别再死记硬背了！用Wireshark抓包实战，带你彻底搞懂STP/RSTP/MSTP的选举过程

Wireshark实战：从BPDU报文透视STP/RSTP/MSTP选举全流程

1. 为什么我们需要抓包分析生成树协议？

当你第一次接触生成树协议（STP）时，那些抽象的概念——根桥、指定端口、阻塞端口——是否让你感到困惑？传统的学习方法往往要求我们死记硬背选举规则和状态转换流程，但今天我要带你用一种全新的方式来理解这些概念：通过Wireshark直接分析BPDU报文。

在真实网络环境中，生成树协议的运作完全依赖于BPDU（桥协议数据单元）报文的交互。每个字段的变化都直接影响着网络拓扑的收敛结果。与单纯记忆理论不同，我们将通过实际抓包来观察：

• 根桥是如何通过BPDU字段宣告自己的权威地位
• 交换机之间如何通过比较BPDU中的特定字段来决定端口角色
• 当网络拓扑变化时，TCN BPDU如何触发全网重新计算

这种学习方法不仅能让你真正理解协议本质，还能在日后网络故障排查时，快速定位生成树相关问题的根源。下面是我们将使用的主要工具配置：

# Wireshark抓包过滤表达式（仅显示STP/RSTP/MSTP流量） stp || rstp || mstp # 常用显示过滤字段 stp.root.priority # 根桥优先级 stp.root.ext # 根桥扩展系统ID（通常关联VLAN） stp.root.cost # 到达根桥的路径开销 stp.bridge.priority # 发送者桥优先级 stp.port # 发送端口ID

2. STP选举过程深度解析

2.1 根桥选举：谁来做老大？

打开Wireshark捕获的STP流量，你会看到所有交换机初始时都在发送宣称自己是根桥的BPDU。关键字段如下表所示：

实战观察要点：

1. 初始状态下，所有交换机的BPDU中Root Identifier与自己的Bridge Identifier相同
2. 当交换机收到更优的BPDU（比较Root ID的优先级字段），会停止发送自己的BPDU，转为转发更优的BPDU
3. 最终全网只有一个交换机仍在发送"自称根桥"的BPDU——那就是真正的根桥

通过Wireshark的时间序列视图，你可以清晰看到这个收敛过程。下面是一个典型的根桥选举报文变化：

No. Time Source Destination Protocol Info 1 0.000 00:1a:e3:00:01 01:80:c2:00:00 STP Conf. Root = 32768/00:1a:e3:00:01 2 0.002 00:1b:53:00:01 01:80:c2:00:00 STP Conf. Root = 32768/00:1b:53:00:01 3 2.000 00:1a:e3:00:01 01:80:c2:00:00 STP Conf. Root = 32768/00:1b:53:00:01 # 开始转发更优BPDU

2.2 端口角色决定：复杂的比较逻辑

根桥确定后，其他交换机需要确定每个端口的角色（根端口、指定端口或阻塞端口）。Wireshark可以帮助我们验证以下选举规则：

1. 根端口选举：每个非根桥交换机选择到达根桥路径开销最小的端口

   • 在Wireshark中观察Root Path Cost字段的累加过程
   • 路径开销会根据链路带宽自动计算（如千兆链路=20000）

2. 指定端口选举：每个网段需要选择一个指定端口

   • 比较发送者的Bridge ID（优先级+MAC）
   • 如果Bridge ID相同，则比较发送Port ID

提示：在Wireshark中可以使用"stp.type == 0x00"过滤配置BPDU，这是选举过程的主要报文类型

3. RSTP的改进机制分析

3.1 快速收敛的秘密：P/A机制报文解析

RSTP通过引入Proposal/Agreement机制大幅缩短收敛时间。在Wireshark中，我们需要关注BPDU Flags字段：

BPDU Flags: 0x7d (Agreement, Forwarding, Learning, Port Role: Designated, Proposal)

关键位含义：

• Proposal (0x01)：表示发送方希望快速过渡到转发状态
• Agreement (0x80)：表示接收方同意快速过渡
• Port Role (bits 3-4)：00=Unknown, 01=Alternate/Backup, 10=Root, 11=Designated

P/A过程抓包分析：

1. 新链路连接后，上游交换机发送Proposal位置位的BPDU
2. 下游交换机收到后，阻塞所有非边缘端口，回复Agreement位置位的BPDU
3. 上游收到Agreement后立即进入转发状态

# 用scapy构造RSTP BPDU示例（仅用于理解字段结构） from scapy.all import * rstp_bpdu = Ether(dst="01:80:c2:00:00:00")/ \ LLC(dsap=0x42, ssap=0x42, ctrl=3)/ \ STP(proto=0, version=2, bpdutype=2, bpduflags=0x01, # Proposal位 portid=0x8001)

3.2 拓扑变化处理：TCN机制的演进

与STP不同，RSTP的拓扑变化通知更加高效：

1. 只有非边缘端口进入转发状态才会触发TCN
2. 不再需要TCN BPDU特殊报文，而是通过普通BPDU中的TC位
3. 所有交换机都可以直接产生和发送TC置位的BPDU

在Wireshark中过滤"stp.flags.tc == 1"可以看到这些拓扑变化通知报文。

4. MSTP的多实例实现

4.1 域内实例的报文结构

MSTP的BPDU最显著的特点是包含MST Extension字段，其中包含：

• MST配置标识符（名称、修订号、VLAN-实例映射）
• 每个实例的路径开销和桥ID信息

Wireshark解析示例：

Multiple Spanning Tree Protocol [...] MST Extension MST Config ID Format Selector: 0 Configuration Name: MyMSTPdomain Revision Level: 1 Configuration Digest: 0x8a5f9d3e... CIST Internal Root Path Cost: 200000 CIST Bridge Identifier: 32768.00:1a:e3:00:01 [...] MSTI 1 Configuration Messages MSTI Flags: 0 MSTI Regional Root: 32768.00:1a:e3:00:01 MSTI Internal Root Path Cost: 0 MSTI Bridge Priority: 32768 MSTI Port Priority: 128 MSTI Remaining Hops: 20

4.2 多实例选举的并行过程

每个MST实例（MSTI）实际上运行着独立的RSTP算法。在Wireshark中可以通过以下方法分析：

1. 过滤特定实例的流量："mstp.instance == 1"
2. 比较不同实例的Regional Root字段
3. 观察实例特定的路径开销（Internal Root Path Cost）

实例选举关键点：

• 每个实例可以有不同的根桥
• 端口在不同实例中可以有不同角色
• VLAN到实例的映射必须全网一致

5. 实战排错技巧

5.1 常见问题定位方法

通过Wireshark分析生成树问题时，可以遵循以下流程：

1. 确认根桥身份：

   • 检查Root Identifier字段是否全网一致
   • 验证宣称根桥的交换机是否确实具有最优参数

2. 检查收敛问题：

   • 观察BPDU发送间隔（Hello Time）
   • 检查Message Age是否超过Max Age导致BPDU被丢弃

3. 验证端口角色：

   • 根据收到的BPDU参数，验证各端口角色是否符合预期
   • 特别注意Alternate/Backup端口的状态

5.2 典型故障案例分析

案例1：双根桥问题

• 现象：网络中同时存在两个交换机发送自称根桥的BPDU
• 排查：
  • 检查物理链路是否形成分割
  • 验证BPDU是否被ACL或防火墙过滤
  • 比较两个"根桥"的参数（优先级、MAC地址）

案例2：收敛缓慢

• 现象：端口需要30-50秒才能进入转发状态
• 排查：
  • 检查是否错误配置为STP而非RSTP/MSTP
  • 验证P/A机制是否正常工作（全双工链路）
  • 检查是否触发了TC保护机制

# 交换机上查看STP状态的常用命令（华为设备示例） display stp brief display stp abnormal display stp region-configuration

掌握这些Wireshark分析技巧后，你会发现生成树���议不再是一堆需要死记硬背的概念，而是一系列可以通过报文字段验证的明确规则。下次当你面对网络环路或收敛问题时，不妨抓起Wireshark，让BPDU报文告诉你真相。