端口+STP+VRRP基礎(chǔ)知識及典型組網(wǎng)實(shí)例分析課件

端口+STP+VRRP基礎(chǔ)知識介紹

端口+STP+VRRP基礎(chǔ)知識介紹第一部分端口通過圖例的方式復(fù)習(xí)交換機(jī)端口對報(bào)文的處理方式第一部分端口他們對報(bào)文的入和出是怎樣處理的呢?他們和PVID在實(shí)際組網(wǎng)中又容易出現(xiàn)哪些問題呢?以下我們將用幾個(gè)例子來列舉出他們之間的關(guān)系.access、trunk、hybrid和PVID他們對報(bào)文的入和出是怎樣處理的呢?他們和PVID在實(shí)際組網(wǎng)a問主機(jī)A能PING通主機(jī)B嗎?復(fù)習(xí)知識:trunk,access端口同PVID對報(bào)文出入是怎樣進(jìn)行打標(biāo)記的.復(fù)習(xí)目標(biāo):通過復(fù)習(xí)理解,對實(shí)際網(wǎng)絡(luò)中出現(xiàn)的端口問題能迅速排查.問主機(jī)A能PING通主機(jī)B嗎?復(fù)習(xí)知識:問:主機(jī)B能PING通主機(jī)A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為untagged時(shí)對報(bào)文是怎樣處理的.問:主機(jī)B能PING通主機(jī)A嗎?復(fù)習(xí)知識:主機(jī)B能ping通主機(jī)A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為tagged時(shí)對報(bào)文是怎樣處理的.主機(jī)B能ping通主機(jī)A嗎?復(fù)習(xí)知識:交換機(jī)端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機(jī)的一點(diǎn)原理：為了快速高效處理，交換機(jī)內(nèi)部的數(shù)據(jù)幀一律都帶有VLAN標(biāo)簽，以統(tǒng)一方式處理.1.Access端口（1）收到一個(gè)二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）若VLAN標(biāo)簽和PVID一致，轉(zhuǎn)發(fā)VLAN幀；否則直接丟棄2.trunk端口（1）收到一個(gè)二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該trunk端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄（注意：trunk口允許或不允許VLAN幀，是對進(jìn)入的幀而言的，對出去的幀沒有限制。）交換機(jī)端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機(jī)的一點(diǎn)原3.hybrid端口（1）收到一個(gè)二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該hybrid端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄可以看到，trunk口和hybrid口對接收到的數(shù)據(jù)幀的處理規(guī)則是一樣的。3.hybrid端口交換機(jī)端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口（1）將二層幀的VLAN標(biāo)簽剝離，直接發(fā)送出去2.trunk端口（1）比較端口的PVID和將要發(fā)送二層幀的VLAN標(biāo)簽（2）如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送3.hybrid端口（1）用“disinterface”命令，可以查到hybrid端口對哪些VLAN是untag，哪些VLAN是tag。以此來判斷進(jìn)入hybrid口的VLAN幀，是屬于untagVLAN，還是tagVLAN。（2）如果屬于untagVLAN則轉(zhuǎn)到第3步，如果屬于tagVLAN則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送交換機(jī)端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口第二部分ＳＴＰ協(xié)議第二部分ＳＴＰ協(xié)議引入STP/RSTP/MSTP的作用在二層網(wǎng)絡(luò)上形成樹狀網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免環(huán)路。二層網(wǎng)絡(luò)環(huán)路的危害1.廣播風(fēng)暴（沒有三層網(wǎng)絡(luò)的TTL機(jī)制）。2.MAC地址學(xué)習(xí)錯(cuò)誤。二層網(wǎng)絡(luò)的健壯性STP可以增強(qiáng)網(wǎng)絡(luò)健壯性，避免單點(diǎn)故障，單鏈路故障。引入STP/RSTP/MSTP的作用STP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路如圖中，在使能了STP后，SW3的B端口不再轉(zhuǎn)發(fā)流量，從而達(dá)到修剪冗余鏈路的目的一些概念：根橋/指定橋指定端口根端口根路徑開銷端口IDSTP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路一些概念STP的基本概念一個(gè)根橋?qū)τ谝粋€(gè)STP網(wǎng)絡(luò)，根橋有且只有一個(gè)。它是整個(gè)網(wǎng)絡(luò)的邏輯中心，但不一定是物理中心。根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓鶚蚩赡芨淖儭TP交換機(jī)之間通過比較BID（橋ID）來選舉根橋。STP的基本概念一個(gè)根橋STP的基本概念擁有最小BID的交換機(jī)被選舉為根橋每個(gè)交換機(jī)上根路徑開銷最小的端口將成為根端口圖3STP的基本概念擁有最小BID的交換機(jī)被選舉為根橋圖3STP的基本概念三要素的選舉從一個(gè)初始的有環(huán)拓?fù)渖蓸錉钔負(fù)?，總體來說有三個(gè)要素：根橋、根端口和指定端口。根橋是全網(wǎng)意義上的。通過交換特殊的協(xié)議報(bào)文，網(wǎng)絡(luò)中很快就會對最小的BID達(dá)成一致。所謂根端口，是指一個(gè)非根橋的STP交換機(jī)上離根橋最近的端口，這個(gè)端口的選擇標(biāo)準(zhǔn)是根路徑開銷。STP的基本概念三要素的選舉STP的基本概念三要素的選舉–關(guān)于指定端口在每一個(gè)運(yùn)行STP交換機(jī)上（根橋除外），端口都有三類：根端口、指定端口、非根非指定端口；根橋上沒有根端口。指定端口的概念是針對于某網(wǎng)段（Segment）的，是流量從根橋方向來而從這個(gè)端口轉(zhuǎn)發(fā)“出去”。STP的基本概念三要素的選舉–關(guān)于指定端口STP的基本概念四條比較原則STP選舉有4個(gè)比較原則，構(gòu)成消息優(yōu)先級向量：{根橋ID，累計(jì)根路徑開銷，發(fā)送交換機(jī)BID，發(fā)送端口PID}STP交換機(jī)協(xié)議采用特殊的協(xié)議報(bào)文（又稱協(xié)議數(shù)據(jù)單元，BridgeProtocolDataUnit）來交互信息，這種特殊的消息稱為“配置消息（ConfigurationMessage）”或者一般簡稱之BPDU。消息優(yōu)先級向量就是攜帶在配置BPDU中的。STP的基本概念四條比較原則STP的基本概念四條比較原則配置BPDU中攜帶本端口的信息，主要信息如下表：字段內(nèi)容簡要說明根橋BID每個(gè)STP網(wǎng)絡(luò)中有且僅有一個(gè)根累計(jì)根路徑開銷發(fā)送這個(gè)BPDU的端口到根橋的“距離”發(fā)送交換機(jī)BID發(fā)送這個(gè)BPDU的交換機(jī)的BID發(fā)送端口PID發(fā)出這個(gè)BPDU的端口的PIDSTP的基本概念四條比較原則字段內(nèi)容簡要說明根橋BID每個(gè)SSTP的基本概念最低BID。用來選根橋。最小的累計(jì)根路徑開銷。用來在非根橋上選擇根端口，在根橋上每個(gè)端口到根橋的根路徑開銷都是0。圖4STP的基本概念最低BID。用來選根橋。圖4STP的技術(shù)細(xì)節(jié)根橋的選擇由于每個(gè)橋都認(rèn)為自己是根橋，所以在每個(gè)端口所發(fā)出的BPDU中，根橋字段都是用各自的BID填充。BPDU會按照HelloTime指定的時(shí)間間隔來發(fā)送，默認(rèn)的時(shí)間為2秒。當(dāng)發(fā)送BPDU的時(shí)候，填充RootBID字段的是“當(dāng)前我所認(rèn)為的根橋”的BID。通過交互，交換機(jī)之間比較RootBID，最后可以得出一個(gè)最好的BID，達(dá)成一致。STP的技術(shù)細(xì)節(jié)根橋的選擇STP的技術(shù)細(xì)節(jié)根端口的選擇每個(gè)非根橋STP交換機(jī)都要選擇一個(gè)根端口，根端口對于一個(gè)交換機(jī)來說有且只有一個(gè)。其本質(zhì)是“距離根橋最近的端口”，這個(gè)最近的衡量是靠累計(jì)根路徑開銷來判定的STP的技術(shù)細(xì)節(jié)根端口的選擇STP的技術(shù)細(xì)節(jié)指定端口的選擇在網(wǎng)段上抑制其他端口（無論是自己的還是其他網(wǎng)橋的）發(fā)送BPDU的端口，就是該網(wǎng)段的指定端口。在收斂后，只有指定端口和根端口可以處于轉(zhuǎn)發(fā)狀態(tài)。在一個(gè)網(wǎng)段上擁有指定端口的交換機(jī)被稱作該網(wǎng)段的指定橋。STP的技術(shù)細(xì)節(jié)指定端口的選擇STP的技術(shù)細(xì)節(jié)穩(wěn)定之后在拓?fù)浞€(wěn)定之后，根橋仍然按照HelloTime間隔發(fā)出配置BPDU。其他非根橋交換機(jī)僅僅在收到上一級過來的BPDU，才會觸發(fā)發(fā)出BPDU。如果有必要，則根據(jù)BPDU里面的信息更新自己相應(yīng)端口的。STP的技術(shù)細(xì)節(jié)穩(wěn)定之后第三部分VRRP第三部分VRRPVrrp技術(shù)

用VRRP實(shí)現(xiàn)虛擬路由器Internet實(shí)際IP地址：10.100.10.3/24實(shí)際IP地址：10.100.10.2/24虛擬IP地址：10.100.10.1/24VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）提供了局域網(wǎng)上的設(shè)備備份機(jī)制Vrrp技術(shù)用VRRP實(shí)現(xiàn)虛擬路由器Internet實(shí)際VRRP技術(shù)VRRP定義了一種報(bào)文：VRRP報(bào)文，是組播報(bào)文VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動(dòng)狀態(tài)（Master）備份狀態(tài)（Backup）VRRP報(bào)文封裝在IP報(bào)文上VRRP技術(shù)VRRP定義了一種報(bào)文：VRRP報(bào)文，是組播報(bào)VRRP原理從備份組的交換機(jī)中選舉主交換機(jī)：默認(rèn)情況下選擇優(yōu)先級最大的為主交換機(jī)，其它交換機(jī)作為備份交換機(jī)主交換機(jī)定期發(fā)送VRRP報(bào)文如果備份交換機(jī)長時(shí)間沒有收到主交換機(jī)報(bào)文，則將自己狀態(tài)改為Master若有多臺備份交換機(jī)，則根據(jù)接收的VRRP報(bào)文，選舉優(yōu)先級最大的交換機(jī)成為新的主交換機(jī)VRRP原理從備份組的交換機(jī)中選舉主交換機(jī)：STP/VRRP/OSPF實(shí)例分析STP/VRRP/OSPF實(shí)例分析學(xué)習(xí)目標(biāo):1.生成樹協(xié)議常見問題分析2.VRRP協(xié)議及問題分析3.典型組網(wǎng)分析學(xué)習(xí)目標(biāo):第一部分生成樹協(xié)議第一部分生成樹協(xié)議SwitchABID=0001SwitchCBID=0050SwitchBBID=1045PC=4PC=8PC=4DPDPRPBPDU:RootSwitch=0001CosttoRoot=8BPDU:RootSwitch=0001

CosttoRoot=4BothRootsCostsare=8

BID-A<BIDB問題1：哪個(gè)端口將被阻斷？問題2：如果所有的PathCost都相同，哪個(gè)端口將被阻斷？復(fù)習(xí)重點(diǎn):STP通過BPDU(BridgeProtocolDataUnit)報(bào)文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。指定端口同可選端口怎么比較.SwitchABID=0001SwitchCBI如何決定BPDU配置消息的優(yōu)劣比較RID(RootBridgeID)，確定網(wǎng)絡(luò)同步。RID相同，比較PathCost（到根橋距離），越小越優(yōu)。RID/PathCost相同，比較指定橋的BID(DesignatedBridgeID)，越小越優(yōu)。RID/PathCost/DBID相同，比較指定端口的ID(DesignatedPortID)，越小越優(yōu)。哪邊更優(yōu)？BPDUBPDU如何決定BPDU配置消息的優(yōu)劣比較RID(RootBrid如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。BID—網(wǎng)橋的優(yōu)先級+網(wǎng)橋MAC。網(wǎng)橋的優(yōu)先級為可配置，缺省值為32768。在缺省情況下，根橋?qū)⒂蒑AC地址最小的網(wǎng)橋擔(dān)任。如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。STP協(xié)議簡介常用概念根橋(RootBridge)—橋ID最小的網(wǎng)橋。其中橋ID是由網(wǎng)橋的優(yōu)先級和網(wǎng)橋的MAC組成。根端口(RootPort)—這個(gè)端口到達(dá)根橋的路徑是該端口所在網(wǎng)橋到達(dá)根橋的最佳路徑。全網(wǎng)中只有根橋是沒有根端口的。指定端口(DesignatedPort)—每一個(gè)網(wǎng)段選擇到根橋最近的網(wǎng)橋作為指定網(wǎng)橋，該網(wǎng)橋到這一網(wǎng)段的端口為指定端口。可選端口(AlternatePort)—既不是指定端口，也不是根端口的端口。RP–ROOTPORTSwitchABID=0001SwitchCBID=1045SwitchBBID=0050DP–DESIGNATEDPORTDPRPDPRPDPDPAPAPSwitchDBID=0030STP協(xié)議簡介常用概念RP–ROOTPORTSwitc確定網(wǎng)橋端口角色BPDU報(bào)文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。通過BPDU配置消息來決定端口的角色：—根端口：網(wǎng)橋各個(gè)端口中到根橋最近的端口。—指定端口：網(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更優(yōu)，則端口為指定端口。—可選端口：網(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更差，則端口為可選端口。確定網(wǎng)橋端口角色BPDU報(bào)文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生效?復(fù)習(xí)重點(diǎn):1.STP通過BPDU(BridgeProtocolDataUnit)報(bào)文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。2.BPDU報(bào)文的目標(biāo)MAC地址為：01-80-C2-00-00-00.Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Sw-ASTP-1STP-2根橋-A根橋-B1.1.1.22.2.2.12.2.2.2Sw-B-1Sw-B-2Sw-A-1Sw-A-2復(fù)習(xí)重點(diǎn):1.只在端口關(guān)閉STP功能,BPDU報(bào)文將會被丟棄.2.沒有運(yùn)行STP協(xié)議的網(wǎng)橋?qū)袯PDU報(bào)文當(dāng)作普通業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)。3.我們的交換機(jī)就算配置三層地址,但是大家也要記住它只是被加入了VLAN-Interface里,它的二層特性并未改變.一樣可以將BPDU報(bào)文發(fā)送.請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Speed Linktype 802.1Dcost 802.1tcost10Mbps HalfDuplex 100 2,000,000 FullDuplex 95 1,999,999 Aggregatedlink 90 1,000,000 100Mbps HalfDuplex 19 200,000 FullDuplex 18 199,999 AggregatedLink 15 100,0001000Mbps FullDuplex 4 20,000 AggregatedLink 3 10,000復(fù)習(xí)重點(diǎn):很多時(shí)候我們經(jīng)常會遇到H3C交換機(jī)同其它友商交換機(jī)STP選路錯(cuò)誤的問題,問題常常是因?yàn)楦鱾€(gè)廠商的PATHCOST標(biāo)準(zhǔn)不同.Speed Linktype 802.1Dcost 8第二部分VRRP協(xié)議第二部分VRRP協(xié)議VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualrouteridentifier)用來標(biāo)識虛擬路由器，取值范圍1-255虛擬路由器的MAC地址00-00-5e-00-02-xxxx為vrid值虛擬路由器的IPAddress虛擬路由器使用的ip地址虛擬路由器的priority用來標(biāo)識運(yùn)行VRRP協(xié)議路由器對應(yīng)VRID的優(yōu)先級取值范圍0-2551-254是備份路由器可以配置的范圍缺省值為100InternetVRID1:Priority110:VirtualIPfe80::1

MasterBackupIPaddressfe80::2IPaddressfe80::3VRID1:Priority100:VirtualIPfe80::1

Gateway:fe80::1ActualIPaddressfe80::5Gateway:fe80::1ActualIPaddressfe80::6Gateway:fe80::1ActualIPaddressfe80::7Gateway:fe80::1ActualIPaddressfe80::8VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualroFW-1SW-ASW-BSW-CFW-2PCFW-1SW-ASW-BSW-CFW-2PC圖例一圖例二復(fù)習(xí)重點(diǎn):1.VRRP在什么情況下會進(jìn)行主備切換.2.VRRP與靜態(tài)路由配合時(shí)容易忽略的地方.FW-1SW-ASW-BSW-CFW-2PCFW-1SW-A典型組網(wǎng)分析典型組網(wǎng)分析政府機(jī)關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機(jī)熱備份方案來組網(wǎng)，2層交換機(jī)的2條千兆鏈路分別上行到主備85，主備85應(yīng)用VRRP為用戶PC提供虛擬網(wǎng)關(guān)，應(yīng)用STP來切斷冗余鏈路組成的環(huán)路。綜合組網(wǎng)應(yīng)用政府機(jī)關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機(jī)熱Quidview網(wǎng)絡(luò)管理平臺網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3CS9512業(yè)務(wù)服務(wù)器群H3C

S9512H3C

S5024*6臺H3C

S7506*18臺H3C

S5024G*3臺NetEngine40-8廣域網(wǎng)雙機(jī)熱備份組網(wǎng)常用的組網(wǎng)圖:Quidview網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3C業(yè)務(wù)服務(wù)器群H3C雙機(jī)組網(wǎng)的特點(diǎn):在單機(jī)樹型組網(wǎng)中，在網(wǎng)絡(luò)設(shè)備受到病毒等惡意攻擊時(shí)，一般表現(xiàn)為網(wǎng)絡(luò)訪問速度變慢或很慢.但是在雙機(jī)熱備份組網(wǎng)中，由于存在物理環(huán)路，設(shè)備在受到攻擊時(shí)很容易造成STP的BPDU丟失從而使得STP計(jì)算錯(cuò)誤，不能正確切斷物理環(huán)路，引發(fā)廣播風(fēng)暴。另外2、3層交換機(jī)長時(shí)間受到巨量廣播報(bào)文沖擊，有時(shí)轉(zhuǎn)發(fā)芯片會失效，就是在廣播風(fēng)暴消失后也不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包，必須手工復(fù)位交換機(jī)。因此，雙機(jī)組網(wǎng)相比單機(jī)組網(wǎng)顯得脆弱些，跟交換機(jī)本身穩(wěn)定性反而關(guān)系不是太大，其它廠商的交換機(jī)一樣如此。所以，針對雙機(jī)組網(wǎng)，必須嚴(yán)格按照下面描述的步驟進(jìn)行配置，提高網(wǎng)絡(luò)的整體穩(wěn)定性。雙機(jī)組網(wǎng)的特點(diǎn):業(yè)務(wù)VLAN和虛接口地址的配置:在接口上配置允許通過的VLAN時(shí),這里著重要說明的是千萬不要對端口配置trunkpermitvlanall或trunkpermitvlan2to200之類，必須老老實(shí)實(shí)的一個(gè)一個(gè)指定允許通過的VLAN，也千萬不要配置GVRP。切記，切記!!!!容易產(chǎn)生8字環(huán)!!!!!!!!!

業(yè)務(wù)VLAN和虛接口地址的配置:VRRP配置ping網(wǎng)關(guān)往往是診斷網(wǎng)絡(luò)故障的第一步，所以在VRRP配置前，必須在全局模式下先配置vrrpping-enable，因?yàn)檫@個(gè)命令在配置VRRP后就不能再配置了。主備85之間每一組VRRP都會以advertise配置的時(shí)間間隔發(fā)送報(bào)文，默認(rèn)值是1秒鐘，如果有多個(gè)VRRP組，每秒同一時(shí)刻就會有較多的VRRP報(bào)文上CPU，為了避免這種情況，可以將VRRP組分為4組，每組分別以則數(shù)時(shí)間間隔（2、3、5、7秒）配置advertise，這樣就可以使得VRRP報(bào)文分散上CPU。VRRP通過priority來配置主備，主備配置必須與STP的配置相一致，否則會使得數(shù)據(jù)多經(jīng)過1個(gè)交換機(jī)加重網(wǎng)絡(luò)負(fù)荷。VRRP配置STP的配置主用85配置為STP的根，備用85配置為STP的備用根，一般不用設(shè)置STP的模式，可以運(yùn)行在默認(rèn)的模式下。2層交換機(jī)強(qiáng)烈建議啟用STP協(xié)議，只要直接啟用STP，不用進(jìn)行其它STP配置。STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情況下備用85無任何業(yè)務(wù)，只能在網(wǎng)絡(luò)發(fā)生故障如主用85當(dāng)機(jī)或2層交換機(jī)連接主用85的光纖DOWN時(shí)，業(yè)務(wù)才會全部或部分切換到備用85。有用戶提出要進(jìn)行主備85之間的負(fù)荷分擔(dān)，如果2層交換機(jī)全部或部分支持MSTP，負(fù)荷分擔(dān)是完全可以實(shí)現(xiàn)的，只要配置MSTP的幾個(gè)實(shí)例，將不同的VLAN劃分到不同的實(shí)例中，配置不同的實(shí)例有不同的根，并相應(yīng)配置VRRP的主用，這樣不同的實(shí)例走不同的85，起到負(fù)荷分擔(dān)的作用.但是在實(shí)際應(yīng)用中，局域網(wǎng)的流量并不大，采用雙機(jī)更多的是出于可靠性的考慮，配置負(fù)荷分擔(dān)并不能提高網(wǎng)絡(luò)的性能，反而增加了配置的復(fù)雜性，潛在的也降低了網(wǎng)絡(luò)的穩(wěn)定性，畢竟越是復(fù)雜穩(wěn)定性越難以保證，所以一般情況下不建議配置主備85之間的負(fù)荷分擔(dān)。VRRP+STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情強(qiáng)制雙工和速率的配置:電接口的自協(xié)商功能穩(wěn)定一些，一般采用自協(xié)商就可以了.光接口由于光模塊的兼容性稍差、某些線路光衰比較大等原因，有些端口自協(xié)商會不成功，需要設(shè)置為強(qiáng)制雙工和強(qiáng)制速率。強(qiáng)制雙工和速率的配置:防病毒ACL的配置病毒攻擊產(chǎn)生大量的報(bào)文沖擊設(shè)備，造成網(wǎng)絡(luò)振蕩和設(shè)備故障，所以必須在所有交換機(jī)配置防病毒ACL規(guī)則對病毒報(bào)文進(jìn)行過慮如:aclnameanti-virusadvancedrule42denytcpdestination-porteq135

rule43denytcpdestination-porteq137rule44denytcpdestination-porteq138rule45denytcpdestination-porteq139rule46denytcpdestination-porteq593rule47denytcpdestination-porteq445rule48denytcpdestination-porteq4444rule49denyudpdestination-porteqnetbios-nsrule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434rule52denyudpdestination-porteq4444rule53denytcpdestination-porteq1022rule54denytcpdestination-porteq1023rule55denytcpdestination-porteq5554rule56denyudpdestination-porteq6666rule57denytcpdestination-porteq9996防病毒ACL的配置交換網(wǎng)絡(luò)排查步驟:1.通過命令來查看STP狀態(tài)(displaystpbrief),在正常情況下應(yīng)該有一個(gè)端口被

DISCARDING掉.如果所有的端口都處于FORWARDING,說明網(wǎng)絡(luò)中已經(jīng)存在了環(huán)路.2.對一個(gè)形成環(huán)路的每一個(gè)端口，使用displaystpinterface命令查看BPDU收發(fā)報(bào)文數(shù)是否在增長.如果BPDU報(bào)文的收有增長,一般情況下網(wǎng)絡(luò)幾分鐘后可以恢復(fù)正常.如果BPDU報(bào)文收發(fā)無正常,則很難自愈,應(yīng)該立即關(guān)閉備的交換機(jī),讓業(yè)務(wù)恢復(fù)正常.

3.網(wǎng)絡(luò)正常后，可以查看各端口的流量和廣播流量，如果某些端口廣播流量特別大，基本可以確定下掛的PC被病毒感染，可以通過端口鏡像抓包來確認(rèn)；交換網(wǎng)絡(luò)排查步驟:STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何設(shè)備相連的端口。用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無需等待延遲時(shí)間。配置命令：[Sysname-Ethernet1/1/1]stpedged-portenable千萬小心：刪除邊緣的端口命令！[Sysname-Ethernet1/1/1]undostpedged-port邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報(bào)文）時(shí)系統(tǒng)會自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹，引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯＿@些端口正常情況下應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊設(shè)備，就會引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。STP-EdgedPortBPDU置為非邊緣端口，重新計(jì)算生成樹交換網(wǎng)絡(luò)BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報(bào)BPDU保護(hù)功能處理流程交換機(jī)上啟動(dòng)了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被STP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。配置命令：[Sysname]stpbpdu-protectionSTP-EdgedPortBPDU端口被STP關(guān)閉交換網(wǎng)絡(luò)BPDU保護(hù)功能處理流程STP-EdgedPortBPDURoot保護(hù)功能產(chǎn)生背景由于維護(hù)人員的錯(cuò)誤配置（例如網(wǎng)橋優(yōu)先級修改）或網(wǎng)絡(luò)中的惡意攻擊，合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不合法的變動(dòng)，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root保護(hù)功能可以防止這種情況的發(fā)生。Root保護(hù)功能產(chǎn)生背景Root保護(hù)功能處理流程對于設(shè)置了Root保護(hù)功能的端口，其在所有實(shí)例上的端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被選擇為非指定端口時(shí)，這些端口的狀態(tài)將被設(shè)置為Discarding狀態(tài)，不再轉(zhuǎn)發(fā)報(bào)文（相當(dāng)于將與此端口相連的鏈路斷開）。當(dāng)在足夠長的時(shí)間內(nèi)沒有收到更優(yōu)的配置消息時(shí)，端口會恢復(fù)原來的正常狀態(tài)。

配置命令：[Sysname-Ethernet1/1/1]stproot-protectionRoot保護(hù)功能處理流程指定主備根橋用戶也可以通過設(shè)備提供的命令來指定當(dāng)前設(shè)備為根橋。

配置命令：[Sysname]stp[instanceinstance-id]rootprimary[bridge-diameter

bridgenum][hello-timecenti-seconds]指定主備根橋指定主備根橋（續(xù)）設(shè)置當(dāng)前設(shè)備為根橋或者備份根橋之后，用戶不能再修改設(shè)備的優(yōu)先級。當(dāng)前設(shè)備在各棵生成樹實(shí)例中的角色互相獨(dú)立，它可以作為一棵生成樹實(shí)例的根橋或備份根橋，同時(shí)也可以作為其他生成樹實(shí)例的根橋或備份根橋；在同一棵生成樹實(shí)例中，同一臺設(shè)備不能既作為根橋，又作為備份根橋。當(dāng)根橋出現(xiàn)故障或被關(guān)機(jī)時(shí)，備份根橋可以取代根橋成為指定生成樹實(shí)例的根橋；但是此時(shí)如果用戶設(shè)置了新的根橋，則備份根橋?qū)⒉粫蔀楦鶚?。如果用戶為一棵生成樹?shí)例配置了多個(gè)備份根橋，當(dāng)根橋失效時(shí)，MSTP將選擇MAC地址最小的那個(gè)備份根橋作為根橋。指定主備根橋（續(xù)）設(shè)置當(dāng)前設(shè)備為根橋或者備份根橋之后，用戶Root保護(hù)和指定主備根橋的區(qū)別配置Root保護(hù)功能與指定主備根橋的作用一樣碼？Root保護(hù)和指定主備根橋的區(qū)別配置Root保護(hù)功能與指定主環(huán)路保護(hù)功能產(chǎn)生背景依靠不斷接收上游設(shè)備發(fā)送的BPDU報(bào)文，設(shè)備可以維持根端口和其他阻塞端口的狀態(tài)。但是由于鏈路擁塞或者單向鏈路故障，這些端口會收不到上游設(shè)備的BPDU報(bào)文，此時(shí)下游設(shè)備會重新選擇端口角色，收不到BPDU報(bào)文的下游設(shè)備根端口會轉(zhuǎn)變?yōu)橹付ǘ丝?，而阻塞端口會遷移到轉(zhuǎn)發(fā)狀態(tài)，從而交換網(wǎng)絡(luò)中會產(chǎn)生環(huán)路。環(huán)路保護(hù)功能會抑制這種環(huán)路的產(chǎn)生。

環(huán)路保護(hù)功能產(chǎn)生背景環(huán)路保護(hù)功能處理流程對于配置了環(huán)路保護(hù)的端口，如果發(fā)生鏈路擁塞或者單向鏈路故障，接收不到上游設(shè)備發(fā)送的BPDU報(bào)文，環(huán)路保護(hù)生效，則根端口的角色變?yōu)橹付ǘ丝?，端口的狀態(tài)為Discarding狀態(tài)；阻塞端口同樣也變?yōu)橹付ǘ丝?，端口狀態(tài)為Discarding狀態(tài)，不轉(zhuǎn)發(fā)報(bào)文，從而不會在網(wǎng)絡(luò)中形成環(huán)路。配置命令：[Sysname-Ethernet1/1/1]stploop-protection環(huán)路保護(hù)功能處理流程環(huán)路保護(hù)功能流程演示BPDU根端口指定端口TCTC拓?fù)涓淖?，重新?jì)算，打開端口阻塞端口forwarding拓?fù)涓淖?，重新?jì)算，打開端口指定端口環(huán)路保護(hù)生效端口discardingBPDU指定端口環(huán)路保護(hù)功能流程演示BPDU根端口指定端口TCTC拓?fù)涓淖?，防止TC-BPDU報(bào)文攻擊的保護(hù)功能設(shè)備在接收到TC-BPDU報(bào)文后，會執(zhí)行MAC地址表項(xiàng)和ARP表項(xiàng)的刪除操作。在有人偽造TC-BPDU報(bào)文惡意攻擊設(shè)備時(shí)，設(shè)備短時(shí)間內(nèi)會收到很多的TC-BPDU報(bào)文，頻繁的刪除操作給設(shè)備帶來很大負(fù)擔(dān)，給網(wǎng)絡(luò)的穩(wěn)定帶來很大隱患。防止TC-BPDU報(bào)文攻擊的保護(hù)功能使能后，設(shè)備在收到TC-BPDU報(bào)文后的一定時(shí)間內(nèi)（一般為10秒），只進(jìn)行一次刪除操作，同時(shí)監(jiān)控該時(shí)間段內(nèi)是否收到TC-BPDU報(bào)文。如果在該時(shí)間段內(nèi)收到了TC-BPDU報(bào)文，則設(shè)備在該時(shí)間超時(shí)后再進(jìn)行一次刪除操作。這樣可以避免頻繁的刪除MAC地址表項(xiàng)和ARP表項(xiàng)。配置命令：[Sysname]stptc-protectionenable防止TC-BPDU報(bào)文攻擊的保護(hù)功能設(shè)備在接收到TC-BPD注意事項(xiàng)BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)這三種保護(hù)功能的支持情況與設(shè)備的型號有關(guān)，請以設(shè)備的實(shí)際情況為準(zhǔn)。不同的交換機(jī)、不同的版本對TC-Protection缺省是否打開不一致。

其它保護(hù)功能缺省均未打開。

在對一個(gè)端口進(jìn)行配置的時(shí)候，在環(huán)路保護(hù)功能、Root保護(hù)功能或者邊緣端口設(shè)置三個(gè)配置中，同一時(shí)刻只能有一個(gè)配置生效。注意事項(xiàng)BPDU保護(hù)、Root保護(hù)、環(huán)路保護(hù)這三種保護(hù)功能單端口環(huán)路檢測產(chǎn)生背景邊緣交換機(jī)下接橋設(shè)備，橋的兩個(gè)端口可能因?yàn)榉N種原因形成環(huán)路，造成從該交換機(jī)口出去的報(bào)文又從該端口收到形成環(huán)路。對于交換機(jī)來說，該環(huán)路是在交換機(jī)的一個(gè)端口上產(chǎn)生，標(biāo)準(zhǔn)STP無法解決該問題。交換機(jī)二層交換設(shè)備接口人為環(huán)路或設(shè)備內(nèi)部自環(huán)單端口環(huán)路檢測產(chǎn)生背景邊緣交換機(jī)下接橋設(shè)備，橋的兩個(gè)端口可能單端口環(huán)路檢測功能介紹開啟端口環(huán)回監(jiān)測功能定時(shí)(缺省30S)監(jiān)測各個(gè)端口是否被外部環(huán)回。如果發(fā)現(xiàn)某端口被環(huán)回，交換機(jī)會將該端口處于受控工作狀態(tài)，刪除該端口對應(yīng)的MAC地址轉(zhuǎn)發(fā)表項(xiàng)，并向終端上報(bào)Trap信息。但是端口的物理狀態(tài)仍然為UP。配置命令：[Sysname-Ethernet1/1/1]loopback-detectionenable交換機(jī)二層交換設(shè)備接口被人為環(huán)路或設(shè)備內(nèi)部自環(huán)環(huán)回檢測報(bào)文檢測到環(huán)路后將端口處于受控狀態(tài)單端口環(huán)路檢測功能介紹開啟端口環(huán)回監(jiān)測功能定時(shí)(缺省30S)單端口環(huán)路檢測報(bào)文單端口環(huán)路檢測報(bào)文單端口環(huán)路檢測功能介紹(續(xù)一)存在問題：邊緣交換機(jī)的上行口會檢測到其它分支上有環(huán)路存在，系統(tǒng)將上行端口受控，這樣內(nèi)網(wǎng)PC均無法訪問Internet。交換機(jī)1交換機(jī)2三層交換機(jī)二層交換設(shè)備環(huán)路檢測報(bào)文PC檢測到環(huán)路后將端口處于受控狀態(tài)PC無法訪問InternetInternet單端口環(huán)路檢測功能介紹(續(xù)一)存在問題：交換機(jī)1交換機(jī)2三層單端口環(huán)路檢測功能介紹(續(xù)二)解決辦法：目前低端交換機(jī)作為邊緣交換機(jī)使用時(shí)缺省打開單端口環(huán)路檢測功能。但是，必須手動(dòng)關(guān)閉上行端口檢測功能或關(guān)閉受控。配置命令：[Sysname-Ethernet1/1/1]undoloopback-detectionenable或：[Sysname-Ethernet1/1/1]undoloopback-detectioncontrolenable單端口環(huán)路檢測功能介紹(續(xù)二)解決辦法：Q&AQ&A端口+STP+VRRP基礎(chǔ)知識介紹

端口+STP+VRRP基礎(chǔ)知識介紹第一部分端口通過圖例的方式復(fù)習(xí)交換機(jī)端口對報(bào)文的處理方式第一部分端口他們對報(bào)文的入和出是怎樣處理的呢?他們和PVID在實(shí)際組網(wǎng)中又容易出現(xiàn)哪些問題呢?以下我們將用幾個(gè)例子來列舉出他們之間的關(guān)系.access、trunk、hybrid和PVID他們對報(bào)文的入和出是怎樣處理的呢?他們和PVID在實(shí)際組網(wǎng)a問主機(jī)A能PING通主機(jī)B嗎?復(fù)習(xí)知識:trunk,access端口同PVID對報(bào)文出入是怎樣進(jìn)行打標(biāo)記的.復(fù)習(xí)目標(biāo):通過復(fù)習(xí)理解,對實(shí)際網(wǎng)絡(luò)中出現(xiàn)的端口問題能迅速排查.問主機(jī)A能PING通主機(jī)B嗎?復(fù)習(xí)知識:問:主機(jī)B能PING通主機(jī)A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為untagged時(shí)對報(bào)文是怎樣處理的.問:主機(jī)B能PING通主機(jī)A嗎?復(fù)習(xí)知識:主機(jī)B能ping通主機(jī)A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為tagged時(shí)對報(bào)文是怎樣處理的.主機(jī)B能ping通主機(jī)A嗎?復(fù)習(xí)知識:交換機(jī)端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機(jī)的一點(diǎn)原理：為了快速高效處理，交換機(jī)內(nèi)部的數(shù)據(jù)幀一律都帶有VLAN標(biāo)簽，以統(tǒng)一方式處理.1.Access端口（1）收到一個(gè)二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）若VLAN標(biāo)簽和PVID一致，轉(zhuǎn)發(fā)VLAN幀；否則直接丟棄2.trunk端口（1）收到一個(gè)二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該trunk端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄（注意：trunk口允許或不允許VLAN幀，是對進(jìn)入的幀而言的，對出去的幀沒有限制。）交換機(jī)端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機(jī)的一點(diǎn)原3.hybrid端口（1）收到一個(gè)二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進(jìn)行交換轉(zhuǎn)發(fā)（4）判斷該hybrid端口是否允許該VLAN幀進(jìn)入：允許則轉(zhuǎn)發(fā)，否則直接丟棄可以看到，trunk口和hybrid口對接收到的數(shù)據(jù)幀的處理規(guī)則是一樣的。3.hybrid端口交換機(jī)端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口（1）將二層幀的VLAN標(biāo)簽剝離，直接發(fā)送出去2.trunk端口（1）比較端口的PVID和將要發(fā)送二層幀的VLAN標(biāo)簽（2）如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送3.hybrid端口（1）用“disinterface”命令，可以查到hybrid端口對哪些VLAN是untag，哪些VLAN是tag。以此來判斷進(jìn)入hybrid口的VLAN幀，是屬于untagVLAN，還是tagVLAN。（2）如果屬于untagVLAN則轉(zhuǎn)到第3步，如果屬于tagVLAN則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送交換機(jī)端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口第二部分ＳＴＰ協(xié)議第二部分ＳＴＰ協(xié)議引入STP/RSTP/MSTP的作用在二層網(wǎng)絡(luò)上形成樹狀網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免環(huán)路。二層網(wǎng)絡(luò)環(huán)路的危害1.廣播風(fēng)暴（沒有三層網(wǎng)絡(luò)的TTL機(jī)制）。2.MAC地址學(xué)習(xí)錯(cuò)誤。二層網(wǎng)絡(luò)的健壯性STP可以增強(qiáng)網(wǎng)絡(luò)健壯性，避免單點(diǎn)故障，單鏈路故障。引入STP/RSTP/MSTP的作用STP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路如圖中，在使能了STP后，SW3的B端口不再轉(zhuǎn)發(fā)流量，從而達(dá)到修剪冗余鏈路的目的一些概念：根橋/指定橋指定端口根端口根路徑開銷端口IDSTP的基本概念STP通過阻塞適當(dāng)?shù)亩丝趤肀苊猸h(huán)路一些概念STP的基本概念一個(gè)根橋?qū)τ谝粋€(gè)STP網(wǎng)絡(luò)，根橋有且只有一個(gè)。它是整個(gè)網(wǎng)絡(luò)的邏輯中心，但不一定是物理中心。根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓?，根橋可能改變。STP交換機(jī)之間通過比較BID（橋ID）來選舉根橋。STP的基本概念一個(gè)根橋STP的基本概念擁有最小BID的交換機(jī)被選舉為根橋每個(gè)交換機(jī)上根路徑開銷最小的端口將成為根端口圖3STP的基本概念擁有最小BID的交換機(jī)被選舉為根橋圖3STP的基本概念三要素的選舉從一個(gè)初始的有環(huán)拓?fù)渖蓸錉钔負(fù)?，總體來說有三個(gè)要素：根橋、根端口和指定端口。根橋是全網(wǎng)意義上的。通過交換特殊的協(xié)議報(bào)文，網(wǎng)絡(luò)中很快就會對最小的BID達(dá)成一致。所謂根端口，是指一個(gè)非根橋的STP交換機(jī)上離根橋最近的端口，這個(gè)端口的選擇標(biāo)準(zhǔn)是根路徑開銷。STP的基本概念三要素的選舉STP的基本概念三要素的選舉–關(guān)于指定端口在每一個(gè)運(yùn)行STP交換機(jī)上（根橋除外），端口都有三類：根端口、指定端口、非根非指定端口；根橋上沒有根端口。指定端口的概念是針對于某網(wǎng)段（Segment）的，是流量從根橋方向來而從這個(gè)端口轉(zhuǎn)發(fā)“出去”。STP的基本概念三要素的選舉–關(guān)于指定端口STP的基本概念四條比較原則STP選舉有4個(gè)比較原則，構(gòu)成消息優(yōu)先級向量：{根橋ID，累計(jì)根路徑開銷，發(fā)送交換機(jī)BID，發(fā)送端口PID}STP交換機(jī)協(xié)議采用特殊的協(xié)議報(bào)文（又稱協(xié)議數(shù)據(jù)單元，BridgeProtocolDataUnit）來交互信息，這種特殊的消息稱為“配置消息（ConfigurationMessage）”或者一般簡稱之BPDU。消息優(yōu)先級向量就是攜帶在配置BPDU中的。STP的基本概念四條比較原則STP的基本概念四條比較原則配置BPDU中攜帶本端口的信息，主要信息如下表：字段內(nèi)容簡要說明根橋BID每個(gè)STP網(wǎng)絡(luò)中有且僅有一個(gè)根累計(jì)根路徑開銷發(fā)送這個(gè)BPDU的端口到根橋的“距離”發(fā)送交換機(jī)BID發(fā)送這個(gè)BPDU的交換機(jī)的BID發(fā)送端口PID發(fā)出這個(gè)BPDU的端口的PIDSTP的基本概念四條比較原則字段內(nèi)容簡要說明根橋BID每個(gè)SSTP的基本概念最低BID。用來選根橋。最小的累計(jì)根路徑開銷。用來在非根橋上選擇根端口，在根橋上每個(gè)端口到根橋的根路徑開銷都是0。圖4STP的基本概念最低BID。用來選根橋。圖4STP的技術(shù)細(xì)節(jié)根橋的選擇由于每個(gè)橋都認(rèn)為自己是根橋，所以在每個(gè)端口所發(fā)出的BPDU中，根橋字段都是用各自的BID填充。BPDU會按照HelloTime指定的時(shí)間間隔來發(fā)送，默認(rèn)的時(shí)間為2秒。當(dāng)發(fā)送BPDU的時(shí)候，填充RootBID字段的是“當(dāng)前我所認(rèn)為的根橋”的BID。通過交互，交換機(jī)之間比較RootBID，最后可以得出一個(gè)最好的BID，達(dá)成一致。STP的技術(shù)細(xì)節(jié)根橋的選擇STP的技術(shù)細(xì)節(jié)根端口的選擇每個(gè)非根橋STP交換機(jī)都要選擇一個(gè)根端口，根端口對于一個(gè)交換機(jī)來說有且只有一個(gè)。其本質(zhì)是“距離根橋最近的端口”，這個(gè)最近的衡量是靠累計(jì)根路徑開銷來判定的STP的技術(shù)細(xì)節(jié)根端口的選擇STP的技術(shù)細(xì)節(jié)指定端口的選擇在網(wǎng)段上抑制其他端口（無論是自己的還是其他網(wǎng)橋的）發(fā)送BPDU的端口，就是該網(wǎng)段的指定端口。在收斂后，只有指定端口和根端口可以處于轉(zhuǎn)發(fā)狀態(tài)。在一個(gè)網(wǎng)段上擁有指定端口的交換機(jī)被稱作該網(wǎng)段的指定橋。STP的技術(shù)細(xì)節(jié)指定端口的選擇STP的技術(shù)細(xì)節(jié)穩(wěn)定之后在拓?fù)浞€(wěn)定之后，根橋仍然按照HelloTime間隔發(fā)出配置BPDU。其他非根橋交換機(jī)僅僅在收到上一級過來的BPDU，才會觸發(fā)發(fā)出BPDU。如果有必要，則根據(jù)BPDU里面的信息更新自己相應(yīng)端口的。STP的技術(shù)細(xì)節(jié)穩(wěn)定之后第三部分VRRP第三部分VRRPVrrp技術(shù)

用VRRP實(shí)現(xiàn)虛擬路由器Internet實(shí)際IP地址：10.100.10.3/24實(shí)際IP地址：10.100.10.2/24虛擬IP地址：10.100.10.1/24VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）提供了局域網(wǎng)上的設(shè)備備份機(jī)制Vrrp技術(shù)用VRRP實(shí)現(xiàn)虛擬路由器Internet實(shí)際VRRP技術(shù)VRRP定義了一種報(bào)文：VRRP報(bào)文，是組播報(bào)文VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動(dòng)狀態(tài)（Master）備份狀態(tài)（Backup）VRRP報(bào)文封裝在IP報(bào)文上VRRP技術(shù)VRRP定義了一種報(bào)文：VRRP報(bào)文，是組播報(bào)VRRP原理從備份組的交換機(jī)中選舉主交換機(jī)：默認(rèn)情況下選擇優(yōu)先級最大的為主交換機(jī)，其它交換機(jī)作為備份交換機(jī)主交換機(jī)定期發(fā)送VRRP報(bào)文如果備份交換機(jī)長時(shí)間沒有收到主交換機(jī)報(bào)文，則將自己狀態(tài)改為Master若有多臺備份交換機(jī)，則根據(jù)接收的VRRP報(bào)文，選舉優(yōu)先級最大的交換機(jī)成為新的主交換機(jī)VRRP原理從備份組的交換機(jī)中選舉主交換機(jī)：STP/VRRP/OSPF實(shí)例分析STP/VRRP/OSPF實(shí)例分析學(xué)習(xí)目標(biāo):1.生成樹協(xié)議常見問題分析2.VRRP協(xié)議及問題分析3.典型組網(wǎng)分析學(xué)習(xí)目標(biāo):第一部分生成樹協(xié)議第一部分生成樹協(xié)議SwitchABID=0001SwitchCBID=0050SwitchBBID=1045PC=4PC=8PC=4DPDPRPBPDU:RootSwitch=0001CosttoRoot=8BPDU:RootSwitch=0001

CosttoRoot=4BothRootsCostsare=8

BID-A<BIDB問題1：哪個(gè)端口將被阻斷？問題2：如果所有的PathCost都相同，哪個(gè)端口將被阻斷？復(fù)習(xí)重點(diǎn):STP通過BPDU(BridgeProtocolDataUnit)報(bào)文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。指定端口同可選端口怎么比較.SwitchABID=0001SwitchCBI如何決定BPDU配置消息的優(yōu)劣比較RID(RootBridgeID)，確定網(wǎng)絡(luò)同步。RID相同，比較PathCost（到根橋距離），越小越優(yōu)。RID/PathCost相同，比較指定橋的BID(DesignatedBridgeID)，越小越優(yōu)。RID/PathCost/DBID相同，比較指定端口的ID(DesignatedPortID)，越小越優(yōu)。哪邊更優(yōu)？BPDUBPDU如何決定BPDU配置消息的優(yōu)劣比較RID(RootBrid如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。BID—網(wǎng)橋的優(yōu)先級+網(wǎng)橋MAC。網(wǎng)橋的優(yōu)先級為可配置，缺省值為32768。在缺省情況下，根橋?qū)⒂蒑AC地址最小的網(wǎng)橋擔(dān)任。如何確定根橋根橋—BID（網(wǎng)橋ID）最小的網(wǎng)橋定為根橋。STP協(xié)議簡介常用概念根橋(RootBridge)—橋ID最小的網(wǎng)橋。其中橋ID是由網(wǎng)橋的優(yōu)先級和網(wǎng)橋的MAC組成。根端口(RootPort)—這個(gè)端口到達(dá)根橋的路徑是該端口所在網(wǎng)橋到達(dá)根橋的最佳路徑。全網(wǎng)中只有根橋是沒有根端口的。指定端口(DesignatedPort)—每一個(gè)網(wǎng)段選擇到根橋最近的網(wǎng)橋作為指定網(wǎng)橋，該網(wǎng)橋到這一網(wǎng)段的端口為指定端口?？蛇x端口(AlternatePort)—既不是指定端口，也不是根端口的端口。RP–ROOTPORTSwitchABID=0001SwitchCBID=1045SwitchBBID=0050DP–DESIGNATEDPORTDPRPDPRPDPDPAPAPSwitchDBID=0030STP協(xié)議簡介常用概念RP–ROOTPORTSwitc確定網(wǎng)橋端口角色BPDU報(bào)文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。通過BPDU配置消息來決定端口的角色：—根端口：網(wǎng)橋各個(gè)端口中到根橋最近的端口?！付ǘ丝冢壕W(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更優(yōu)，則端口為指定端口?！蛇x端口：網(wǎng)橋的端口發(fā)送的BPDU配置消息較接收的BPDU配置消息更差，則端口為可選端口。確定網(wǎng)橋端口角色BPDU報(bào)文中總是攜帶網(wǎng)橋到根橋的最優(yōu)值。Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生效?復(fù)習(xí)重點(diǎn):1.STP通過BPDU(BridgeProtocolDataUnit)報(bào)文來學(xué)習(xí)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。2.BPDU報(bào)文的目標(biāo)MAC地址為：01-80-C2-00-00-00.Sw-BSw-AVLAN3VLAN4請問這樣的組網(wǎng)STP會生請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Sw-ASTP-1STP-2根橋-A根橋-B1.1.1.22.2.2.12.2.2.2Sw-B-1Sw-B-2Sw-A-1Sw-A-2復(fù)習(xí)重點(diǎn):1.只在端口關(guān)閉STP功能,BPDU報(bào)文將會被丟棄.2.沒有運(yùn)行STP協(xié)議的網(wǎng)橋?qū)袯PDU報(bào)文當(dāng)作普通業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)。3.我們的交換機(jī)就算配置三層地址,但是大家也要記住它只是被加入了VLAN-Interface里,它的二層特性并未改變.一樣可以將BPDU報(bào)文發(fā)送.請問這樣的組網(wǎng)會有什么問題?Sw-B1.1.1.1AREA0Speed Linktype 802.1Dcost 802.1tcost10Mbps HalfDuplex 100 2,000,000 FullDuplex 95 1,999,999 Aggregatedlink 90 1,000,000 100Mbps HalfDuplex 19 200,000 FullDuplex 18 199,999 AggregatedLink 15 100,0001000Mbps FullDuplex 4 20,000 AggregatedLink 3 10,000復(fù)習(xí)重點(diǎn):很多時(shí)候我們經(jīng)常會遇到H3C交換機(jī)同其它友商交換機(jī)STP選路錯(cuò)誤的問題,問題常常是因?yàn)楦鱾€(gè)廠商的PATHCOST標(biāo)準(zhǔn)不同.Speed Linktype 802.1Dcost 8第二部分VRRP協(xié)議第二部分VRRP協(xié)議VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualrouteridentifier)用來標(biāo)識虛擬路由器，取值范圍1-255虛擬路由器的MAC地址00-00-5e-00-02-xxxx為vrid值虛擬路由器的IPAddress虛擬路由器使用的ip地址虛擬路由器的priority用來標(biāo)識運(yùn)行VRRP協(xié)議路由器對應(yīng)VRID的優(yōu)先級取值范圍0-2551-254是備份路由器可以配置的范圍缺省值為100InternetVRID1:Priority110:VirtualIPfe80::1

MasterBackupIPaddressfe80::2IPaddressfe80::3VRID1:Priority100:VirtualIPfe80::1

Gateway:fe80::1ActualIPaddressfe80::5Gateway:fe80::1ActualIPaddressfe80::6Gateway:fe80::1ActualIPaddressfe80::7Gateway:fe80::1ActualIPaddressfe80::8VRRP的技術(shù)細(xì)節(jié)虛擬路由器的VRID(virtualroFW-1SW-ASW-BSW-CFW-2PCFW-1SW-ASW-BSW-CFW-2PC圖例一圖例二復(fù)習(xí)重點(diǎn):1.VRRP在什么情況下會進(jìn)行主備切換.2.VRRP與靜態(tài)路由配合時(shí)容易忽略的地方.FW-1SW-ASW-BSW-CFW-2PCFW-1SW-A典型組網(wǎng)分析典型組網(wǎng)分析政府機(jī)關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機(jī)熱備份方案來組網(wǎng)，2層交換機(jī)的2條千兆鏈路分別上行到主備85，主備85應(yīng)用VRRP為用戶PC提供虛擬網(wǎng)關(guān)，應(yīng)用STP來切斷冗余鏈路組成的環(huán)路。綜合組網(wǎng)應(yīng)用政府機(jī)關(guān)、集團(tuán)公司總部等對網(wǎng)絡(luò)可用性很高的單位往往采用雙機(jī)熱Quidview網(wǎng)絡(luò)管理平臺網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3CS9512業(yè)務(wù)服務(wù)器群H3C

S9512H3C

S5024*6臺H3C

S7506*18臺H3C

S5024G*3臺NetEngine40-8廣域網(wǎng)雙機(jī)熱備份組網(wǎng)常用的組網(wǎng)圖:Quidview網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3C業(yè)務(wù)服務(wù)器群H3C雙機(jī)組網(wǎng)的特點(diǎn):在單機(jī)樹型組網(wǎng)中，在網(wǎng)絡(luò)設(shè)備受到病毒等惡意攻擊時(shí)，一般表現(xiàn)為網(wǎng)絡(luò)訪問速度變慢或很慢.但是在雙機(jī)熱備份組網(wǎng)中，由于存在物理環(huán)路，設(shè)備在受到攻擊時(shí)很容易造成STP的BPDU丟失從而使得STP計(jì)算錯(cuò)誤，不能正確切斷物理環(huán)路，引發(fā)廣播風(fēng)暴。另外2、3層交換機(jī)長時(shí)間受到巨量廣播報(bào)文沖擊，有時(shí)轉(zhuǎn)發(fā)芯片會失效，就是在廣播風(fēng)暴消失后也不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包，必須手工復(fù)位交換機(jī)。因此，雙機(jī)組網(wǎng)相比單機(jī)組網(wǎng)顯得脆弱些，跟交換機(jī)本身穩(wěn)定性反而關(guān)系不是太大，其它廠商的交換機(jī)一樣如此。所以，針對雙機(jī)組網(wǎng)，必須嚴(yán)格按照下面描述的步驟進(jìn)行配置，提高網(wǎng)絡(luò)的整體穩(wěn)定性。雙機(jī)組網(wǎng)的特點(diǎn):業(yè)務(wù)VLAN和虛接口地址的配置:在接口上配置允許通過的VLAN時(shí),這里著重要說明的是千萬不要對端口配置trunkpermitvlanall或trunkpermitvlan2to200之類，必須老老實(shí)實(shí)的一個(gè)一個(gè)指定允許通過的VLAN，也千萬不要配置GVRP。切記，切記!!!!容易產(chǎn)生8字環(huán)!!!!!!!!!

業(yè)務(wù)VLAN和虛接口地址的配置:VRRP配置ping網(wǎng)關(guān)往往是診斷網(wǎng)絡(luò)故障的第一步，所以在VRRP配置前，必須在全局模式下先配置vrrpping-enable，因?yàn)檫@個(gè)命令在配置VRRP后就不能再配置了。主備85之間每一組VRRP都會以advertise配置的時(shí)間間隔發(fā)送報(bào)文，默認(rèn)值是1秒鐘，如果有多個(gè)VRRP組，每秒同一時(shí)刻就會有較多的VRRP報(bào)文上CPU，為了避免這種情況，可以將VRRP組分為4組，每組分別以則數(shù)時(shí)間間隔（2、3、5、7秒）配置advertise，這樣就可以使得VRRP報(bào)文分散上CPU。VRRP通過priority來配置主備，主備配置必須與STP的配置相一致，否則會使得數(shù)據(jù)多經(jīng)過1個(gè)交換機(jī)加重網(wǎng)絡(luò)負(fù)荷。VRRP配置STP的配置主用85配置為STP的根，備用85配置為STP的備用根，一般不用設(shè)置STP的模式，可以運(yùn)行在默認(rèn)的模式下。2層交換機(jī)強(qiáng)烈建議啟用STP協(xié)議，只要直接啟用STP，不用進(jìn)行其它STP配置。STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情況下備用85無任何業(yè)務(wù)，只能在網(wǎng)絡(luò)發(fā)生故障如主用85當(dāng)機(jī)或2層交換機(jī)連接主用85的光纖DOWN時(shí)，業(yè)務(wù)才會全部或部分切換到備用85。有用戶提出要進(jìn)行主備85之間的負(fù)荷分擔(dān)，如果2層交換機(jī)全部或部分支持MSTP，負(fù)荷分擔(dān)是完全可以實(shí)現(xiàn)的，只要配置MSTP的幾個(gè)實(shí)例，將不同的VLAN劃分到不同的實(shí)例中，配置不同的實(shí)例有不同的根，并相應(yīng)配置VRRP的主用，這樣不同的實(shí)例走不同的85，起到負(fù)荷分擔(dān)的作用.但是在實(shí)際應(yīng)用中，局域網(wǎng)的流量并不大，采用雙機(jī)更多的是出于可靠性的考慮，配置負(fù)荷分擔(dān)并不能提高網(wǎng)絡(luò)的性能，反而增加了配置的復(fù)雜性，潛在的也降低了網(wǎng)絡(luò)的穩(wěn)定性，畢竟越是復(fù)雜穩(wěn)定性越難以保證，所以一般情況下不建議配置主備85之間的負(fù)荷分擔(dān)。VRRP+STP的配置按照前面VRRP和STP的配置，主備85是熱備份方式，正常情強(qiáng)制雙工和速率的配置:電接口的自協(xié)商功能穩(wěn)定一些，一般采用自協(xié)商就可以了.光接口由于光模塊的兼容性稍差、某些線路光衰比較大等原因，有些端口自協(xié)商會不成功，需要設(shè)置為強(qiáng)制雙工和強(qiáng)制速率。強(qiáng)制雙工和速率的配置:防病毒ACL的配置病毒攻擊產(chǎn)生大量的報(bào)文沖擊設(shè)備，造成網(wǎng)絡(luò)振蕩和設(shè)備故障，所以必須在所有交換機(jī)配置防病毒ACL規(guī)則對病毒報(bào)文進(jìn)行過慮如:aclnameanti-virusadvancedrule42denytcpdestination-porteq135

rule43denytcpdestination-porteq137rule44denytcpdestination-porteq138rule45denytcpdestination-porteq139rule46denytcpdestination-porteq593rule47denytcpdestination-porteq445rule48denytcpdestination-porteq4444rule49denyudpdestination-porteqnetbios-nsrule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434rule52denyudpdestination-porteq4444rule53denytcpdestination-porteq1022rule54denytcpdestination-porteq1023rule55denytcpdestination-porteq5554rule56denyudpdestination-porteq6666rule57denytcpdestination-porteq9996防病毒ACL的配置交換網(wǎng)絡(luò)排查步驟:1.通過命令來查看STP狀態(tài)(displaystpbrief),在正常情況下應(yīng)該有一個(gè)端口被

DISCARDING掉.如果所有的端口都處于FORWARDING,說明網(wǎng)絡(luò)中已經(jīng)存在了環(huán)路.2.對一個(gè)形成環(huán)路的每一個(gè)端口，使用displaystpinterface命令查看BPDU收發(fā)報(bào)文數(shù)是否在增長.如果BPDU報(bào)文的收有增長,一般情況下網(wǎng)絡(luò)幾分鐘后可以恢復(fù)正常.如果BPDU報(bào)文收發(fā)無正常,則很難自愈,應(yīng)該立即關(guān)閉備的交換機(jī),讓業(yè)務(wù)恢復(fù)正常.

3.網(wǎng)絡(luò)正常后，可以查看各端口的流量和廣播流量，如果某些端口廣播流量特別大，基本可以確定下掛的PC被病毒感染，可以通過端口鏡像抓包來確認(rèn)；交換網(wǎng)絡(luò)排查步驟:STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹STP配置保護(hù)功能及單端口環(huán)路監(jiān)測介紹邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連接的網(wǎng)絡(luò)間接與任何設(shè)備相連的端口。用戶如果將某個(gè)端口指定為邊緣端口，那么當(dāng)該端口由堵塞狀態(tài)向轉(zhuǎn)發(fā)狀態(tài)遷移時(shí)，這個(gè)端口可以實(shí)現(xiàn)快速遷移，而無需等待延遲時(shí)間。配置命令：[Sysname-Ethernet1/1/1]stpedged-portenable千萬小心：刪除邊緣的端口命令！[Sysname-Ethernet1/1/1]undostpedged-port邊緣端口邊緣端口是指：不直接與任何設(shè)備連接，也不通過端口所連BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報(bào)文）時(shí)系統(tǒng)會自動(dòng)將這些端口設(shè)置為非邊緣端口，重新計(jì)算生成樹，引起網(wǎng)絡(luò)拓?fù)涞恼鹗帯＿@些端口正常情況下應(yīng)該不會收到生成樹協(xié)議的配置消息。如果有人偽造配置消息惡意攻擊設(shè)備，就會引起網(wǎng)絡(luò)震蕩。BPDU保護(hù)功能可以防止這種網(wǎng)絡(luò)攻擊。STP-EdgedPortBPDU置為非邊緣端口，重新計(jì)算生成樹交換網(wǎng)絡(luò)BPDU保護(hù)功能產(chǎn)生背景當(dāng)邊緣端口接收到配置消息（BPDU報(bào)BPDU保護(hù)功能處理流程交換機(jī)上啟動(dòng)了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被STP關(guān)閉。被關(guān)閉的邊緣端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。配置命令：[Sysname]stpbpdu-protectionSTP-EdgedPortBPDU端口被STP關(guān)閉交換網(wǎng)絡(luò)BPDU保護(hù)功能處理流程STP-EdgedPortBPDURoot保護(hù)功能產(chǎn)生背景由于維護(hù)人員的錯(cuò)誤配置（例如網(wǎng)橋優(yōu)先級修改）或網(wǎng)絡(luò)中的惡意攻擊，合法根橋有可能會收到優(yōu)先級更高的配置消息，這樣當(dāng)前根橋會失去根橋的地位，引起網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的錯(cuò)誤變動(dòng)。這種不合法的變動(dòng)，會導(dǎo)致原來應(yīng)該通過高速鏈路的流量被牽引到低速鏈路上，導(dǎo)致網(wǎng)絡(luò)擁塞。Root保護(hù)功能可以防止這種情況的發(fā)生。Root保護(hù)功能產(chǎn)生背景Root保護(hù)功能處理流程對于設(shè)置了Root保護(hù)功能的端口，其在所有實(shí)例上的端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被