《交換與路由技術(shù)》 課件 曹炯清 第3部分 交換機基礎(chǔ)；第4部分 交換機實配置

第3部分交換機基礎(chǔ)第6章交換機工作原理 第7章交換機配置基礎(chǔ)實訓(xùn)4交換機管理安全配置實訓(xùn)5使用FTP方式備份配置文件和系統(tǒng)第6章交換機工作原理ABCD6.1共享式以太網(wǎng)和交換式以太網(wǎng)6.3交換機的主要性能指標6.2交換機工作原理和廣播域6.4交換機的分類第6章交換機工作原理6.1共享式以太網(wǎng)和交換式以太網(wǎng)1.共享式以太網(wǎng)和CSMA/CD在早期的以太網(wǎng)中，多站點共享同一信道，站點間通信采用廣播方式，易發(fā)生信號沖突。這種情況就如同在開圓桌會議一樣，只能一個人說話而其他人聽，如果很多人同時說話就會雜亂而產(chǎn)生沖突，因為大家是共享信道，另外相互對話的是某兩個人，相互說話都帶有地址信息，所有的人都會收到，只有對話雙方會進行相互回應(yīng)，而其他人都會丟棄該信息，因為大家的通信方式是廣播式通信，如圖6-1所示。在這里需要強調(diào)的是信號、數(shù)據(jù)的區(qū)別，信號是數(shù)據(jù)在傳輸過程中的表現(xiàn)方式，而網(wǎng)絡(luò)中物理層的比特流就是這樣的信號，換句話說就是數(shù)據(jù)只有成為了信號之后才能進行網(wǎng)絡(luò)傳輸。6.1共享式以太網(wǎng)和交換式以太網(wǎng)1.共享式以太網(wǎng)和CSMA/CD這種共享信道、廣播式通信的以太網(wǎng)簡稱為共享式以太網(wǎng)。圖6-1共享信道廣播式通信6.1共享式以太網(wǎng)和交換式以太網(wǎng)1.共享式以太網(wǎng)和CSMA/CD共享式以太網(wǎng)用CSMA/CD技術(shù)（CarrierSenseMultipleAccess/CollisionDetect，載波監(jiān)聽多路訪問/沖突檢測）來避免和減少信號沖突。CSMA/CD的工作過程如圖6-2所示。CSMA/CD的工作原理可以總結(jié)為“先聽后發(fā)、邊發(fā)邊聽、沖突停止、延時重發(fā)”。CSMA/CD工作過程6.1共享式以太網(wǎng)和交換式以太網(wǎng)2.沖突域的概念在早期的以太網(wǎng)中，由于傳輸距離的增加會造成傳輸?shù)谋忍亓餍盘査p，早期以太網(wǎng)使用中繼器和集線器來對信號進行再生放大，從而延長傳輸信號的距離。這種只能對物理層的比特流信號進行再生放大的設(shè)備，我們稱之為物理層設(shè)備。比特流信號的再生放大6.1共享式以太網(wǎng)和交換式以太網(wǎng)2.沖突域的概念值得注意的是，通過中繼器、集線器雖然增強了比特流信號，網(wǎng)絡(luò)布線距離得到了延長，但是同樣還是不能有兩臺站點同時發(fā)送比特流信號，因為中繼器、集線器并不能隔離沖突信號，不能隔離沖突信號的原因如圖所示。物理層設(shè)備不能隔離沖突6.1共享式以太網(wǎng)和交換式以太網(wǎng)2.沖突域的概念圖6-5表明了使用物理層設(shè)備中繼器、集線器連接的物理網(wǎng)絡(luò)都屬于同一個沖突域，這樣沖突域的網(wǎng)絡(luò)中任何一個時間節(jié)點都只能是一個站點發(fā)送數(shù)據(jù)、一個站點接收數(shù)據(jù)，而不能同時多個站點進行數(shù)據(jù)傳輸，例如在圖6-5中A發(fā)數(shù)據(jù)給B的時候，只能是A發(fā)送、B接收，其他站點C、D都不能進行數(shù)據(jù)傳輸。沖突域的概念6.1共享式以太網(wǎng)和交換式以太網(wǎng)3.交換式以太網(wǎng)的產(chǎn)生共享式以太網(wǎng)存在的問題如下：（1）隨著網(wǎng)絡(luò)接入站點的增多，沖突增多，線路上數(shù)據(jù)有效傳輸嚴重下降，線路上充斥著大量無效無用的沖突信號，而嚴重影響網(wǎng)絡(luò)的性能。（2）網(wǎng)絡(luò)的擴大，數(shù)據(jù)流量應(yīng)該本地化，也就是本地的兩臺站點之間的通信，不應(yīng)該影響其他站點之間的數(shù)據(jù)通信。（3）由于共享信道廣播式通信，網(wǎng)絡(luò)傳輸中數(shù)據(jù)的安全性無法得到保證，容易被竊聽。6.1共享式以太網(wǎng)和交換式以太網(wǎng)3.交換式以太網(wǎng)的產(chǎn)生由于共享信道廣播式網(wǎng)絡(luò)存在以上的缺點，為了有效地隔離沖突域，即將一個大的沖突域減小為多個小的沖突域，從而減少沖突的發(fā)生，如圖6-6，在1993年局域網(wǎng)內(nèi)可以隔離沖突域的交換設(shè)備應(yīng)運而生，傳統(tǒng)共享式以太網(wǎng)也演變成為了交換式以太網(wǎng)。圖6-6隔離沖突域的思路6.1共享式以太網(wǎng)和交換式以太網(wǎng)3.交換式以太網(wǎng)的產(chǎn)生那么交換設(shè)備如何隔離沖突域的呢？沖突產(chǎn)生的根本原因在于共享信道，因此隔離沖突域的基本思路就是將共享式以太網(wǎng)的共享信道改變成為交換式以太網(wǎng)的獨享信道，如圖6-7所示，原來使用的中繼器、集線器也演變成了現(xiàn)在使用的交換機。6.2交換機工作原理和廣播域1.交換機的工作原理以太網(wǎng)交換機的英文名稱為“Switch”，工作在OSI/RM模型的數(shù)據(jù)鏈路層，屬于二層設(shè)備，這一點與中繼器和集線器完全不一樣，中繼器和集線器工作于物理層，處理的信息單元是比特流信號，而交換機處理的信息單元是數(shù)據(jù)鏈路層的以太網(wǎng)幀。6.2交換機工作原理和廣播域1.交換機的工作原理交換機關(guān)鍵的技術(shù)就是交換機可以識別連在網(wǎng)絡(luò)上站點的網(wǎng)卡MAC地址，并把它們放到交換機的MAC地址表中。交換機的MAC地址表如圖6-8所示。交換機的MAC地址表6.2交換機工作原理和廣播域1.交換機的工作原理交換機的工作原理示意圖如圖6-9所示。以太網(wǎng)交換機從物理層接收比特流信號，恢復(fù)出以太網(wǎng)數(shù)據(jù)幀提交給數(shù)據(jù)鏈路層，數(shù)據(jù)鏈路層對以太網(wǎng)數(shù)據(jù)幀進行幀校驗等檢查后，根據(jù)以太網(wǎng)數(shù)據(jù)幀目的MAC地址進行轉(zhuǎn)發(fā)。圖6-9以太網(wǎng)交換機工作原理示意圖6.2交換機工作原理和廣播域1.交換機的工作原理交換機工作原理就是五個工作特性，分別是學(xué)習(xí)源MAC地址、泛洪廣播幀、泛洪未知目的幀、轉(zhuǎn)發(fā)數(shù)據(jù)幀和過濾數(shù)據(jù)幀。當(dāng)交換機接收到一個數(shù)據(jù)幀時，交換機將數(shù)據(jù)幀的源MAC地址和交換機的MAC地址表進行比較，如果源MAC地址不在MAC地址表中，交換機會將該數(shù)據(jù)幀的源MAC地址加入到MAC地址表中，同時加入的還有接收該數(shù)據(jù)幀的交換機端口號，如果源MAC地址在MAC地址表中，但MAC地址表中對應(yīng)的端口和接收該數(shù)據(jù)幀的交換機端口不一致，則進行更新MAC地址表中該MAC地址對應(yīng)的端口號為接收該數(shù)據(jù)幀的交換機端口號。這就是網(wǎng)橋的“學(xué)習(xí)源MAC地址”特性。如果交換機接收的一個數(shù)據(jù)幀，如果該數(shù)據(jù)幀的目的MAC地址為FF-FF-FF-FF-FF-FF（即該幀為廣播幀），則交換機向除接收該幀的端口以外的所有端口擴散該幀，也就是交換機不能隔離廣播幀，這就是交換機的“泛洪廣播幀”特性。如果交換機接收的一個數(shù)據(jù)幀，經(jīng)過查MAC地址表，沒有查到該幀目的MAC地址所在端口，則交換機向除接收該幀的端口以外的所有端口擴散該幀，這就是交換機的“泛洪未知目的幀”特性。如果交換機接收的一個數(shù)據(jù)幀，經(jīng)過查MAC地址表，發(fā)現(xiàn)數(shù)據(jù)幀中源MAC地址所處端口和目的MAC地址所處端口相同，則交換機丟棄該幀，這就是交換機的“過濾數(shù)據(jù)幀”特性。如果交換機接收的一個數(shù)據(jù)幀，經(jīng)過查MAC地址表，發(fā)現(xiàn)數(shù)據(jù)幀中源MAC地址所處端口和目的MAC地址所處端口不相同，則交換機從相應(yīng)端口轉(zhuǎn)發(fā)該幀，這就是交換機的“轉(zhuǎn)發(fā)數(shù)據(jù)幀”特性。在這樣五個特性的共同作用下，經(jīng)過一段時間，交換機的MAC地址表中就收集齊了網(wǎng)絡(luò)中所有站點的MAC地址，就可以對數(shù)據(jù)幀進行有序、有目的性地轉(zhuǎn)發(fā)。6.2交換機工作原理和廣播域2.廣播域的概念如圖6-10，交換機可以隔離沖突，但交換機不能隔離廣播幀，也就是網(wǎng)絡(luò)中任意一個站點發(fā)送一個廣播幀，整個廣播域中的所有站點都會接收這個廣播幀，交換機的每個端口都為一個沖突域，而交換機的所有端口共同構(gòu)成一個廣播域。圖6-10廣播域和沖突域6.2交換機工作原理和廣播域2.廣播域的概念以下通過表6-1來區(qū)分一下交換機、網(wǎng)橋、中繼器和集線器。表6.1交換機、網(wǎng)橋、中繼器、集線器區(qū)分6.3交換機的主要性能指標交換機的主要性能指標集中在端口參數(shù)、交換容量、包轉(zhuǎn)發(fā)率、轉(zhuǎn)發(fā)模式、支持特性等五個方面，以下表6-2羅列了H3CS5820V2-54QS-GE交換機的主要性能指標。表6-2交換機主要性能指標6.3交換機的主要性能指標1.端口參數(shù)一般情況下，對于網(wǎng)絡(luò)設(shè)備工作在OSI/RM數(shù)據(jù)鏈路層的連接適配口我們稱之為端口，對于工作在OSI/RM網(wǎng)絡(luò)層的連接適配口我們稱之為接口，換句話說，如果這個連接適配口不能配置IP地址，我們稱之為端口，如果這個連接適配口可以配置IP地址，我們稱之為接口。H3CS5820V2-54QS-GE為三層交換機，當(dāng)連接適配口工作在二層的時候，我們稱之為端口，當(dāng)連接適配口工作在三層的時候，我們稱之為接口。交換機可以提供大量的網(wǎng)絡(luò)連接端口，交換機上的端口主要分為三種，一種是用于交換機管理所用，一種是用于雙絞線連接，一種是用于光纖連接。6.3交換機的主要性能指標2.交換容量交換容量也叫背板帶寬、交換帶寬，是交換機接口處理器或接口卡和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量。交換容量標志了交換機總的數(shù)據(jù)交換能力，單位為Gbps或Tbps。一臺交換機的交換容量越高，所能處理數(shù)據(jù)的能力就越強，bps即bit/秒。6.3交換機的主要性能指標3.包轉(zhuǎn)發(fā)率包轉(zhuǎn)發(fā)率標志了交換機轉(zhuǎn)發(fā)數(shù)據(jù)包能力的大小。單位一般位pps（包每秒），一般交換機的包轉(zhuǎn)發(fā)率在幾十Kpps到幾百Mpps不等。包轉(zhuǎn)發(fā)速率是指交換機每秒可以轉(zhuǎn)發(fā)多少百萬個數(shù)據(jù)包（Mpps），即交換機能同時轉(zhuǎn)發(fā)的數(shù)據(jù)包的數(shù)量。包轉(zhuǎn)發(fā)率以數(shù)據(jù)包為單位體現(xiàn)了交換機的交換能力。6.3交換機的主要性能指標4.轉(zhuǎn)發(fā)模式交換機的轉(zhuǎn)發(fā)模式主要有直通方式、存儲轉(zhuǎn)發(fā)方式、碎片隔離方式三種方式，現(xiàn)在大部分的交換機產(chǎn)品都為存儲轉(zhuǎn)發(fā)方式。直通方式：交換機只檢查數(shù)據(jù)幀的幀頭（通常只檢查14個字節(jié)），不進行幀校驗，不但正常幀，而且可能存在的殘幀、超長幀、錯誤幀都會被轉(zhuǎn)發(fā)。存儲轉(zhuǎn)發(fā)方式：交換機將收到的數(shù)據(jù)幀緩存起來，然后對幀校驗序列FCS進行幀校驗，只有正常幀被轉(zhuǎn)發(fā)，而殘幀、超長幀、錯誤幀都會被丟棄。碎片隔離方式：交換機只判斷收到的數(shù)據(jù)幀是否足夠64個字節(jié)，正常幀、超長幀、錯誤幀被轉(zhuǎn)發(fā)，而殘幀會被丟棄。殘幀為小于64字節(jié)的幀，超長幀為超過1518字節(jié)的幀。6.3交換機的主要性能指標5.支持特性交換機的支持特性非常多，主要是針對于交換機實際應(yīng)用場景所符合的國際性標準和企業(yè)標準而定，如對生成樹技術(shù)、虛擬局域網(wǎng)VLAN技術(shù)、鏈路聚合技術(shù)等方面的支持。通常情況下，性能越優(yōu)異的交換機設(shè)備支持特性也就越多，相關(guān)的一些支持特性我們在后續(xù)內(nèi)容中進行介紹。6.4交換機的分類交換機的分類標準多種多樣：如根據(jù)傳輸速度劃分，可以分為百兆交換機、千兆交換機、萬兆交換機等。如根據(jù)規(guī)模應(yīng)用劃分，可以分為企業(yè)級交換機、部門級交換機、工作組交換機等。如根據(jù)架構(gòu)特點劃分，可以分為機架式、帶擴展槽固定配置式、不帶擴展槽固定配置式等。如根據(jù)OSI/RM工作層次劃分，可以分為二層交換機、三層交換機、四層交換機等。如根據(jù)是否可管理，可以分為可管理型交換機、不可管理型交換機等。6.4交換機的分類以下我們根據(jù)交換機最流行的分類方法——網(wǎng)絡(luò)整體規(guī)劃分層設(shè)計來劃分。按照網(wǎng)絡(luò)整體規(guī)劃分層設(shè)計，交換機可以分為接入層交換機、匯聚層交換機和核心層交換機，如圖所示。接入層、匯聚層、核心層交換機6.4交換機的分類以下以H3C公司產(chǎn)品為例，對于大型園區(qū)網(wǎng)絡(luò)而言，如S10500系列、S7600系列、S7500系列、S6500系列等均可作為核心層交換，如S5800系列、S5500系列、S5170系列、S5150系列、S5130系列、S5120系列、S5110系列、S5000系列等均可作為匯聚層交換，如S3600系列、S3100系列、S2600系列、S1800系列、S1600系列等均可作為接入層交換，當(dāng)然如果網(wǎng)絡(luò)規(guī)模有限，那么匯聚層交換也可以作為核心層交換。如圖6-13為H3CS10500系列以太網(wǎng)核心交換機。圖6-13H3CS10500系列以太網(wǎng)核心交換機項目7交換機配置基礎(chǔ)7.1交換機外觀和端口命名方法1．交換機的外觀以下以HCL模擬器中的交換機S5820V2-54QS-GE為例進行介紹，S5820V2-54QS-GE是H3C公司的S5820V2系列中的一個型號，S5820V2系列交換機定位于下一代數(shù)據(jù)中心及云計算網(wǎng)絡(luò)中的高密接入，也可用于企業(yè)網(wǎng)、城域網(wǎng)的核心或匯聚。S5820V2-54QS-GE的外觀如圖7-1所示。圖7-1S5820V2-54QS-GE外觀7.1交換機外觀和端口命名方法1．交換機的外觀在介紹S5820V2-54QS-GE的端口之前，我們首先要了解一個評價網(wǎng)絡(luò)設(shè)備接口速度的單位bps（bitpersecond），1個bit就是一位二進制位，bps就是指每秒鐘傳輸?shù)亩M制位數(shù)。數(shù)量等級為1Kbps=1024bps，1Mbps=1024Kbps，1Gbps=1024Mbps，1Tbps=1024Gbps。7.1交換機外觀和端口命名方法1．交換機的外觀48個GE口為10M/100M/1000Mbps自適應(yīng)的以太網(wǎng)雙絞線口，傳輸速度最高1Gbps。4個1/10GSFP+口可以通過加裝SFP+光模塊連接多模光纖和單模光纖，傳輸速度最高為10Gbps。2個QSFP+口可以加裝QSFP+光模塊連接多模光纖和單模光纖，傳輸速度最高為40Gbps。1個Console口，使用配置專用線連接Console口和計算機的COM串口，通過終端仿真程序，可以對設(shè)備進行配置。1個管理用以太網(wǎng)口，用于連接遠程的網(wǎng)管計算機，實現(xiàn)進行交換機設(shè)備的遠程管理。1個USB口主要用于備份交換機的操作系統(tǒng)和配置文件，也可以用于升級交換機的操作系統(tǒng)。通常情況下，交換機連接雙絞線的端口稱為電口，交換機連接光纖的端口稱為光口。7.1交換機外觀和端口命名方法2．交換機端口的命名交換機端口較多，為了較好地區(qū)分各個端口，需要對相應(yīng)的端口命名。一般情況下，交換機端口的命名規(guī)范為：端口類型堆疊號/交換機模塊號/模塊上端口號（如交換機不支持堆疊，則沒有堆疊號）。如圖7-2為S5820V2-54QS-GE交換機端口的命名情況。7.1交換機外觀和端口命名方法2．交換機端口的命名如圖7-3為兩臺S5820V2-54QS-GE交換機通過H3C的IRF技術(shù)進行堆疊后端口命名情況。圖7-3兩臺S5820V2-54QS-GE堆疊后端口命名7.2交換機的管理方式1．帶外管理帶外管理（Out-BandManagement），就是不占用網(wǎng)絡(luò)帶寬的管理方式，即用戶通過交換機的Console端口對交換機進行配置管理。通常用戶會在首次配置交換機或者無法進行帶內(nèi)管理時使用帶外管理方式。交換機的配置線纜一般隨交換機產(chǎn)品裝箱。圖7-4配置線連接7.2交換機的管理方式1．帶外管理配置線正確連接后，可以使用SecureCRT終端軟件來連接交換機，具體方法如圖7-5所示，打開SecureCRT終端軟件，菜單欄——文件——快速連接，設(shè)置協(xié)議為“Serial”，端口為計算機連接交換機的串口，波特率“9600”、數(shù)據(jù)位“8”、奇偶校驗“無”、停止位“1”，流控“無”，設(shè)置好屬性后，單擊連接即可進入交換機的配置界面。圖7-5超級終端連接交換機Console端口7.2交換機的管理方式2．帶內(nèi)管理所謂帶內(nèi)管理（In-BandManagement），就是需要占用網(wǎng)絡(luò)帶寬的管理方式，如圖7-6所示，即帶內(nèi)管理通常為以下四種情況：通過TELNET客戶端軟件使用TELNET協(xié)議登錄到交換機進行管理；通過SSH客戶端軟件使用SSH協(xié)議登錄到交換機進行管理；通過Web瀏覽器使用HTTP協(xié)議登錄到交換機進行管理；通過網(wǎng)絡(luò)管理軟件（如CiscoWorks）使用SNMP協(xié)議對交換機進行管理。是否支持所有這些管理方式，需要根據(jù)不同產(chǎn)品而定。7.3交換機的命令視圖交換機的命令行接口（CommandLineInterface，CLI）界面由網(wǎng)絡(luò)設(shè)備操作系統(tǒng)提供，H3C網(wǎng)絡(luò)設(shè)備現(xiàn)在主要使用的是ComwareV7版本的操作系統(tǒng)，ComwareV7提供了豐富的功能，相應(yīng)的也提供了多樣的配置和查詢的命令。為便于用戶使用這些命令，ComwareV7將命令按功能分類進行組織。7.3交換機的命令視圖H3C公司交換機產(chǎn)品的命令視圖如圖7-7所示。命令視圖采用分層結(jié)構(gòu)。第一層為用戶視圖，第二層為系統(tǒng)視圖，第三層為各個功能視圖。7.3交換機的命令視圖1．用戶視圖用戶登錄設(shè)備后，即進入用戶視圖，在用戶視圖下可執(zhí)行的操作主要包括查看操作、調(diào)試操作、文件管理操作、設(shè)置系統(tǒng)時間、重啟設(shè)備、FTP和Telnet操作等。用戶視圖的提示符為<系統(tǒng)名稱>，例如<H3C>，用戶可以自行配置系統(tǒng)名稱。7.3交換機的命令視圖2．系統(tǒng)視圖在用戶視圖下鍵入system-view命令，即進入系統(tǒng)視圖，系統(tǒng)視圖的提示符為[系統(tǒng)名稱]，例如[H3C]，如下所示。<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]在系統(tǒng)視圖下，能對設(shè)備運行參數(shù)以及部分功能進行配置，例如配置夏令時、配置歡迎信息、配置快捷鍵等。如下為把系統(tǒng)名稱H3C修改為MySwitch。<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]sysnameMySwitch[MySwitch]7.3交換機的命令視圖3．功能視圖在系統(tǒng)視圖下，輸入不同的命令，可以分別進入各個功能視圖。對交換機的管理，大部分都是在各個功能視圖下完成。例如以下為進入到GigabitEthernet1/0/1的接口視圖[MySwitch]interfaceGigabitEthernet1/0/1[MySwitch-GigabitEthernet1/0/1]例如以下為創(chuàng)建了一個VLAN，編號10，并進入到VLAN視圖。[MySwitch]vlan10[MySwitch-vlan10]例如以下為創(chuàng)建了一個本地用戶test，并進入到本地用戶視圖。[MySwitch]local-usertestNewlocaluseradded.[MySwitch-luser-manage-test]7.4交換機配置技巧1.交換機配置命令的格式交換機為用戶提供了各種各樣的配置命令，盡管這些配置命令的形式各不一樣，但它們都遵循交換機配置命令的語法。交換機提供的通用命令格式：命令關(guān)鍵字參數(shù)或變量如命令vlan10進入vlan10視圖，vlan為關(guān)鍵字，10為變量。如命令displaylocal-useruser-nametest查看本地用戶test，display為關(guān)鍵字，local-useruser-name為參數(shù)，test為變量。7.4交換機配置技巧2.交換機配置命令的快捷鍵交換機為方便用戶的配置，特別提供了多個快捷鍵，如上、下、左、右鍵及刪除鍵BackSpace等。表7-1列出了一些常用快捷鍵的功能。表7-1配置常用快捷鍵7.4交換機配置技巧3.交換機配置命令的幫助交換機的配置命令非常多，用戶可以通過輸入？獲取非常多的幫助信息。具體的？使用主要有以下三個方面。（1）在任意視圖下，鍵入?即可獲取該視圖下可以使用的所有命令及其簡單描述。例如圖7-8在用戶視圖下輸入？，可以查看用戶視圖下的所有命令及其簡單描述。7.4交換機配置技巧3.交換機配置命令的幫助（2）鍵入一條命令的關(guān)鍵字，后接以空格分隔的?，則列出全部關(guān)鍵字的簡單描述或有關(guān)的參數(shù)描述，例如圖7-9是display命令后可以輸入的關(guān)鍵字或參數(shù)。7.4交換機配置技巧3.交換機配置命令的幫助（3）鍵入命令的不完整關(guān)鍵字，其后緊接?，顯示以該字符串開頭的所有命令關(guān)鍵字，例如圖7-10是系統(tǒng)視圖下第一個字母為f的所有命令。7.4交換機配置技巧4.交換機配置命令的錯誤信息當(dāng)輸入的命令，如果通過設(shè)備的語法檢查，則正確執(zhí)行，否則會出現(xiàn)錯誤信息，常見的錯誤信息參見表7-2。表7-2常見的錯誤信息7.4交換機配置技巧5．交換機命令配置技巧（1）命令簡寫在輸入一個命令時，可以只輸入命令字符串的前面部分，只要長到系統(tǒng)能夠與其他命令區(qū)分就可以，而不用完整輸入。例如進入系統(tǒng)視圖的“system-view”命令，只需輸入“sys”即可。（2）命令完成如果在輸入一個命令字符串的部分字符后鍵入Tab鍵，系統(tǒng)會自動補全該命令的剩余字符，形成一個完整的命令。7.4交換機配置技巧（3）否定命令的作用對于許多配置命令，可以輸入前綴undo來取消一個命令的作用或者是將配置重新設(shè)置為默認值。例如在給交換機的管理VLAN1虛接口配置IP地址以后，可以使用undo命令取消所配置的IP地址。[H3C]interfaceVlan-interface1[H3C-Vlan-interface1]ipaddress[H3C-Vlan-interface1]undoipaddress[H3C-Vlan-interface1]7.5交換機的常用配置指令（1）displayversion，任意視圖，顯示設(shè)備系統(tǒng)版本信息。<H3C>displayversionH3CComwareSoftware,Version7.1.075,Alpha7571Copyright(c)2004-2017NewH3CTechnologiesCo.,Ltd.Allrightsreserved.H3CS5820V2-54QS-GEuptimeis0weeks,0days,0hours,0minutes……（2）Sysname，系統(tǒng)視圖，設(shè)置設(shè)備名稱。[H3C]sysnameMySwitch[MySwitch]7.5交換機的常用配置指令（3）displaycurrent-configuration，任意視圖可運行，顯示當(dāng)前運行配置。[MySwitch]displaycurrent-configuration#version7.1.075,Alpha7571#sysnameMySwitch#……（4）Save，任意視圖，保存當(dāng)前運行配置到設(shè)備存儲flash中（文件名startup.cfg）。

切記如果設(shè)備完成配置后，沒有進行保存，那么設(shè)備重新啟動后，原來的配置全部丟失。[MySwitch]saveThecurrentconfigurationwillbewrittentothedevice.Areyousure?[Y/N]:y……7.5交換機的常用配置指令（5）displaysaved-configuration，任意視圖，顯示交換機保存配置，即交換機下次加電啟動所用、保存在flash中的startup.cfg文件。<MySwitch>displaysaved-configuration#version7.1.075,Alpha7571#sysnameMySwitch#irfmac-addresspersistenttimer……7.5交換機的常用配置指令（6）reboot，用戶視圖，重啟設(shè)備。<MySwitch>rebootStarttocheckconfigurationwithnextstartupconfigurationfile,pleasewait.........DONE!Thiscommandwillrebootthedevice.Continue?[Y/N]:y……（7）resetsaved-configuration，用戶視圖，刪除設(shè)備存儲介質(zhì)flash中保存的下次啟動配置文件startup.cfg，該命令即恢復(fù)設(shè)備出廠設(shè)置。<MySwitch>resetsaved-configurationThesavedconfigurationfilewillbeerased.Areyousure?[Y/N]:y……7.5交換機的常用配置指令（8）clockdatetime，用戶視圖，設(shè)置設(shè)備時間和日期，因H3C設(shè)備默認情況下啟用了NTP協(xié)議（networktimeprotocol），會與internet上的時間服務(wù)器自動校正時間，如要手工更改時間，必須在系統(tǒng)視圖clockprotocolnone關(guān)閉NTP協(xié)議。[H3C]displayclock15:22:20UTCSat03/13/2021[H3C]clockprotocolnone[H3C]quit<H3C>clockdatetime10:11:1207/08/20117.5交換機的常用配置指令（9）displayinterfaceGigabitEthernet1/0/1，任意視圖，顯示G1/0/1接口信息。[H3C]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]descriptionToBuildA\\因交換機端口非常多，可以添加描述信息，說明該端口連接到哪個地點。[H3C]displayinterfaceGigabitEthernet1/0/1GigabitEthernet1/0/1Currentstate:UPLineprotocolstate:UPIPpacketframetype:EthernetII,hardwareaddress:6ce5-4e98-0100Description:ToBuildABandwidth:1000000kbps……7.5交換機的常用配置指令（10）shutdown和undoshutdown，接口視圖，關(guān)閉接口或者啟動接口。[H3C]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]shutdown\\物理性關(guān)閉端口。[H3C-GigabitEthernet1/0/1]undoshutdown\\啟動端口。（11）displayinterfacebrief，任意視圖，顯示所有接口簡潔信息。[H3C]displayinterfacebrief……InterfaceLinkSpeedDuplexTypePVIDDescriptionFGE1/0/53DOWN40GAA1FGE1/0/54DOWN40GAA1GE1/0/1UP1G(a)F(a)A1GE1/0/2UP1G(a)F(a)A17.5交換機的常用配置指令（12）dirflash，用戶視圖，顯示設(shè)備flash存儲上的文件信息。startup.cfg為保存的下次啟動配置文件。Flash中的s5820v2_5830v2-cmw710-boot-a7514.bin為設(shè)備啟動的操作系統(tǒng)。<H3C>dirflash:/Directoryofflash:0drw--Mar13202114:52:16diagfile1-rw-1554Mar13202115:45:35ifindex.dat2-rw-21632Mar13202114:52:16licbackup3drw--Mar13202114:52:16license4-rw-21632Mar13202114:52:16licnormal5drw--Mar13202115:03:36logfile6-rw-0Mar13202114:52:16s5820v2_5830v2-cmw710-boot-a7514.bin7-rw-0Mar13202114:52:16s5820v2_5830v2-cmw710-system-a7514.bin8drw--Mar13202114:52:16seclog9-rw-6167Mar13202115:45:35startup.cfg10-rw-111076Mar13202115:45:35startup.mdb1046512KBtotal(1046284KBfree)7.5交換機的常用配置指令（13）ping，任意視圖可運行，測試與其他設(shè)備的連通性。在本設(shè)備與其他設(shè)備進行連通性測試之前，本設(shè)備必須具有一個IP地址，例如以下為配置本設(shè)備VLAN1虛接口IP地址為/24。[H3C]interfacevlan1[H3C-Vlan-interface1]ipaddress24[H3C-Vlan-interface1]quit[H3C]ping01Ping01(01):56databytes,pressCTRL_Ctobreak56bytesfrom01:icmp_seq=0ttl=255time=1.164ms56bytesfrom01:icmp_seq=1ttl=255time=0.670ms……7.5交換機的常用配置指令（14）displaythis，displaythis命令用來顯示當(dāng)前視圖下生效的配置。當(dāng)用戶在某一視圖下完成一組配置之后，需要驗證是否配置成功，則可以執(zhí)行displaythis命令來查看當(dāng)前生效的配置。[H3C]interfacevlan1[H3C-Vlan-interface1]displaythis#interfaceVlan-interface1ipaddress#return[H3C-Vlan-interface1]7.5交換機的常用配置指令（15）displaymac-address，任意視圖，顯示交換機的MAC地址表。<H3C>displaymac-addressMACAddressVLANIDStatePort/NicknameAging4c9b-d2f9-03061LearnedGE1/0/2Y4c9b-d6af-04061LearnedGE1/0/3Y（16）用于顯示交換機上當(dāng)前ARP緩沖區(qū)的內(nèi)容。[H3C]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressSVLAN/VSIInterface/LinkIDAgingType014c9b-d2f9-03061GE1/0/218D024c9b-d6af-04061GE1/0/320D實訓(xùn)4交換機管理安全配置實訓(xùn)4交換機管理安全配置實訓(xùn)任務(wù):交換機在網(wǎng)絡(luò)中作為一個中樞設(shè)備，它與許多工作站、服務(wù)器、路由器相連接。大量的業(yè)務(wù)數(shù)據(jù)也要通過交換機來進行傳送轉(zhuǎn)發(fā)。如果交換機的配置內(nèi)容被攻擊者修改，很可能造成網(wǎng)絡(luò)的工作異常甚至整體癱瘓，從而失去網(wǎng)絡(luò)通信的能力。因此往往網(wǎng)絡(luò)管理員都要對交換機的管理安全進行配置，保證其運行的安全。通過本次實訓(xùn)內(nèi)容，主要完成兩個方面的管理安全配置第一個是帶外管理，即通過Console口進入交換機管理時，進行安全驗證，通過者才能進入交換機的CLI命令行。第二個是帶內(nèi)管理，當(dāng)管理員通過Telnet遠程登錄交換機對交換機進行管理時，進行安全驗證，通過者才能進入交換機的CLI命令行。實訓(xùn)4交換機管理安全配置實訓(xùn)拓撲:啟動HCL模擬器，添加一臺S5820V2-54QS-GE，添加一臺Host，按照實訓(xùn)圖4-1連接設(shè)備，并進行標注后，啟動S5820V2-54QS-GE_1。啟動VMVirtualBox軟件，選擇Win7-01，鼠標右鍵設(shè)置網(wǎng)絡(luò)選項卡，選擇VirtualBoxHost-onlyEthernetAdapter，確定后啟動該虛擬機。進入Windows操作系統(tǒng)之后，設(shè)置Win7-01的IP地址為，子網(wǎng)掩碼。HCLHub云平臺實訓(xùn)項目網(wǎng)址/project/13995/summary/master7.5交換機的常用配置指令實訓(xùn)步驟:1.配置Console口進入交換機管理時，進行安全驗證。（1）雙擊S5820V2-54QS-GE_1進入設(shè)備的配置CLI，完成以下配置命令。<H3C>system-view[H3C]user-interfaceconsole0\\進入用戶接口console配置模式，console口只有一個，編號為0。[H3C-line-console0]authentication-modepassword\\配置認證模式為密碼。[H3C-line-console0]setauthenticationpassword?hashSpecifyahashtextpasswordsimpleSpecifyaplaintextpassword\\配置認證密碼有兩種，一種hash為密文密碼，一種為simple明文密碼。[H3C-line-console0]setauthenticationpasswordsimple654321[H3C-line-console0]\\配置認為密碼為simple明文密碼，密碼為654321。7.5交換機的常用配置指令實訓(xùn)步驟:1.配置Console口進入交換機管理時，進行安全驗證。（2）結(jié)果驗證。[H3C-line-console0]end\\退出至用戶視圖。[H3C]quit\\退出console口配置，重新進入CLI命令行。PressENTERtogetstarted.Password:\\提示輸入密碼后進入console配置，輸入密碼654321，輸入密碼不回顯。<H3C>7.5交換機的常用配置指令實訓(xùn)步驟:2.配置telnet遠程登錄進入交換機管理時，進行安全驗證。（1）進入接口視圖，配置接口IP地址。交換機出廠時，默認所有接口均屬于VLAN1，給VLAN1虛接口配置IP地址/24，用于交換機的管理IP地址，關(guān)于VLAN內(nèi)容后續(xù)介紹。<H3C>system-view[H3C]interfaceVlan-interface1[H3C-Vlan-interface1]ipaddress24[H3C-Vlan-interface1]quit7.5交換機的常用配置指令實訓(xùn)步驟:2.配置telnet遠程登錄進入交換機管理時，進行安全驗證。（2）創(chuàng)建用戶，配置密碼，設(shè)定用戶服務(wù)類型，配置用戶管理級別。[H3C]local-usergzeicclassmanage\\創(chuàng)建用戶名gzeic，為管理類型。[H3C-luser-manage-gzeictelnet]passwordsimple123456\\配置用戶名gzeic的明文密碼為123456。[H3C-luser-manage-gzeictelnet]service-typetelnet\\配置用戶名gzeic的服務(wù)類型為telnet，即該用戶只能使用telnet服務(wù)。[H3C-luser-manage-gzeictelnet]authorization-attributeuser-rolenetwork-admin\\配置用戶名gzeic的授權(quán)屬性用戶角色為network-admin。7.5交換機的常用配置指令ComwareV7網(wǎng)絡(luò)設(shè)備操作系統(tǒng)中，對于所有用戶設(shè)定了管理級別，數(shù)值越小，用戶管理級別越低。用戶角色名和對應(yīng)的權(quán)限，具體對應(yīng)關(guān)系如下：network-admin，可操作系統(tǒng)所有功能和資源。network-operator，可執(zhí)行系統(tǒng)所有功能和資源的相關(guān)display命令。level-0：可執(zhí)行命令ping、tracert、ssh2、telnet和super，且管理員可以為其配置權(quán)限。level-1：具有l(wèi)evel-0用戶角色的權(quán)限，并且可執(zhí)行系統(tǒng)所有功能和資源的相關(guān)display命令，以及管理員可以為其配置權(quán)限。level-2～level-8和level-10～level-14：無缺省權(quán)限，需要管理員為其配置權(quán)限。level-9：可操作系統(tǒng)中絕大多數(shù)的功能和所有的資源，且管理員可以為其配置權(quán)限。level-15：具有與network-admin角色相同的權(quán)限。[H3C-luser-manage-gzeictelnet]displaythis\\使用displaythis命令查看以上配置內(nèi)容是否完成。7.5交換機的常用配置指令（3）配置對Telnet用戶使用計劃認證方式。[H3C-luser-manage-gzeic]quit[H3C]user-interfacevty04\\進入用戶接口虛擬終端0-4，即同時允許5個telnet用戶接入。[H3C-line-vty0-4]authentication-modescheme\\配置認證模式為AAA認證方式。（4）啟動Telnet服務(wù)。[H3C]telnetserverenable7.5交換機的常用配置指令（5）結(jié)果驗證。啟動OracleVMVirtualBox中win7-01虛擬機，正確配置IP地址/24，與交換機相互ping通之后，telnet登錄網(wǎng)絡(luò)設(shè)備。結(jié)果如實訓(xùn)圖，輸入用戶名gzeic、密碼123456后可以正常登錄交換機。實訓(xùn)5使用FTP方式備份配置文件和系統(tǒng)實訓(xùn)4交換機管理安全配置實訓(xùn)任務(wù):對交換機做好相應(yīng)的配置之后，網(wǎng)絡(luò)管理員會把正確的配置文件從交換機上下載并保存在穩(wěn)妥的地方，防止日后如果交換機出了故障導(dǎo)致配置文件丟失的情況發(fā)生。有了保存的配置文件，直接上傳到交換機上，就會避免重新配置的麻煩。同時也需要將交換機的操作系統(tǒng)進行備份，以備交換機操作系統(tǒng)故障后可以進行恢復(fù)。通過本次實訓(xùn)任務(wù)，采用FTP方式備份交換機的配置文件和操作系統(tǒng)。HCLHub云平臺實訓(xùn)項目網(wǎng)址/project/13999/summary/master實訓(xùn)4交換機管理安全配置實訓(xùn)拓撲:啟動HCL模擬器，添加一臺S5820V2-54QS-GE，添加一臺Host，按照實訓(xùn)圖連接設(shè)備，并進行標注后，啟動S5820V2-54QS-GE_1。啟動VMVirtualBox軟件，選擇Win7-01，鼠標右鍵設(shè)置網(wǎng)絡(luò)選項卡，選擇VirtualBoxHost-onlyEthernetAdapter，確定后啟動該虛擬機。進入Windows操作系統(tǒng)之后，設(shè)置Win7-01的IP地址為，子網(wǎng)掩碼。實訓(xùn)4交換機管理安全配置實訓(xùn)步驟:1.進入接口視圖，配置VLAN1虛接口接口IP地址。<H3C>system-view[H3C]interfaceVlan-interface1[H3C-Vlan-interface1]ipaddress24[H3C-Vlan-interface1]quit2.啟動交換機的FTP服務(wù)，即交換機作為一臺FTP服務(wù)器[H3C]ftpserverenable實訓(xùn)4交換機管理安全配置實訓(xùn)步驟:3.配置FTP用戶[H3C]local-usergzeicftpclassmanage[H3C-luser-manage-gzeicftp]passwordsimple654321[H3C-luser-manage-gzeicftp]service-typeftp[H3C-luser-manage-gzeicftp]authorization-attributeuser-rolenetwork-admin[H3C-luser-manage-gzeicftp]end<H3C>save\\保存配置為交換機flash存儲中的startup.cfg文件，然后使用dir命令查看交換機flash中存儲的文件和系統(tǒng)。其中s5820v2_5830v2-cmw710-boot-a7514.bin為交換機的操作系統(tǒng)，系統(tǒng)文件大小因在模擬器中所以為0，實際操作系統(tǒng)的大小都在幾十兆到幾百兆之間。<H3C>dir實訓(xùn)4交換機管理安全配置實訓(xùn)步驟:4.結(jié)果驗證。

啟動OracleVMVirtualBox中WinXP02虛擬機，正確配置IP地址/24后，F(xiàn)TP方式登錄交換機。使用get命令下載交換機的啟動配置文件和操作系統(tǒng)，如實訓(xùn)圖5-2所示。第4部分交換機實用配置第8章交換機MAC地址表

實訓(xùn)9MSTP的配置第9章虛擬局域網(wǎng)技術(shù)

實訓(xùn)10鏈路聚合配置第10章生成樹技術(shù)

實訓(xùn)11IRF配置第11章鏈路聚合技術(shù)和IRF技術(shù)實訓(xùn)6交換機VLAN配置實訓(xùn)7VLAN的PVID和Hybrid端口鏈路類型實訓(xùn)8MVRP配置第8章交換機MAC地址表8.1交換機MAC地址表概述交換機的MAC地址表記錄了與交換機相連設(shè)備的MAC地址、與該設(shè)備相連的交換機端口號以及所屬的VLAN等信息。在轉(zhuǎn)發(fā)數(shù)據(jù)幀時，交換機根據(jù)以太網(wǎng)幀中的目的MAC地址查詢MAC地址表，快速定位交換機的出端口進行轉(zhuǎn)發(fā)，這方面的內(nèi)容在第3部分交換機基礎(chǔ)的內(nèi)容中已經(jīng)進行了介紹。MAC地址表項的生成方式有兩種：自動學(xué)習(xí)、手工配置。8.1交換機MAC地址表概述設(shè)備在轉(zhuǎn)發(fā)數(shù)據(jù)幀時，根據(jù)MAC地址表項信息，會采取以下兩種轉(zhuǎn)發(fā)方式。（1）單播方式：當(dāng)MAC地址表中包含與以太網(wǎng)幀目的MAC地址對應(yīng)的表項時，設(shè)備直接將以太網(wǎng)幀從該表項中的端口發(fā)送。（2）廣播方式：當(dāng)設(shè)備收到目的地址為全1的以太網(wǎng)幀，或MAC地址表中沒有包含對應(yīng)以太網(wǎng)幀目的MAC地址的表項時，設(shè)備將采取廣播方式將以太網(wǎng)幀向除接收端口外的所有端口進行轉(zhuǎn)發(fā)。8.1交換機MAC地址表概述如圖8-1所示，在各臺主機相互通信之后（比如相互ping），使用displaymac-address可以查看交換機的MAC地址表，MAC地址表中包含了MACAddress、VLANID、State、Port、Aging等內(nèi)容。[H3C]displaymac-addressMACAddressVLANIDStatePort/Nickname Aging68cf-5b57-02061LearnedGE1/0/1 Y68cf-5ea7-03061LearnedGE1/0/10Y68cf-6312-04061LearnedGE1/0/18Y8.2交換機MAC地址表管理針對于交換機的MAC地址表，如圖8-1，可以進行的管理操作有以下幾個方面。1.配置靜態(tài)MAC地址表項。[H3C]mac-addressstatic68cf-5b57-0206interfaceGigabitEthernet1/0/1vlan1\\MAC地址68cf-5b57-0206綁定在G1/0/1端口，VLAN編號為1。[H3C]displaymac-addressMACAddressVLANIDStatePort/NicknameAging68cf-5b57-02061StaticGE1/0/1N68cf-5ea7-03061LearnedGE1/0/10Y68cf-6312-04061LearnedGE1/0/18Y[H3C]\\再次查看MAC地址表時，68cf-5b57-0206與GE1/0/1的狀態(tài)為Static，而且不會老化。8.2交換機MAC地址表管理2.配置黑洞MAC地址表，如果需要丟棄指定源MAC地址或目的MAC地址的數(shù)據(jù)幀，可配置黑洞MAC地址表項。[H3C]mac-addressblackhole68cf-6312-0406vlan1\\配置68cf-6312-0406這個MAC地址為黑洞MAC地址。[H3C]displaymac-addressMACAddressVLANIDStatePort/NicknameAging68cf-5b57-02061StaticGE1/0/1N68cf-5ea7-03061LearnedGE1/0/10Y68cf-6312-04061BlackholeN/AN[H3C]\\再次查看MAC地址表時，68cf-5b57-0406這個MAC地址的狀態(tài)為黑洞，對應(yīng)的Port為空（N/A），而且不會老化，則具有68cf-5b57-0406的主機無法再與其他主機通信。8.2交換機MAC地址表管理3.配置動態(tài)MAC地址表項的老化時間，缺省情況下MAC地址老化時間為300秒。[H3C]mac-addresstimeraging600\\配置MAC地址老化時間為600秒。4.配置端口最多可以學(xué)習(xí)到的MAC地址數(shù)，缺省情況下端口學(xué)習(xí)MAC地址數(shù)不受限制。[H3C]undomac-addressmac-learningenable\\系統(tǒng)視圖下關(guān)閉MAC地址的學(xué)習(xí)功能。[H3C]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]undomac-addressmac-learningenable\\端口視圖下關(guān)閉MAC地址的學(xué)習(xí)功能。[H3C-GigabitEthernet1/0/1]第9章

虛擬局域網(wǎng)技術(shù)9.1VLAN技術(shù)簡介虛擬局域網(wǎng)VLAN（VirtualLocalAreaNetwork）是一種將局域網(wǎng)LAN從邏輯上劃分（注意不是從物理上劃分）成一個個網(wǎng)段（或者說是更小的局域網(wǎng)LAN），從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。現(xiàn)在交換機基本上都支持VLAN技術(shù)。9.1VLAN技術(shù)簡介之所以發(fā)展出來VLAN技術(shù)，主要是從以下3個方面考慮。（1）基于網(wǎng)絡(luò)性能考慮：VLAN技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。（2）基于安全性的考慮：一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，它們各自的廣播流量就不會相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。（3）基于組織結(jié)構(gòu)考慮：由于VLAN是邏輯地而不是物理地劃分，所以同一個VLAN內(nèi)的各個工作站無需被放置在同一個地理區(qū)域里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段。9.1VLAN技術(shù)簡介在圖中，財務(wù)部VLAN10之間的計算機可以相互通信，市場部VLAN20之間的計算機可以相互通信，管理部VLAN30之間的計算機可以相互通信，而各個VLAN之間不能進行通信。單交換機VLAN示意圖9.1VLAN技術(shù)簡介圖示為跨交換機的VLAN示意圖。值得注意的是，既然VLAN隔離了廣播幀，同時也隔離了各個不同的VLAN之間的通信，所以不同的VLAN之間的通信是需要有三層設(shè)備（如路由器、三層交換機）來完成的。9.2IEEE802.1qVLAN可以通過交換機進行擴展，這意味著不同交換機上可以定義相同的VLAN，可以將有相同VLAN的交換機通過Trunk鏈路互聯(lián)，處于不同交換機、但具有相同VLAN定義的主機將可以互相通信,Trunk鏈路的含義就是骨干鏈路或主干鏈路，該鏈路上可以運載多個VLAN信息。9.2IEEE802.1q如圖所示，交換機A在將以太網(wǎng)幀交付給交換機B的時候，必須對幀進行VLAN標記，說明這個幀是屬于哪一個VLAN的幀，這樣交換機B收到之后才能進行相應(yīng)的處理，在數(shù)據(jù)幀中加入VLAN的標識，這項技術(shù)就稱之為幀標記法，現(xiàn)在幀標記方法的標準是IEEE802.1q，英文縮寫為dot1q。IEEE802.1q使用了4字節(jié)的標簽Tag來給數(shù)據(jù)幀加上VLAN標記，Tag的具體格式如下圖9-3所示。圖示IEEE802.1q幀格式在IEEE802.1q中VLAN編號范圍是0—4095，但其中VLAN0、1、4095被保留不能使用。9.3基于交換機端口劃分VLANVLAN在交換機上的劃分方法有很多種，其中基于交換機端口劃分VLAN是最常用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效。它按照設(shè)備端口來定義VLAN成員，將指定端口加入到指定VLAN中之后，端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)幀。交換機出廠時，VLAN1為系統(tǒng)缺省VLAN，即默認所有端口都屬于VLAN1，用戶不能手工創(chuàng)建和刪除VLAN1。9.4VLAN的端口鏈路類型在VLAN中存在著兩種幀，一種是沒有打Tag標簽（Untagged）的幀，一種是打了Tag標簽（Tagged）的幀，根據(jù)交換機端口在轉(zhuǎn)發(fā)數(shù)據(jù)幀時，對Tag標簽的不同處理方式，可將端口的鏈路類型分為三種，如圖所示。9.4VLAN的端口鏈路類型1.Access鏈路（訪問鏈路）Access鏈路的交換機端口發(fā)出去的數(shù)據(jù)幀不帶Tag標簽。一般用于與不能識別VLANTag標簽的計算機終端設(shè)備相連，或者不需要區(qū)分不同VLAN成員時使用。H3C交換機端口默認情況為Access端口。2.Trunk鏈路（骨干鏈路）Trunk鏈路的交換機端口發(fā)出去的數(shù)據(jù)幀，端口缺省VLAN內(nèi)的數(shù)據(jù)幀不帶Tag，其它VLAN內(nèi)的數(shù)據(jù)幀都必須帶Tag。通常用于交換機之間的互連。3.Hybird鏈路（混合鏈路）端口發(fā)出去的數(shù)據(jù)幀可根據(jù)需要設(shè)置某些VLAN內(nèi)的數(shù)據(jù)幀帶Tag，某些VLAN內(nèi)的數(shù)據(jù)幀不帶Tag。通常用于相連的設(shè)備是否支持VLANTag不確定的情況。9.5MVRP協(xié)議通用屬性VLAN注冊協(xié)議MVRP協(xié)議，又稱為GVRP（GenericAttributeVlanRegistrationProtocol），MVRP主要用于在以太網(wǎng)結(jié)構(gòu)中傳遞VLAN的更新信息。當(dāng)交換機啟動了MVRP之后，交換機將本地的VLAN配置信息向其它交換機傳播，同時還能夠接收來自其它交換機的VLAN配置信息，并動態(tài)更新本地的VLAN配置信息，從而使所有交換機的VLAN信息都達成一致，極大減輕了網(wǎng)絡(luò)管理員的VLAN配置工作。9.5MVRP協(xié)議MVRP協(xié)議運行時，交換機端口可以配置為下列三種模式之一：Normal模式：允許該端口動態(tài)注冊或注銷VLAN，傳播動態(tài)VLAN以及靜態(tài)VLAN信息（又學(xué)習(xí)又傳播的模式）。Fixed模式：禁止該端口動態(tài)注冊或注銷VLAN，只傳播靜態(tài)VLAN，不傳播動態(tài)VLAN信息（不學(xué)習(xí)只傳播靜態(tài)VLAN的模式）。Forbidden模式：禁止該端口動態(tài)注冊或注銷VLAN，不傳播除VLAN1以外的任何VLAN信息（不學(xué)習(xí)不傳播的模式）。第10章生成樹技術(shù)10.1冗余拓撲結(jié)構(gòu)為了實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的冗余配置，往往需要對網(wǎng)絡(luò)中關(guān)鍵的設(shè)備和關(guān)鍵的鏈路進行冗余設(shè)計，如圖10-1所示。采用冗余拓撲結(jié)構(gòu)保證了當(dāng)設(shè)備及鏈路故障時提供備份，從而不影響正常通信，但是，這些冗余設(shè)備及鏈路所構(gòu)成的橋接環(huán)路（二層設(shè)備和鏈路構(gòu)成的環(huán)路結(jié)構(gòu)）將會引發(fā)很多問題，導(dǎo)致網(wǎng)絡(luò)無法工作甚至癱瘓。10.2橋接環(huán)路的危害橋接環(huán)路主要會產(chǎn)生廣播風(fēng)暴、單幀多次遞交、MAC地址表失效三個方面的危害。如圖計算機A和服務(wù)器B之間為了實現(xiàn)冗余鏈路，由交換機A的G1/0/1號端口和交換機B的G1/0/2號端口之間形成了一條路徑，由交換機A的G1/0/13號端口和交換機B的G1/0/14端口之間形成一條路徑，從而形成冗余鏈路，分別是鏈路1和鏈路2。圖示

橋接環(huán)路的危害10.3IEEE802.1d的STP1．STP簡介生成樹協(xié)議STP(SpanningTreeProtocol)是一個二層數(shù)據(jù)鏈路層的管理協(xié)議，IEEE802委員會制定的生成樹協(xié)議規(guī)范為802.1d，其目標是將一個存在橋接環(huán)路的物理網(wǎng)絡(luò)變成一個沒有環(huán)路的邏輯樹形網(wǎng)絡(luò)。如圖所示，通過邏輯地將交換機B的G1/0/14端口阻塞來斷開環(huán)路，使得任何兩臺主機之間只有一條唯一的通路，既達到了冗余又實現(xiàn)了無環(huán)的目的。10.3IEEE802.1d的STP2．BPDU的結(jié)構(gòu)在STP的工作過程中，交換機之間通過相互傳遞橋接協(xié)議數(shù)據(jù)單元（BridgeProtocolDataUnit，BPDU）獲取各臺交換機的參數(shù)信息，進而相互通信協(xié)商，將一個存在橋接環(huán)路的物理網(wǎng)絡(luò)形成一個樹形結(jié)構(gòu)的邏輯網(wǎng)絡(luò)。BPDU是封裝在IEEE802.3幀中的一種特殊幀結(jié)構(gòu)，其結(jié)構(gòu)如下所示。目的MAC地址6字節(jié)源MAC地址6字節(jié)長度2字節(jié)LLC首部3字節(jié)BPDU35字節(jié)填充8字節(jié)幀校驗4字節(jié)10.3IEEE802.1d的STP3．STP的工作過程STP的工作要經(jīng)過以下幾個步驟：(1）選擇根橋（根交換機）選擇根橋的原則是：所有交換機中橋ID（BridgeID）最小的交換機作為生成樹的根橋。橋ID是8字節(jié)長，包含了2字節(jié)的橋優(yōu)先級和6字節(jié)的交換機MAC地址，橋優(yōu)先級必須是4096的倍數(shù)，在默認情況下，橋優(yōu)先級都是32768，BPDU每隔2秒發(fā)送一次，橋ID最小的交換機將被選舉為根橋。10.3IEEE802.1d的STP（2）選擇根端口確定了邏輯樹形結(jié)構(gòu)的根橋之后，需要在每臺交換機上確定一個根端口。選擇根端口的原則是：每臺交換機的所有端口中，到達根橋所花費的路徑開銷值為最小的端口被確定為該交換機的根端口。常見的鏈路帶寬與路徑開銷值如表10-1所示。鏈路帶寬路徑開銷值10Mbps100100Mbps191000Mbps410Gbps210Gbps以上110.3IEEE802.1d的STP如圖10-4所示，假定此示例環(huán)境中的所有鏈路都是快速以太網(wǎng)100Mbps，交換機B從E3和E5分別接收到了來自相同根橋交換機A的BPDU后，它將會比較E3和E5到達根橋的路徑開銷，此時從E5收到的BPDU路徑開銷值為57，而從E3收到的BPDU路徑開銷值為19，說明從E5收到的BPDU經(jīng)過了更多的交換機，因此確定E3成為非根橋交換機B的唯一的根端口，同樣，交換機C也會確認其E4成為它的唯一的根端口。10.3IEEE802.1d的STP（3）選擇指定端口確定根橋和根端口之后，STP繼續(xù)選擇指定端口。選擇指定端口的原則是：每個網(wǎng)段中的所有端口中，到達根橋所花費的路徑開銷值為最小的端口被確定為該網(wǎng)段的指定端口。網(wǎng)段1中包括了端口E1、E3，到達根橋交換機A所花費的路徑開銷值最小的端口為E1。網(wǎng)段2中包括了端口E2、E4，到達根橋交換機A所花費的路徑開銷值最小的端口為E2。網(wǎng)段3中包括了端口E5、E7，到達根橋交換機A所花費的路徑開銷值最小的端口為E5。網(wǎng)段4中包括了端口E6、E8，到達根橋交換機A所花費的路徑開銷值最小的端口為E6。因此，E1、E2、E5、E6被確定為指定端口，實際上根橋上的端口肯定為指定端口。10.3IEEE802.1d的STP（4）決定非指定端口既不是根端口，也不是指定端口的端口將成為非指定端口，在圖12-4中即E8成為非指定端口。非指定端口將處于阻塞狀態(tài)，不能收發(fā)任何用戶數(shù)據(jù)，即E8成為阻塞端口。至此為止，物理上環(huán)形拓撲結(jié)構(gòu)經(jīng)過生成樹協(xié)議工作后，形成了樹形的邏輯拓撲結(jié)構(gòu)。從上述的內(nèi)容中，可以理解到在STP中，交換機的端口具有3種角色，分別是根端口、指定端口和非指定端口。10.3IEEE802.1d的STP4．STP交換機端口的狀態(tài)當(dāng)運行STP的交換機啟動后，其所有的端口都要經(jīng)過一定的端口狀態(tài)變化過程。在這個過程中，STP要通過交換機間相互傳遞BPDU決定交換機的角色（根橋、非根橋）、端口的角色（根端口、指定端口、非指定端口）以及端口的狀態(tài)。交換機上的端口可能處于以下四種狀態(tài)之一：阻塞、偵聽、學(xué)習(xí)和轉(zhuǎn)發(fā)，如圖10-5所示。圖10-5交換機端口的狀態(tài)變化10.3IEEE802.1d的STP（1）阻塞狀態(tài)當(dāng)交換機啟動時，其所有的端口都處于阻塞狀態(tài)以防止出現(xiàn)環(huán)路。處于阻塞狀態(tài)的端口可以發(fā)送和接受BPDU，但是不能發(fā)送任何用戶數(shù)據(jù)幀。此狀態(tài)持續(xù)20秒。（2）偵聽狀態(tài)在偵聽狀態(tài)下，交換機間繼續(xù)收發(fā)BPDU，仍不能發(fā)送任何用戶數(shù)據(jù)幀，在這個狀態(tài)下，交換機間交換BPDU來決定根橋、決定根端口和指定端口，此狀態(tài)會持續(xù)15秒。（3）學(xué)習(xí)狀態(tài)在學(xué)習(xí)狀態(tài)下，交換機開始接收用戶數(shù)據(jù)幀，并根據(jù)用戶數(shù)據(jù)幀里的源MAC地址建立交換機的MAC地址表，但仍然不能轉(zhuǎn)發(fā)用戶數(shù)據(jù)幀，此狀態(tài)會持續(xù)15秒。10.3IEEE802.1d的STP（4）轉(zhuǎn)發(fā)狀態(tài)在轉(zhuǎn)發(fā)狀態(tài)下，交換機不但能夠?qū)W習(xí)數(shù)據(jù)幀中的源MAC地址，同時端口開始正常轉(zhuǎn)發(fā)用戶的數(shù)據(jù)幀。（5）無效狀態(tài)無效狀態(tài)不是正常生成樹協(xié)議的狀態(tài)，當(dāng)一個端口處于無外接鏈路或被管理性關(guān)閉（如shutdown）的情況下，它將處于無效狀態(tài)，無效狀態(tài)不參與STP的工作過程，處于無效狀態(tài)的端口也不接受BPDU。網(wǎng)絡(luò)重新由不穩(wěn)定狀態(tài)進入到穩(wěn)定狀態(tài)，這個過程稱之為生成樹的收斂，在STP中，這樣的收斂需要30—50秒的時間。10.4IEEE802.1w的RSTP由于STP的收斂過程需要30—50秒，為了適應(yīng)現(xiàn)代網(wǎng)絡(luò)的需求，針對傳統(tǒng)的STP收斂慢這一弱點，IEEE制定了標準的802.1w協(xié)議，它使得收斂時間得以在1秒到10秒之中完成，所以IEEE802.1w又被稱為快速生成樹協(xié)議（RapidSpanningTreeProtocol，RSTP）。RSTP只是STP標準的一種改進和補充，而不是創(chuàng)新，RSTP保留了STP大部分的術(shù)語和參數(shù)，并未做任何修改，只是針對交換機的端口狀態(tài)和端口角色作出了一些修訂。10.4IEEE802.1w的RSTP1.RSTP交換機端口的角色相對于STP中交換機的端口只有三種角色（根端口、指定端口、非指定端口），在RSTP中交換機的端口有五種角色。根端口：非根橋到根橋路徑花費值最小的端