端口trunk端口

H3CWA系列无线局域网接入点设备二层技术-以太网交换配置指导杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W101-20100910Copyright2010杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、Aolynk、、H3Care、、TOPG、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CWA系列无线局域网接入点产品配置指导共分为十本手册,介绍了WA系列无线局域网接入点产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《二层技术-以太网交换配置指导》主要介绍以太网接口配置、Loopback接口和Null接口配置、VLAN配置、MAC地址表管理配置以及MSTP配置等内容.
前言部分包含如下内容:z读者对象z本书约定z产品配套资料z资料获取方式z技术支持z资料意见反馈读者对象本手册主要适用于如下工程师:z网络规划人员z现场技术支持与维护人员z负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从两个或多个选项中选取一个.
[x|y|.
.
.
]表示从两个或多个选项中选取一个或者不选.
{x|y表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项.
[x|y表示从两个或多个选项中选取多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
产品配套资料H3CWA系列无线局域网接入点产品的配套资料包括如下部分:大类资料名称内容介绍产品彩页帮助您了解产品的主要规格参数及亮点产品知识介绍技术白皮书帮助您了解产品和特性功能,对于特色及复杂技术从细节上进行介绍安全兼容性手册列出产品的兼容性声明,并对兼容性和安全的细节进行说明快速入门指导您对设备进行初始安装、配置,通常针对最常用的情况,减少您的检索时间硬件描述与安装安装手册帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装快速配置指导帮助您了解产品主要功能,如何安装并登录设备,如何进行基本功能配置,如何进行软件维护以及基础的故障处理配置指导帮助您掌握设备软件功能的配置方法及配置步骤命令参考详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能业务配置典型配置案例帮助您了解产品的典型应用和推荐配置,从组网需求、组网图、配置步骤几方面进行介绍用户FAQ解答您在使用设备过程中遇到的各种常见问题运行维护版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:z[服务支持/文档中心]:可以获取硬件安装类、快速配置指导类、配置类或维护类等产品资料.
z[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
z[解决方案]:可以获取解决方案类资料.
z[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:customer_service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1适用型号及对应软件版本.
1-12特性支持情况.
2-13命令行及参数支持情况.
3-14以太网接口配置4-14.
1以太网接口基本配置.
4-14.
1.
1配置以太网接口的流量控制功能.
4-24.
1.
2配置以太网接口环回测试功能.
4-24.
2二层以太网接口配置.
4-34.
2.
1二层以太网接口配置任务简介.
4-34.
2.
2配置以太网接口的风暴抑制比.
4-34.
2.
3配置以太网接口统计信息的时间间隔.
4-34.
2.
4配置以太网接口进行环回监测.
4-44.
3以太网接口显示和维护.
4-55Loopback接口和NULL接口配置.
5-15.
1Loopback接口5-15.
1.
1Loopback接口简介.
5-15.
1.
2配置Loopback接口5-15.
2Null接口.
5-25.
2.
1Null接口简介.
5-25.
2.
2配置Null接口.
5-25.
3Loopback接口和Null接口显示和维护5-26VLAN配置.
6-16.
1VLAN简介.
6-16.
1.
1VLAN概述.
6-16.
1.
2VLAN原理.
6-26.
1.
3VLAN划分.
6-36.
2配置VLAN基本属性6-36.
3配置VLAN接口基本属性.
6-36.
4配置基于端口的VLAN6-46.
4.
1基于端口的VLAN简介.
6-46.
4.
2配置基于Access端口的VLAN6-56.
4.
3配置基于Trunk端口的VLAN.
6-66.
4.
4配置基于Hybrid端口的VLAN6-76.
5基于MAC地址的VLAN.
6-8ii6.
5.
1基于MAC的VLAN简介6-86.
5.
2配置基于MAC的VLAN6-86.
6VLAN显示和维护.
6-96.
7VLAN典型配置举例6-97MAC地址表配置7-17.
1MAC地址表简介7-17.
1.
1MAC地址表项的生成方式.
7-17.
1.
2MAC地址表项的分类7-27.
1.
3基于MAC地址表的报文转发7-27.
2配置MAC地址表7-27.
2.
1配置MAC地址表项.
7-27.
2.
2关闭MAC地址学习功能.
7-37.
2.
3配置动态MAC地址表项的老化时间.
7-47.
2.
4配置接口最多可以学习到的MAC地址数7-47.
3MAC地址表显示和维护7-57.
4MAC地址表管理典型配置举例7-58MSTP配置8-18.
1MSTP简介.
8-18.
1.
1STP简介8-18.
1.
2RSTP简介.
8-88.
1.
3MSTP简介8-88.
1.
4协议规范8-128.
2MSTP配置任务简介.
8-138.
3配置MSTP.
8-148.
3.
1配置MST域8-148.
3.
2配置根桥和备份根桥8-158.
3.
3配置MSTP的工作模式8-158.
3.
4配置设备的优先级.
8-168.
3.
5配置MST域的最大跳数8-168.
3.
6配置交换网络的网络直径.
8-178.
3.
7配置MSTP的时间参数8-178.
3.
8配置超时时间因子.
8-188.
3.
9配置端口的最大发送速率.
8-198.
3.
10配置端口为边缘端口.
8-198.
3.
11配置端口的路径开销.
8-208.
3.
12配置端口的优先级.
8-228.
3.
13配置端口的链路类型.
8-228.
3.
14配置端口收发的MSTP报文格式.
8-23iii8.
3.
15使能MSTP协议8-248.
3.
16执行mCheck操作.
8-248.
3.
17配置摘要侦听功能.
8-258.
3.
18配置NoAgreementCheck功能.
8-278.
3.
19配置MSTP保护功能.
8-298.
4MSTP显示和维护8-328.
5MSTP典型配置举例.
8-321-1在使用H3CWA系列无线局域网接入点设备前请先阅读本章内容.
1适用型号及对应软件版本H3CWA系列无线局域网接入点设备包含WA1208E系列,WA2200系列和WA2600系列.
具体型号和对应的软件版本信息请参见表1-1.
表1-1产品型号及软件版本系列型号对应软件版本WA1208E-GWA1208E-DGWA1208E-GPWA1208E-AGPWA1208E系列无线APWA1208E-AGR1112WA2210-AGWA2200系列室内型WA2220-AGWA2220E-AGWA2200系列增强型WA2210E-GEWA2210X-GWA2210X-GEWA2220X-AGWA2220X-AGPWA2200系列无线APWA2200系列室外型WA2220X-AGER1115WA2610-AGNWA2612-AGNWA2600系列室内型WA2620-AGNR1106WA2610E-AGNWA2620E-AGNWA2600系列增强型WA2610E-GNPWA2600系列无线APWA2600系列室外型WA2610X-GNPR11092-12特性支持情况z由于不同型号产品对于软件特性的支持情况略有不同,手册中标有"请以设备实际情况为准"的描述,表示各个系列(型号)的产品对于此特性/命令/参数的支持情况不同,本节将对此进行说明.
z产品对相关特性的支持情况请参见"表2-1AP产品特性支持情况列表",对命令、参数、缺省值及取值范围的支持情况请参见"表3-1AP产品命令行及参数支持情况列表".
z本手册中的AP和FATAP设备如无特殊情况说明,可以指代具有FATAP功能的无线网桥和无线Mesh设备.
表2-1AP产品特性支持情况列表手册名称特性WA1208E系列WA2200系列WA2600系列基础配置指导HTTPS不支持不支持支持802.
11n射频模式不支持不支持支持802.
11n带宽模式不支持不支持支持WLAN配置指导配置802.
11n射频速率不支持不支持支持以太网光口不支持仅WA2210X-G/WA2220X-AG/WA2220X-AGP型号支持仅WA2610X-GNP型号支持千兆以太网接口不支持不支持支持二层技术-以太网交换配置指导MSTP不支持支持支持DHCP服务器配置不支持不支持支持IPv6域名解析配置不支持支持支持IPv6基础配置不支持支持支持IPv6不支持支持支持三层技术-IP业务配置指导DHCPv6配置不支持不支持支持IP路由基础配置不支持IPv6支持IPv6支持IPv6三层技术-IP路由配置指导IPv6静态路由配置不支持支持支持IGMPSnooping配置不支持不支持支持IP组播配置指导MLDSnooping配置不支持不支持支持ACL和QoS配置指导IPv6ACL不支持支持支持安全配置指导SSH2.
0不支持不支持支持3-13命令行及参数支持情况表3-1AP产品命令行及参数支持情况列表分册特性命令行/参数WA1208E系列WA2200系列WA2600系列displayiphttps不支持不支持支持iphttpsacl不支持不支持支持iphttpscertificateaccess-control-policy不支持不支持支持基础配置命令参考HTTP命令iphttpsenable不支持不支持支持a-mpduenable不支持不支持支持a-msduenable不支持不支持支持channelband-width不支持不支持支持clientdot11n-only不支持不支持支持preamble{long|short}只有支持802.
11b/g射频模式的设备支持该命令只有支持802.
11b/g射频模式的设备支持该命令只有支持802.
11b/g射频模式的设备支持该命令radio-type不支持dot11an和dot11gn参数不支持dot11an和dot11gn参数WA2610E-GNP和WA2610X-GNP不支持dot11a和dot11an参数WLAN服务命令short-gienable不支持不支持支持dot11a{disabled-rate|mandatory-rate|supported-rate}rate-value有支持802.
11a射频模式的设备支持该命令有支持802.
11a射频模式的设备支持该命令有支持802.
11a射频模式的设备支持该命令dot11nmandatorymaximum-mcs不支持不支持支持dot11nsupportmaximum-mcs不支持不支持支持WLAN命令参考WLANRRM命令power-constraintpower-constraint只有支持802.
11a射频模式的设备支持该命令只有支持802.
11a射频模式的设备支持该命令只有支持802.
11a射频模式的设备支持该命令3-2分册特性命令行/参数WA1208E系列WA2200系列WA2600系列以太网接口speed{10|100|1000|auto}支持支持支持以太网接口每秒允许转发的最大广播包数broadcast-suppression{ratio|ppsmax-pps}ppsmax-pps取值范围为1~148810ppsmax-pps取值范围为1~148810ppsmax-pps取值范围为1~1488100太网接口每秒最多通过的组播包包数multicast-suppression{ratio|ppsmax-pps}ppsmax-pps取值范围为1~148810ppsmax-pps取值范围为1~148810ppsmax-pps取值范围为1~1488100二层技术-以太网交换命令参考以太网接口每秒最多通过的未知单播包包数unicast-suppression{ratio|ppsmax-pps}ppsmax-pps取值范围为1~148810ppsmax-pps取值范围为1~148810ppsmax-pps取值范围为1~1488100DHCP命令DHCP服务器配置命令不支持不支持支持域名解析命令IPv6域名解析配置命令不支持支持支持IPv6基础命令IPv6基础配置命令不支持支持支持displayipv6dhcpclient[interfaceinterface-typeinterface-number]不支持不支持支持displayipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]不支持不支持支持displayipv6dhcpduid不支持不支持支持三层技术-IP业务命令参考DHCPv6配置命令resetipv6dhcpclientstatistics[interfaceinterface-typeinterface-number]不支持不支持支持displayipv6routing-table不支持支持支持IP路由基础命令displayipv6routing-tableverbose不支持支持支持三层技术-IP路由命令参考IPv6静态路由命令ipv6route-staticipv6-addressprefix-length[interface-typeinterface-number]nexthop-address[preferencepreference-value]不支持支持支持aclipv6numberacl6-number[nameacl6-name][match-order{auto|config}]不支持支持支持aclipv6copy{source-acl6-number|namesource-acl6-name}to{dest-acl6-number|namedest-acl6-name}不支持支持支持aclipv6nameacl6-name不支持支持支持ACL和QoS命令参考ACL命令descriptiontext(在IPv6基本ACL视图和高级ACL视图下)不支持支持支持3-3分册特性命令行/参数WA1208E系列WA2200系列WA2600系列displayaclipv6{acl6-number|all|nameacl6-name}不支持支持支持resetaclipv6counter{acl6-number|all|nameacl6-name}不支持支持支持rule[rule-id]{deny|permit}[fragment|logging|source{ipv6-addressprefix-length|ipv6-address/prefix-length|any}|time-rangetime-name]*(在IPv6基本ACL视图下)不支持支持支持rule[rule-id]{deny|permit}protocol[{ackack-value|finfin-value|pshpsh-value|rstrst-value|synsyn-value|urgurg-value}*|destination{destdest-prefix|dest/dest-prefix|any}|destination-portoperatorport1[port2]|dscpdscp|fragment|icmpv6-type{icmpv6-typeicmpv6-code|icmpv6-message}|logging|source{sourcesource-prefix|source/source-prefix|any}|source-portoperatorport1[port2]|time-rangetime-name]*(在IPv6高级ACL视图下)不支持支持支持rulerule-idcommenttext(在IPv6基本ACL视图和高级ACL视图下)不支持支持支持stepstep-value(在IPv6基本ACL视图和高级ACL视图下)不支持支持支持undoif-matchacl[ipv6]{acl-number|nameacl-name}[updateacl[ipv6]{acl-number|nameacl-name}]不支持ipv6参数支持支持Qos命令if-matchprotocolprotocol-nameprotocol-name不支持ipv6支持支持primaryauthentication{ip-address|ipv6ipv6-address}[port-number]不支持参数ipv6ipv6-address支持参数ipv6ipv6-address支持参数ipv6ipv6-address安全命令参考AAA命令secondaryaccounting{ip-address|ipv6ipv6-address}[port-number]不支持参数ipv6ipv6-address支持参数ipv6ipv6-address支持参数ipv6ipv6-addresspingipv6不支持支持支持网络管理和监控命令参考系统维护与调试命令tracertipv6不支持支持支持4-1z不同型号产品的特性功能支持情况略有不同,详细请参见"特性差异化列表"部分的介绍.
z设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明.
实际使用中请根据具体设备的接口类型和编号进行配置.
4以太网接口配置二层以太网接口,是设备上的一种物理接口,工作在数据链路层,处理二层协议,实现二层快速转发,本节介绍了二层以太网接口的属性及其配置.
4.
1以太网接口基本配置设置以太网接口的双工模式时存在三种情况:z当希望接口在发送数据包的同时可以接收数据包,可以将接口设置为全双工(full)属性;z当希望接口同一时刻只能发送数据包或接收数据包时,可以将接口设置为半双工(half)属性;z当设置接口为自协商(auto)状态时,接口的双工状态由本接口和对端接口自动协商而定.
设置以太网接口的速率时,当设置接口速率为自协商(auto)状态时,接口的速率由本接口和对端接口双方自动协商而定.
表4-1以太网接口基本配置操作命令说明进入系统视图system-view-进入以太网接口视图interfaceinterface-typeinterface-number-设置以太网接口的描述字符串descriptiontext可选缺省情况下,描述字符串为"接口名interface",比如:Ethernet1/0/1Interface设置以太网接口的双工模式duplex{auto|full|half}可选光接口不支持half参数缺省情况下,接口的双工模式为auto(自协商)状态设置以太网接口的速率speed{10|100|1000|auto}可选光接口不支持10和100参数1000参数的支持情况与设备的型号有关,请以设备的实际情况为准缺省情况下,以太网接口的速率为auto(自协商)状态关闭以太网接口shutdown可选缺省情况下,接口处于打开状态如果想打开端口,可以使用undoshutdown命令4-24.
1.
1配置以太网接口的流量控制功能当本端和对端设备都开启了流量控制功能后,如果本端设备发生拥塞,它将向对端设备发送消息,通知对端设备暂时停止发送报文;而对端设备在接收到该消息后将暂时停止向本端发送报文;反之亦然.
从而避免了报文丢失现象的发生.
只有本端和对端设备都开启了流量控制功能,才能实现对本端以太网接口的流量控制.
表4-2开启以太网接口的流量控制功能操作命令说明进入系统视图system-view-进入以太网接口视图interfaceinterface-typeinterface-number-开启以太网接口的流量控制功能flow-control必选缺省情况下,以太网接口的流量控制功能处于关闭状态4.
1.
2配置以太网接口环回测试功能用户可以开启以太网接口环回测试功能,检验以太网接口能否正常工作.
测试时接口将不能正常转发数据包.
以太网接口环回测试功能包括内部环回测试和外部环回测试.
z内部环回测试.
该测试在交换芯片内部建立自环,用以定位芯片内与该端口相关的功能是否出现故障.
z外部环回测试.
该测试需要在以太网接口上接一个自环头,从接口发出的报文通过自环头又环回到该接口,并被该接口接收.
用以定位该端口的硬件功能是否出现故障.
表4-3配置以太网接口环回测试功能操作命令说明进入系统视图system-view-进入以太网接口视图interfaceinterface-typeinterface-number-配置以太网接口进行环回测试loopback{external|internal}可选缺省情况下,以太网接口环回测试功能处于关闭状态z端口关闭状态(down)下可以进行内部环回测试,但不能进行外部环回测试.
手工关闭(shutdown)时,则不能进行内部和外部环回测试.
z在进行环回测试时系统将禁止在接口上进行speed、duplex和shutdown命令的配置;z以太网接口开启环回测试功能时将工作在全双工状态;关闭环回测试功能后恢复原有配置.
4-34.
2二层以太网接口配置4.
2.
1二层以太网接口配置任务简介表4-4二层以太网接口/子接口配置任务简介配置任务说明详细配置配置以太网接口的风暴抑制比可选二层以太网接口支持4.
2.
2配置以太网接口统计信息的时间间隔可选二层以太网接口支持4.
2.
3配置以太网接口进行环回监测可选二层以太网接口支持4.
2.
44.
2.
2配置以太网接口的风暴抑制比用户可以通过在接口下进行配置,限制接口允许通过的最大广播/组播/未知单播报文流量的大小.
当接口上的广播/组播/未知单播流量超过用户设置的值后,系统将丢弃超出广播/组播/未知单播流量限制的报文,从而使接口广播/组播/未知单播流量所占的比例降低到限定的范围,保证网络业务的正常运行.
表4-5配置以太网接口的风暴抑制比操作命令说明进入系统视图system-view-进入以太网接口视图interfaceinterface-typeinterface-number在以太网接口视图下的配置,只在当前接口下生效配置以太网接口的广播风暴抑制比broadcast-suppression{ratio|ppsmax-pps}可选缺省情况下,设备不对广播流量进行抑制配置以太网接口的组播风暴抑制比multicast-suppression{ratio|ppsmax-pps}可选缺省情况下,设备不对组播流量进行抑制配置以太网接口的未知单播风暴抑制比unicast-suppression{ratio|ppsmax-pps}可选缺省情况下,设备不对未知单播流量进行抑制4.
2.
3配置以太网接口统计信息的时间间隔使用以下的配置任务可以设置统计以太网接口报文信息的时间间隔.
使用displayinterface命令可以显示端口在该间隔时间内统计的报文信息.
4-4表4-6配置以太网接口统计信息的时间间隔操作命令说明进入系统视图system-view-配置接口统计信息的时间间隔flow-intervalinterval可选缺省情况下,接口统计信息的缺省时间间隔为300秒在系统视图下执行该命令,配置的是设备上所有端口统计报文信息的时间间隔;4.
2.
4配置以太网接口进行环回监测端口发生环回是指端口发送出去的报文又从该端口回到设备,环回的存在可能导致广播风暴.
环回监测就是监测设备端口是否有环回存在.
当用户开启以太网端口环回监测功能后,如果监测到端口存在环回,设备会根据环回监测动作对该端口进行相应的操作,并发送Trap信息.
对于Access端口,如果系统发现端口被环回:z若端口不支持环回监测动作,则将端口变为监测受控状态,处于该状态的端口入方向报文将被丢弃处理,不进行转发,而该端口出方向的报文不受影响,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项;z若端口支持环回监测动作,则端口按照环回监测动作对端口进行操作,并向终端上报Trap信息和日志信息,同时删除该端口对应的MAC地址转发表项;对于Trunk端口和Hybrid端口,如果系统发现端口被环回:z若端口不支持环回监测动作则将端口变为监测受控状态,处于该状态的端口入方向报文将被丢弃处理,不进行转发,而该端口出方向的报文不受影响,并向终端上报Trap信息,同时删除该端口对应的MAC地址转发表项.
z若端口支持环回监测动作,则向终端上报Trap信息和日志信息.
当端口环回监测受控功能也同时开启时,端口按照环回监测动作对端口进行操作,并向终端上报Trap信息和日志信息,同时删除该端口对应的MAC地址转发表项.
表4-7配置以太网接口进行环回监测操作命令说明进入系统视图system-view-开启全局的端口环回监测功能loopback-detectionenable必选缺省情况下,全局的端口环回监测功能处于关闭状态设置端口环回监测的时间间隔loopback-detectioninterval-timetime可选缺省情况下,端口环回监测的时间间隔为30秒进入以太网接口视图interfaceinterface-typeinterface-number-4-5操作命令说明开启Trunk端口和Hybrid端口的环回监测受控功能loopback-detectioncontrolenable可选缺省情况下,端口的环回监测受控功能处于关闭状态z只有在系统视图下和指定接口视图下均配置了loopback-detectionenable命令后,才开启端口的环回监测功能.
z当在系统视图下配置undoloopback-detectionenable后,所有端口的环回监测功能均被关闭.
z对于Trunk端口或Hybrid端口,在指定接口视图下配置了loopback-detectioncontrolenable命令后,该端口的环回监测动作才生效.
4.
3以太网接口显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后接口的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除接口统计信息.
表4-8以太网接口显示和维护操作命令显示指定接口当前的运行状态和相关信息displayinterface[interface-type[interface-number|interface-number.
subnumber]]显示指定接口的接口概要信息displaybriefinterface[interface-type[interface-number|interface-number.
subnumberbegin|exclude|include}regular-expression]清除指定接口的统计信息resetcountersinterface[interface-type[interface-number|interface-number.
subnumber]]显示端口环回监测功能的开启情况和相关信息displayloopback-detection5-1z不同型号产品的特性功能支持情况略有不同,详细请参见"特性差异化列表"部分的介绍.
z设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明.
实际使用中请根据具体设备的接口类型和编号进行配置.
5Loopback接口和NULL接口配置5.
1Loopback接口5.
1.
1Loopback接口简介Loopback接口是一种纯软件性质的虚拟接口.
Loopback接口创建后除非手工关闭该接口,否则Loopback接口物理层状态和链路层协议永远处于UP状态.
Loopback接口可以配置IP地址,为了节约IP地址,系统会自动给Loopback接口的IP地址配置32位的子网掩码.
Loopback接口下也可以使能路由协议,可以收发路由协议报文.
Loopback接口的应用非常广泛,其中最主要的是:将Loopback接口地址设置为该设备产生的所有IP数据包的源地址,因为Loopback接口地址稳定且是单播地址,所以通常将Loopback接口地址视为设备的标志,在认证或安全等服务器上设置允许或禁止携带Loopback接口地址的报文通过,就相当于允许或禁止某台设备产生的报文通过,这样可以简化报文过滤规则.
但需要注意的是,将Loopback接口用于源地址绑定时(即给该Loopback接口配置IP地址),需确保Loopback接口到对端的路由可达,而且,任何送到Loopback接口的网络数据报文都会被认为是送往设备本身的,设备将不再转发这些数据包.
另外,因为Loopback接口状态稳定(永远处于UP状态),该接口还有特殊用途.
在动态路由协议里,当没有配置RouterID时,将选取所有Loopback接口上数值最大的IP地址作为RouterID.
例如,为了使BGP会话不受物理接口故障的影响,可将发送BGP报文的源接口配置成Loopback接口.
在使用Loopback接口作为BGP报文的源接口时,必须注意BGP对等体的Loopback接口的地址是可达的.
如果是EBGP连接,还要允许EBGP通过非直连建立邻居关系.
5.
1.
2配置Loopback接口表5-1配置Loopback接口操作命令说明进入系统视图system-view-创建Loopback接口并进入Loopback接口视图interfaceloopbackinterface-number-配置接口描述信息descriptiontext可选缺省情况下,接口描述信息为"该接口的接口名Interface"5-2操作命令说明手工关闭Loopback接口shutdown可选缺省情况下,Loopback接口创建后永远处于开启状态z在Loopback接口上只能配置32位的子网掩码.
z在Loopback接口上可以配置IP地址、IP路由等参数,具体配置请参见"三层技术-IP业务配置指导".
5.
2Null接口5.
2.
1Null接口简介Null接口是一种纯软件性质的逻辑接口.
它永远处于up状态,但不能转发数据包,也不能配置IP地址和链路层协议.
如果在静态路由中指定到达某一网段的下一跳为Null接口时,则任何送到该网段的网络数据报文都会被丢弃,因此设备通过Null接口提供了一种过滤报文的简单方法——将不需要的网络流量发送到NULL接口,从而免去配置ACL(访问控制列表)的复杂工作.
例如:使用静态路由配置命令"iproute-static92.
101.
0.
0255.
255.
0.
0null0"将丢弃所有去往网段92.
101.
0.
0/16的报文.
5.
2.
2配置Null接口表5-2配置Null接口操作命令说明进入系统视图system-view-进入Null接口视图interfacenull0必选缺省情况下,设备上已经存在Null0接口,用户不能创建也不能删除配置接口描述信息descriptiontext可选缺省情况下,接口描述信息为"该接口的接口名Interface"5.
3Loopback接口和Null接口显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后接口的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除接口统计信息.
5-3表5-3Loopback接口和Null接口显示和维护操作命令显示Loopback接口的相关信息displayinterfaceloopback[interface-number]显示Null接口的状态信息displayinterfacenull[0]清除指定Loopback接口和Null接口的统计信息resetcountersinterface[interface-type[interface-number|interface-number.
subnumber]]6-1z不同型号产品的特性功能支持情况略有不同,详细请参见"特性差异化列表"部分的介绍.
z设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明.
实际使用中请根据具体设备的接口类型和编号进行配置.
z本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备.
6VLAN配置6.
1VLAN简介6.
1.
1VLAN概述以太网是一种基于CSMA/CD(CarrierSenseMultipleAccess/CollisionDetect,载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题.
通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文.
在这种情况下出现了VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术,这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,如图6-1所示.
图6-1VLAN示意图VLAN2VLAN5SwitchBSwitchARouterVLAN的划分不受物理位置的限制:不在同一物理位置范围的主机可以属于同一个VLAN;一个VLAN包含的用户可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由设备.
VLAN的优点如下:z限制广播域.
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力.
z增强局域网的安全性.
VLAN间的二层报文是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需通过路由设备或三层交换机等三层设备.
6-2z灵活构建虚拟工作组.
用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活.
6.
1.
2VLAN原理要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段.
由于普通交换机工作在OSI模型的数据链路层,只能对报文的数据链路层封装进行识别.
因此,如果添加识别字段,也需要添加到数据链路层封装中.
IEEE(InstituteofElectricalandElectronicsEngineers,电气和电子工程师学会)于1999年颁布了用以标准化VLAN实现方案的IEEE802.
1Q协议标准草案,对带有VLAN标识的报文结构进行了统一规定.
传统的以太网数据帧在目的MAC地址和源MAC地址之后封装的是上层协议的类型字段,如图6-2所示.
图6-2传统以太网帧封装格式其中DA表示目的MAC地址,SA表示源MAC地址,Type表示报文所属协议类型.
IEEE802.
1Q协议规定在目的MAC地址和源MAC地址之后封装4个字节的VLANTag,用以标识VLAN的相关信息.
图6-3VLANTag的组成字段如图6-3所示,VLANTag包含四个字段,分别是TPID(TagProtocolIdentifier,标签协议标识符)、Priority、CFI(CanonicalFormatIndicator,标准格式指示位)和VLANID.
zTPID用来判断本数据帧是否带有VLANTag,长度为16bit,缺省取值为0x8100.
zPriority表示报文的802.
1P优先级,长度为3bit,相关内容请参见"ACL和QoS配置指导"中的"QoS".
zCFI字段标识MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1bit,取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装,缺省取值为0.
zVLANID标识该报文所属VLAN的编号,长度为12bit,取值范围为0~4095.
由于0和4095为协议保留取值,所以VLANID的取值范围为1~4094.
网络设备利用VLANID来识别报文所属的VLAN,根据报文是否携带VLANTag以及携带的VLANTag值,来对报文进行处理.
6-3z这里的帧格式以EthernetII型封装为例,以太网还支持802.
2LLC和802.
3raw封装格式.
对于这些封装格式的报文,也会添加VLANTag字段,用来区分不同VLAN的报文.
z对于多VLANTag报文,设备会根据其最外层VLANTag进行处理,而内层VLANTag会被视为报文的普通数据部分.
6.
1.
3VLAN划分VLAN根据划分方式不同可以分为不同类型,设备支持下面两种VLAN类型:z基于端口的VLANz基于MAC地址的VLAN6.
2配置VLAN基本属性表6-1配置VLAN基本属性配置命令说明进入系统视图system-view-创建VLANvlan{vlan-id1[tovlan-id2]}可选该命令主要用于批量创建VLAN进入VLAN视图vlanvlan-id必选如果指定的VLAN不存在,则该命令先完成VLAN的创建,然后再进入该VLAN的视图缺省情况下,系统只有一个缺省VLAN(VLAN1)指定当前VLAN的名称nametext缺省情况下,VLAN的名称为该VLAN的VLANID,如"VLAN0001"为VLAN指定一个描述字符串descriptiontext可选缺省情况下,VLAN的描述字符串为该VLAN的VLANID,如"VLAN0001"zVLAN1为系统缺省VLAN,用户不能手工创建和删除.
z不能通过undovlan命令删除设备上动态学习到的VLAN.
6.
3配置VLAN接口基本属性不同VLAN间的主机不能直接通信,需要通过路由设备或三层交换机等网络层设备进行转发,设备提供VLAN接口实现对报文进行三层转发的功能.
6-4VLAN接口是一种三层模式下的虚拟接口,主要用于实现VLAN间的三层互通,它不作为物理实体存在于设备上.
每个VLAN对应一个VLAN接口,在为VLAN接口配置了IP地址后,该接口即可作为本VLAN内网络设备的网关,对需要跨网段的报文进行基于IP地址的三层转发.
表6-2配置VLAN接口基本属性配置命令说明进入系统视图system-view-创建VLAN接口并进入VLAN接口视图interfacevlan-interfacevlan-interface-id必选如果该VLAN接口已经存在,则直接进入该VLAN接口视图配置VLAN接口的IP地址ipaddressip-address{mask|mask-length}可选缺省情况下,没有配置VLAN接口的IP地址为VLAN接口指定一个描述字符串descriptiontext可选缺省情况下,VLAN接口的描述字符串为该VLAN接口的接口名,如"Vlan-interface1Interface"打开VLAN接口undoshutdown可选缺省情况下,VLAN接口的状态为打开,此时VLAN接口状态受VLAN中端口状态的影响,即:当VLAN中所有以太网端口状态为down时,VLAN接口为down状态,即关闭状态;当VLAN中有一个或一个以上的以太网端口处于up状态时,则VLAN接口处于up状态如果将VLAN接口的状态设置为down,则VLAN接口的状态始终为down,不受VLAN中端口状态的影响在创建VLAN接口之前,对应的VLAN必须已经存在.
否则,将不能创建指定的VLAN接口.
6.
4配置基于端口的VLAN6.
4.
1基于端口的VLAN简介基于端口划分VLAN是VLAN最简单、最有效的划分方法.
它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发指定VLAN的报文.
1.
端口的链路类型根据端口在转发报文时对Tag标签的不同处理方式,可将端口的链路类型分为三种:zAccess类型:端口只能属于1个VLAN,一般用于设备与计算机直接连接;zTrunk类型:端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,一般用来在不同的设备之间进行连接,以保证在跨越多个设备上建立相同的VLAN的成员能够相互通讯;zHybrid类型:端口可以允许多个VLAN通过,接收和发送多个VLAN的报文,用于网络设备之间连接或用于连接用户设备.
Hybrid端口既可以连接接入链路又可以连接干道链路.
6-52.
缺省VLAN除了可以设置端口允许通过的VLAN,还可以设置端口的缺省VLAN.
在缺省情况下,所有端口的缺省VLAN均为VLAN1,但用户可以根据需要进行配置.
zAccess端口的缺省VLAN就是它所在的VLAN,不能配置.
zTrunk端口和Hybrid端口可以允许多个VLAN通过,能够配置缺省VLAN.
z当执行undovlan命令删除的VLAN是某个端口的缺省VLAN时,对Access端口,端口的缺省VLAN会恢复到VLAN1;对Trunk或Hybrid端口,端口的缺省VLAN配置不会改变,即它们可以使用已经不存在的VLAN作为缺省VLAN.
z建议本端设备端口的缺省VLANID和相连的对端设备端口的缺省VLANID保持一致.
z建议保证端口的PVID属于端口所在的VLAN.
如果端口不在某VLAN内,但是端口的PVID仍然为该VLAN,当端口收到该VLAN的报文或者不带VLANTag的报文(包括STP等协议报文)都会被过滤.
在配置了端口链路类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参看表6-3.
表6-3不同链路类型端口收发报文的差异对接收报文的处理端口类型当接收到的报文不带Tag时当接收到的报文带有Tag时对发送报文的处理Access端口为报文打上缺省VLAN的Tagz当VLANID与缺省VLANID相同时,接收该报文z当VLANID与缺省VLANID不同时,丢弃该报文由于VLANID就是缺省VLANID,去掉Tag,发送该报文Trunk端口z当VLANID与缺省VLANID相同,且是该端口允许通过的VLANID时:去掉Tag,发送该报文z当VLANID与缺省VLANID不同,且是该端口允许通过的VLANID时:保持原有Tag,发送该报文Hybrid端口z当缺省VLANID在端口允许通过的VLANID列表里时,接收该报文,给报文打上缺省VLAN的Tagz当缺省VLANID不在端口允许通过的VLANID列表里时,丢弃该报文z当VLANID在端口允许通过的VLANID列表里时,接收该报文z当VLANID是该端口不允许通过的VLANID时,丢弃该报文当报文中携带的VLANID是该端口允许通过的VLANID时,发送该报文,并可以通过porthybridvlan命令配置端口在发送该VLAN(包括缺省VLAN)的报文时是否携带Tag6.
4.
2配置基于Access端口的VLAN配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在以太网接口或BSS接口视图下进行配置.
6-6表6-4配置基于Access端口的VLAN(在VLAN视图下)配置命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id必选如果指定的VLAN不存在,则该命令先完成VLAN的创建,然后再进入该VLAN的视图向当前VLAN中添加一个或一组Access端口portinterface-list必选缺省情况下,系统将所有端口都加入到VLAN1表6-5配置基于Access端口的VLAN(在接口视图下)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number进入接口视图后,下面进行的配置只在当前端口下生效配置端口的链路类型为Access类型portlink-typeaccess可选缺省情况下,端口的链路类型为Access类型将当前Access端口加入到指定VLANportaccessvlanvlan-id可选缺省情况下,所有Access端口均属于且只属于VLAN1在将Access端口加入到指定VLAN之前,要加入的VLAN必须已经存在.
6.
4.
3配置基于Trunk端口的VLANTrunk端口可以允许多个VLAN通过,只能在以太网接口视图下进行配置.
表6-6配置基于Trunk端口的VLAN操作命令说明进入系统视图system-view-进入以太网接口视图interfaceinterface-typeinterface-number-配置端口的链路类型为Trunk类型portlink-typetrunk必选允许指定的VLAN通过当前Trunk端口porttrunkpermitvlan{vlan-id-list|all}必选缺省情况下,Trunk端口只允许VLAN1的报文通过6-7操作命令说明设置Trunk端口的缺省VLANporttrunkpvidvlanvlan-id可选缺省情况下,Trunk端口的缺省VLAN为VLAN1zTrunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口.
例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设为Hybrid端口.
z配置缺省VLAN后,必须使用porttrunkpermitvlan命令配置允许缺省VLAN的报文通过,出接口才能转发缺省VLAN的报文.
6.
4.
4配置基于Hybrid端口的VLANHybrid端口可以允许多个VLAN通过,只能在以太网接口和BSS接口视图下进行配置.
表6-7配置基于Hybrid端口的VLAN操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置端口的链路类型为Hybrid类型portlink-typehybrid必选允许指定的VLAN通过当前Hybrid端口porthybridvlanvlan-id-list{tagged|untagged}必选缺省情况下,Hybrid端口只允许VLAN1的报文以untagged方式通过(即VLAN1的报文从该端口发送出去后不携带VLANTag)设置Hybrid端口的缺省VLANporthybridpvidvlanvlan-id可选缺省情况下,Hybrid端口的缺省VLAN为VLAN1zTrunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其它类型端口.
例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口.
z在设置允许指定的VLAN通过Hybrid端口之前,允许通过的VLAN必须已经存在.
z配置缺省VLAN后,必须使用porthybridvlan命令配置允许缺省VLAN的报文通过,出接口才能转发缺省VLAN的报文.
6-86.
5基于MAC地址的VLAN6.
5.
1基于MAC的VLAN简介基于MAC划分VLAN是VLAN的另一种划分方法.
它按照报文的源MAC地址来定义VLAN成员,将指定报文加入该VLAN的Tag后发送.
该功能通常会和安全(比如802.
1X)技术联合使用,以实现终端的安全、灵活接入.
1.
MACVLAN的实现机制如果端口采用基于MAC地址划分VLAN的机制,则当端口收到报文时,采用以下方法处理:z当收到的报文为untagged报文时,会以报文的源MAC为根据去匹配MAC-VLAN表项.
精确查找,即查询表中MASK为全F的表项,如果该表项中的MAC地址和关键字完全相同,则查找成功,给报文添加表项中指定的VLANID.
模糊匹配,即查询表中MASK不是全F的表项,将关键字和MASK相与后再与表项中的MAC地址匹配,如果完全相同,则查找成功,给报文添加表项中指定的VLANID.
如果匹配失败,则按其它匹配原则进行匹配.
z当收到的报文为tagged报文时,处理方式和基于端口的VLAN一样:如果端口允许携带该VLAN标记的报文通过,则正常转发;如果不允许,则丢弃该报文.
2.
MACVLAN的配置方式基于MAC地址的VLAN可以通过如下两种方式来进行配置:z通过命令行静态配置.
用户通过命令行来配置MAC地址和VLAN的关联关系.
z通过认证服务器来自动配置(即VLAN下发).
设备根据认证服务器提供的信息,动态创建MAC地址和VLAN的关联关系.
如果用户下线,系统将自动删除该对应关系.
该方式下(只)需要在认证服务器上配置MAC地址和VLAN的关联,有关该方式的详细介绍请参见"安全配置指导"中的"802.
1x".
MAC-VLAN表项可以同时支持两种配置方式,即在本地设备和认证服务器上都进行了配置,但是这两种配置必须一致配置才能生效;如果不一致的话,则先执行的配置生效.
6.
5.
2配置基于MAC的VLAN基于MAC的VLAN功能只能在Hybrid端口配置.
表6-8配置基于MAC的VLAN操作命令说明进入系统视图system-view-配置MAC地址与VLAN的关联mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypriority]必选进入接口视图interfaceinterface-typeinterface-number必选配置端口的链路类型为Hybrid类型portlink-typehybrid必选6-9操作命令说明允许基于MAC的VLAN通过当前Hybrid端口porthybridvlanvlan-id-list{tagged|untagged}必选缺省情况下,所有Hybrid端口只允许VLAN1通过使能基于MAC地址划分VLAN的功能mac-vlanenable必选缺省情况下,未使能端口的MACVLAN功能6.
6VLAN显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除接口统计信息.
表6-9VLAN显示和维护操作命令显示VLAN相关信息displayvlan[vlan-id1[tovlan-id2]|all|dynamic|reserved|static]显示VLAN接口相关信息displayinterfacevlan-interface[vlan-interface-id]显示MAC-VLAN表项displaymac-vlan{all|dynamic|mac-addressmac-address[maskmac-mask]|static|vlanvlan-id}显示所有使能了MACVLAN功能的接口displaymac-vlaninterface显示设备上当前存在的Hybrid或Trunk端口displayport{hybrid|trunk}清除接口的统计信息resetcountersinterface[interface-type[interface-number]]使用resetcountersinterface命令可以清除VLAN接口的统计信息,该命令的详细描述请参见"二层技术-以太网交换命令参考"中的"以太网接口".
6.
7VLAN典型配置举例1.
组网需求zAP与对端DeviceB使用Trunk端口Ethernet1/0/1相连;z该端口的缺省VLANID为100;z该端口允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过.
6-102.
组网图图6-4配置基于端口的VLAN组网图3.
配置步骤(1)配置AP#创建VLAN2、VLAN6到VLAN50、VLAN100.
system-view[AP]vlan2[AP-vlan2]quit[AP]vlan100[AP-vlan100]vlan6to50Pleasewait.
.
.
Done.
#进入Ethernet1/0/1以太网接口视图.
[AP]interfaceethernet1/0/1#配置Ethernet1/0/1为Trunk端口,并配置端口的缺省VLANID为100.
[AP-Ethernet1/0/1]portlink-typetrunk[AP-Ethernet1/0/1]porttrunkpvidvlan100#配置Ethernet1/0/1禁止VLAN1的报文通过(所有端口缺省情况下都是允许VLAN1的报文通过的).
[AP-Ethernet1/0/1]undoporttrunkpermitvlan1#配置Ethernet1/0/1允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过.
[AP-Ethernet1/0/1]porttrunkpermitvlan26to50100Pleasewait.
.
.
Done.
[AP-Ethernet1/0/1]quit[AP]quit(2)配置DeviceB,与AP配置步骤雷同,不再赘述.
4.
显示与验证此处以AP的验证为例,DeviceB的验证与此类似,不再赘述.
#查看AP的Ethernet1/0/1的相关信息,验证以上配置是否生效.
displayinterfaceethernet1/0/1Ethernet1/0/1currentstate:UPIPPacketFrameType:PKTFMT_ETHNT_2,HardwareAddress:000f-e200-0000Description:Ethernet1/0/1InterfaceLoopbackisnotsetMediatypeistwistedpair,promiscuousmodenotset100Mbps-speedmode,full-duplexmodeLinkspeedtypeisautonegotiation,linkduplextypeisautonegotiationFlow-controlisnotenabledTheMaximumFrameLengthis1522BroadcastMAX-ratio:100%UnicastMAX-ratio:100%MulticastMAX-ratio:100%PVID:1006-11Portlink-type:trunkVLANpassing:2,6-50,100VLANpermitted:2,6-50,100Trunkportencapsulation:IEEE802.
1qPortpriority:0Last300secondsinput:0packets/sec0bytes/secLast300secondsoutput:0packets/sec0bytes/secInput(total):0packets,0bytes0broadcasts,0multicastsInput(normal):0packets,0bytes0broadcasts,0multicastsInput:0inputerrors,0runts,0giants,0throttles0CRC,0frame,0overruns,0aborts0ignored,0parityerrorsOutput(total):0packets,0bytes0broadcasts,0multicasts,0pausesOutput(normal):0packets,0bytes0broadcasts,0multicasts,0pausesOutput:0outputerrors,0underruns,0bufferfailures0aborts,0deferred,0collisions,0latecollisions0lostcarrier,0nocarrier通过以上显示信息,可以看到接口的类型为trunk(Portlink-type:trunk),接口的缺省VLAN为VLAN100(PVID:100),端口允许VLAN2、VLAN6到VLAN50、VLAN100的报文通过(VLANpermitted:2,6-50,100).
配置成功.
7-1z不同型号产品的特性功能支持情况略有不同,详细请参见"特性差异化列表"部分的介绍.
z设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明.
实际使用中请根据具体设备的接口类型和编号进行配置.
7MAC地址表配置zMAC地址表中对于接口的相关配置,目前只能在二层以太网接口上进行.
z本章节内容只涉及单播的静态、动态和黑洞MAC地址表项的配置.
7.
1MAC地址表简介设备内有一张需要维护MAC地址表.
MAC地址表的表项包含记录了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLANID.
在转发数据时,设备根据报文中的目的MAC地址查询MAC地址表,快速定位出接口,从而减少广播.
7.
1.
1MAC地址表项的生成方式MAC地址表项的生成方式有两种:自动生成、手工配置.
1.
自动生成MAC地址表项一般情况下,MAC地址表是设备通过源MAC地址学习过程而自动建立的.
设备学习MAC地址的方法如下:如果从某接口(假设为接口A)收到一个数据帧,设备就会分析该数据帧的源MAC地址(假设为MAC-SOURCE),并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发;如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新;如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中.
为适应网络的变化,MAC地址表需要不断更新.
MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间.
如果在到达生存周期前纪录被刷新,则该表项的老化时间重新计算.
2.
手工配置MAC地址表项设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和黑客用户的报文,带来了安全隐患.
如果黑客用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其它接口进入,设备就会学习到错误的MAC地址表项,于是就会将本应转发给合法用户的报文转发给黑客用户.
为了提高接口安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止假冒身份的非法用户骗取数据.
手工配置的MAC地址表项优先级高于自动生成的表项.
7-27.
1.
2MAC地址表项的分类MAC地址表项分为:静态MAC地址表项、动态MAC地址表项和黑洞MAC地址表项.
z静态MAC地址表项由用户手工配置,表项不老化;z黑洞MAC地址表项用于丢弃含有特定目的MAC地址的报文(例如,处于安全考虑,可以屏蔽某个用户接收报文),由用户手工配置,表项不老化;z动态MAC地址表项包括用户配置的以及设备通过源MAC地址学习得来的,表项有老化时间.
用户手工配置的静态MAC地址表项和黑洞MAC地址表项不会被动态MAC地址表项覆盖,而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖.
7.
1.
3基于MAC地址表的报文转发设备在转发报文时,根据MAC地址表项信息,会采取以下两种转发方式:z单播方式:当MAC地址表中包含与报文目的MAC地址对应的表项时,设备直接将报文从该表项中的转发出接口发送.
z广播方式:当设备收到目的地址为全F的报文,或MAC地址表中没有包含对应报文目的MAC地址的表项时,设备将采取广播方式将报文向除接收接口外的所有接口进行转发.
图7-1设备的MAC地址表项7.
2配置MAC地址表以下配置均为可选配置,且配置过程无先后顺序,用户可以根据实际情况选择配置.
7.
2.
1配置MAC地址表项一般情况下,设备通过源MAC地址学习过程自动建立MAC地址表.
为了提高接口安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止假冒身份的非法用户骗取数据.
另外,如果需要丢弃指定目的MAC地址的报文,可配置黑洞MAC地址表项.
7-3表7-1全局配置MAC地址表项操作命令说明进入系统视图system-view-添加/修改MAC地址表项mac-address{dynamic|static}mac-addressinterfaceinterface-typeinterface-numbervlanvlan-idmac-addressblackholemac-addressvlanvlan-id必选表7-2接口配置MAC地址表项操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-添加/修改接口下的MAC地址表项mac-address{dynamic|static}mac-addressvlanvlan-id必选在添加MAC地址表项时,命令中interface参数指定的接口必须属于vlan参数指定的VLAN,而且该VLAN必须事先创建,否则将添加失败.
7.
2.
2关闭MAC地址学习功能有时为了保证设备的安全,需要关闭MAC地址学习功能.
常见的危及设备安全的情况是:黑客使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表.
关闭MAC地址学习功能可以有效防止这种攻击.
1.
关闭全局的MAC地址学习功能关闭全局的MAC地址学习功能的同时也就关闭了全部接口的MAC地址学习功能.
表7-3关闭全局MAC地址学习功能操作命令说明进入系统视图system-view-关闭全局的MAC地址的学习功能mac-addressmac-learningdisable必选缺省情况下,开启全局的MAC地址学习功能.
2.
关闭接口的MAC地址学习功能在开启全局的MAC地址学习功能的前提下,用户可以关闭设备上的单个接口的MAC地址学习功能.
7-4表7-4关闭接口的MAC地址学习功能操作命令说明进入系统视图system-view-开启全局的MAC地址学习功能undomac-addressmac-learningdisable可选缺省情况下,开启全局的MAC地址学习功能进入以太网接口或WLAN-BSS接口视图interfaceinterface-typeinterface-number必选关闭MAC地址学习功能mac-addressmac-learningdisable必选缺省情况下,开启MAC地址学习功能.
7.
2.
3配置动态MAC地址表项的老化时间当网络拓扑改变后,动态MAC地址表项不会及时自动更新.
这样,由于设备学习不到新的MAC地址,会导致用户流量不能正常转发.
因此,需要配置动态MAC地址表项老化时间.
超出设定的老化时间,动态MAC地址表项被自动删除,设备重新进行MAC地址学习,构建新的动态MAC地址表项.
配置合适的老化时间可以有效利用MAC地址老化功能.
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:z如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表.
z如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,可能导致设备广播大量的数据报文,影响设备的运行性能.
表7-5配置动态MAC地址表项的老化时间操作命令说明进入系统视图system-view-配置动态MAC地址表项的老化时间mac-addresstimer{agingseconds|no-aging}可选z动态MAC地址表项的老化时间作用于全部接口上,地址老化只对动态的(设备学习到的或者用户配置的动态的)MAC地址表项起作用.
z在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,被他人侦听,造成安全隐患,此时可将动态MAC地址表项的老化时间设成no-aging(即,不老化),以减少广播,增加网络稳定性和安全性.
7.
2.
4配置接口最多可以学习到的MAC地址数通过配置接口最多可以学习到的MAC地址数,用户可以控制设备维护的MAC地址表的表项数量.
如果MAC地址表过于庞大,可能导致设备的转发性能下降.
当接口学习到的MAC地址数达到配置的最大值时,该接口将不再对MAC地址进行学习.
7-5表7-6配置接口最多可以学习到的MAC地址数操作命令说明进入系统视图system-view-进入以太网接口或WLAN-BSS接口视图interfaceinterface-typeinterface-number必选配置接口最多可以学习到的MAC地址数,以及当接口学习到的MAC地址数达到配置的最大值时,是否继续转发源MAC地址不在MAC地址表里的数据帧mac-addressmax-mac-count{count|disable-forwarding}必选缺省情况下,接口最多可以学习到的MAC地址数目是与设备相关的,并且当以太网接口学习的MAC地址数达到配置的最大MAC地址数后,不允许转发源MAC地址不在MAC地址表里的数据帧.
7.
3MAC地址表显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址表管理的运行情况,通过查看显示信息验证配置的效果.
表7-7MAC地址表显示和维护操作命令显示MAC地址表信息displaymac-address[mac-address[vlanvlan-id]|[[dynamic|static][interfaceinterface-typeinterface-number]|blackhole][vlanvlan-id][count]]显示MAC地址表动态表项的老化时间displaymac-addressaging-time显示系统或接口MAC地址的学习状态displaymac-addressmac-learning[interface-typeinterface-number]7.
4MAC地址表管理典型配置举例1.
组网需求z现有一个用户主机,它的MAC地址为000f-e235-dc71,所属VLAN为VLAN1,所连的设备接口为Ethernet1/0/1.
为防止MAC地址攻击,在设备的MAC地址表中为该用户主机添加一条静态表项.
z另有一个用户主机,它的MAC地址为000f-e235-abcd,所属VLAN为VLAN1.
由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在设备上添加一条目的黑洞MAC地址表项,使该用户主机接收不到报文.
z配置设备的动态MAC地址表项老化时间为500秒.
2.
配置步骤#增加一个静态MAC地址表项.
system-view[Sysname]mac-addressstatic000f-e235-dc71interfaceethernet1/0/1vlan1#增加一个目的黑洞MAC地址表项.
[Sysname]mac-addressblackhole000f-e235-abcdvlan1#配置动态MAC地址表项的老化时间为500秒.
7-6[Sysname]mac-addresstimeraging500#查看以太网接口Ethernet1/0/1上的MAC地址表信息.
[Sysname]displaymac-addressinterfaceethernet1/0/1MACADDRVLANIDSTATEPORTINDEXAGINGTIME000f-e235-DC711ConfigstaticEthernet1/0/1NOAGED#查看目的黑洞MAC地址表信息.
[Sysname]displaymac-addressblackholeMACADDRVLANIDSTATEPORTINDEXAGINGTIME000f-e235-abcd1BlackholeN/ANOAGED---1macaddress(es)found---#查看动态MAC地址表项的老化时间.
[Sysname]displaymac-addressaging-timeMacaddressagingtime:500s8-1z不同型号产品的特性功能支持情况略有不同,详细请参见"特性差异化列表"部分的介绍.
z设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明.
实际使用中请根据具体设备的接口类型和编号进行配置.
z本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备.
8MSTP配置MSTP的支持情况与设备的型号有关,请以设备的实际情况为准.
8.
1MSTP简介生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能.
与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的STP(SpanningTreeProtocol,生成树协议)到RSTP(RapidSpanningTreeProtocol,快速生成树协议),再到最新的MSTP(MultipleSpanningTreeProtocol,多生成树协议).
本文将渐进式地对STP、RSTP和MSTP各自的特点及其关系进行介绍.
8.
1.
1STP简介1.
STP的用途STP由IEEE制定的802.
1D标准定义,用于在局域网中消除数据链路层物理环路的协议.
运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生.
STP包含了两个含义,狭义的STP是指IEEE802.
1D中定义的STP协议,广义的STP是指包括IEEE802.
1D定义的STP协议以及各种在它的基础上经过改进的生成树协议.
2.
STP的协议报文STP采用的协议报文是BPDU(BridgeProtocolDataUnit,桥协议数据单元),也称为配置消息.
STP通过在设备之间传递BPDU来确定网络的拓扑结构.
BPDU中包含了足够的信息来保证设备完成生成树的计算过程.
BPDU在STP协议中分为两类:z配置BPDU(ConfigurationBPDU):用来进行生成树计算和维护生成树拓扑的报文.
zTCNBPDU(TopologyChangeNotificationBPDU):当拓扑结构发生变化时,用来通知相关设备网络拓扑结构发生变化的报文.
8-23.
STP的基本概念(1)根桥树形的网络结构必须有树根,于是STP引入了根桥(RootBridge)的概念.
根桥在全网中只有一个,而且根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的.
在网络初始化过程中,所有设备都视自己为根桥,生成各自的配置BPDU并周期性地向外发送;但当网络拓扑稳定以后,只有根桥设备才会向外发送配置BPDU,其它设备则对其进行转发.
(2)根端口所谓根端口,是指一个非根桥的设备上离根桥最近的端口.
根端口负责与根桥进行通信.
非根桥设备上有且只有一个根端口.
根桥上没有根端口.
(3)指定桥与指定端口指定桥与指定端口的含义,请参见表8-1的说明.
表8-1指定桥与指定端口的含义分类指定桥指定端口对于一台设备而言与本机直接相连并且负责向本机转发配置消息的设备指定桥向本机转发配置消息的端口对于一个局域网而言负责向本网段转发配置消息的设备指定桥向本网段转发配置消息的端口指定桥与指定端口如图8-1所示,AP1、AP2、BP1、BP2、CP1、CP2分别表示设备DeviceA、DeviceB、DeviceC的端口.
zDeviceA通过端口AP1向DeviceB转发配置消息,则DeviceB的指定桥就是DeviceA,指定端口就是DeviceA的端口AP1;z与局域网LAN相连的有两台设备:DeviceB和DeviceC,如果DeviceB负责向LAN转发配置消息,则LAN的指定桥就是DeviceB,指定端口就是DeviceB的BP2.
图8-1指定桥与指定端口示意图LANAP1AP2DeviceADeviceBDeviceCBP1BP2CP1CP2根桥上的所有端口都是指定端口.
8-3(4)路径开销路径开销是STP协议用于选择链路的参考值.
STP协议通过计算路径开销,选择较为"强壮"的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构.
4.
STP的基本原理STP通过在设备之间传递BPDU来确定网络的拓扑结构.
配置消息中包含了足够的信息来保证设备完成生成树的计算过程,其中包含的几个重要信息如下:z根桥ID:由根桥的优先级和MAC地址组成;z根路径开销:到根桥的路径开销;z指定桥ID:由指定桥的优先级和MAC地址组成;z指定端口ID:由指定端口的优先级和端口名称组成;z配置消息在网络中传播的生存期:MessageAge;z配置消息在设备中能够保存的最大生存期:MaxAge;z配置消息发送的周期:HelloTime;z端口状态迁移的延时:ForwardDelay.
为描述方便,在下面的描述及举例中仅考虑配置消息的其中四项内容:z根桥ID(以设备的优先级表示);z根路径开销(与端口所连的链路速率相关);z指定桥ID(以设备的优先级表示);z指定端口ID(以端口名称表示).
(1)STP算法实现的具体过程z初始状态各台设备的各个端口在初始时会生成以自己为根桥的配置消息,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口.
z最优配置消息的选择各台设备都向外发送自己的配置消息,同时也会收到其它设备发送的配置消息.
最优配置消息的选择过程如表8-2所示.
表8-2最优配置消息的选择过程步骤内容1每个端口收到配置消息后的处理过程如下:z当端口收到的配置消息比本端口配置消息的优先级低时,设备会将接收到的配置消息丢弃,对该端口的配置消息不作任何处理.
z当端口收到的配置消息比本端口配置消息的优先级高时,设备就用接收到的配置消息中的内容替换该端口的配置消息中的内容.
2设备将所有端口的配置消息进行比较,选出最优的配置消息8-4配置消息的比较原则如下:z根桥ID较小的配置消息优先级高;z若根桥ID相同,则比较根路径开销,比较方法为:用配置消息中的根路径开销加上本端口对应的路径开销,假设两者之和为S,则S较小的配置消息优先级较高;z若根路径开销也相同,则依次比较指定桥ID、指定端口ID、接收该配置消息的端口ID等,上述值较小的配置消息优先级较高.
z根桥的选择网络初始化时,网络中所有的STP设备都认为自己是"根桥",根桥ID为自身的设备ID.
通过交换配置消息,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥.
z根端口、指定端口的选择根端口、指定端口的选择过程如表8-3所示.
表8-3根端口和指定端口的选择过程步骤内容1非根桥设备将接收最优配置消息的那个端口定为根端口2设备根据根端口的配置消息和根端口的路径开销,为每个端口计算一个指定端口配置消息:z根桥ID替换为根端口的配置消息的根桥ID;z根路径开销替换为根端口配置消息的根路径开销加上根端口对应的路径开销;z指定桥ID替换为自身设备的ID;z指定端口ID替换为自身端口ID.
3设备使用计算出来的配置消息和需要确定端口角色的端口上的配置消息进行比较,并根据比较结果进行不同的处理:z如果计算出来的配置消息优,则设备就将该端口定为指定端口,端口上的配置消息被计算出来的配置消息替换,并周期性向外发送;z如果端口上的配置消息优,则设备不更新该端口的配置消息并将此端口阻塞,此端口将不再转发数据,只接收但不发送配置消息.
在拓扑稳定状态,只有根端口和指定端口转发流量,其它端口都处于阻塞状态,它们只接收STP协议报文而不转发用户流量.
一旦根桥、根端口和指定端口选举成功,则整个树形拓扑就建立完毕了.
下面结合例子说明STP算法实现的计算过程.
具体的组网如图8-2所示,DeviceA的优先级为0,DeviceB的优先级为1,DeviceC的优先级为2,各个链路的路径开销分别为5、10、4.
8-5图8-2STP算法计算过程组网图z各台设备的初始状态各台设备的初始状态如表8-4所示.
表8-4各台设备的初始状态设备端口名称端口的配置消息AP1{0,0,0,AP1}DeviceAAP2{0,0,0,AP2}BP1{1,0,1,BP1}DeviceBBP2{1,0,1,BP2}CP1{2,0,2,CP1}DeviceCCP2{2,0,2,CP2}z各台设备的比较过程及结果各台设备的比较过程及结果如表8-5所示.
表8-5各台设备的比较过程及结果设备比较过程比较后端口的配置消息DeviceAz端口AP1收到DeviceB的配置消息{1,0,1,BP1},DeviceA发现本端口的配置消息{0,0,0,AP1}优于接收到的配置消息,就把接收到的配置消息丢弃.
z端口AP2收到DeviceC的配置消息{2,0,2,CP1},DeviceA发现本端口的配置消息{0,0,0,AP2}优于接收到的配置消息,就把接收到的配置消息丢弃.
zDeviceA发现自己各个端口的配置消息中根桥和指定桥都是自己,则认为自己是根桥,各个端口的配置消息都不作任何修改,以后周期性的向外发送配置消息.
AP1:{0,0,0,AP1}AP2:{0,0,0,AP2}8-6设备比较过程比较后端口的配置消息z端口BP1收到来自DeviceA的配置消息{0,0,0,AP1},DeviceB发现接收到的配置消息优于本端口的配置消息{1,0,1,BP1},于是更新端口BP1的配置消息.
z端口BP2收到来自DeviceC的配置消息{2,0,2,CP2},DeviceB发现本端口的配置消息{1,0,1,BP2}优于接收到的配置消息,就把接收到的配置消息丢弃.
BP1:{0,0,0,AP1}BP2:{1,0,1,BP2}DeviceBzDeviceB对各个端口的配置消息进行比较,选出端口BP1的配置消息为最优配置消息,然后将端口BP1定为根端口,它的配置消息不作改变.
zDeviceB根据根端口BP1的配置消息和根端口的路径开销5,为BP2端口计算一个指定端口配置消息{0,5,1,BP2}.
zDeviceB使用计算出来的配置消息{0,5,1,BP2}和端口BP2上的配置消息进行比较,比较的结果是计算出来的配置消息较优,则DeviceB将端口BP2定为指定端口,它的配置消息被计算出来的配置消息替换,并周期性向外发送.
根端口BP1:{0,0,0,AP1}指定端口BP2:{0,5,1,BP2}z端口CP1收到来自DeviceA的配置消息{0,0,0,AP2},DeviceC发现接收到的配置消息优于本端口的配置消息{2,0,2,CP1},于是更新端口CP1的配置消息.
z端口CP2收到来自DeviceB端口BP2更新前的配置消息{1,0,1,BP2},DeviceC发现接收到的配置消息优于本端口的配置消息{2,0,2,CP2},于是更新端口CP2的配置消息.
CP1:{0,0,0,AP2}CP2:{1,0,1,BP2}经过比较:z端口CP1的配置消息被选为最优的配置消息,端口CP1就被定为根端口,它的配置消息不作改变.
z将计算出来的指定端口配置消息{0,10,2,CP2}和端口CP2的配置消息进行比较后,端口CP2转为指定端口,它的配置消息被计算出来的配置消息替换.
根端口CP1:{0,0,0,AP2}指定端口CP2:{0,10,2,CP2}z接着端口CP2会收到DeviceB更新后的配置消息{0,5,1,BP2},由于收到的配置消息比原配置消息优,则DeviceC触发更新过程.
z同时端口CP1收到DeviceA周期性发送来的配置消息,比较后DeviceC不会触发更新过程.
CP1:{0,0,0,AP2}CP2:{0,5,1,BP2}DeviceC经过比较:z端口CP2的根路径开销9(配置消息的根路径开销5+端口CP2对应的路径开销4)小于端口CP1的根路径开销10(配置消息的根路径开销0+端口CP1对应的路径开销10),所以端口CP2的配置消息被选为最优的配置消息,端口CP2就被定为根端口,它的配置消息就不作改变.
z将端口CP1的配置消息和计算出来的指定端口配置消息比较后,端口CP1被阻塞,端口配置消息不变,同时不接收从DeviceA转发的数据,直到新的情况触发生成树的计算,比如从DeviceB到DeviceC的链路down掉.
阻塞端口CP1:{0,0,0,AP2}根端口CP2:{0,5,1,BP2}经过上表的比较过程,此时以DeviceA为根桥的生成树就确定下来了,形状如图8-3所示.
8-7图8-3计算得到的生成树为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂.
(2)STP的配置消息传递机制z当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的配置消息,并以HelloTime为周期定时向外发送.
z接收到配置消息的端口如果是根端口,且接收的配置消息比该端口的配置消息优,则设备将配置消息中携带的MessageAge按照一定的原则递增,并启动定时器为这条配置消息计时,同时将此配置消息从设备的指定端口转发出去.
z如果指定端口收到的配置消息比本端口的配置消息优先级低时,会立刻发出自己的更好的配置消息进行回应.
z如果某条路径发生故障,则这条路径上的根端口不会再收到新的配置消息,旧的配置消息将会因为超时而被丢弃,设备重新生成以自己为根的配置消息并向外发送,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性.
不过,重新计算得到的新配置消息不会立刻就传遍整个网络,因此旧的根端口和指定端口由于没有发现网络拓扑变化,将仍按原来的路径继续转发数据.
如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路.
(3)STP定时器STP计算中,需要使用三个重要的时间参数:ForwardDelay、HelloTime和MaxAge.
zForwardDelay为设备状态迁移的延迟时间.
链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化.
不过重新计算得到的新配置消息无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路.
为此,STP采用了一种状态迁移的机制,新选出的根端口和指定端口要经过2倍的ForwardDelay延时后才能进入转发状态,这个延时保证了新的配置消息已经传遍整个网络.
zHelloTime用于设备检测链路是否存在故障.
设备每隔HelloTime时间会向周围的设备发送hello报文,以确认链路是否存在故障.
zMaxAge是用来判断配置消息在设备内保存时间是否"过时"的参数,设备会将过时的配置消息丢弃.
8-88.
1.
2RSTP简介RSTP由IEEE制定的802.
1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛.
其"快速"体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时在某种条件下大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间.
zRSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据.
zRSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口或者指定端口与点对点链路相连.
如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态.
8.
1.
3MSTP简介1.
MSTP产生的背景(1)STP、RSTP存在的不足STP不能快速迁移,即使是在点对点链路或边缘端口(边缘端口指的是该端口直接与用户终端相连,而没有连接到其它设备或共享网段上),也必须等待2倍的ForwardDelay的时间延迟,端口才能迁移到转发状态.
RSTP可以快速收敛,但是和STP一样存在以下缺陷:局域网内所有网桥共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发.
(2)MSTP的特点MSTP由IEEE制定的802.
1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制.
关于VLAN的介绍,请参见"VLAN配置".
MSTP的特点如下:zMSTP设置VLAN映射表(即VLAN和生成树的对应关系表),把VLAN和生成树联系起来.
通过增加"实例"(将多个VLAN整合到一个集合中)这个概念,将多个VLAN捆绑到一个实例中,以节省通信开销和资源占用率.
zMSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立.
zMSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担.
zMSTP兼容STP和RSTP.
8-92.
MSTP的基本概念图8-4MSTP的基本概念示意图CST:公共生成树MSTI:多生成树实例区域A0VLAN1映射到实例1VLAN2映射到实例2其它VLAN映射到CIST区域B0VLAN1映射到实例1VLAN2映射到实例2其它VLAN映射到CIST区域C0VLAN1映射到实例1VLAN2、3映射到实例2其它VLAN映射到CIST区域D0VLAN1映射到实例1,域根为BVLAN2映射到实例2,域根为C其它VLAN映射到CISTCIST:公共和内部生成树BPDUBPDUBPDUCDBA如图8-4所示,每台设备都运行MSTP,MSTP中的一些基本概念如下:(1)MST域MST域(MultipleSpanningTreeRegions,多生成树域)是由交换网络中的多台设备以及它们之间的网段所构成.
这些设备具有下列特点:z都使能了MSTP协议;z具有相同的域名;z具有相同的VLAN到生成树实例映射配置;z具有相同的MSTP修订级别配置;z这些设备之间在物理上有链路连通.
例如图8-4中的区域A0,域内所有设备都有相同的MST域配置:z域名相同;zVLAN与生成树实例的映射关系相同(VLAN1映射到生成树实例1,VLAN2映射到生成树实例2,其余VLAN映射到CIST.
其中,CIST即指生成树实例0);z相同的MSTP修订级别(此配置在图中没有体现).
一个交换网络可以存在多个MST域.
用户可以通过MSTP配置命令把多台设备划分在同一个MST域内.
(2)VLAN映射表8-10VLAN映射表是MST域的一个属性,用来描述VLAN和生成树实例的映射关系.
例如图8-4中,域A0的VLAN映射表就是:VLAN1映射到生成树实例1,VLAN2映射到生成树实例2,其余VLAN映射到CIST.
MSTP就是根据VLAN映射表来实现负载分担的.
(3)ISTIST(InternalSpanningTree,内部生成树)是MST域内的一棵生成树.
IST和CST(CommonSpanningTree,公共生成树)共同构成整个交换网络的生成树CIST(CommonandInternalSpanningTree,公共和内部生成树).
IST是CIST在MST域内的片段.
例如图8-4中CIST在每个MST域内都有一个片段,这个片段就是各个域内的IST.
(4)CSTCST是连接交换网络内所有MST域的单生成树.
如果把每个MST域看作是一个"设备",CST就是这些"设备"通过STP协议、RSTP协议计算生成的一棵生成树.
例如图8-4中红色线条描绘的就是CST.
(5)CISTCIST是连接一个交换网络内所有设备的单生成树,由IST和CST共同构成.
例如图8-4中,每个MST域内的IST加上MST域间的CST就构成整个网络的CIST.
(6)MSTI一个MST域内可以通过MSTP生成多棵生成树,各棵生成树之间彼此独立.
每棵生成树都称为一个MSTI(MultipleSpanningTreeInstance,多生成树实例).
例如图8-4中,每个域内可以存在多棵生成树,每棵生成树和相应的VLAN对应.
这些生成树就被称为MSTI.
(7)域根MST域内IST和MSTI的根桥就是域根.
MST域内各棵生成树的拓扑不同,域根也可能不同.
例如图8-4中,区域D0中,生成树实例1的域根为设备B,生成树实例2的域根为设备C.
(8)总根总根(CommonRootBridge)是指CIST的根桥.
例如图8-4中,总根为区域A0内的某台设备.
(9)域边界端口域边界端口是指位于MST域的边缘,用于连接不同MST域、MST域和运行STP的区域、MST域和运行RSTP的区域的端口.
在进行MSTP计算的时候,域边界端口在MST实例上的角色与CIST的角色保持一致,但Master端口除外——Master端口在CIST上的角色为根端口,在其它实例上的角色才为Master端口.
例如图8-4中,如果区域A0的一台设备和区域D0的一台设备的第一个端口相连,整个交换网络的总根位于A0内,则区域D0中这台设备上的第一个端口就是区域D0的域边界端口.
(10)端口角色在MSTP的计算过程中,端口角色主要有根端口、指定端口、Master端口、Alternate端口、Backup端口等.
z根端口:负责向根桥方向转发数据的端口.
z指定端口:负责向下游网段或设备转发数据的端口.
zMaster端口:连接MST域到总根的端口,位于整个域到总根的最短路径上.
从CST上看,Master端口就是域的"根端口"(把域看作是一个节点).
Master端口在IST/CIST上的角色是根端口,在其它各个实例上的角色都是Master端口.
8-11zAlternate端口:根端口和Master端口的备份端口.
当根端口或Master端口被阻塞后,Alternate端口将成为新的根端口或Master端口.
zBackup端口:指定端口的备份端口.
当指定端口被阻塞后,Backup端口就会快速转换为新的指定端口,并无时延的转发数据.
当使能了MSTP协议的同一台设备的两个端口互相连接时就存在一个环路,此时设备会将其中一个端口阻塞,Backup端口是被阻塞的那个端口.
端口在不同的生成树实例中可以担任不同的角色.
图8-5端口角色示意图请参考图8-5理解上述概念.
图中:z设备A、B、C、D构成一个MST域.
z设备A的端口1、端口2向总根方向连接.
z设备C的端口5、端口6构成了环路.
z设备D的端口3、端口4向下连接其它MST域.
(11)端口状态MSTP中,根据端口是否学习MAC地址和是否转发用户流量,可将端口状态划分为以下三种:zForwarding状态:学习MAC地址,转发用户流量;zLearning状态:学习MAC地址,不转发用户流量;zDiscarding状态:不学习MAC地址,不转发用户流量.
同一端口在不同的生成树实例中的端口状态可以不同.
端口状态和端口角色是没有必然联系的,表8-6给出了各种端口角色能够具有的端口状态("√"表示此端口角色能够具有此端口状态;"-"表示此端口角色不能具有此端口状态).
8-12表8-6各种端口角色具有的端口状态端口角色端口状态根端口/Master端口指定端口Alternate端口Backup端口Forwarding√√--Learning√√--Discarding√√√√3.
MSTP的基本原理MSTP将整个二层网络划分为多个MST域,各个域之间通过计算生成CST;域内则通过计算生成多棵生成树,每棵生成树都被称为是一个多生成树实例.
其中实例0被称为IST,其它多生成树实例为MSTI.
MSTP同STP一样,使用配置消息进行生成树的计算,只是配置消息中携带的是设备上MSTP的配置信息.
(1)CIST生成树的计算通过比较配置消息后,在整个网络中选择一个优先级最高的设备作为CIST的根桥.
在每个MST域内MSTP通过计算生成IST;同时MSTP将每个MST域作为单台设备对待,通过计算在域间生成CST.
CST和IST构成了整个网络的CIST.
(2)MSTI的计算在MST域内,MSTP根据VLAN和生成树实例的映射关系,针对不同的VLAN生成不同的生成树实例.
每棵生成树独立进行计算,计算过程与STP计算生成树的过程类似,请参见"8.
1.
14.
STP的基本原理".
MSTP中,一个VLAN报文将沿着如下路径进行转发:z在MST域内,沿着其对应的MSTI转发;z在MST域间,沿着CST转发.
4.
MSTP在设备上的实现MSTP同时兼容STP、RSTP.
STP、RSTP两种协议报文都可以被运行MSTP的设备识别并应用于生成树计算.
设备除了提供MSTP的基本功能外,还从用户的角度出发,提供了许多便于管理的特殊功能,如下所示:z根桥保持;z根桥备份;z根保护功能;zBPDU保护功能;z环路保护功能;z防TC-BPDU攻击保护功能;zMSTP支持接口板的热插拔,同时支持主控板与备板的倒换.
8.
1.
4协议规范与MSTP相关的协议规范有:zIEEE802.
1D:SpanningTreeProtocolzIEEE802.
1w:RapidSpanningTreeProtocolzIEEE802.
1s:MultipleSpanningTreeProtocol8-138.
2MSTP配置任务简介在配置前需要明确各设备在生成树实例中的角色:根桥或叶子节点.
每个生成树实例中只能有一台设备成为根桥,其余设备都是叶子节点.
表8-7MSTP配置任务简介配置任务说明详细配置配置MST域必选8.
3.
1配置根桥和备份根桥可选8.
3.
2配置MSTP的工作模式可选8.
3.
3配置设备的优先级可选8.
3.
4配置MST域的最大跳数可选8.
3.
5配置交换网络的网络直径可选8.
3.
6配置MSTP的时间参数可选8.
3.
7配置超时时间因子可选8.
3.
8配置端口的最大发送速率可选8.
3.
9配置端口为边缘端口可选8.
3.
10配置端口的链路类型可选8.
3.
13配置端口收发的MSTP报文格式可选8.
3.
14配置根桥使能MSTP协议必选8.
3.
15配置MST域必选8.
3.
1配置MSTP的工作模式可选8.
3.
3配置超时时间因子可选8.
3.
8配置端口的最大发送速率可选8.
3.
9配置端口为边缘端口可选8.
3.
10配置端口的路径开销可选8.
3.
11配置端口的优先级可选8.
3.
12配置端口的链路类型可选8.
3.
13配置端口收发的MSTP报文格式可选8.
3.
14配置叶子节点使能MSTP协议必选8.
3.
15执行mCheck操作可选8.
3.
16配置摘要侦听功能可选8.
3.
17配置NoAgreementCheck功能可选8.
3.
18配置MSTP保护功能可选8.
3.
198-14MSTP与以下功能互斥:业务环回、RRPP、SmartLink、STP协议的BPDUTunnel功能.
不能在端口上同时配置MSTP和上述功能.
8.
3配置MSTP8.
3.
1配置MST域请分别在根桥设备和叶子节点设备上进行如下配置.
表8-8配置MST域操作命令说明进入系统视图system-view-进入MST域视图stpregion-configuration-配置MST域的域名region-namename可选缺省情况下,MST域的域名为设备的MAC地址instanceinstance-idvlanvlan-list配置VLAN映射表vlan-mappingmodulomodulo二者可选其一缺省情况下,所有VLAN都映射到CIST(即实例0)上配置MSTP的修订级别revision-levellevel可选缺省情况下,MSTP的修订级别为0显示尚未生效的MST域配置信息checkregion-configuration可选激活MST域的配置activeregion-configuration必选显示当前生效的MST域配置信息displaystpregion-configuration可选display命令可以在任意视图执行z在两台或者多台使能了MSTP协议的设备上,只有当选择因子(缺省为0,不可配)、域名、VLAN映射表和MSTP修订级别的配置都相同,且这些设备之间有链路相通时,它们才能属于同一个MST域.
z在配置MST域的相关参数(特别是VLAN映射表)时,会引发生成树的重新计算,从而引起网络拓扑的振荡.
为了减少网络振荡,新配置的MST域参数并不会马上生效,而是在使用activeregion-configuration命令激活,或使用命令stpenable使能MSTP协议后才会生效.
8-158.
3.
2配置根桥和备份根桥MSTP可以通过计算来自动确定生成树的根桥,用户也可以通过手工配置将设备指定为生成树实例的根桥和备份根桥:z设备在各生成树实例中的角色互相独立,在作为一个生成树实例的根桥或备份根桥的同时,也可以作为其它生成树实例的根桥或备份根桥;但在同一个生成树实例中,一台设备不能既作为根桥,又作为备份根桥.
z在一个生成树实例中,生效的根桥只有一个;当两台或两台以上的设备被指定为同一个生成树实例的根桥时,MSTP将选择MAC地址最小的设备作为根桥.
z可以在每个生成树实例中指定多个备份根桥.
当根桥出现故障或被关机时,备份根桥可以取代根桥成为指定生成树实例的根;但此时若配置了新的根桥,则备份根桥将不会成为根桥.
如果配置了多个备份根桥,则MAC地址最小的备份根桥将成为指定生成树实例的根.
1.
配置根桥请在欲配置为根桥的设备上进行如下配置.
表8-9配置根桥操作命令说明进入系统视图system-view-配置当前设备为指定生成树实例的根桥stp[instanceinstance-id]rootprimary必选缺省情况下,设备不是任何生成树实例的根桥2.
配置备份根桥表8-10配置备份根桥操作命令说明进入系统视图system-view-配置当前设备为指定生成树实例的备份根桥stp[instanceinstance-id]rootsecondary必选缺省情况下,设备不是任何生成树实例的备份根桥z当设备被配置为根桥或者备份根桥之后,不能再修改该设备的优先级.
z也可以通过配置设备的优先级为0来实现将当前设备指定为根桥的目的.
有关设备优先级的配置,请参见"8.
3.
4配置设备的优先级".
8.
3.
3配置MSTP的工作模式MSTP和RSTP可以互相兼容,能够互相识别对方的协议报文,而STP无法识别MSTP的报文,MSTP为了实现与STP设备的混合组网,并完全兼容RSTP,设定了以下三种工作模式:zSTP兼容模式:设备的各端口都将向外发送STPBPDU;8-16zRSTP模式:设备的各端口都向外发送RSTPBPDU,当某端口发现其对端设备上运行STP时,该端口会自动迁移到STP兼容模式;zMSTP模式:设备的各端口都向外发送MSTPBPDU,当某端口发现其对端设备上运行STP时,该端口会自动迁移到STP兼容模式.
请分别在根桥设备和叶子节点设备上进行如下配置.
表8-11配置MSTP的工作模式操作命令说明进入系统视图system-view-配置MSTP的工作模式stpmode{stp|rstp|mstp}必选缺省情况下,工作模式为MSTP模式8.
3.
4配置设备的优先级设备的优先级参与生成树计算,其大小决定了该设备是否能够被选作生成树的根桥.
数值越小表示优先级越高,通过配置较小的优先级,可以达到指定某台设备成为生成树根桥的目的.
可以在不同的生成树实例中为设备配置不同的优先级.
请在根桥设备上进行如下配置.
表8-12配置设备的优先级操作命令说明进入系统视图system-view-配置设备的优先级stp[instanceinstance-id]prioritypriority必选缺省情况下,设备的优先级取为32768z当指定设备为根桥或者备份根桥之后,不能再修改该设备的优先级.
z在生成树根桥的选择过程中,如果设备的优先级相同,则MAC地址最小的设备将被选择为根.
8.
3.
5配置MST域的最大跳数MST域的最大跳数限制了MST域的规模,在域根上配置的最大跳数将作为该MST域的最大跳数.
从MST域内的生成树的根桥开始,域内的配置消息(即BPDU)每经过一台设备的转发,跳数就被减1;设备将丢弃跳数为0的配置消息,以使处于最大跳数外的设备无法参与生成树的计算,从而限制了MST域的规模.
请在根桥设备上进行如下配置,非根桥设备将采用根桥设备的配置值.
8-171.
配置过程表8-13配置MST域的最大跳数操作命令说明进入系统视图system-view-配置MST域的最大跳数stpmax-hopshops必选缺省情况下,MST域的最大跳数为208.
3.
6配置交换网络的网络直径交换网络中任意两台终端设备都通过特定路径彼此相连,这些路径由一系列的设备构成.
网络直径就是指交换网络中任意两台终端设备间的最大设备数.
网络直径越大,说明网络的规模越大.
请在根桥设备上进行如下配置.
表8-14配置交换网络的网络直径操作命令说明进入系统视图system-view-配置交换网络的网络直径stpbridge-diameterdiameter必选缺省情况下,交换网络的网络直径为7z当配置了网络直径后,MSTP会通过计算自动将设备的HelloTime、ForwardDelay和MaxAge三个时间参数设置为较优值.
z本配置只对CIST有效,而对MSTI无效,且只能在根桥上进行配置才会生效.
每个MST域看作是一台设备.
8.
3.
7配置MSTP的时间参数MSTP包括以下三个时间参数:zMSTP为了防止产生临时环路,在端口由Discarding状态转向Forwarding状态时设置了中间状态Learning,并且状态切换需要等待一定的时间,以保持与远端的设备状态切换同步.
根桥的ForwardDelay时间就用来确定状态迁移的时间间隔.
zHelloTime时间用于生成树协议定时发送配置消息维护生成树的稳定.
如果设备在一段时间内没有收到BPDU,则会由于消息超时而对生成树进行重新计算.
zMSTP可以检测链路故障,并自动恢复冗余链路为转发状态.
在CIST上,设备根据MaxAge时间来确定端口收到的配置消息是否超时.
如果端口上收到的配置消息超时,则需要对该生成树实例重新计算.
MaxAge时间对MSTI无效.
请在根桥设备上进行如下配置,整个交换网络中所有的设备都将采用CIST根桥上的时间参数值.
8-18表8-15配置MSTP的时间参数操作命令说明进入系统视图system-view-配置ForwardDelay时间参数stptimerforward-delaytime可选缺省情况下,ForwardDelay时间为1500厘秒(即15秒)配置HelloTime时间参数stptimerhellotime可选缺省情况下,HelloTime时间为200厘秒(即2秒)配置MaxAge时间参数stptimermax-agetime可选缺省情况下,MaxAge时间为2000厘秒(即20秒)整个交换网络中所有的设备采用CIST的根桥上的三个时间参数.
zForwardDelay时间的长短与交换网络的网络直径有关.
一般来说,网络直径越大,ForwardDelay时间就应该配置得越长.
如果ForwardDelay时间配置得过小,可能引入临时的冗余路径;如果ForwardDelay时间配置得过大,网络可能较长时间不能恢复连通.
建议用户采用缺省值.
z合适的HelloTime时间可以保证设备能够及时发现网络中的链路故障,又不会占用过多的网络资源.
如果HelloTime时间配置得过长,在链路发生丢包时,设备会误以为链路出现了故障,从而引发网络设备重新计算生成树;如果HelloTime时间配置得过短,设备将频繁发送重复的配置消息,增加了设备的负担,浪费了网络资源.
建议用户采用缺省值.
z如果MaxAge时间配置得过小,网络设备会频繁地计算生成树,而且有可能将网络拥塞误认成链路故障;如果MaxAge时间配置得过大,网络设备很可能不能及时发现链路故障,不能及时重新计算生成树,从而降低网络的自适应能力.
建议用户采用缺省值.
根桥的HelloTime、ForwardDelay和MaxAge这三个时间参数的取值应满足以下关系,否则会引起网络的频繁震荡:(1)2*(ForwardDelay-1second)úMaxAge(2)MaxAgeú2*(HelloTime+1second)建议使用stpbridge-diameter命令配置交换网络的网络直径,MSTP会根据网络直径自动计算出这三个时间参数的较优值.
8.
3.
8配置超时时间因子超时时间因子用来确定设备的超时时间:超时时间=超时时间因子*3*HelloTime.
当网络拓扑结构稳定后,非根桥设备会每隔HelloTime时间向周围相连设备转发根桥发出的BPDU以确认链路是否存在故障.
通常如果设备在9倍的HelloTime时间内没有收到上游设备发来的BPDU,就会认为上游设备已经故障,从而重新进行生成树的计算.
8-19有时设备在较长时间内收不到上游设备发来的BPDU,可能是由于上游设备的繁忙导致的,在这种情况下一般不应重新进行生成树的计算.
因此在稳定的网络中,可以通过延长超时时间来减少网络资源的浪费.
在一个稳定的网络中,建议将超时时间因子配置为5~7.
请在根桥设备上进行如下配置.
表8-16配置超时时间因子操作命令说明进入系统视图system-view-配置设备的超时时间因子stptimer-factorfactor必选缺省情况下,设备的超时时间因子为38.
3.
9配置端口的最大发送速率端口的最大发送速率是指:每HelloTime时间内端口能够发送的BPDU最大数目.
端口的最大发送速率与端口的物理状态和网络结构有关,用户可以根据实际的网络情况对其进行配置.
请分别在根桥设备和叶子节点设备上进行如下配置.
表8-17配置端口的最大发送速率操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置端口的最大发送速率stptransmit-limitlimit必选缺省情况下,端口的最大发送速率为10最大发送速率越高,每Hellotime内可发送的BPDU数量就越多,占用的系统资源也越多.
适当配置最大发送速率一方面可以限制端口发送BPDU的速度,另一方面还可以防止在网络拓扑动荡时,MSTP占用过多的带宽资源.
推荐采用缺省配置.
8.
3.
10配置端口为边缘端口当端口直接与用户终端相连,而没有连接到其它设备或共享网段上,则该端口被认为是边缘端口.
网络拓扑变化时,边缘端口不会产生临时环路.
由于设备无法知道端口是否直接与终端相连,所以需要用户手工将端口配置为边缘端口.
如果用户将某个端口配置为边缘端口,那么当该端口由堵塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间.
请分别在根桥设备和叶子节点设备上进行如下配置.
8-20表8-18配置端口为边缘端口操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置端口为边缘端口stpedged-portenable必选缺省情况下,端口为非边缘端口z在设备没有使能BPDU保护的情况下,如果被设置为边缘端口的端口上收到来自其它端口的BPDU,则该端口会重新变为非边缘端口.
此时,只有重启端口才能将该端口恢复为边缘端口.
z对于直接与终端相连的端口,请将该端口设置为边缘端口,同时使能BPDU保护功能.
这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全.
8.
3.
11配置端口的路径开销路径开销(PathCost)是与端口相连的链路速率相关的参数.
端口在不同的生成树实例中可以拥有不同的路径开销,设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发,从而实现按VLAN负载分担的功能.
设备可以自动计算端口的缺省路径开销,用户也可以直接配置端口的路径开销.
请在叶子节点设备上进行如下配置.
1.
配置设备计算端口的缺省路径开销所采用的标准在设备自动计算端口的缺省路径开销时,用户可以指定计算时所采用的标准,有以下三种:zdot1d-1998:按照IEEE802.
1D-1998标准来计算路径开销缺省值.
zdot1t:按照IEEE802.
1t标准来计算路径开销缺省值.
zlegacy:按照私有标准来计算路径开销缺省值.
表8-19配置设备计算端口的缺省路径开销所采用的标准操作命令说明进入系统视图system-view-配置设备在计算与设备相连的链路的缺省路径开销时采用的标准stppathcost-standard{dot1d-1998|dot1t|legacy}必选缺省情况下,设备采用的计算标准为legacy端口速率与cost值的对应关系如表8-20所示.
8-21表8-20端口速率与cost值对应表链路速率双工状态802.
1D-1998802.
1t私有标准0-65535200,000,000200,00010MbpsSinglePortAggregatedLink2PortsAggregatedLink3PortsAggregatedLink4Ports1001001001002,000,0001,000,000666,666500,0002,0001,8001,6001,400100MbpsSinglePortAggregatedLink2PortsAggregatedLink3PortsAggregatedLink4Ports19191919200,000100,00066,66650,0002001801601401000MbpsSinglePortAggregatedLink2PortsAggregatedLink3PortsAggregatedLink4Ports444420,00010,0006,6665,000201816142.
配置端口的路径开销表8-21配置端口的路径开销操作命令说明进入系统视图system-view-进入以太网或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置端口的路径开销stp[instanceinstance-id]costcost必选缺省情况下,自动按照相应的标准计算各个生成树实例上的路径开销z如果用户改变计算缺省路径开销值采用的标准,则之前通过stpcost命令设置的端口路径开销会失去作用.
z端口路径开销改变时,MSTP会重新计算端口的角色并进行状态迁移.
instance-id为0时表示设置为CIST的路径开销.
3.
配置举例#配置按照标准IEEE802.
1D-1998来计算路径开销缺省值.
system-view[Sysname]stppathcost-standarddot1d-1998#配置端口Ethernet1/3在指定生成树实例2上的路径开销为200.
system-view[Sysname]interfaceethernet1/38-22[Sysname-Ethernet1/3]stpinstance2cost2008.
3.
12配置端口的优先级端口优先级是确定该端口是否会被选为根端口的重要依据,同等条件下优先级高的端口将被选为根端口.
端口可以在不同的生成树实例中拥有不同的优先级,同一端口可以在不同的生成树实例中担任不同的角色,从而使不同VLAN的数据沿不同的物理路径传播,实现按VLAN进行负载分担的功能.
用户可以根据组网的实际需要来设置端口的优先级.
请在叶子节点设备上进行如下配置.
表8-22配置端口的优先级操作命令说明进入系统视图system-view-进入以太网或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置端口的优先级stp[instanceinstance-id]portprioritypriority必选缺省情况下,端口的优先级为128z端口优先级改变时,MSTP会重新计算端口的角色并进行状态迁移.
z一般情况下,配置的值越小,端口的优先级就越高.
如果设备所有端口都采用相同的优先级参数值,则端口优先级的高低就取决于该端口的索引号.
改变端口的优先级会引起生成树重新计算.
8.
3.
13配置端口的链路类型点对点链路是两台设备之间直接连接的链路.
以点对点链路相连的两个端口如果为根端口或者指定端口,则端口可以通过传送同步报文(proposal报文和agreement报文)快速迁移到转发状态,减少了不必要的转发延迟时间.
1.
配置过程表8-23配置端口是否与点对点链路相连操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一8-23操作命令说明配置端口的链路类型stppoint-to-point{auto|force-false|force-true}必选缺省情况下,端口的链路类型为auto,即由MSTP来自动检测与本端口相连的链路是否为点对点链路z如果一个端口工作在自协商模式,协商出来的工作模式是全双工,可以将此端口配置为点对点链路.
z当端口被设置为与点对点链路相连,则该端口在所有生成树实例上均被设置为与点对点链路相连.
如果端口实际物理链路不是点对点链路,用户错误配置为强制点对点链路,则有可能会引入临时环路.
8.
3.
14配置端口收发的MSTP报文格式端口可以收发的MSTP报文格式有两种:zdot1s:符合802.
1s协议的标准格式;zlegacy:与非标准格式兼容的格式.
端口默认配置为自动识别方式(auto),即可以自动识别这两种格式的MSTP报文,并根据识别结果确定发送报文的格式,从而实现与对端设备的互通.
用户也可以通过配置改变端口收发的MSTP报文格式,使端口只收发与所配格式相符的MSTP报文,实现与对端发送所配置格式报文的设备互通.
请分别在根桥设备和叶子节点设备上进行如下配置.
表8-24配置端口收发的MSTP报文格式操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置端口收发的MSTP报文格式stpcompliance{auto|dot1s|legacy}必选缺省情况下,端口会自动识别收到的MSTP报文格式并根据识别结果确定发送的报文格式8-24z设备提供了MSTP报文格式不兼容保护功能:在MSTP模式下,当端口上配置的收发MSTP报文格式不是auto时,如果端口收到了与所配格式不符的报文,该端口将成为指定端口,其状态将保持在Discarding,以防止出现环路.
z设备提供了MSTP报文格式频繁切换保护功能:设备运行过程中,如果端口收到的MSTP报文格式频繁变化,则表明组网中MSTP报文格式的配置出现了错误,此时在MSTP模式下会把该端口关闭以进行保护.
被关闭的端口只能由网络管理人员恢复.
8.
3.
15使能MSTP协议只有使能了MSTP协议,MSTP的其它配置才会生效.
请分别在根桥设备和叶子节点设备上进行如下配置.
表8-25使能MSTP协议操作命令说明进入系统视图system-view-全局使能MSTP协议stpenable必选缺省情况下,全局的MSTP协议处理关闭状态进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一在端口上使能MSTP协议stpenable可选缺省情况下,当全局使能了MSTP协议后,所有端口上的MSTP协议将处于开启状态为了灵活地控制MSTP工作,可以通过命令undostpenable关闭特定端口的MSTP协议,使这些端口不参与生成树计算,以节省设备的CPU资源.
8.
3.
16执行mCheck操作MSTP的工作模式有STP兼容模式、RSTP模式和MSTP模式三种.
在运行MSTP(或RSTP)的设备上,若某端口连接着运行STP协议的设备,该端口会自动迁移到STP兼容模式;但在下列两种情况下,该端口将无法自动迁移回MSTP(或RSTP)模式,而需要通过执行mCheck操作将其手工迁移回MSTP(或RSTP)模式:z运行STP协议的设备被关机或撤走;z运行STP协议的设备切换为MSTP(或RSTP)模式.
8-25可以在全局或在端口上执行mCheck操作.
1.
全局执行mCheck操作表8-26全局执行mCheck操作操作命令说明进入系统视图system-view-全局执行mCheck操作stpmcheck必选2.
在端口上执行mCheck操作表8-27在端口上执行mCheck操作操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number-在端口上执行mCheck操作stpmcheck必选只有当设备的MSTP运行模式为RSTP或MSTP模式时执行mCheck操作才有效.
8.
3.
17配置摘要侦听功能根据IEEE802.
1s规定,只有在MST域配置(包括域名、修订级别和VLAN映射关系)完全一致的情况下,相连的设备才被认为是在同一个域内.
当设备使能了MSTP协议以后,设备之间通过识别BPDU数据报文内的配置ID来判断相连的设备是否与自己处于相同的MST域内;配置ID包含域名、修订级别、配置摘要等内容,其中配置摘要长16字节,是由HMAC-MD5算法将VLAN实例映射关系加密计算而成.
在网络中,由于一些厂商的设备在对MSTP协议的实现上存在差异,即用加密算法计算配置摘要时采用私有的密钥,从而导致即使MST域配置相同,不同厂商的设备之间也不能实现在MSTP域内的互通.
通过在设备上与对MSTP协议的实现存在私有性差异的第三方厂商设备相连的端口使能摘要侦听功能,可以实现与这些厂商设备在MST域内的完全互通.
1.
配置准备与第三方厂商设备相连,网络配置正确,MSTP正常运行.
2.
配置摘要侦听功能只有当与对MSTP协议的实现存在私有性差异的第三方厂商设备(即采用私有密钥来计算配置摘要)互连时才有必要配置本功能.
8-26表8-28配置摘要侦听功能配置步骤命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一在端口上使能摘要侦听功能stpconfig-digest-snooping必选缺省情况下,摘要侦听功能处于关闭状态退回系统视图quit-全局使能摘要侦听功能stpconfig-digest-snooping必选缺省情况下,摘要侦听功能在设备上处于关闭状态z摘要侦听功能在端口生效后,由于不再通过配置摘要的比较计算来判断是否在同一个域内,因此需要保证互连设备的域配置中的VLAN实例映射关系配置相同.
z全局使能摘要侦听功能后,禁止修改MST域配置中VLAN与实例的映射关系,禁止执行undostpregion-configuration命令取消当前域配置,但可以修改域配置中的域名和修订级别.
z只有当全局和端口上都使能了摘要侦听功能后,该功能才能生效.
建议先在所有与第三方厂商设备相连的端口上都使能摘要侦听功能,然后再全局使能摘要侦听功能,以一次性让所有端口的配置生效,从而减少对网络的冲击;而关闭摘要侦听功能时,只需全局关闭即可,不必逐个端口关闭.
z请不要在MST域的边界端口上使能摘要侦听功能,否则可能会导致环路.
z建议配置完摘要侦听功能后再使能MSTP协议.
在网络稳定的情况下不要进行摘要侦听功能的配置,以免造成临时的流量中断.
3.
摘要侦听特性配置举例(1)组网需求zAPA和APB与对MSTP协议的实现存在私有性差异的厂商设备互联并配置在同一域内.
z在APA和APB上开启摘要侦听特性,实现与这些厂商设备在MSTP域内的互通.
(2)组网图8-27图8-6摘要侦听特性配置组网图(3)配置步骤#在APA的端口Ethernet1/0/1上使能摘要侦听功能,并全局使能摘要侦听功能.
system-view[APA]interfaceethernet1/0/1[APA-Ethernet1/0/1]stpconfig-digest-snooping[APA-Ethernet1/0/1]quit#全局开启摘要侦听特性.
[APA]stpconfig-digest-snooping#在APB的端口Ethernet1/0/1上使能摘要侦听功能,并全局使能摘要侦听功能.
system-view[APB]interfaceethernet1/0/1[APB-Ethernet1/0/1]stpconfig-digest-snooping[APB-Ethernet1/0/1]quit[DeviceB]stpconfig-digest-snooping8.
3.
18配置NoAgreementCheck功能RSTP和MSTP的指定端口快速迁移机制使用两种协议报文:zproposal报文:指定端口请求快速迁移的报文.
zagreement报文:同意对端进行快速迁移的报文.
RSTP和MSTP均要求上游设备的指定端口在接收到下游设备的agreement报文后才能进行快速迁移.
不同之处如下:z对于MSTP,上游设备先向下游设备发送agreement报文,而下游设备的根端口只有在收到了上游设备的agreement报文后才会向上游设备回应agreement报文.
z对于RSTP,下游设备无需等待上游设备发送agreement报文就可向上游设备发送agreement报文.
如图8-7所示,是MSTP的指定端口快速迁移机制.
8-28图8-7MSTP指定端口快速迁移机制根端口指定端口根端口阻塞其它非边缘端口上游设备下游设备发送proposal报文,请求快速切换发送agreement报文发送agreement报文根端口转为转发状态,并向上游发送agreement报文指定端口转为转发状态如图8-8所示,是RSTP的指定端口快速迁移机制.
图8-8RSTP指定端口快速迁移机制当设备与作为上游设备且对MSTP协议的实现存在私有性差异的第三方厂商设备互联时,二者在快速迁移的配合上可能会存在一定的限制.
例如:上游设备指定端口的状态迁移实现机制与RSTP类似;而下游设备运行MSTP并且不工作在RSTP模式时,由于下游设备的根端口接收不到上游设备的agreement报文,它不会向上游设备发agreement报文,所以上游设备的指定端口无法实现状态的快速迁移,只能在2倍的ForwardDelay延时后变成转发状态.
通过在设备上与对MSTP协议的实现存在私有性差异的上游第三方厂商设备相连的端口开启NoAgreementCheck功能,可避免这种情况的出现,使得上游第三方厂商设备的指定端口能够进行状态的快速迁移.
1.
配置准备z设备与作为上游设备且支持MSTP的第三方厂商设备互连,并且端口之间为点对点链路.
z为设备和第三方厂商设备配置相同的域名、域配置修订级别和VLAN与实例映射关系,以确保它们在同一个域内.
2.
配置NoAgreementCheck功能请在设备的根端口上进行如下配置,且只有在根端口上配置本功能才会生效.
8-29表8-29配置NoAgreementCheck功能操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一使能NoAgreementCheck功能stpno-agreement-check必选缺省情况下,NoAgreementCheck功能处于关闭状态当且仅当在根端口上开启NoAgreementCheck特性时,此特性才会生效.
3.
NoAgreementCheck功能配置举例(1)组网需求zAP与对MSTP协议的实现存在私有性差异的第三方厂商设备互连并配置在同一域内;z第三方厂商设备作为域根,AP作为下游设备.
(2)组网图图8-9NoAgreementCheck特性配置组网图(3)配置步骤#在AP的端口Ethernet1/0/1上使能NoAgreementCheck功能.
system-view[AP]interfaceethernet1/0/1[AP-Ethernet1/0/1]stpno-agreement-check8.
3.
19配置MSTP保护功能MSTP保护功能有以下四种:zBPDU保护功能z根保护功能z环路保护功能z防TC-BPDU攻击保护功能8-30在同一个端口上,环路保护功能、根保护功能和边缘端口这三种配置之间两两互斥,且只有先配置的才能生效.
1.
配置准备MSTP在设备上已经正确配置.
2.
配置BPDU保护功能对于接入层设备,接入端口一般直接与用户终端(如PC)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接收到配置消息(即BPDU)时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑结构的变化.
这些端口正常情况下应该不会收到STP的配置消息.
如果有人伪造配置消息恶意攻击设备,就会引起网络震荡.
MSTP提供了BPDU保护功能来防止这种攻击:设备上使能了BPDU保护功能后,如果边缘端口收到了配置消息,MSTP就将这些端口关闭,同时通知网管这些端口已被MSTP关闭.
被关闭的端口只能由网络管理人员恢复.
请在有边缘端口的设备上进行如下配置.
表8-30配置BPDU保护功能操作命令说明进入系统视图system-view-使能BPDU保护功能stpbpdu-protection必选缺省情况下,BPDU保护功能处于关闭状态BPDU保护功能对使能了环回测试功能的端口无效.
有关环回测试功能的相关介绍,请参见"以太网接口配置".
3.
配置根保护功能生成树的根桥和备份根桥应该处于同一个域内,特别是对于CIST的根桥和备份根桥,网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内.
但是,由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根桥有可能会收到优先级更高的配置消息,这样当前合法根桥会失去根桥的地位,引起网络拓扑结构的错误变动.
这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞.
为了防止这种情况发生,MSTP提供了根保护功能:对于使能了根保护功能的端口,其在所有实例上的端口角色只能为指定端口.
一旦该端口收到某实例优先级更高的配置消息,立即将该实例端口设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开).
当在2倍的ForwardDelay时间内没有收到更优的配置消息时,端口会恢复原来的正常状态.
请在设备的指定端口上进行如下配置.
8-31表8-31配置根保护功能操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一使能端口的根保护功能stproot-protection必选缺省情况下,端口上的根保护功能处于关闭状态4.
配置环路保护功能依靠不断接收上游设备发送的BPDU,设备可以维持根端口和其它阻塞端口的状态.
但是由于链路拥塞或者单向链路故障,这些端口会收不到上游设备的BPDU,此时下游设备会重新选择端口角色,收不到BPDU的下游设备端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路.
环路保护功能会抑制这种环路的产生.
对于使能了环路保护的端口,当收不到上游设备发送的BPDU,环路保护生效时,如果该端口参与了STP计算,则不论其角色如何,该端口上的所有实例将一直被设置为Discarding状态.
请在设备的根端口和Alternate端口上进行如下配置.
表8-32配置环路保护功能操作命令说明进入系统视图system-view-进入以太网接口或WLANMesh接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一使能端口的环路保护功能stploop-protection必选缺省情况下,端口的环路保护功能处于关闭状态5.
配置防TC-BPDU攻击保护功能设备在接收到TC-BPDU(网络拓扑发生变化的通知报文)后,会执行转发地址表项的刷新操作.
在有人伪造TC-BPDU恶意攻击设备时,设备短时间内会收到很多的TC-BPDU,频繁的刷新操作给设备带来很大负担,给网络的稳定带来很大隐患.
通过在设备上使能防TC-BPDU攻击保护功能,可以避免频繁地刷新转发地址表项.
防TC-BPDU攻击保护功能使能后,设备在收到TC-BPDU后的一定时间内,允许收到TC-BPDU后立即进行地址表项刷新操作的次数最多为stptc-protectionthreshold命令设置的次数(假设为n).
同时系统会监控在该时间段内收到的TC-BPDU数是否大于n,如果大于n,则设备在该时间超时后再进行一次地址表项刷新操作.
这样就可以避免频繁地刷新转发地址表项.
8-32表8-33配置防TC-BPDU攻击保护功能操作命令说明进入系统视图system-view-使能防TC-BPDU攻击保护功能stptc-protectionenable可选缺省情况下,防TC-BPDU攻击保护功能处于开启状态配置设备在收到TC-BPDU后一定时间内,允许收到TC-BPDU后立即刷新转发地址表项的最高次数stptc-protectionthresholdnumber可选缺省情况下,设备在收到TC-BPDU后一定时间内,允许收到TC-BPDU后立即刷新转发地址表项的最高次数为6建议不要关闭防TC-BPDU攻击保护功能.
8.
4MSTP显示和维护在完成上述配置后,在任意视图下执行display命令都可以显示配置后MSTP的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除MSTP的统计信息.
表8-34MSTP显示和维护操作命令显示非正常阻塞的端口信息displaystpabnormal-port显示被STP保护功能down掉的端口信息displaystpdown-port显示生成树实例端口角色计算的历史信息displaystp[instanceinstance-id]history显示生成树实例的所有端口收发的TC或TCN报文数displaystp[instanceinstance-id]tc显示生成树实例的状态和统计信息displaystp[instanceinstance-id][interfaceinterface-list][brief]显示当前生效的MST域的配置信息displaystpregion-configuration显示所有生成树实例的根桥信息displaystproot显示已使能VLANIgnore功能的VLAN列表displaystpignored-vlan清除生成树的统计信息resetstp[interfaceinterface-list]8.
5MSTP典型配置举例1.
组网需求使用MSTP使组网图中不同VLAN的报文按照不同的生成树实例转发.
具体配置为:z网络中所有设备属于同一个MST域.
8-33zAP之间两两WDS连接.
zVLAN10的报文沿实例1转发,VLAN20沿实例2转发.
zAPA、APB和APC均为接入层设备.
2.
组网图图8-10MSTP典型配置组网图3.
配置步骤(1)配置APA#进入MST域视图.
system-view[APA]stpregion-configuration#配置MST域的域名、VLAN映射关系和修订级别.
[APA-mst-region]region-nameexample[APA-mst-region]instance1vlan10[APA-mst-region]instance2vlan20[APA-mst-region]revision-level0#激活MST域的配置.
[APA-mst-region]activeregion-configuration[APA-mst-region]quit#全局使能MSTP功能.
[APA]stpenable#显示已经生效的MST域的配置信息.
[APA]displaystpregion-configurationOperconfigurationFormatselector:0Regionname:exampleRevisionlevel:0InstanceVlansMapped01to9,11to19,21to4094110220(2)配置APB#进入MST域视图.
system-view[APB]stpregion-configuration#配置MST域的域名、VLAN映射关系和修订级别.
[APB-mst-region]region-nameexample[APB-mst-region]instance1vlan108-34[APB-mst-region]instance2vlan20[APB-mst-region]revision-level0#激活MST域的配置.
[APB-mst-region]activeregion-configuration[APB-mst-region]quit#全局使能MSTP功能.
[APB]stpenable#显示已经生效的MST域的配置信息.
[APB]displaystpregion-configurationOperconfigurationFormatselector:0Regionname:exampleRevisionlevel:0InstanceVlansMapped01to9,11to19,21to4094110220(3)配置APC#进入MST域视图.
system-view[APC]stpregion-configuration#配置MST域的域名、VLAN映射关系和修订级别.
[APC-mst-region]region-nameexample[APC-mst-region]instance1vlan10[APC-mst-region]instance2vlan20[APC-mst-region]revision-level0#激活MST域的配置.
[APC-mst-region]activeregion-configuration[APC-mst-region]quit#全局使能MSTP功能.
[APC]stpenable#显示已经生效的MST域的配置信息.
[APC]displaystpregion-configurationOperconfigurationFormatselector:0Regionname:exampleRevisionlevel:0InstanceVlansMapped01to9,11to19,21to4094110220