交换机会自动监控到网络连接存在错误，并且会将对应的故障连接端口工作状态调整为STP阻塞状态。当交换机的最大寿命计时器到期时，丙交换机会自动将之前生成的阻塞端口从阻塞状态切换到STP监听状态，之后该交换端口在两倍的延迟时间到达后又会自动切换为转发状态；在丙交换机的相关交换端口遇到错误时，STP协议会及时捕获到这个错误，并且立即调整数据流的传输通道，从甲交换机自动流向丙交换机。而在丙交换机的对应端口再次切换成转发状态时，那么数据流又会从丙交换机自动流向甲交换机，如此一来数据传输的桥接回路就形成了。

环路保护的实现原理
为了防止桥接回路故障的频繁出现，影响整个局域网网络的运行稳定性，我们往往需要及时采取一些安全保护措施。这不，对于局域网采用H3C交换机的用户来说，我们根本不需要借助外力，只要巧妙使用该交换机自带的环路保护功能，就能轻松来阻止桥接回路故障的出现。一般来说，H3C交换机的环路保护功能能够对STP环路提供额外的保护；依照上面的分析，我们不难看出，在局域网网络中存在物理冗余连接线路时，那么当物理冗余网络结构中的STP阻塞端口被错误地切换为监听状态、再错误地被切换到转发端口后，要是我们中途没有对局域网网络采取适当的安全保护措施，此时桥接回路就很容易发生了。这最根本的原因，就是因为物理链路存在问题，造成交换机不能正常接受到连续的BPDU数据包。

大家知道，当采用物理冗余连接方式的局域网网络中，有某个故障交换端口不能正常接收BPDU数据包的时候，STP生成树协议就会自动认为这个局域网网络结构中不存在物理环路。但是，当故障交换端口从阻塞状态过渡到STP监听状态，再从STP监听状态转换为数据转发状态时，物理冗余连接线路就容易产生网络环路，造成网络故障。目前许多网络环路保护措施，几乎都是依照这个理念来设计的。

善于启用交换机自带的网络环路保护功能，可以有效地预防桥接回路现象；例如，要是我们将H3C交换机的环路保护功能成功启用后，那么冗余网络结构中的交换机在将阻塞交换端口过渡到数据转发状态之前，会自动增加一项检查测试的操作；在检查测试过程中，要是看到启用了网络环路保护功能的非指定交换端口上不能正常接收BPDU数据包时，那么对应交换机会自动将目标交换端口强行调整为不一致环路的阻塞状态。当故障交换端口处于不一致环路的阻塞状态时，原先的数据转发规则就被破坏了，也就是说当最大寿命计时器到期之后，交换机不会将目标交换端口过渡为STP监听状态；在两倍延迟时间达到之后，对应交换端口也不会被过渡为数据转发状态，那样一来冗余网络连路就不会变成桥接回路。

环路保护的具体配置
在H3C交换机中，启用或禁用网络环路保护功能，其实是一项非常简单的操作。要启用网络环路保护功能时，我们只要先以系统管理员权限进入交换机后台系统配置状态，在该配置状态下执行“system”字符串命令，进入系统全局配置状态，再使用“interface xx”命令（xx为特定的交换端口），进入特定交换端口的视图模式状态，在该交换端口的视图模式下执行“stp loop-protection”字符串命令就可以了；要是日后想临时关闭这项功能时，只要再在交换机后台系统配置状态下执行“undo stp loop-protection”字符串命令就可以了。例如，我们要想在端口Ethernet0/1上启用网络环路保护功能时，可以在交换机后台系统配置状态，依次执行“system”、“interface Ethernet0/1”字符串命令，进入Ethernet0/1端口视图模式状态，再在该状态下执行“stp loop-protection”字符串命令就可以了。
    当然，在具体使用网络环路保护功能的时候，我们必须要在所有非指定的交换端口上将网络环路防护功能同时启用成功，只有这样才能让这项功能的作用得到充分发挥，如果活跃拓扑结构中有某个交换端口没有启用这项功能，那么桥接回路现象仍然有可能发生。在正式启用网络环路保护功能之前，我们还要认真考虑各种可能的故障切换因素。在成功启用网络环路保护功能后，我们仍要继续做好跟踪测试工作，以便及时了解这项功能是否真的发挥了作用。实际上，不仅仅是配置网络环路保护功能，就是进行其他网络功能的配置更改操作时，我们都要做好事前考虑、事后测试的工作，不然的话，很有可能由于考虑不全面或配置不周全，引发网络发生各种稀奇古怪的故障现象。

此外，需要提醒各位注意的是，要是单位局域网网络划分了虚拟工作子网，那么网络环路保护功能仍然是有效的，这是因为网络环路保护功能不但能够以端口为单位阻塞状态不一致的交换端口，而且也能够以虚拟工作子网为单位自动阻塞状态不一致的交换端口，这样还能有效提高网络管理效率。

文章如转载，请注明转载自：http://www.5iadmin.com/post/797.html