【文章內(nèi)容簡(jiǎn)介】 路由。與RIP相對(duì)，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。由于EIGRP是CISCO私有的路由協(xié)議 而OSPF是公有的 所以 現(xiàn)實(shí)環(huán)境中 大多都是啟用的OSPF 而EIGRP啟用前提是全網(wǎng)內(nèi)必須都是CISCO設(shè)備 EIGRP被譽(yù)為沒(méi)有環(huán)路的協(xié)議Rip與ospf相比 ：由于該公司屬于大型企業(yè)，而rip協(xié)議只適合用于小型的局域網(wǎng)，所以rip和OSPF相比采用OSPF路由協(xié)議比較好。以下是RIP的局限性在大型網(wǎng)絡(luò)中使用所產(chǎn)生的問(wèn)題:RIP的15跳限制，超過(guò)15跳的路由被認(rèn)為不可達(dá)RIP不能支持可變長(zhǎng)子網(wǎng)掩碼(VLSM)，導(dǎo)致IP地址分配的低效率RIP沒(méi)有網(wǎng)絡(luò)延遲和鏈路開銷的概念，路由選路基于跳數(shù)。擁有較少跳數(shù)的路由總是被選為最佳路由即使較長(zhǎng)的路徑有低的延遲和開銷RIP沒(méi)有區(qū)域的概念，不能在任意比特位進(jìn)行路由匯總一些增強(qiáng)的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認(rèn)證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡(luò)所以相比RIP而言，OSPF更適合用于大型網(wǎng)絡(luò):沒(méi)有跳數(shù)的限制，支持可變長(zhǎng)子網(wǎng)掩碼(VLSM)使用組播發(fā)送鏈路狀態(tài)更新，在鏈路狀態(tài)變化時(shí)使用觸發(fā)更新，提高了帶寬的利用率，收斂速度快，具有認(rèn)證功能。 路由規(guī)劃拓?fù)鋱D IP地址規(guī)劃分配ip的原則：IP地址有5類，A類到E類，各用在不同類型的網(wǎng)絡(luò)中。地址分類反映了網(wǎng)絡(luò)的大小以及數(shù)據(jù)包是單播還是組播的。但目前只用到A類到C類的ip地址。Ip的分配原則：IP地址是IP網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)囊罁?jù)，它標(biāo)識(shí)了IP網(wǎng)絡(luò)中的一個(gè)連接，一臺(tái)主機(jī)可以有多個(gè)IP地址。IP分組中的IP地址在網(wǎng)絡(luò)傳輸中是保持不變的。 現(xiàn)在的IP網(wǎng)絡(luò)使用32位地址，以點(diǎn)分十進(jìn)制表示。地址格式為：IP地址=網(wǎng)絡(luò)地址＋主機(jī)地址 或 IP地址=主機(jī)地址＋子網(wǎng)地址＋主機(jī)地址。 根據(jù)用途和安全性級(jí)別的不同，IP地址還可以大致分為兩類：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問(wèn)。私有地址只能在內(nèi)部網(wǎng)絡(luò)中使用，只有通過(guò)代理服務(wù)器才能與Internet通信。 IP協(xié)議中還有一個(gè)非常重要的內(nèi)容，那就是給因特網(wǎng)上的每臺(tái)計(jì)算機(jī)和其它設(shè)備都規(guī)定了一個(gè)唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計(jì)算機(jī)上操作時(shí)，能夠高效而且方便地從千千萬(wàn)萬(wàn)臺(tái)計(jì)算機(jī)中選出自己所需的對(duì)象來(lái)。唯一性：因特網(wǎng)上的每臺(tái)計(jì)算機(jī)和其它設(shè)備都規(guī)定了一個(gè)唯一的地址，叫做“IP 地址”。由于有這種唯一的地址，才保證了用戶在連網(wǎng)的計(jì)算機(jī)上操作時(shí)，能夠高效而且方便地從千千萬(wàn)萬(wàn)臺(tái)計(jì)算機(jī)中選出自己所需的對(duì)象來(lái)。 Internet的主機(jī)都有一個(gè)唯一的IP地址，IP地址用一個(gè)32位二進(jìn)制的數(shù)表示一個(gè)主機(jī)號(hào)碼，但32位地址資源有限，已經(jīng)不能滿足用戶的需求了，因此Internet研究組織發(fā)布新的主機(jī)標(biāo)識(shí)方法，即IPv6。在RFC1884中，規(guī)定的標(biāo)準(zhǔn)語(yǔ)法建議把IPv6地址的128位（16個(gè)字節(jié)）寫成8個(gè)16位的無(wú)符號(hào)整數(shù)，每個(gè)整數(shù)用四個(gè)十六進(jìn)制位表示，這些數(shù)之間用冒號(hào)（：）分開Ip地址的規(guī)劃表格： 第五章 網(wǎng)絡(luò)安全解決方案為了解決資源的共享而建立了網(wǎng)絡(luò)，然而安全卻成了問(wèn)題，網(wǎng)絡(luò)的邊界隔離著不同功能或地域的多個(gè)網(wǎng)絡(luò)區(qū)域，由于職責(zé)和功能的不同，相互連接的網(wǎng)絡(luò)的安全級(jí)別也不盡相同，此網(wǎng)絡(luò)也必然存在著安全風(fēng)險(xiǎn)，下面我們將對(duì)公司網(wǎng)絡(luò)就網(wǎng)絡(luò)邊界問(wèn)題做脆弱性和風(fēng)險(xiǎn)的分析。公司網(wǎng)絡(luò)主要存在的邊界安全風(fēng)險(xiǎn)包括：信息泄密、入侵者的攻擊、網(wǎng)絡(luò)病毒、木馬入侵等，邊界安全防護(hù)的主題思想是：我們把網(wǎng)絡(luò)可以看作一個(gè)獨(dú)立的對(duì)象，通過(guò)自身的屬性，維持內(nèi)部業(yè)務(wù)的運(yùn)轉(zhuǎn)。他的安全威脅來(lái)自內(nèi)部與邊界兩個(gè)方面：內(nèi)部是指網(wǎng)絡(luò)的合法用戶在使用網(wǎng)絡(luò)資源的時(shí)候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來(lái)的系統(tǒng)中斷。邊界是指網(wǎng)絡(luò)與外界互通引起的安全問(wèn)題，有入侵、病毒與攻擊。下面我們分析如何防護(hù)邊界？首先建立城墻，把城內(nèi)與外界分割開來(lái)，阻斷其與外界的所有聯(lián)系，然后再修建幾座城門，作為進(jìn)出的檢查關(guān)卡，監(jiān)控進(jìn)出的所有人員與車輛，是安全的第一種方法；為了防止入侵者的偷襲，再在外部挖出一條護(hù)城河，讓敵人的行動(dòng)暴露在寬闊的、可看見的空間里，為了通行，在河上架起吊橋，把路的使用主動(dòng)權(quán)把握在自己的手中，控制通路的關(guān)閉時(shí)間是安全的第二種方法。對(duì)于已經(jīng)悄悄混進(jìn)城的“危險(xiǎn)分子”，要在城內(nèi)建立有效的安全監(jiān)控體系，比如人人都有身份證、大街小巷的攝像監(jiān)控網(wǎng)絡(luò)、街道的安全聯(lián)防組織，每個(gè)公民都是一名安全巡視員，順便說(shuō)一下：戶籍制度、罪罰、聯(lián)作等方式從老祖宗商鞅就開始在秦國(guó)使用了。只要入侵者稍有異樣行為，就會(huì)被立即揪住，這是安全的第三種方法。為了邊界的安全不受到威脅，我們做邊界防護(hù)技術(shù)：防火墻技術(shù)、多重安全網(wǎng)關(guān)技術(shù)、網(wǎng)閘技術(shù)。防火墻的安全設(shè)計(jì)原理來(lái)自于包過(guò)濾與應(yīng)用代理技術(shù)，兩邊是連接不同網(wǎng)絡(luò)的接口，中間是訪問(wèn)控制列表ACL，數(shù)據(jù)流要經(jīng)過(guò)ACL的過(guò)濾才能通過(guò)。ACL有些象海關(guān)的身份證檢查，檢查的是你是哪個(gè)國(guó)家的人，但你是間諜還是游客就無(wú)法區(qū)分了，因?yàn)锳CL控制的是網(wǎng)絡(luò)的三層與四層，對(duì)于應(yīng)用層是無(wú)法識(shí)別的。后來(lái)的防火墻增加了NAT/PAT技術(shù)，可以隱藏內(nèi)網(wǎng)設(shè)備的IP地址，給內(nèi)部網(wǎng)絡(luò)蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。防火墻的作用就是建起了網(wǎng)絡(luò)的“城門”，把住了進(jìn)入網(wǎng)絡(luò)的必經(jīng)通道，所以在網(wǎng)絡(luò)的邊界安全設(shè)計(jì)中，防火墻成為不可缺的一部分。防火墻的缺點(diǎn)是：不能對(duì)應(yīng)用層識(shí)別，面對(duì)隱藏在應(yīng)用中的病毒、木馬都好無(wú)辦法。所以作為安全級(jí)別差異較大的網(wǎng)絡(luò)互聯(lián)，防火墻的安全性就遠(yuǎn)遠(yuǎn)不夠了。既然一道防火墻不能解決各個(gè)層面的安全防護(hù)，就多上幾道安全網(wǎng)關(guān)，如用于應(yīng)用層入侵的IPS、用于對(duì)付病毒的AV、用于對(duì)付DDOS攻擊的…此時(shí)UTM設(shè)備就誕生了，設(shè)計(jì)在一起是UTM，分開就是各種不同類型的安全網(wǎng)關(guān)。就是運(yùn)用多重安全網(wǎng)關(guān)技術(shù)。網(wǎng)閘的安全思路來(lái)自于“不同時(shí)連接”。不同時(shí)連接兩個(gè)網(wǎng)絡(luò)，通過(guò)一個(gè)中間緩沖區(qū)來(lái)“擺渡”業(yè)務(wù)數(shù)據(jù)，業(yè)務(wù)實(shí)現(xiàn)了互通，“不連接”原則上入侵的可能性就小多了。網(wǎng)閘的思想是先堵上，根據(jù)“城內(nèi)”的需要再開一些小門，防火墻是先打開大門，對(duì)不希望的人再逐個(gè)禁止，兩個(gè)思路剛好相反。在入侵的識(shí)別技術(shù)上差不多，所以采用多重網(wǎng)關(guān)增加對(duì)應(yīng)用層的識(shí)別與防護(hù)對(duì)兩者都是很好的補(bǔ)充。這樣邊界的安全可以得到較好的保證。內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來(lái)自Internet上的攻擊，主要是防范來(lái)自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問(wèn)企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防范策略。內(nèi)部用戶的惡意攻擊，限制VPN的訪問(wèn)，虛擬專用網(wǎng)(VPN)用戶的訪問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸淖烂娌僮飨到y(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問(wèn)企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問(wèn)內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪問(wèn)權(quán)限級(jí)別即可，如訪問(wèn)郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。自動(dòng)跟蹤的安全策略，智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來(lái)了商業(yè)活動(dòng)中一大改革，極大的超過(guò)了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測(cè)方法來(lái)探測(cè)商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情況并記錄與該計(jì)算機(jī)對(duì)話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動(dòng)都遵循安全策略。保護(hù)重要資源，若一個(gè)內(nèi)網(wǎng)上連了千萬(wàn)臺(tái)(例如30000臺(tái))機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問(wèn)題。這樣，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實(shí)時(shí)跟蹤客戶的服務(wù)器)并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。建立可靠的無(wú)線訪問(wèn)審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無(wú)線訪問(wèn)建立基礎(chǔ)。排除無(wú)意義的無(wú)線訪問(wèn)點(diǎn)，確保無(wú)線網(wǎng)絡(luò)訪問(wèn)的強(qiáng)制性和可利用性，并提供安全的無(wú)線訪問(wèn)接口。將訪問(wèn)點(diǎn)置于邊界防火墻之外，并允許用戶通過(guò)VPN技術(shù)進(jìn)行訪問(wèn)。建立安全過(guò)客訪問(wèn)對(duì)于過(guò)客不必給予其公開訪問(wèn)內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無(wú)Internet訪問(wèn)”的策略，使得員工給客戶一些非法的訪問(wèn)權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過(guò)客訪問(wèn)網(wǎng)絡(luò)塊?？煽康陌踩珱Q策，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測(cè)系統(tǒng)等等措施也不可缺少。 安全產(chǎn)品選型原則選擇市場(chǎng)主流產(chǎn)品的原則：選擇產(chǎn)品時(shí)，應(yīng)選擇在國(guó)內(nèi)市場(chǎng)上有相當(dāng)?shù)姆蓊~，具有高性能、高可靠性、高安全性、高可擴(kuò)展性、高可維護(hù)性的產(chǎn)品，如中興、3Com、Cisco、華為的產(chǎn)品市場(chǎng)份額較大。適用原則。絕對(duì)的安全是不存在的，因此您必須具有“安全風(fēng)險(xiǎn)”意識(shí)。信息安全產(chǎn)品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產(chǎn)品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補(bǔ)損失的手段。您不要（也不可能）追求絕對(duì)的安全。 企業(yè)應(yīng)考慮清楚自己信息系統(tǒng)最大的安全威脅來(lái)自何處，信息系統(tǒng)中最有價(jià)值的是什么，信息系統(tǒng)造成的哪些損失是自己無(wú)法忍受的。安全產(chǎn)品只要為企業(yè)提供足夠的手段應(yīng)對(duì)主要的安全威脅，將可能的損失減小到可以接受的范圍之內(nèi)，就可以了。不降低信息系統(tǒng)綜合服務(wù)品質(zhì)的原則。目前中國(guó)許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設(shè)）完成之后才考慮信息安全，即所謂的“打安全補(bǔ)丁”。這種“補(bǔ)丁”做法往往會(huì)給信息安全產(chǎn)品的選型帶來(lái)很多困難，因?yàn)楹芏鄷r(shí)候，信息安全與系統(tǒng)的使用便利性和效率往往是一對(duì)矛盾。 適用性與先進(jìn)性相結(jié)合原則：不同品牌的產(chǎn)品價(jià)格差異較大，因此選擇時(shí)不能只看品牌或追求高價(jià)，也不能只看價(jià)錢低的，應(yīng)該根據(jù)應(yīng)用的實(shí)際情況，選擇性能價(jià)格比高，既要滿足目前的需要，又能適應(yīng)未來(lái)幾年網(wǎng)絡(luò)發(fā)展的產(chǎn)品。易于管理原則：所謂易于操作管理主要是指用相應(yīng)的技術(shù)來(lái)簡(jiǎn)化管理以降低維護(hù)費(fèi)用成本，一般通過(guò)硬件與軟件兩個(gè)方面來(lái)達(dá)到這個(gè)目標(biāo)。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結(jié)合評(píng)估系統(tǒng)的服務(wù)品質(zhì)，定下系統(tǒng)綜合服務(wù)品質(zhì)參數(shù)，在此基礎(chǔ)上，以不降低綜合服務(wù)品質(zhì)為原則，對(duì)信息安全產(chǎn)品進(jìn)行選型。標(biāo)準(zhǔn)性：網(wǎng)絡(luò)安全產(chǎn)品選型符合國(guó)家標(biāo)準(zhǔn)，產(chǎn)品的質(zhì)量以及屬性必須達(dá)到國(guó)家所要求的，符合本產(chǎn)品的性能；安全性原則：產(chǎn)品系統(tǒng)具有多層次的安全保護(hù)措施，可以滿足用戶身份鑒別、訪問(wèn)控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫螅粩U(kuò)展性原則：在業(yè)務(wù)不斷發(fā)展的情況下 ，產(chǎn)品系統(tǒng)可以不斷升級(jí)和擴(kuò)充，并保證系統(tǒng)的穩(wěn)定運(yùn)行；性價(jià)比：不盲目追求高性能產(chǎn)品，要購(gòu)買適合自身需求的產(chǎn)品；產(chǎn)品與服務(wù)相結(jié)合原則：選擇產(chǎn)品時(shí)，既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強(qiáng)大的技術(shù)支持、良好的售后服務(wù)，否則買回的產(chǎn)品出現(xiàn)故障時(shí)既沒(méi)有技術(shù)又沒(méi)有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。 網(wǎng)絡(luò)常用技術(shù)介紹VLAN技術(shù)VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。OSPF高級(jí)路由協(xié)議隨著Internet技術(shù)在全球范圍的飛速發(fā)展，OSPF已成為目前企業(yè)網(wǎng)采用最多、應(yīng)用最廣泛的路由協(xié)議之一。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Linkstate）的路由協(xié)議，一般用于同一個(gè)路由域內(nèi)。在這里，路由域是指一個(gè)自治系統(tǒng)（Autonomous System），即AS。在這個(gè)AS中，所有的OSPF路由器都維護(hù)一個(gè)相同的描述這個(gè)AS結(jié)構(gòu)的數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過(guò)這個(gè)數(shù)據(jù)庫(kù)計(jì)算出其OSPF路由表的。Trunk技術(shù)Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器?；诙丝趨R聚（Trunk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個(gè)網(wǎng)絡(luò)能力。TRUNK（端口匯聚）是在交換機(jī)和網(wǎng)絡(luò)設(shè)備之間比較經(jīng)濟(jì)的增加帶寬的方法，如服務(wù)器、路由器、工作站或其他交換機(jī)。這中增加帶寬的方法在當(dāng)單一交換機(jī)和節(jié)點(diǎn)之間連接不能滿足負(fù)荷時(shí)是比較有效的。Trunk可以提供負(fù)載均衡能力以及系統(tǒng)容錯(cuò)。由于Trunk實(shí)時(shí)平衡各個(gè)交換機(jī)端口和服務(wù)器接口的流量，一旦某個(gè)端口出現(xiàn)故障，它會(huì)自動(dòng)把故障端口從Trunk組中撤消，進(jìn)而重新分配各個(gè)Trunk端口的流量，從而實(shí)現(xiàn)系統(tǒng)容錯(cuò)。TRUNK功能用于交換機(jī)之間的級(jí)聯(lián)，通過(guò)犧牲端口數(shù)來(lái)給交換機(jī)之間的數(shù)據(jù)交換提供捆綁的高帶寬，提高網(wǎng)絡(luò)速度，突破網(wǎng)絡(luò)瓶頸，進(jìn)而大幅提高網(wǎng)絡(luò)性能。SpanningTree協(xié)議生成樹協(xié)議是交換式以太網(wǎng)中的重要概念和技術(shù)，該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠 性。它通過(guò)在交換機(jī)之間傳遞橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）來(lái)互相告知諸如交換機(jī)的橋ID、鏈路性質(zhì)、根橋（Root Bridge）ID等信息，以確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以免引起網(wǎng)絡(luò)環(huán)路。當(dāng)交換機(jī)之間有多個(gè)VLAN時(shí)Trunk線路負(fù)載會(huì)過(guò)重，這時(shí)需要 設(shè)置多個(gè)Trunk端口，但這樣會(huì)形成網(wǎng)絡(luò)環(huán)路。STP協(xié)議便可以解決這一問(wèn)題.可以通過(guò)配置STP端口權(quán)值STP路徑值來(lái)實(shí)現(xiàn)負(fù)載均衡. 如果使用STP端口權(quán)值來(lái)配置那么二條負(fù)載均衡的trunk必須聯(lián)同一交換機(jī)上。使用路徑值則即可以