構(gòu)建高性能園區(qū)網(wǎng)絡-筆記by-coldbj

H3CSEV1.0構(gòu)建H3C高性能園區(qū)網(wǎng)絡讀書筆記增強版***在51CTO下載的高性能園區(qū)筆記根底之上完善***bycoldbj2011-7目 錄1 層級化網(wǎng)絡模型 42 網(wǎng)絡模型開展歷程 43 典型園區(qū)網(wǎng)的業(yè)務部署 44 VLAN原理 55 VLAN配置 66 VLAN擴展技術 77 VLAN路由 128 STP 139 RSTP 1610 MSTP 1811 STP保護機制 2112 HA 2113 鏈路聚合 2214 smartlink和monitorlink 2515 RRPP 2816 VRRP 3117 IRF 3318 組播 3619 組播組管理協(xié)議 3820 組播轉(zhuǎn)發(fā)機制 4321 組播路由協(xié)議 4322 組播配置維護 4623 VoiceVLAN 4724 POE根本原理 5025 園區(qū)網(wǎng)平安 5326 AAA 5327 端口接入控制 5828 網(wǎng)絡訪問控制 6429 SSH 6730 園區(qū)網(wǎng)維護管理綜述 7131 SNMP及日志管理 7132 集群管理技術 7633 LLDP技術 7934 鏡像技術 8335 NTP 85層級化網(wǎng)絡模型接入層：1、為用戶提供網(wǎng)絡的訪問接口；2、豐富大量的接口；3、接入平安控制；4、接入速率控制、基于策略的分類、數(shù)據(jù)包標記等；5、較少考慮冗余性。會聚層：1、將接入層數(shù)據(jù)聚集起來，依據(jù)策略對數(shù)據(jù)、信息等實施控制；2、必要的冗余設計；3、復雜的策略配置。核心層：1、對來自會聚層的數(shù)據(jù)進行盡可能快速的交換；2、強大的數(shù)據(jù)交換能力；3、穩(wěn)定、可靠的高冗余設計；4、不配置復雜策略。*層級化網(wǎng)絡模型的優(yōu)點：1、網(wǎng)絡結(jié)構(gòu)清晰；2、便于規(guī)劃和維護；3、增強網(wǎng)絡穩(wěn)定性；4、增強網(wǎng)絡可擴展性。*模塊化網(wǎng)絡架構(gòu)的益處：1、確定網(wǎng)絡，邊界清晰，流量類型清楚；2、便于規(guī)劃，增加伸縮性；3、模塊方便增刪，降低復雜性；4、設計的完整性。網(wǎng)絡模型開展歷程*小型局域網(wǎng)：1、網(wǎng)絡主機數(shù)量少，但都在同一播送域內(nèi)；2、甚至還存在多個主機在同一沖突域內(nèi)。*中型局域網(wǎng)：虛擬局域網(wǎng)的應用〔隔離播送域〕、三層交換的應用〔解決路由轉(zhuǎn)發(fā)的性能瓶頸〕。*大型局域網(wǎng)：多個中型或小型網(wǎng)的組合，具有三層結(jié)構(gòu)。典型園區(qū)網(wǎng)的業(yè)務部署核心層的結(jié)構(gòu)：1、雙機主備互連；2、多機環(huán)網(wǎng)互連；3、多機Full-Mesh。會聚層的結(jié)構(gòu)：1、雙上行；2、路由備份。接入層的結(jié)構(gòu)：1、單上行；2、雙上行；3、交叉互連。*典型三級網(wǎng)絡結(jié)構(gòu)：1、核心會聚路由備份；2、雙核心；3、會聚、接入雙上行。*網(wǎng)絡的單點故障：星形拓撲和樹形拓撲的單點故障可能帶來全網(wǎng)性故障。網(wǎng)狀網(wǎng)絡：1、多冗余鏈路防止單點故障帶來的高風險；2、STP阻塞冗余鏈路防止環(huán)路的形成。以太環(huán)網(wǎng)：1、多核心環(huán)形鏈接提供核心鏈路的備份；2、接入雙上行防止單點故障帶來的風險；3、RRPP實現(xiàn)高效倒換。雙歸屬網(wǎng)絡：1、雙核心雙上行提供冗余備份；2、SmartLink阻斷冗余鏈路，實現(xiàn)鏈路的毫秒級切換。三層路由網(wǎng)絡：1、路由協(xié)議實現(xiàn)最短路徑轉(zhuǎn)發(fā)，冗余鏈路提供備份選擇；2、ECMP提供負載分擔。網(wǎng)關冗余備份：1、邊緣網(wǎng)關運行VRRP提供網(wǎng)關的主備備份；2、多備份組+MSTP提供負載分擔。IRF設備級備份：1、IRF堆疊實現(xiàn)設備級的N+1冗余備份；2、分布式鏈路聚合實現(xiàn)鏈路負載分擔。*網(wǎng)絡管理和維護：1、統(tǒng)一網(wǎng)管：拓撲發(fā)現(xiàn)、設備管理、Trap告警；2、日志集中管理；3、集群、堆疊應用簡化管理；4、流量鏡像，針對性監(jiān)控，問題定位；5、NTP效勞統(tǒng)一時間，日志、Trap有序管理。VLAN原理*MAC地址表：[MACAddress][VLANID][Port]*VLAN跨交換機轉(zhuǎn)發(fā)的處理流程：〔主機發(fā)出的幀不帶vlan標記，進入交換機被打上端口vlan標記，出去時被去掉〕*802.1Q幀格式：〔Tag一共4字節(jié)；TPID：以太網(wǎng)類型(0x8100)代表802.1Q協(xié)議；Priority：優(yōu)先級，主要做QOS用；CFI：老式TokenRing標識位?！?當數(shù)據(jù)幀經(jīng)過Access端口PVID值與Trunk鏈路端口PVID值不同時，在trunk鏈路上帶上原來PVID值Tag標簽，當相同時可以不帶Tag標簽?！睵VID：PortVlanID。PVID可以給幀打標記、去標記，它解讀VID?！?Hybrid鏈路：〔untag：局域網(wǎng)中無標記的?！?、允許多個VLAN通過，可以接收和發(fā)送多個VLAN的數(shù)據(jù)幀：2、Hybrid端口和Trunk端口的不同之處在于：1.Hybrid端口允許多個VLAN的以太網(wǎng)幀不帶標簽；2.Trunk端口只允許缺省VLAN的以太網(wǎng)幀不帶標簽。*VLAN的劃分方式：1、基于端口的VLAN〔靜態(tài)VLAN〕；2、基于MAC地址的VLAN〔動〕；3、基于協(xié)議的VLAN〔動〕；4、基于IP子網(wǎng)的VLAN〔動〕?！LAN的匹配順序：*VLAN動態(tài)注冊的背景： 感覺GVRP有點類似VTP。*GARP〔GenericAttributeRegistrationProtocal〕通用屬性注冊協(xié)議。GARP提供了一種通用機制供橋接局域網(wǎng)設備相互之間〔如終端站和交換機等〕注冊或注銷屬性值，如VLAN標識符。這樣，屬性信息在整個橋接局域網(wǎng)設備中傳播開來，并且這些設備形成活動拓樸結(jié)構(gòu)的一個子集－“可達性”樹。GARP定義了結(jié)構(gòu)、操作規(guī)那么、狀態(tài)機制以及變量來聲明注冊或注銷屬性值。交換機或終端站中的GARP參與者主要由連接端口或交換機的GARP應用程序和GARP信息聲明〔GID〕兩局部構(gòu)成。具有相同網(wǎng)橋應用程序的GARP參與者之間的信息傳播是由GARP信息傳播局部〔GIP〕完成的。參與者之間通過LLC效勞類型1實現(xiàn)協(xié)議交換過程，其中采用的是MAC地址組和GARP應用程序定義的PDU格式。GARP是針對IEEE802.1D〔生成數(shù)協(xié)議〕標準的IEEE802.1P擴展的一局部。GARP協(xié)議主要包括：1、GARP信息聲明〔GID〕：GARP生成數(shù)據(jù)局部。2、GARP信息傳播〔GIP〕：GARP數(shù)據(jù)分配局部。3、GARP組播注冊協(xié)議〔GMRP〕：為參與者動態(tài)注冊和注銷連接相同局域網(wǎng)的MAC橋信息。*802.1QNativeVlan：為了提高轉(zhuǎn)發(fā)速度，802.1Q使交換機對Vlan1的幀默認不打Tag。*對從企業(yè)A或B出來的幀打上雙層Tag，一個是企業(yè)內(nèi)部的Tag，一個是劃出的TunnelPortVlan的Tag〔用于云中的區(qū)別〕。*GARP消息：為了高效控制屬性的聲明和注冊，GARP提供了五種類型的消息：Empty、JoinIn、JoinEmpty、Leave、LeaveAll。GVRP端口注冊模式：1、Normal模式：1.允許該端口動態(tài)注冊或注銷VLAN；2.傳播動態(tài)VLAN以及靜態(tài)VLAN信息。2、Fixed模式：1.禁止該端口動態(tài)注冊或注銷VLAN；2.只傳播靜態(tài)VLAN，不傳播動態(tài)VLAN信息。3、Forbidden模式：1.禁止該端口動態(tài)注冊或注銷VLAN；2.不傳播除VLAN1以外的任何VLAN信息。*GARP定時器：1、Hold定時器；2、Join定時器；3、Leave定時器；4、LeaveAll定時器。VLAN配置*Trunk端口配置命令：·配置端口的鏈路類型為Trunk類型：[Switch-Ethernet1/0/1]portlink-typetrunk·允許指定的VLAN通過當前Trunk端口：[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all}·設置Trunk端口的缺省VLAN：[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id*Hybrid端口配置命令：Trunk和Hybrid端口不能直接切換，先設為Access再設置其它類型?！づ渲枚丝诘逆溌奉愋蜑镠ybrid類型：[Switch-Ethernet1/0/1]portlink-typehybrid·允許指定的VLAN通過當前Hybrid端口：[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}·設置Hybrid端口的缺省VLAN：[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id*基于MAC地址的VLAN配置命令：·配置MAC地址所對應的VLAN及優(yōu)先級：[Switch]mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypri]·開啟端口的MACVLAN功能：[Switch-Ethernet1/0/1]mac-vlanenable·設置端口VLAN的匹配優(yōu)先級：[Switch-Ethernet1/0/1]vlanprecedence{mac-vlan|ip-subnet-vlan}基于MAC地址的VLAN配置例如：*基于協(xié)議的VLAN配置命令：基于MAC、協(xié)議、IP子網(wǎng)的VLAN只對Hybrid端口配置有效?！づ渲没趨f(xié)議的VLAN，并指定協(xié)議模板：[Switch-vlan10]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx{ethernetii|llc|raw|snap}|mode{ethernetiietypeetype-id|llc{dsapdsap-id[ssapssap-id]|ssapssap-id}|snapetypeetype-id}}·配置Hybrid端口與基于協(xié)議的VLAN關聯(lián)：[Switch-Ethernet1/0/1]porthybridprotocol-vlanvlanvlan-id{protocol-index[toprotocol-end]|all}基于協(xié)議的VLAN配置例如：*基于IP子網(wǎng)的VLAN配置命令：·配置當前VLAN與指定的IP子網(wǎng)關聯(lián)：[Switch-vlan10]ip-subnet-vlan[ip-subnet-index]ipip-address[mask]·配置當前端口與基于IP子網(wǎng)的VLAN關聯(lián)：[Switch-Ethernet1/0/1]porthybridip-subnet-vlanvlanvlan-id基于IP子網(wǎng)的VLAN配置例如：*配置GVRP：全局GVRP開啟后，在接口上還需開啟接口GVRP。默認GVRP的注冊模式是Normal?！ら_啟全局GVRP功能：[Switch]gvrp·開啟端口的GVRP功能：[Switch-Ethernet1/0/1]gvrp·配置GVRP注冊模式：[Switch-Ethernet1/0/1]gvrpregistration{fixed|forbidden|normal}配置GARP定時器：·設置GARP的LeaveAll定時器的值：[Switch]garptimerlevealltimer-value·配置Hold定時器、Join定時器和Leave定時器：[Switch-Ethernet1/0/1]garptimer{hold|join|leave}timer-value默認時間〔單位厘秒〕：leaveall=1000。Hold=10，Join=20，Leave=60。GVRP配置例如一：GVRP配置例如二：GVRP配置例如三：VLAN擴展技術*〔1〕Isolate-user-vlan技術產(chǎn)生背景：〔Isolate：隔離〕〔2〕Isolate-user-vlan技術根本原理：1、·Hybrid端口技術的應用所有端口都為Hybrid上行端口允許所有VLAN通過；·下行端口允許Isolate-user-vlan和自己的SecondaryVLAN；2、·MAC地址同步技術：各SecondaryVLAN學習的MAC地址同步到Isolate-user-vlan；·Isolate-user-vlan學習的MAC地址同步到各SecondaryVLAN。Isolate-user-vlan：上行設備感知的用戶VLAN，它并不是用戶的真正VLAN。SecondaryVLAN：用戶真正屬于的VLAN。〔3〕Isolate-user-vlan技術功能：Isolate-user-vlan技術根本原理：*在園區(qū)網(wǎng)中，基于用戶平安和管理計費等方面的考慮，運營商一般要求接入用戶互相二層隔離。VLAN是天然的隔離手段，于是很自然的想法是每個用戶一個VLAN。根據(jù)IEEE802.1Q協(xié)議規(guī)定，設備最大可使用VLAN資源為4094個。對于核心層設備來說，如果每個用戶一個VLAN，4094個VLAN遠遠不夠。為解決VLAN資源緊缺的問題，Isolate-user-vlan應運而生。支持Isolate-user-vlan功能后，可以將圖1中的用戶所在的VLAN〔VLAN10～15〕配置為SecondaryVLAN，將VLAN2和VLAN3配置為Isolate-user-vlan〔如圖2〕。這樣，DeviceA上只需配置VLAN2和VLAN3，節(jié)省了四個VLAN資源?！D1扁平的網(wǎng)絡組網(wǎng)圖：·圖2Isolate-user-vlan功能示意圖：·Isolate-user-vlan采用分層結(jié)構(gòu)：上行的Isolate-user-vlan和下行的SecondaryVLAN。對上行設備來說只需識別Isolate-user-vlan，而不必關心Isolate-user-vlan中的SecondaryVLAN，從而節(jié)省了上行設備的VLAN資源。同時，將接入用戶劃入不同的SecondaryVLAN，可以實現(xiàn)用戶之間二層報文的隔離。*〔1〕Isolate-user-vlan技術是如何屏蔽SecondaryVLAN信息、節(jié)省VLAN資源的呢？實現(xiàn)這個功能，要求：1、來自不同SecondaryVLAN的報文，能夠通過上行端口發(fā)送給上行設備，而且不能攜帶SecondaryVLAN信息。2、來自Isolate-user-vlan的報文，能夠通過下行端口發(fā)送給用戶，而且不能攜帶Isolate-user-vlan信息。〔2〕我們知道，Isolate-user-vlan和SecondaryVLAN采用不同的VLAN編號，各自包含了不同的端口，通常不同VLAN之間的報文是二層互相隔離的，要到達以上要求，需要兩方面的配合：1、在本設備上需要進行配置同步和MAC地址同步處理。2、上行設備需要進行必須的配置：·創(chuàng)立VLAN：VLANID等于Isolate-user-vlan的VLANID?！づ渲萌攵丝趨?shù)：將端口類型設置為Hybrid，將端口缺省VLAN值設置為Isolate-user-vlanID，配置端口允許缺省VLAN的報文以untagged方式通過。*Isolate-user-vlan配置同步：配置Isolate-user-vlan功能后，系統(tǒng)會自動對Isolate-user-vlan和SecondaryVLAN所包含的端口進行配置同步：1、對于上行端口，會將端口類型修改為Hybrid，并允許來自SecondaryVLAN的報文以untagged方式通過。而上行設備的入端口通過手工配置已經(jīng)將端口的缺省VLAN值設置為Isolate-user-vlanID，所以，當上行設備收到這樣的報文后，均認為這些報文來自Isolate-user-vlan，并給它們添加tag，tag中的VLANID等于Isolate-user-vlanID。從而，屏蔽了SecondaryVLAN信息。2、對于下行端口，會將端口類型修改為Hybrid，并允許來自Isolate-user-vlan的報文以untagged方式通過。·圖3Isolate-user-vlan配置同步組網(wǎng)圖：·表2配置同步后端口的相關屬性：·通過MAC地址學習，如上圖3所示的組網(wǎng)中Switch會生成并維護一張MAC地址表〔如表3所示〕。如果Device給Host2發(fā)送報文〔源MAC為mac_a，目的MAC為mac_2〕；Switch會給報文添加tag，VLANID為5〔即端口的缺省VLANID〕；然后以“mac_2+VLAN5”為條件去查詢MAC地址表。由于找不到相應的表項，該報文會在VLAN5內(nèi)播送，并最終從Eth1/2、Eth1/3發(fā)送出去。同理，每次上行和下行的報文都需要播送才能到達目的地。當SecondaryVLAN和Isolate-user-vlan包含的端口較多時，這樣的處理方式會占用大量的帶寬資源，也不平安〔播送報文容易被截獲和偵聽〕。通過MAC地址同步機制可以解決這個問題。*Isolate-user-vlan的MAC地址同步機制為：1、SecondaryVLAN到Isolate-user-vlan的同步，即下行端口在SecondaryVLAN內(nèi)學習到的動態(tài)MAC地址都同步至Isolate-user-vlan內(nèi)。2、Isolate-user-vlan到SecondaryVLAN的同步，即上行端口在Isolate-uservlan學習到的動態(tài)MAC地址同步到所有的SecondaryVLAN內(nèi)。當Isolate-user-vlan下面配置了很多SecondaryVLAN，MAC地址同步后，將導致MAC地址表過于龐大，進而影響設備的轉(zhuǎn)發(fā)性能。同時考慮到用戶的下行流量要遠遠大于上行流量，下行流量需要進行單播，上行流量可以進行播送，所以，SecondaryVLAN到Isolate-user-vlan的同步所有產(chǎn)品均支持，而Isolate-user-vlan到SecondaryVLAN的同步局部產(chǎn)品不支持。·表4由圖三同步后的MAC地址轉(zhuǎn)發(fā)表：·通過上圖3中Host2的報文流程來闡述Isolate-user-vlan的實現(xiàn)機制。(1)Host2第一次發(fā)出單播上行報文，報文為untagged報文，源MAC地址為mac_2，目的MAC地址為mac_a。(2)Switch通過下行端口Ethernet1/2收到報文，給報文打上端口缺省VLAN的標簽2，并學習MAC地址，記錄MAC地址表項〔mac_2+VLAN2+Eth1/2〕〔表示目的MAC地址為mac_2，VLAN標簽為2的報文，出接為Ethernet1/2〕。(3)根據(jù)MAC地址同步原那么，該MAC地址同時同步學習到VLAN5內(nèi)，設備同時記錄MAC地址表項〔mac_2+VLAN5+Eth1/2〕。(4)由于Switch當前沒有mac_a的MAC表項，因此設備在VLAN2內(nèi)播送該報文。(5)由于配置同步，Ethernet1/5端口允許VLAN2的報文以untagged方式通過，所以報文去掉tag后通過Ethernet1/5發(fā)送出去。(6)DeviceA收到報文后進行響應。(7)Switch通過上行端口Ethernet1/5收到報文，給報文打上端口缺省VLAN的標簽5，并學習MAC地址，記錄MAC地址表項〔mac_a+VLAN5+Eth1/5〕。通過MAC地址同步，又生成兩條MAC地址表項〔mac_a+VLAN2+Eth1/5〕和〔mac_a+VLAN3+Eth1/5〕。(8)Switch以“mac_2+VLAN5”為條件去查詢MAC地址表，找到出接口Ethernet1/2，并將報文去掉tag后發(fā)送給Host2。*小區(qū)內(nèi)有大量用戶且用戶支持不同的業(yè)務〔如視頻、語音、數(shù)據(jù)等〕，為了保證用戶平安以及區(qū)分不同業(yè)務流，使用VLAN技術對用戶的二層報文進行隔離。但因為設備VLAN資源有限，因而可以在接入交換機上配置Isolate-user-vlan功能，以節(jié)省Device的VLAN資源。同時將多個端口配置為Isolate-user-vlan的上行端口，并結(jié)合ACL和QoS配置，以便讓不同的上行端口傳輸不同的業(yè)務，簡化網(wǎng)絡管理。*GARP〔GenericAttributeRegistrationProtocol〕通用屬性注冊協(xié)議；GMRP〔GARPMulticastRegistrationProtocol〕組播屬性注冊協(xié)議；GVRP〔GARPVLANRegistrationProtocol〕VLAN屬性注冊協(xié)議。*GARP協(xié)議主要用于建立一種屬性傳遞擴散的機制，以保證協(xié)議實體能夠注冊和注銷該屬性。GARP作為一個屬性注冊協(xié)議的載體，可以用來傳播屬性。將GARP協(xié)議報文的內(nèi)容映射成不同的屬性即可支持不同上層協(xié)議應用。例如，GMRP和GVRP：1、GMRP是GARP的一種應用，用于注冊和注銷組播屬性；2、GVRP是GARP的一種應用，用于注冊和注銷VLAN屬性。GARP協(xié)議通過目的MAC地址區(qū)分不同的應用。在IEEEStd802.1D中將01-80-C2-00-00-20分配給組播應用，即GMRP。在IEEEStd802.1Q中將01-80-C2-00-00-21分配給VLAN應用，即GVRP。*如果需要為網(wǎng)絡中的所有設備都配置某些VLAN，就需要網(wǎng)絡管理員在每臺設備上分別進行手工添加。如圖1所示，DeviceA上有VLAN2，DeviceB和DeviceC上只有VLAN1，三臺設備通過Trunk鏈路連接在一起。為了使DeviceA上VLAN2的報文可以傳到DeviceC，網(wǎng)絡管理員必須在DeviceB和DeviceC上分別手工添加VLAN2。對于上面的組網(wǎng)情況，手工添加VLAN很簡單，但是當實際組網(wǎng)復雜到網(wǎng)絡管理員無法短時間內(nèi)完全了解網(wǎng)絡的拓撲結(jié)構(gòu)，或者是整個網(wǎng)絡的VLAN太多時，工作量會非常大，而且非常容易配置錯誤。在這種情況下，用戶可以通過GVRP的VLAN自動注冊功能完成VLAN的配置。GVRP基于GARP機制，主要用于維護設備動態(tài)VLAN屬性。通過GVRP協(xié)議，一臺設備上的VLAN信息會迅速傳播到整個交換網(wǎng)。GVRP實現(xiàn)動態(tài)分發(fā)、注冊和傳播VLAN屬性，從而到達減少網(wǎng)絡管理員的手工配置量及保證VLAN配置正確的目的。在設備上，每一個參與協(xié)議的端口可以視為一個應用實體。當GVRP在設備上啟動的時候，每個啟動GVRP的端口對應一個GVRP應用實體。GVRP協(xié)議的屬性注冊和注銷僅僅是對于接收到GVRP協(xié)議報文的端口而言的。*GVRP協(xié)議可以實現(xiàn)VLAN屬性的自動注冊和注銷：1、VLAN的注冊：指的是將端口參加VLAN。2、VLAN的注銷：指的是將端口退出VLAN。GVRP協(xié)議通過聲明和回收聲明實現(xiàn)VLAN屬性的注冊和注銷。1、當端口接收到一個VLAN屬性聲明時，該端口將注冊該聲明中包含的VLAN信息〔端口參加VLAN〕。2、當端口接收到一個VLAN屬性的回收聲明時，該端口將注銷該聲明中包含的VLAN信息〔端口退出VLAN〕。*GARP應用實體之間的信息交換借助于消息的傳遞來完成,主要有三類消息起作用,分別為Join消息、Leave消息和LeaveAll消息：1、Join消息：當一個GARP應用實體希望其它設備注冊自己的屬性信息時，它將對外發(fā)送Join消息；當收到其它實體的Join消息或本設備靜態(tài)配置了某些屬性，需要其它GARP應用實體進行注冊時，它也會向外發(fā)送Join消息?！oin消息分為JoinEmpty和JoinIn兩種，區(qū)別如下：1.JoinEmpty：聲明一個本身沒有注冊的屬性。2.JoinIn：聲明一個本身已經(jīng)注冊的屬性。2、Leave消息：當一個GARP應用實體希望其它設備注銷自己的屬性信息時，它將對外發(fā)送Leave消息；當收到其它實體的Leave消息注銷某些屬性或靜態(tài)注銷了某些屬性后，它也會向外發(fā)送Leave消息?！eave消息分為LeaveEmpty和LeaveIn兩種，區(qū)別如下：1.LeaveEmpty：注銷一個本身沒有注冊的屬性。2.LeaveIn：注銷一個本身已經(jīng)注冊的屬性。3、LeaveAll消息：每個應用實體啟動后，將同時啟動LeaveAll定時器，當該定時器超時后應用實體將對外發(fā)送LeaveAll消息。LeaveAll消息用來注銷所有的屬性，以使其它應用實體重新注冊本實體上所有的屬性信息，以此來周期性地去除網(wǎng)絡中的垃圾屬性〔例如某個屬性已經(jīng)被刪除，但由于設備突然斷電，并沒有發(fā)送Leave消息來通知其他實體注銷此屬性〕。*GARP協(xié)議中用到了四個定時器，下面分別介紹一下它們的作用：1、Join定時器：Join定時器是用來控制Join消息〔包括JoinIn和JoinEmpty〕的發(fā)送的。為了保證Join消息能夠可靠的傳輸?shù)狡渌鼞脤嶓w，發(fā)送第一個Join消息后將等待一個Join定時器的時間間隔，如果在一個Join定時器時間內(nèi)收到JoinIn消息，那么不發(fā)送第二個Join消息；如果沒收到，那么再發(fā)送一個Join消息。每個端口維護獨立的Join定時器。2、Hold定時器：Hold定時器是用來控制Join消息〔包括JoinIn和JoinEmpty〕和Leave消息〔包括LeaveIn和LeaveEmpty〕的發(fā)送的。當在應用實體上配置屬性或應用實體接收到消息時不會立刻將該消息傳播到其它設備，而是在等待一個Hold定時器后再發(fā)送消息，設備將此Hold定時器時間段內(nèi)接收到的消息盡可能封裝成最少數(shù)量的報文，這樣可以減少報文的發(fā)送量。如果沒有Hold定時器的話，每來一個消息就發(fā)送一個，造成網(wǎng)絡上報文量太大，既不利于網(wǎng)絡的穩(wěn)定，也不利于充分利用每個報文的數(shù)據(jù)容量。每個端口維護獨立的Hold定時器。Hold定時器的值要小于等于Join定時器值的一半。3、Leave定時器：Leave定時器是用來控制屬性注銷的。每個應用實體接收到Leave或LeaveAll消息后會啟動Leave定時器，如果在Leave定時器超時之前沒有接收到該屬性的Join消息，屬性才會被注銷。這是因為網(wǎng)絡中如果有一個實體因為不存在某個屬性而發(fā)送了Leave消息，并不代表所有的實體都不存在該屬性了，因此不能立刻注銷屬性，而是要等待其他實體的消息。例如，某個屬性在網(wǎng)絡中有兩個源，分別在應用實體A和B上，其他應用實體通過協(xié)議注冊了該屬性。當把此屬性從應用實體A上刪除的時候，實體A發(fā)送Leave消息，由于實體B上還存在該屬性源，在接收到Leave消息之后，會發(fā)送Join消息，以表示它還有該屬性。其他應用實體如果收到了應用實體B發(fā)送的Join消息，那么該屬性仍然被保存，不會被注銷。只有當其它應用實體等待兩個Join定時器以上仍沒有收到該屬性的Join消息時，才能認為網(wǎng)絡中確實沒有該屬性了，所以這就要求Leave定時器的值大于2倍Join定時器的值。每個端口維護獨立的Leave定時器。4、LeaveAll定時器：每個GARP應用實體啟動后，將同時啟動LeaveAll定時器，當該定時器超時后GARP應用實體將對外發(fā)送LeaveAll消息，隨后再啟動LeaveAll定時器，開始新的一輪循環(huán)。接收到LeaveAll消息的實體將重新啟動所有的定時器，包括LeaveAll定時器。在自己的LeaveAll定時器重新超時之后才會再次發(fā)送LeaveAll消息，這樣就防止了短時間內(nèi)發(fā)送多個LeaveAll消息。如果不同設備的LeaveAll定時器同時超時，就會同時發(fā)送多個LeaveAll消息，增加不必要的報文數(shù)量，為了防止不同設備同時發(fā)生LeaveAll定時器超時，實際定時器運行的值是大于LeaveAll定時器的值，小于1.5倍LeaveAll定時器值的一個隨機值。一次LeaveAll事件相當于全網(wǎng)所有屬性的一次Leave。由于LeaveAll影響范圍很廣，所以建議LeaveAll定時器的值不能太小，至少應該大于Leave定時器的值。每個設備只在全局維護一個LeaveAll定時器。*GVRP注冊模式：手工配置的VLAN稱為靜態(tài)VLAN，通過GVRP協(xié)議創(chuàng)立的VLAN稱為動態(tài)VLAN。GVRP有三種注冊模式，不同的模式對靜態(tài)VLAN和動態(tài)VLAN的處理方式也不同。GVRP的三種注冊模式分別定義如下：1、Normal模式：允許動態(tài)VLAN在端口上進行注冊，同時會發(fā)送靜態(tài)VLAN和動態(tài)VLAN的聲明消息。2、Fixed模式：不允許動態(tài)VLAN在端口上注冊，只發(fā)送靜態(tài)VLAN的聲明消息。3、Forbidden模式：不允許動態(tài)VLAN在端口上進行注冊，同時刪除端口上除VLAN1外的所有VLAN，只發(fā)送VLAN1的聲明消息。*GARP協(xié)議報文采用IEEE802.3Ethernet封裝形式，報文結(jié)構(gòu)：*Isolate-user-vlan技術配置命令：·設置VLAN的類型為Isolate-user-vlan：[Switch-vlan10]isolate-user-vlanenable·建立Isolate-user-vlan和SecondaryVLAN間的映射關系：[Switch]isolate-user-vlanisolate-user-vlan-idsecondarysecondary-vlan-id[tosecondary-vlan-id]Isolate-user-vlan技術配置例如：*SuperVLAN技術中的概念：1、SuperVLAN：1.只建立三層接口而不包含物理端口；2.假設干SubVLAN的集合，并為SubVLAN提供三層轉(zhuǎn)發(fā)效勞。2、SubVLAN：1.只映射假設干物理端口，負責保存各自獨立的播送域；2.不能建立三層VLAN接口；3.與外部的三層交換是靠SuperVLAN的三層接口來實現(xiàn)的。*SuperVLAN技術的實現(xiàn)：1、SuperVLAN與SubVLAN形成映射；2、不同SubVLAN主機在不同的播送域；3、各SubVLAN借用SuperVLAN的VLAN接口進行三層通信；4、SubVLAN間的通信依靠SuperVLAN接口的本地代理ARP完成。〔用本地代理ARP實現(xiàn)不同SubVLAN間的三層互通〕*普通代理ARP原理：*當SubVLAN內(nèi)的用戶需要進行三層通信時，將使用SuperVLAN三層接口的IP地址作為網(wǎng)關地址，這樣多個SubVLAN共用一個IP網(wǎng)段，從而節(jié)省了IP地址資源。同時，為了實現(xiàn)不同SubVLAN間的三層互通及SubVLAN與其他網(wǎng)絡的互通，需要利用ARP代理功能。通過ARP代理可以進行ARP請求和響應報文的轉(zhuǎn)發(fā)與處理，從而實現(xiàn)了二層隔離端口間的三層互通。supervlan是節(jié)省IP地址的.可以讓不同VLAN的網(wǎng)關使用同一個IP.而這個IP就是SUPERVLAN的IP,它是邏輯上的VLAN,它是不需要把端口加到這個VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,這些子VLAN是物理的,要加端口才能激活的.只要有一個子VLAN是激活的,那么SUPERVLAN就是激活的。*SuperVLAN技術配置命令：·設置當前VLAN的類型為SuperVLAN：[Switch-vlan10]supervlan·建立SuperVLAN和SubVLAN的映射關系：[Switch-vlan10]subvlanvlan-list·開啟本地代理ARP功能：[Switch-Vlan-interface10]local-proxy-arpenable*1、SubVLAN與外部的二層通信：Trunk鏈路自動禁止SuperVLAN通過。2、SubVLAN與外部的三層通信：等同于SuperVLAN到外部的三層通信。*SuperVLAN技術配置例如：*VLANVPN技術的原理及轉(zhuǎn)發(fā)流程：〔局域網(wǎng)遠程搭建〕Nested：嵌套的*BPDUTunnel工作原理：*BPDUTunnel是一種二層隧道技術，它使不同地域私網(wǎng)用戶的二層協(xié)議報文，可以通過運營商網(wǎng)絡內(nèi)的指定通道進行透明傳輸。*為防止環(huán)路，用戶需要在私網(wǎng)中啟用STP功能，當一側(cè)私網(wǎng)發(fā)生拓撲變化時，會發(fā)送BPDU報文給另一側(cè)私網(wǎng)，否那么將無法完成在整個用戶私網(wǎng)內(nèi)的生成樹計算。但由于BPDU報文是二層組播報文，所有開啟STP功能的設備都會接收并處理該報文，因此假設用戶私網(wǎng)和運營商網(wǎng)絡的生成樹一起計算將導致每個網(wǎng)絡都無法生成正確的生成樹。BPDUTunnel功能可以解決上述問題，它可使運行STP功能的用戶私網(wǎng)和運營商網(wǎng)絡擁有各自的生成樹，互不干擾。*利用BPDUTunnel功能，可以在運營商網(wǎng)絡中透傳用戶網(wǎng)絡的二層協(xié)議報文：(1)運營商網(wǎng)絡一端的PE1對從用戶A的網(wǎng)絡1收到的二層協(xié)議報文進行封裝，將其目的MAC地址替換成一個特定的組播MAC地址，然后在運營商網(wǎng)絡中進行轉(zhuǎn)發(fā)；(2)封裝好的二層協(xié)議報文〔稱為BPDUTunnel報文〕被轉(zhuǎn)發(fā)至運營商網(wǎng)絡另一端的PE2，解封裝后被復原為原始的目的MAC地址，并發(fā)送給用戶A的網(wǎng)絡2。*VLANVPN和BPDUTunnel配置命令：·開啟以太網(wǎng)端口的QinQ功能：[Switch-Ethernet1/0/1]qinqenable·開啟端口STP協(xié)議的BPDUTunnel功能：[Switch-Ethernet1/0/1]bpdu-tunneldot1qstp·配置BPDUTunnel幀采用的組播目的MAC地址：[Switch]bpdu-tunneltunnel-dmacmac-addressBPDUTunnel配置例如：*〔1〕路由器實現(xiàn)VLAN間通信：〔路由器與每個VLAN建立一條物理連接，浪費大量的端口〕〔2〕用802.1Q和子接口實現(xiàn)VLAN間路由：VLAN路由*用三層交換機實現(xiàn)VLAN間路由：三層交換機以內(nèi)置的三層路由轉(zhuǎn)發(fā)引擎執(zhí)行VLAN間路由功能。*〔1〕最長匹配轉(zhuǎn)發(fā)模型：1、用報文目的地址與路由表項的子網(wǎng)掩碼進行“與”操作；2、如果“與”操作的結(jié)果和路由表項中網(wǎng)絡地址相同，那么認為路由匹配；3、所有匹配項中子網(wǎng)掩碼位數(shù)最長的為最正確匹配項報文從該表項對應接口發(fā)送。〔2〕交換機精確匹配轉(zhuǎn)發(fā)模型：1、CPU維護路由表；2、ASIC芯片完成主要的轉(zhuǎn)發(fā)功能；3、對數(shù)據(jù)包進行一次路由后，生成具體目的地址的轉(zhuǎn)發(fā)表項，后續(xù)直接根據(jù)此表項進行精確匹配轉(zhuǎn)發(fā)。〔3〕交換機精確匹配轉(zhuǎn)發(fā)表：〔ForwardInformationBase：轉(zhuǎn)發(fā)信息庫〕當一個數(shù)據(jù)包到了交換機，需要3層轉(zhuǎn)發(fā)的時候，如果IPFDB里沒有記錄，會先查路由表，再找ARP表，這樣轉(zhuǎn)發(fā)后會把記錄生成在IPFDB里，下次轉(zhuǎn)發(fā)就不用再查路由表了。這個IPFDB是默認不會老化的，就是里面的記錄會一直存在。*交換機最長匹配轉(zhuǎn)發(fā)模型：1、基于硬件的最長匹配的三層交換技術；2、所有報文的轉(zhuǎn)發(fā)都通過硬件快速匹配完成轉(zhuǎn)發(fā)。交換機最長匹配轉(zhuǎn)發(fā)表：*直連VLAN間流量轉(zhuǎn)發(fā)：創(chuàng)立VLAN接口配置命令：·創(chuàng)立VLAN接口：[Switch]interfacevlan-interfacevlan-interface-id·配置VLAN接口的IP地址：[Switch-Vlan-interface10]ipaddressip-address{mask|mask-length}[sub]*跨設備VLAN間流量轉(zhuǎn)發(fā)：*交換機靜態(tài)路由配置：交換機RIP協(xié)議配置：·查看VLAN接口相關信息：[SWA]displayinterfaceVlan-interface40〔VLAN接口的MAC地址：HardwareAddress：〕·查看ARP表相關信息：[SWB]displayarpallcount·查看路由表相關信息：[SWA]displayiprouting-tableSTP*STP消除環(huán)路的思想：將網(wǎng)絡拓撲修剪為樹形1.選擇樹根節(jié)點ROOT；2.確定最短路徑；3.阻塞冗余鏈路。*橋ID用于在STP中唯一的標識一個橋，橋ID由兩局部組成，長度為8個字節(jié)：1.橋優(yōu)先級：高16位；2.MAC地址：低48位。優(yōu)先級和MAC地址值小優(yōu)先。橋ID：【橋優(yōu)先級：2字節(jié)】【橋MAC地址：6字節(jié)】*路徑開銷〔PathCost〕：1、路徑開銷用于衡量橋與橋之間路徑的優(yōu)劣；2、STP中每條鏈路都具有開銷值；3、路徑開銷等于路徑上全部鏈路開銷之和。*鏈路開銷標準：單端口下：10M=2000，100M=200。1G=20。10G=2。*配置BPDU：1、網(wǎng)橋通過交互配置BPDU獲取STP計算所需要的參數(shù)；2、配置BPDU基于二層組播方式發(fā)送，目的地址為01-80-C2-00-00-00；3、配置BPDU由根橋周期發(fā)出，發(fā)送周期為HelloTime；4、配置BPDU老化時間為MaxAge。*配置BPDU格式：〔網(wǎng)橋協(xié)議數(shù)據(jù)單元(BridgeProtocolDataUnit)〕*STP計算方法：1、配置BPDU處理：·網(wǎng)橋?qū)⒏鱾€端口收到的配置BPDU和自己的配置BPDU做比擬，得出優(yōu)先級最高的配置BPDU；·網(wǎng)橋用優(yōu)先級最高的配置BPDU更新本身的配置BPDU，用于選舉根橋和確定端口角色；·網(wǎng)橋從指定端口發(fā)送新的配置BPDU。2、配置BPDU比擬原那么——優(yōu)先級向量最小者最優(yōu)：首先比擬RootBridgeID>其次比擬RootPathCost>再次比擬DesignateBridgeID>再其次比擬DesignatePortID>最后比擬BridgePortID。*根橋選擇：起始各個交換機都認為自己是根橋，然后進行互發(fā)幀進行根橋PK，最終根橋ID最小者勝出。*確定端口角色的標準：1、根端口：網(wǎng)橋上到根橋最近的端口；2、指定端口：端口的配置BPDU在其所屬鏈路上是最優(yōu)的；3、Alternate端口：端口的配置BPDU在其所屬鏈路上不是最優(yōu)的，且端口不是根端口。Alternate端口：端口既非根端口也非指定端口；根端口：該端口到根橋的開銷最?。恢付ǘ丝冢憾丝趽碛性撴溌飞献顑?yōu)的配置消息。〔根橋發(fā)送的BPDU消息，其中BPC=0〕*端口角色確定過程：當路徑開銷相等時，那么根據(jù)順序比擬DesignateBridgeID，越不優(yōu)者相連或與之相連的端口為Alternate端口。而對于鏈路聚合的模型，兩條鏈路開銷相等時，那么要比擬DesignatePortID，端口越不優(yōu)者為Alternate端口。*臨時環(huán)路問題：當拓撲結(jié)構(gòu)發(fā)生變化，新的配置BPDU要經(jīng)過一定的時延才能傳播到整個網(wǎng)絡，在所有網(wǎng)橋收到這個變化的消息之前可能會存在臨時環(huán)路。*通過中間狀態(tài)防止臨時環(huán)路：1、STP為端口定義了五種狀態(tài)：Disabled、Blocking、Listening、Learning、Forwarding。2、各端口狀態(tài)對配置BPDU收發(fā)、MAC地址學習以及數(shù)據(jù)收發(fā)的處理有所不同。STP端口狀態(tài)是否發(fā)送配置BPDU是否進行MAC地址學習是否收發(fā)數(shù)據(jù)*ForwardDelay延時：1、從中間狀態(tài)Listening經(jīng)過一個延時進入另一個中間狀態(tài)Learning；2、從Learning狀態(tài)再經(jīng)過一個延時進入Forwarding狀態(tài)；3、延時長度為ForwardDelay。*STP端口狀態(tài)機：*STP拓撲改變處理過程：〔從中斷到恢復需要等待MAC地址老化，將近5分鐘的時間！〕使用TCN是50s。TCNBPDU：〔TopologyChangeAcknowledgment：拓撲改變消息〕。詳細參見書P192-P193。1、網(wǎng)橋發(fā)送TCNBPDU的條件為：1.有端口轉(zhuǎn)變?yōu)镕orwarding狀態(tài)，且該網(wǎng)橋至少包含一個指定端口；2.有端口從Forwarding狀態(tài)或Learning狀態(tài)轉(zhuǎn)變?yōu)锽locking狀態(tài)。TCA以及TC置位的配置BPDU：*當根橋故障后，指定根橋等待MaxAgeTimer后沒收到消息，那么判斷為根橋down掉了。網(wǎng)橋發(fā)現(xiàn)拓撲變化〔Down或新參加網(wǎng)橋〕，產(chǎn)生TCN的BPDU從RP發(fā)出，以通知根橋。如上游網(wǎng)橋不是根橋，那么上游網(wǎng)橋會將下一個要發(fā)送的配置BPDU中tCA位置位，作為收到TCN確實認。發(fā)送給下游網(wǎng)橋。上游網(wǎng)橋從根端口發(fā)送TCN的BPDU直到根橋收到TCNBPDU，收到后，根橋會將下一個要發(fā)送的配置BPDU中的TCA位置位作為對收到的TCN確認。并將該配置BPDU中TC位置位，用于通知網(wǎng)絡中所有網(wǎng)橋網(wǎng)絡拓撲發(fā)生了變化。根橋在MaxAge+ForwardDelay〔20s+15s〕內(nèi)，將發(fā)送的配置BPDU中的TC置位，當網(wǎng)橋收到后會將自身的MAC地址老化時間由300秒縮短為ForwardDelay〔15s〕。網(wǎng)橋發(fā)送TCN的周期為HelloTime，如果沒收到TCA置位那么重復發(fā)送TCN，收到TCA后停止從RP發(fā)TCN。如以下圖TCA和TC置位的配置BPDU：TCN產(chǎn)生的條件：1.網(wǎng)橋上有端口轉(zhuǎn)變?yōu)镕orwarding狀態(tài)，且至少包括包含一個DP。2.網(wǎng)橋上有端口從Forwarding或Learning狀態(tài)轉(zhuǎn)變?yōu)锽lock狀態(tài)。TCN的BPDU包括三局部：ProtocolID、Protocolversion〔這兩個和配置BPDU一樣〕、BPDUType(這個有區(qū)別〕。BPDUType表示為：0x80為TCN的BPDU。標志位：76543210。第7位置位表示為TCA，第0位置位表示和TC置位BPDU。*STP協(xié)議的缺乏：1、收斂時間長：缺省情況下一個端口從Blocking狀態(tài)過渡到Forwarding狀態(tài)至少需要30秒鐘〔兩倍的ForwardDelay〕。對于一個拓撲不穩(wěn)定網(wǎng)絡，會導致網(wǎng)絡的長時間中斷。〔兩倍：Listening>Learning>Forwarding〕2、拓撲變化收斂機制不靈活：主機頻繁上下線時，網(wǎng)絡會產(chǎn)生大量TCN。RSTP1、RSTP是從STP開展而來，實現(xiàn)的根本思想一致；2、RSTP具備STP的所有功能，可以兼容STP運行；3、RSTP和STP有所不同：1.減少了端口狀態(tài)；2.增加了端口角色；3.BPDU格式及發(fā)送方式不同；4.當交換網(wǎng)絡拓撲結(jié)構(gòu)發(fā)生變化時，RSTP可以更快地恢復網(wǎng)絡的連通性。*RSTP將端口狀態(tài)縮減為三個：Discarding、Learning、Forwarding。RSTP將端口角色增加到四個：根端口、指定端口、Alternate端口、Backup端口。RSTP是將STP原來的Alternate端口分為Alternate端口〔沒寫錯〕和Backup端口，前者提供一條到達根橋的備用路徑，用于根端口做備份。后者提供了到達同一個物理網(wǎng)段的冗余路徑，用于指定端口做備份〔書上原話〕。*RSTBPDU報文和STP相比不同之處有：1.ProtocolVersionID變?yōu)?〔如0x02〕；2.BPDUType變?yōu)?〔如0x02〕；3.使用了Flags字段的全部8位；4.增加Version1Length字段〔如0x00〕。*RSTBPDU中的Flags字段：在RSTBPDU的Flags字段中，除TC以及TCA標志位，還包含P/A標志位、端口狀態(tài)標志位以及端口角色標志位。*RSTP中BPDU的處理：1、網(wǎng)橋自行從指定端口發(fā)送RSTBPDU，不需要等待來自根橋的RSTBPDU。發(fā)送周期為HelloTime；2、RSTBPDU老化時間為3個連續(xù)的HelloTime時長。RSTP提供了一種?；顧C制〔上面這兩行所述，即網(wǎng)橋可以根據(jù)如未收到BPDU那么表示網(wǎng)絡中斷，時長為3個HelloTime時長〕，STP沒有。*STP只能指定端口收到低優(yōu)先級RSTBPDU做出回應。處于Block狀態(tài)的端口不會對收到低優(yōu)先級的BPDU做出回應。RSTP中Block狀態(tài)的端口收到RSTBPDU可以回應。*RSTP快速收斂機制：STP中端口需要等待兩個ForwardDelay時長才能進入轉(zhuǎn)發(fā)狀態(tài)，如果想縮短收斂時間只能手工配置ForwardDelay為較小的值，但是這樣可能會影響網(wǎng)絡的穩(wěn)定性；·RSTP提出了快速收斂機制，包括：邊緣端口機制；根端口快速切換機制；指定端口快速切換〔P/A〕機制。*邊緣端口〔EdgePort〕：1、邊緣端口指網(wǎng)橋上直接和終端相連的端口〔如：直接與主機相連的交換機〕；2、邊緣端口可以直接進入轉(zhuǎn)發(fā)狀態(tài)，不需要延時，并且不會觸發(fā)拓撲改變；3、邊緣端口收到BPDU后，會轉(zhuǎn)變?yōu)榉沁吘壎丝?。有點像Cisco的PortFast端口。*根端口快速切換：如果舊的根端口已經(jīng)進入阻塞狀態(tài)，而且新根端口〔優(yōu)先級最高的Alternate端口作為新的根端口〕連接的對端網(wǎng)橋的指定端口處于Forwarding狀態(tài)，那么在新拓撲結(jié)構(gòu)中的根端口可以立刻進入轉(zhuǎn)發(fā)狀態(tài)。*指定端口快速切換：1、指定端口可以通過與相連的網(wǎng)橋進行一次握手，快速進入轉(zhuǎn)發(fā)狀態(tài)：1.握手請求報文：Proposal；2.握手回應報文：Agreement。2、P/A機制條件：握手必須在點到點鏈路進行?！ねㄟ^P/A機制實現(xiàn)快速收斂：實例參見書上P213頁。*RSTP拓撲改變處理機制1、拓撲改變觸發(fā)條件：只有非邊緣端口轉(zhuǎn)變?yōu)镕orwarding狀態(tài)時，產(chǎn)生拓撲改變；2、拓撲改變處理：·在兩倍Hello時間內(nèi)向所有其它指定端口和根端口發(fā)送TC置位BPDU報文；·去除除接收到TC報文的端口之外的所有指定端口和根端口學習的MAC地址。*RSTP拓撲改變處理：1、不再使用TCN；2、收斂更快速。STP的TCN是拓撲改變時網(wǎng)橋向根橋發(fā)送TCN〔經(jīng)過的網(wǎng)橋也會收到〕，然后由根橋通知其它網(wǎng)橋。而RSTP是網(wǎng)橋直接通過DP和RP端口向其它網(wǎng)橋直接發(fā)送TC報文，其它網(wǎng)橋收到后會繼續(xù)從其DP和RP端口繼續(xù)擴散發(fā)送，從而實現(xiàn)根橋和所有網(wǎng)橋都知道拓撲改變。*RSTP和STP的兼容運行：1、RSTP的端口連續(xù)三次接收到版本為STP的BPDU，那么端口協(xié)議將切換到STP協(xié)議。2、切換到STP協(xié)議的RSTP端口將喪失快速收斂特性。3、出現(xiàn)STP與RSTP混用的情況，建議將STP設備放在網(wǎng)絡邊緣。4、運行STP的網(wǎng)橋移除后，由RSTP模式切換到STP模式的端口仍將運行在STP模式。*根本配置命令：·生成樹在交換機上缺省是關閉的，如果組網(wǎng)中可能存在路徑回環(huán)，那么要通過命令開啟生成樹功能：[H3C]stpenable·如果確定某個端口連接的局部不存在回路，那么可以通過命令關閉該端口的生成樹功能：[H3C-Ethernet0/1]stpdisable·可以根據(jù)需要配置交換機的生成樹運行模式：[H3C]stpmode{stp|rstp|mstp}*RSTP可選參數(shù)：*配置優(yōu)先級和端口開銷：·通過命令配置可以更改BridgePriority：[H3C]stpprioritybridge-priority·通過命令配置可以改變端口開銷的值：[H3C-Ethernet0/1]stpcostcost·通過命令配置可以改變設備支持的端口開銷標準：[H3C]stppathcost-standard{dot1d-1998|dot1t|legacy}*配置端口的優(yōu)先級：1.端口ID由兩局部組成:PortPriority+PortIndex；2.通過命令配置可以改變端口優(yōu)先級?！H3C-Ethernet0/1]stpportpriorityport-priority*配置端口的HelloTime：1、HelloTime的配置需要注意：1.較長的HelloTime可以降低生成樹計算的消耗；2.過長的HelloTime會導致對鏈路故障的反響緩慢；3.較短的HelloTime可以增強生成樹的健壯性；4.過短的HelloTime會導致頻繁發(fā)送配置消息，加重CPU和網(wǎng)絡負擔。2、配置命令為：[H3C]stptimerhellocentiseconds*配置端口的MaxAge：1、MaxAge的配置需要注意：1.過長的MaxAge會導致鏈路故障不能被及時發(fā)現(xiàn)；2.過短的MaxAge可能會在網(wǎng)絡擁塞的時候使交換機誤認為鏈路故障，造成頻繁的生成樹重新計算。2、配置命令為：[H3C]stptimermax-agecentiseconds*配置端口的ForwardDelay：1、ForwardDelay的配置需要注意：1.過長的ForwardDelay會導致生成樹的收斂太慢；2.過短的ForwardDelay可能會在拓撲改變的時候，引入暫時的路徑環(huán)路。2、配置命令為：[H3C]stptimerforward-delaycentiseconds*配置網(wǎng)絡直徑：1、網(wǎng)絡直徑：任意兩臺終端設備之間通過的交換機數(shù)目的最大值；2、改變網(wǎng)絡直徑會間接影響到MaxAge和ForwardDelay這兩個參數(shù)的值，這種方法比直接手工配置兩個參數(shù)更為可靠。3、所以當網(wǎng)絡中參加交換機可以通過改變網(wǎng)絡直徑參數(shù)來到達適應網(wǎng)絡狀況的目的。4、配置命令為：[H3C]stpbridge-diameterbridgenum〔diameter：直徑〕*RSTP高級配置：配置端口為邊緣端口：·端口視圖配置：[H3C-Ethernet0/1]stpedged-portenable·全局或端口視圖執(zhí)行mCheck操作：[H3C]stpmcheck[H3C-Ethernet0/1]stpmcheck。RSTP自動遷移至STP，STP設備下線后，可手工切換STP到RSTP。*RSTP維護調(diào)試命令：·顯示和STP統(tǒng)計和狀態(tài)信息：[H3C]displaystp[interfaceinterface_list][brief]此命令顯示內(nèi)容包括：全局參數(shù)：橋ID、HelloTime、MaxAge、ForwardDelay、根橋、根路徑開銷、RP。端口參數(shù)：端口協(xié)議是否使能、端口角色、端口優(yōu)先級、端口開銷、端口所屬網(wǎng)段指定橋ID和DP的ID、是否為邊緣端口、P2P鏈路？、收發(fā)BPDU統(tǒng)計。MSTP·翻開和STP調(diào)試開關：<H3C>debugstppacket*STP/RSTP的局限：1、所有VLAN共享一顆生成樹；2、無法實現(xiàn)不同VLAN在多條Trunk鏈路上的負載分擔。*MSTP：〔MultipleSpanningTree，多生成樹協(xié)議〕，基于實例計算出多顆生成樹，實例間實現(xiàn)負載分擔。*MST域〔MSTRegion〕：擁有相同MST配置標識的網(wǎng)橋構(gòu)成的集合：域名、修訂級別、VLAN映射關系。*CST〔CommonSpanningTree〕公共生成樹、IST〔InternalSpanningTree〕內(nèi)部生成樹、CIST〔CommonandInternalSpanningTree〕公共和內(nèi)部生成樹、MSTI〔MultipleSpanningTreeInstance〕多生成樹實例。*STP：IEEE802.1D、RSTP：IEEE802.1W、MSTP：IEEE802.1S。*要實現(xiàn)生成樹功能，網(wǎng)橋之間必須要進行一些信息的交互，這些信息交互單元就稱為配置消息BPDU〔BridgeProtocolDataUnit〕。STPBPDU是一種二層報文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP協(xié)議的網(wǎng)橋都會接收并處理收到的BPDU報文。*1、當根端口失效的情況下，替換端口就會快速轉(zhuǎn)換為新的根端口并無時延地進入轉(zhuǎn)發(fā)狀態(tài)；當指定端口失效的情況下，備份端口就會快速轉(zhuǎn)換為新的指定端口并無時延地進入轉(zhuǎn)發(fā)狀態(tài)。2、在只連接了兩個交換端口的點對點鏈路中，指定端口只需與下游網(wǎng)橋進行一次握手就可以無時延地進入轉(zhuǎn)發(fā)狀態(tài)。3、直接與終端相連而不與其他網(wǎng)橋相連的端口定義為邊緣端口〔EdgePort〕。邊緣端口可以直接進入轉(zhuǎn)發(fā)狀態(tài)，不需要任何延時。*MSTP的特點如下：1、MSTP引入“域”的概念，把一個交換網(wǎng)絡劃分成多個域。每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立；在域間，MSTP利用CIST保證全網(wǎng)絡拓撲結(jié)構(gòu)的無環(huán)路存在。2、MSTP引入“實例〔Instance〕”的概念，將多個VLAN映射到一個實例中，以節(jié)省通信開銷和資源占用率。MSTP各個實例拓撲的計算是獨立的〔每個實例對應一棵單獨的生成樹〕，在這些實例上就可以實現(xiàn)VLAN數(shù)據(jù)的負載分擔。3、MSTP可以實現(xiàn)類似RSTP的端口狀態(tài)快速遷移機制。MSTP兼容STP和RSTP。*CST、IST、CIST、總根和域根：〔Region：區(qū)域〕*1、MST域是由交換網(wǎng)絡中的多臺設備以及它們之間的網(wǎng)段所構(gòu)成。這些設備具有以下特點：都啟動了MSTP；具有相同的域名〔Region〕；具有相同的VLAN到生成樹實例映射配置；具有相同的MSTP修訂級別配置；這些設備之間在物理上有鏈路連通。2、VLAN映射表：VLAN映射表是MST域的一個屬性，用來描述VLAN和生成樹實例的映射關系。3、IST：IST是域內(nèi)實例上的生成樹。IST和CST共同構(gòu)成整個交換網(wǎng)絡的CIST。IST是CIST在MST域內(nèi)的片段。4、CST：CST是連接交換網(wǎng)絡內(nèi)所有MST域的單生成樹。如果把每個MST域看作是一個“設備”，CST就是這些“設備”通過STP協(xié)議、RSTP協(xié)議計算生成的一棵生成樹。5、MSTI：一個MST域內(nèi)可以通過MSTP生成多棵生成樹，各棵生成樹之間彼此獨立。每棵生成樹都稱為一個MSTI。每個域內(nèi)可以存在多棵生成樹，每棵生成樹和相應的VLAN對應。這些生成樹就被稱為MSTI。6、域邊界端口：域邊界端口是指位于MST域的邊緣，用于連接不同MST域、MST域和運行STP的區(qū)域、MST域和運行RSTP的區(qū)域的端口。7、總根：總根是指CIST實例中橋ID最優(yōu)的橋。8、外部根路徑開銷：外部根路徑開銷指的是端口到總根的最短路徑開銷。9、指定端口ID：由指定端口的優(yōu)先級和端口號組成。10、Master端口：連接MST域到總根的端口，位于整個域到總根的最短路徑上。IST根橋在CIST上的根端口。11、Backup端口：當開啟了MSTP的同一臺設備的兩個端口互相連接時就存在一個環(huán)路，此時設備會阻塞端口ID較小的端口，此阻塞端口稱為Backup端口，而另外一個端口那么處于轉(zhuǎn)發(fā)狀態(tài)，成為指定端口。*MSTI和MSTI域根：*MSTP的BPDU格式：*CIST的優(yōu)先級向量：1、CIST優(yōu)先級向量={RootID：ERPC：RRootID：IRPC：DesignateBridgeID：DesignatePortID：RcvPortID}2、比擬原那么：最小最優(yōu)：1.首先比擬CIST總根ID>2.其次比擬CIST外部路徑開銷>3.再次比擬CIST域根ID>4.再其次比擬CIST內(nèi)部路徑開銷>5.再其次比擬CIST指定橋ID>6.再其次比擬CIST指定端口ID>7.最后比擬CIST接收端口ID。*MSTI的優(yōu)先級向量：1、MSTI優(yōu)先級向量={RRootID：IRPC：DesignateBridgeID：DesignatePortID：RcvPortID}2、比擬原那么：最小最優(yōu)：1.首先比擬MSTI域根ID>2.其次比擬MSTI內(nèi)部路徑開銷>3.再其次比擬MSTI指定橋ID>4.再其次比擬MSTI指定端口ID>5.最后比擬MSTI接收端口ID。*MSTP計算方法：1、CST/IST的計算和RSTP類似；2、MSTI的計算僅限于區(qū)域內(nèi)；3、MSTI計算參數(shù)包含在ISTBPDU中，和IST的計算同步完成。*MSTI計算過程-Region1：*MSTP和RSTP的互操作：RSTP橋?qū)STP域看做一個橋ID為域根ID的RSTP橋。*MSTP的P/A機制：〔Proposal：建議〕1、上游橋發(fā)送的ProposalBPDU中，P標志位和A標志位都置位；2、下游收到P標志位和A標志位都置位的ProposalBPDU，在將端口同步后會回應AgreementBPDU，使得上游的指定端口快速進入轉(zhuǎn)發(fā)狀態(tài)。*〔1〕MSTP根本配置：區(qū)域配置：·由系統(tǒng)視圖進入?yún)^(qū)域配置視圖：[H3C]stpregion-configuration·配置域名：[H3C-mst-region]region-namename·配置修訂級別：[H3C-mst-region]revision-levellevel·配置VLAN和實例的映射：[H3C-mst-region]instanceinstance-idvlanvlan-list·激活區(qū)域配置：[H3C-mst-region]activeregion-configuration〔2〕MSTP高級配置：·配置交換機為首選根橋：[H3C]stpinstanceinstance-idrootprimary·配置交換機為備份根橋：[H3C]stpinstanceinstance-idrootsecondary〔3〕MSTP兼容性配置：·配置端口識別/發(fā)送MSTP報文格式：[H3C-GigabitEthernet1/0/1]stpcompliance{auto|dot1s|legacy}·全局開啟摘要偵聽：[H3C]stpconfig-digest-snooping·端口開啟摘要偵聽：[H3C-Ethernet1/0/1]stpconfig-digest-snooping*MSTP兼容性配置：下游設備配置NoAgreementCheck特性。*MSTP配置案例：*邊緣端口受到攻擊：如果一個邊緣端口接收到配置消息，將從邊緣端口轉(zhuǎn)換成非邊緣端口，從而導致生成樹重新計算。STP保護機制BPDU保護機制：啟動了BPDU保護功能后，如果邊緣端口收到了配置消息，MSTP就將這些端口關閉。BPDU保護命令：[H3C]stpbpdu-protection可以在邊緣設備上配置〔邊緣端口:Ethernet1/0/1〕：[SWA]stpbpdu-protection·[SWA-Ethernet1/0/1]stpedged-portenable*根橋的錯誤切換：合法根橋收到優(yōu)先級更高的〔BPDU〕配置消息，失去根橋的地位，引起網(wǎng)絡拓撲結(jié)構(gòu)的變動。根橋保護機制：對于設置了根保護功能的端口，一旦該端口收到某實例優(yōu)先級更高的配置消息，立即將該實例端口設置為偵聽狀態(tài)，不再轉(zhuǎn)發(fā)報文。根橋保護命令：[H3C-Ethernet1/0/1]stproot-protection*環(huán)路的產(chǎn)生：由于鏈路擁塞或者單向鏈路故障，端口會收不到上游設備的BPDU報文，此時下游設備重新選擇端口角色，會導致環(huán)路的產(chǎn)生。〔網(wǎng)絡擁塞導致BPDU喪失、光纖鏈路單通〕環(huán)路保護機制：只對RootPort、Alternateport、BackupPort1、配置了環(huán)路保護的端口，當接收不到上游設備發(fā)送的BPDU報文時，環(huán)路保護生效。2、如果該端口參與了STP計算，那么不管其角色如何，該端口在所有實例都將處于Discarding狀態(tài)。環(huán)路保護命令：[H3C-Ethernet1/0/1]stploop-protection*TC攻擊：在有偽造的TC-BPDU報文惡意攻擊設備時，設備短時間內(nèi)會收到很多的TCBPDU報文，頻繁的刪除操作給設備帶來很大負擔，給網(wǎng)絡的穩(wěn)定帶來很大隱患。TC保護機制：1、設置設備在收到TC-BPDU報文后的10秒內(nèi)，進行地址表項刪除操作的最屢次數(shù)；2、監(jiān)控在該時間段內(nèi)收到的TC-BPDU報文數(shù)是否大于門限值?！な鼓芊乐筎C-BPDU報文攻擊的保護功能：[H3C]stptc-protectionenable·配置門限值：[H3C]stptc-protectionthresholdnumberHA*可靠性：Availability，可靠性=MTBF/(MTBF+MTTR)MTBF〔MeanTimeBetweenFailure：平均無故障時間〕：衡量穩(wěn)定程度MTTR〔MeanTimetoRepair：故障平均修復時間〕：衡量故障響應修復速度*高可靠性在園區(qū)的應用：1、網(wǎng)絡高可靠性主要是指當設備或網(wǎng)絡出現(xiàn)故障時，網(wǎng)絡提供效勞的不間斷性。1.可靠性到達5個9以上；2.可靠性99.999%意味著每年故障時間不超過5分鐘；3.可靠性99.9999%意味著每年故障時間不超過30秒。2、園區(qū)網(wǎng)高可靠性技術：1.鏈路備份技術；2.設備備份技術：包含設備自身備份技術以及設備間備份技術；3.堆疊技術。*鏈路備份技術：鏈路備份技術用于防止由于單鏈路故障導致的網(wǎng)絡通信中斷。當主鏈路中斷后，備用鏈路會成為新的主用鏈路。：鏈路聚合、RRPP、SmartLink。*鏈路聚合：1、鏈路聚合是把多條物理鏈路聚合在一起，形成一條邏輯鏈路。2、采用鏈路聚合可以提供鏈路冗余性，又可以提高鏈路的帶寬。*RRPP：1、RRPP〔RapidRingProtectionProtocol，快速環(huán)網(wǎng)保護協(xié)議〕是一個專門應用于以太網(wǎng)環(huán)的鏈路層協(xié)議。2、在以太網(wǎng)環(huán)上一條鏈路斷開時，RRPP能迅速恢復環(huán)網(wǎng)上各個節(jié)點之間的通信通路，具備較高的收斂速度。*SmartLink：SmartLink解決方案，實現(xiàn)了主備鏈路的冗余備份，具備快速收斂性能，收斂速度可到達亞秒級。*設備備份技術：設備備份技術用于防止由于單設備故障導致的網(wǎng)絡通信中斷。當主設備中斷后，備用板卡或備用設備會成為新的主設備。：1.設備自身的備份技術；2.設備間的備份技術VRRP。*設備自身的備份技術：1、主備備份指備用主控板作為主用主控板的一個完全映象，除了不處理業(yè)務，不控制系統(tǒng)外，其它與主用主控板保持完全同步。2、當主用板發(fā)生故障或者被拔出時，備用板將迅速自動取代主用板成為新的主用板，以保證設備的繼續(xù)運行。3、主備備份應用于分布式網(wǎng)絡產(chǎn)品的主控板，提高網(wǎng)絡設備的可靠性。*設備間的備份技術VRRP：VRRP將可以承當網(wǎng)關功能的路由器參加到備份組中，形成一臺虛擬路由器。*IRF〔IntelligentResilientFramework，智能彈性架構(gòu)〕是將多臺設備通過堆疊口連接在一起形成一臺“聯(lián)合設備”。用戶對這臺“聯(lián)合設備”進行管理，可以實現(xiàn)對堆疊中的所有設備進行管理。*IRF高可靠性：1、堆疊系統(tǒng)由多臺成員設備組成，Master設備負責堆疊的運行、管理和維護，Slave設備在作為備份的同時也可以處理業(yè)務。2、一旦Master設備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過堆疊的業(yè)務不中斷，從而實現(xiàn)了設備級的1:N備份。3、成員設備之間物理堆疊口支持聚合功能，