【EVE-NG流量洞察】8、RSTP

推荐阅读：

1、EVE-NG 2TB全网最新最全镜像下载地址（保持更新）：

https://www.emulatedlab.com/thread-939-1-1.html

2、EVE-NG 2025全网最新最全资源大全（保持更新）：

https://www.emulatedlab.com/thread-2262-1-1.html

3、EVE-NG 国代答疑频道（免费公开访问）：

https://pd.qq.com/s/8d1hglslz

1 纯BPF过滤表达式分析RSTP常见网络故障

RSTP（快速生成树协议，802.1w）是STP的增强版本。以下是使用纯BPF表达式分析RSTP常见网络故障的完整指南：

1.1一、RSTP帧结构参考（BPF偏移计算）

1.1.1RSTP BPDU关键字段偏移（从以太网头部开始）：

0-5: 目的MAC (01:80:C2:00:00:00) 6-11: 源MAC (桥MAC) 12-13: 长度字段 (协议标识符) 14-15: LLC DSAP/SSAP (0x42/0x42) 16: LLC控制字段 (0x03) 17-18: 协议标识符 (0x0000) 19: 协议版本 (RSTP=0x02) 20: BPDU类型 (RSTP=0x02) 21: 标志位 (RSTP特有标志) 22-29: 根桥ID (8字节) 30-33: 根路径开销 (4字节) 34-41: 桥ID (发送者ID，8字节) 42-43: 端口ID (2字节) 44-45: 消息年龄 (2字节) 46-47: 最大年龄 (2字节) 48-49: Hello时间 (2字节) 50-51: 转发延迟 (2字节) 52-53: 版本1长度 (0x00)

1.1.2RSTP特有字段（与STP不同）：

字节21 (标志位) 详细定义： - Bit 0 (0x01): TC (拓扑变更) - Bit 1 (0x02): 提议 (Proposal) - Bit 2-3 (0x0C): 端口角色 (00=未知, 01=备选, 10=根, 11=指定) - Bit 4 (0x10): 学习 (Learning) - Bit 5 (0x20): 转发 (Forwarding) - Bit 6 (0x40): 协议 (0=STP, 1=RSTP/MSTP) - Bit 7 (0x80): TC确认 (TCA) 端口角色编码: - 00: 未知/禁用 - 01: 备选/备份 (Alternate/Backup) - 10: 根端口 (Root) - 11: 指定端口 (Designated)

1.2二、基础RSTP捕获表达式

# 1. 捕获所有RSTP帧（标准组播地址） ether dst 01:80:c2:00:00:00 # 2. 精确捕获RSTP BPDU（版本=2，类型=2） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[20] == 0x02 # 3. 捕获RSTP BPDU（通过标志位识别） ether dst 01:80:c2:00:00:00 and (ether[21] & 0x40) == 0x40 # 4. 排除STP和MSTP，只捕获RSTP ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[20] == 0x02 and not ether[19] == 0x03 # 5. 捕获带RSTP标志的BPDU ether dst 01:80:c2:00:00:00 and ether[21] != 0x00

1.3三、RSTP标志位详细分析

1.3.11. 端口角色检查：

# 根端口 (端口角色=10) ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x0C) == 0x08 # 指定端口 (端口角色=11) ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x0C) == 0x0C # 备选端口 (端口角色=01) ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x0C) == 0x04 # 备份端口 (也使用01，需结合其他信息区分) ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x0C) == 0x04 # 未知/禁用端口 (端口角色=00) ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x0C) == 0x00

1.3.22. 端口状态检查（学习/转发）：

# 阻塞状态（非学习非转发） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x30) == 0x00 # 学习状态（学习但未转发） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x30) == 0x10 # 转发状态（学习和转发） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x30) == 0x30 # 仅转发状态（理论上不存在，但检查） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x30) == 0x20

1.3.33. 拓扑变更相关标志：

# TC标志设置（拓扑变更） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x01) == 0x01 # 提议标志设置（快速收敛） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x02) == 0x02 # TC确认标志 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x80) == 0x80 # 同时设置提议和TC确认（协商中） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x82) == 0x82 # RSTP协议标志（区分STP） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x40) == 0x40

1.4四、RSTP快速收敛机制分析

1.4.11. 提议/同意机制监控：

# 捕获提议BPDU ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x02) == 0x02 # 捕获同意BPDU（指定端口发送的转发状态BPDU） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x0C) == 0x0C and (ether[21] & 0x30) == 0x30 # 捕获边缘端口BPDU（通常没有提议标志） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x02) == 0x00 and (ether[21] & 0x0C) == 0x0C

1.4.22. 快速切换检测：

# 检测端口角色快速变化（需要时间序列分析） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 | \ tcpdump -ttt -c 10 | awk '{print $1, $0}' | grep -E "Root|Designated|Alternate" # 监控端口状态快速变化 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ ((ether[21] & 0x30) == 0x00 or (ether[21] & 0x30) == 0x30)

1.5五、RSTP与STP互操作问题

1.5.11. 混合环境检测：

# 同时捕获STP和RSTP ether dst 01:80:c2:00:00:00 and (ether[19] == 0x00 or ether[19] == 0x02) # 检测STP设备发送的BPDU ether dst 01:80:c2:00:00:00 and ether[19] == 0x00 and ether[20] == 0x00 # 检测RSTP设备发送的BPDU ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[20] == 0x02 # 检测协议标志不匹配 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x40) == 0x00

1.5.22. 兼容模式检测：

# RSTP运行在兼容模式（可能发送STP格式BPDU） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[20] == 0x00 # RSTP标志位但版本为STP（异常） ether dst 01:80:c2:00:00:00 and ether[19] == 0x00 and (ether[21] & 0x40) == 0x40

1.6六、RSTP计时器分析

1.6.11. Hello时间检查：

# 检查Hello时间（RSTP通常2秒） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[48:2] != 0x0002 # Hello时间为0（错误配置） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[48:2] == 0x0000 # Hello时间过长（失去快速收敛优势） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[48:2] > 0x0004

1.6.22. 消息年龄检查：

# 消息年龄正常（应小于Hello时间的倍数） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[44:2] > 0x0006 # 消息年龄超过最大年龄（BPDU过期） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[44:2] > ether[46:2] # 新BPDU（消息年龄接近0） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[44:2] < 0x0002

1.6.33. 最大年龄检查：

# RSTP最大年龄通常6秒（3倍Hello时间） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[46:2] != 0x0006 # 最大年龄过小 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[46:2] < 0x0004 # 最大年龄过大（降低快速收敛能力） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[46:2] > 0x0014

1.7七、常见RSTP故障分析表达式

1.7.1故障1: 快速收敛失败

# 检测没有使用提议/同意机制 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x02) == 0x00 and (ether[21] & 0x30) != 0x30 # 检测端口状态切换缓慢（通过时间分析） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 | \ tcpdump -ttt -c 20 | awk 'BEGIN{last="";count=0} \ {port_role=and(strtonum($21),0x0C); if(port_role!=last) {count++; last=port_role}} \ END{if(count>5) print "端口角色切换频繁"}'

1.7.2故障2: 边缘端口误配置

# 边缘端口发送提议（错误） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ ether[6:6] = 主机MAC and (ether[21] & 0x02) == 0x02 # 检测边缘端口收到BPDU（应触发BPDU保护） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ ether src 主机MAC

1.7.3故障3: 根端口选择问题

# 多个端口声称是根端口（可能来自不同桥） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x0C) == 0x08 | tcpdump -c 10 -e | \ awk '{print $2}' | sort | uniq -c | grep -v "1 " # 根端口路径开销异常高 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x0C) == 0x08 and ether[30:4] > 0x00002710 # >10000

1.7.4故障4: 拓扑变更风暴

# 频繁的TC标志设置 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x01) == 0x01 | tcpdump -c 10 -ttt | \ awk '{if(NR>1 && $1-last<1.0) count++; last=$1} END{if(count>=3) print "TC风暴"}' # 边缘端口频繁up/down触发TC timeout 10 tcpdump -c 5 \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and (ether[21] & 0x01) == 0x01" | \ wc -l

1.7.5故障5: BPDU保护失效

# 接入端口收到BPDU但未关闭 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ ether[6:6] = 主机MAC and \ tcpdump -c 1 -w /dev/null 2>&1 | grep -q "packets captured" # 检测非法BPDU源（非交换机MAC） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ not ether[6:3] = 交换机OUI

1.8八、RSTP链路类型识别

1.8.11. 点对点链路检测：

# 点对点链路应有提议/同意协商 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x02) == 0x02 and (ether[21] & 0x80) == 0x80 # 共享介质链路（无提议标志） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x02) == 0x00 and (ether[21] & 0x0C) == 0x0C

1.8.22. 全双工/半双工检测：

# 全双工链路通常更快收敛（通过标志位间接判断） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x30) == 0x30 and ether[44:2] < 0x0002 # 新BPDU快速转发

1.9九、RSTP与MSTP交互

1.9.11. 检测MSTP区域中的RSTP：

# MSTP区域但发送RSTP BPDU（配置错误） ether dst 01:80:c2:00:00:00 and ether[19] == 0x03 and ether[20] == 0x02 and \ ether[60:4] == 0x00000000 # MST配置标识为空 # RSTP与MSTP混合 ether dst 01:80:c2:00:00:00 and \ (ether[19] == 0x02 or ether[19] == 0x03) | \ tcpdump -c 10 -nn | grep -E "802.1w|802.1s"

1.10十、组合故障诊断表达式

1.10.1综合RSTP健康检查：

# 捕获所有可能的RSTP问题 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ( # 协议标志不一致 (ether[21] & 0x40) == 0x00 or # 端口角色无效 (ether[21] & 0x0C) == 0x00 or # 状态无效（学习但不转发异常） (ether[21] & 0x30) == 0x20 or # 计时器异常 ether[48:2] == 0x0000 or # Hello时间为0 ether[46:2] < 0x0004 or # 最大年龄过小 ether[44:2] > ether[46:2] or # 消息年龄超时 # 根桥ID异常（优先级为0） (ether[22:2] & 0xf000) == 0x0000 or # 桥ID等于根桥ID但非根桥 ether[22:8] == ether[34:8] and (ether[22:2] & 0xf000) != 0x8000 )

1.10.2严重故障过滤器：

# 可能导致环路的严重故障 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ( # BPDU过期但端口仍在转发 ether[44:2] >= ether[46:2] and (ether[21] & 0x20) == 0x20 or # 多个根桥（根桥ID不等于桥ID但标志显示为指定端口） ether[22:8] != ether[34:8] and (ether[21] & 0x0C) == 0x0C and \ ether[30:4] == 0x00000000 or # 提议机制失效（端口被阻塞但收到提议） (ether[21] & 0x02) == 0x02 and (ether[21] & 0x30) == 0x00 )

1.10.3性能问题过滤器：

# 影响快速收敛性能的问题 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ( # Hello时间过长 ether[48:2] > 0x0004 or # 频繁的拓扑变更 (ether[21] & 0x01) == 0x01 and ether[44:2] < 0x0002 or # 端口角色频繁变化（需要时间分析） (ether[21] & 0x0C) != 0x0C # 非指定端口 ) | tcpdump -c 20 -ttt | awk ' BEGIN {changes=0; last_role=0} { role=and(strtonum("0x" substr($21,1,2)),0x0C); if (NR>1 && role!=last_role) changes++; last_role=role; } END {if (changes>5) print "端口角色变化频繁: " changes "次"}'

1.11十一、RSTP安全特性检查

1.11.11. BPDU保护：

# 检测边缘端口是否收到BPDU ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ not ether[6:3] = 交换机OUI and \ tcpdump -c 1 2>/dev/null | wc -l

1.11.22. 根保护：

# 检测是否收到更优的BPDU（根保护应阻止） ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ ether[22:2] < 当前根桥优先级 and \ tcpdump -c 1 2>/dev/null | wc -l

1.11.33. 环路保护：

# 检测根端口是否停止接收BPDU # 需要比较时间序列，以下为简化检查 timeout 10 tcpdump -c 1 \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x0C) == 0x08" 2>/dev/null | wc -l

1.12十二、实时监控脚本（BPF基础）

1.12.1RSTP状态监控脚本：

#!/bin/bash # RSTP协议监控脚本 INTERFACE=$1 DURATION=60 # 监控60秒 echo "RSTP协议监控 - 接口: $INTERFACE" echo "开始时间: $(date)" echo "==================================" # 实时监控RSTP状态变化 tcpdump -i $INTERFACE -c 100 \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02" \ -ttt -e 2>/dev/null | \ awk ' BEGIN { total=0; root=0; designated=0; alternate=0; blocking=0; learning=0; forwarding=0; tc_count=0; proposal_count=0; last_time=0; interval_sum=0; interval_count=0; # 角色名称映射 role_name[0]="未知"; role_name[4]="备选"; role_name[8]="根端口"; role_name[12]="指定端口"; # 状态名称映射 state_name[0]="阻塞"; state_name[16]="学习"; state_name[32]="转发"; state_name[48]="学习+转发"; } /^[0-9]/ { total++; current_time=$1; # 提取源MAC和标志位（简化解析） if (match($0, /([0-9a-f:]{17}) > 01:80:c2:00:00:00/, mac_arr)) { src_mac = mac_arr[1]; } # 查找标志位（实际需要更精确的解析） flags = 0; if (match($0, /flags ([0-9a-fx]+)/, flag_arr)) { flags = strtonum(flag_arr[1]); } # 分析标志位 role = and(flags, 0x0C); state = and(flags, 0x30); # 统计角色 if (role == 8) root++; else if (role == 12) designated++; else if (role == 4) alternate++; # 统计状态 if (state == 0) blocking++; else if (state == 16) learning++; else if (state == 32) forwarding++; else if (state == 48) { learning++; forwarding++; } # 统计特殊标志 if (and(flags, 0x01)) tc_count++; if (and(flags, 0x02)) proposal_count++; # 计算间隔 if (last_time > 0) { interval = current_time - last_time; interval_sum += interval; interval_count++; } last_time = current_time; # 实时显示重要变化 if (and(flags, 0x01)) { printf "[%s] TC标志设置 - 角色: %s, 状态: %s\n", src_mac, role_name[role], state_name[state]; } if (role != 12 && state == 48) { printf "[%s] 异常: 非指定端口但在转发状态\n", src_mac; } } END { print "\n=== 统计结果 ==="; print "总RSTP BPDU数: " total; print "端口角色分布:"; print " 根端口: " root; print " 指定端口: " designated; print " 备选端口: " alternate; print "端口状态分布:"; print " 阻塞: " blocking; print " 学习: " learning; print " 转发: " forwarding; print "特殊标志:"; print " TC标志: " tc_count; print " 提议标志: " proposal_count; if (interval_count > 0) { avg_interval = interval_sum / interval_count; print "平均BPDU间隔: " sprintf("%.2f", avg_interval) "秒"; if (avg_interval > 2.5) { print "警告: BPDU间隔过长，可能影响收敛速度"; } } if (tc_count > total * 0.2) { print "警告: TC标志过多(" tc_count "/" total ")，可能存在拓扑震荡"; } }'

1.12.2BPF捕获保存分析：

# 保存RSTP故障相关报文 tcpdump -i any -w rstp_issues.pcap \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and ( # TC标志频繁设置 (ether[21] & 0x01) == 0x01 or # 端口角色异常 (ether[21] & 0x0C) == 0x00 or # 状态异常 (ether[21] & 0x30) == 0x20 or # 计时器问题 ether[48:2] == 0x0000 or ether[44:2] > 0x000a or # 提议机制问题 (ether[21] & 0x02) == 0x02 and (ether[21] & 0x30) == 0x00 )"

1.13十三、特定故障场景诊断

1.13.1场景1: RSTP收敛时间测试

# 模拟链路故障后监控收敛时间 echo "断开链路..." sleep 2 echo "恢复链路，监控收敛..." start_time=$(date +%s.%N) timeout 10 tcpdump -i eth0 -c 1 \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x30) == 0x30" 2>/dev/null end_time=$(date +%s.%N) convergence_time=$(echo "$end_time - $start_time" | bc) echo "收敛时间: ${convergence_time}秒"

1.13.2场景2: 边缘端口测试

# 测试边缘端口是否正确工作 # 在边缘端口连接测试设备 TEST_MAC="00:11:22:33:44:55" echo "监控边缘端口行为..." tcpdump -i eth0 -c 5 \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ ether[6:6] = $TEST_MAC" 2>/dev/null | wc -l if [ $? -eq 0 ]; then echo "边缘端口收到BPDU - BPDU保护可能未生效" else echo "边缘端口正常工作" fi

1.13.3场景3: 根保护测试

# 测试根保护功能 # 发送更优的BPDU（更低优先级） echo "发送更优BPDU测试根保护..." # 这里需要实际发送测试BPDU，简化显示 echo "如果端口被阻塞，根保护生效"

1.14十四、实用故障排除命令

# 1. 基本RSTP捕获 sudo tcpdump -i eth0 -c 10 -e "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02" # 2. 检查RSTP标志位分布 sudo tcpdump -i eth0 -XX "ether[19] == 0x02" | \ grep -o "flags [0-9a-fx]\+" | sort | uniq -c # 3. 监控端口状态变化 sudo tcpdump -i eth0 -l "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02" | \ awk '{ flags=strtonum("0x" substr($0, index($0, "flags ")+6, 2)); role=and(flags,0x0C); state=and(flags,0x30); printf "时间: %s 角色: %d 状态: %d\n", $1, role, state; }' # 4. 检查特定桥的RSTP行为 BRIDGE_MAC="00:11:22:33:44:55" sudo tcpdump -i any -nn \ "ether[6:6] = $BRIDGE_MAC and ether dst 01:80:c2:00:00:00 and ether[19] == 0x02" # 5. 保存详细分析 sudo tcpdump -i eth0 -s 0 -w rstp_analysis.pcap \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02"

1.15十五、BPF表达式优化

# 1. 使用预编译过滤器 tcpdump -i eth0 -ddd \ "ether dst 01:80:c2:00:00:00 and ether[19] == 0x02" > rstp_filter.bpf # 2. 组合条件优化 ether[0:6] = 01:80:c2:00:00:00 and ether[19] == 0x02 and ether[20] == 0x02 # 3. 使用掩码同时检查多个条件 ether dst 01:80:c2:00:00:00 and ether[19] == 0x02 and \ (ether[21] & 0x3F) == 0x3F # 所有RSTP标志设置 # 4. 排除非RSTP流量 ether dst 01:80:c2:00:00:00 and not ether[19] == 0x00

1.16十六、常见故障场景与BPF表达式

1.17总结

纯BPF表达式分析RSTP故障的关键点：

1. 识别RSTP BPDU：版本=0x02，类型=0x02，标志位Bit6=1
2. 监控端口角色：根端口(0x08)、指定端口(0x0C)、备选端口(0x04)
3. 检查端口状态：阻塞(0x00)、学习(0x10)、转发(0x30)
4. 分析快速收敛机制：提议标志(0x02)、TC标志(0x01)
5. 验证计时器配置：Hello时间(2秒)、最大年龄(6秒)

RSTP相比STP的主要改进在于快速收敛机制，故障排查时应重点关注：

• 提议/同意机制是否正常工作
• 边缘端口是否正确配置
• 点对点链路识别是否准确
• 与STP设备的互操作性

这些BPF表达式可用于实时监控RSTP网络健康状况，快速定位收敛问题、环路风险和配置错误。对于复杂故障，建议结合show spanning-tree、debug spanning-tree等设备命令进行综合分析。