“交换机CPU突然飙到100%？”
“全网Ping延迟上千毫秒，时通时断？”
“监控录像花屏，摄像头频繁离线？”

这些症状，往往是 网络环路（Loop） 的典型表现。

而环路之所以频发，最常见的原因就是：

STP（生成树协议）被人为关闭了！

很多网工朋友为了“快速接入设备”或“避免STP收敛慢”，直接在端口上执行 undo stp enable，殊不知，这等于拆掉了网络的“保险丝”。

今天就来聊聊：为什么 绝不能随意禁用STP，以及如何安全地优化它。

一、STP是干什么的？

核心功能：防环

当网络中存在冗余链路时，如果没有STP，数据包会无限转发，形成广播风暴：

[SW-A] ←→ [SW-B]
↑ ↑
[PC1] [PC2]

• PC1发一个广播包
• SW-A和SW-B都转发给对方
• 形成闭环，包越转越多
• 最终耗尽带宽和CPU

✅ STP的作用：
自动阻塞一条冗余链路，逻辑上打破环路，同时保留物理冗余，用于故障切换。

二、谁在禁用STP？为什么？

常见场景：

典型错误配置：

[Huawei] interface gigabitethernet 0/0/5
[Huawei-GigabitEthernet0/0/5] undo stp enable

❌ 这个端口一旦接入另一个交换机，立即形成环路！

三、禁用STP的后果：广播风暴实测

实验环境：

• 两台S5700交换机，通过两条网线互连
• 关闭STP

现象：

1. 连线瞬间，所有端口指示灯疯狂闪烁
2. 交换机CPU从10%飙升至98%
3. display interface 显示：

   Input: 1254321 packets/sec, 980 Mbps
   ↑↑↑ 正常应<10Mbps

4. 全网丢包，业务中断

⚠️ 一次误操作，
可能让整个办公网瘫痪1小时以上。

四、正确做法：不是禁用，而是优化

✅ 方案1：启用 PortFast + BPDU Guard

适用于接PC、打印机、摄像头的端口：

[Huawei] interface gigabitethernet 0/0/1
[
Huawei-GigabitEthernet0/0/1] stp edged-port enable # 相当于PortFast
[
Huawei-GigabitEthernet0/0/1] stp root-protection # 可选
[
Huawei-GigabitEthernet0/0/1] stp bpdu-protection # 启用BPDU保护

作用：

• 端口立即进入转发状态（无需30秒等待）
• 若收到BPDU（说明接了交换机），自动shutdown端口，防止环路

✅ 方案2：使用 Rapid STP（RSTP）

替代传统STP，收敛更快（<1秒）：

[Huawei] stp mode rstp

支持华为、H3C、思科设备，
建议全网统一启用。

✅ 方案3：启用 环路检测（Loop Detection）

作为STP的补充：

[Huawei] loop-detection enable
[Huawei] interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1] loop-detection enable

当检测到环路，可自动shutdown端口或发送告警。

五、真实案例：会议室环路事件

故障现象：

• 每次开会，网络卡顿10分钟
• 事后恢复正常

排查过程：

1. 查日志：核心交换机频繁出现 %STP-4-RING_DETECTED
2. 追踪MAC地址：定位到会议室GE0/0/10
3. 现场检查：用户私接了一台家用交换机，并关闭了STP

解决方案：

1. 移除私接设备
2. 在会议室端口启用：

   stp edged-port enable
   stp bpdu-protection

3. 用户再接交换机，端口自动shutdown，避免环路

六、STP配置最佳实践

总结：STP不是“麻烦”，而是“守护者”

• 禁用STP → 省事一时，风险一世
• 优化STP → 一劳永逸，安全稳定