数通网络实验手册(基础篇)V1.1-经典资料

1、数通网络实验手册（基础篇）内部公开华为技术有限公司产品版本密级V1.1内部公开产品名称页数数通网络实验手册（基础篇）数通网络实验手册（基础篇）拟制:朱仕耿 00261992日期：2014-03-18审核:日期：批准:日期：华为技术有限公司版权所有 侵权必究修订记录日期修订版本描述作者/修订人2014-03-011.0初稿完成朱仕耿 002619922014-03-111.1增加综合实验章节朱仕耿 00261992目 录数通网络实验手册（基础篇）11约 定52设备管理篇62.1通过Console登陆设备62.2通过Telnet登陆设备112.3管理及维护设备配置113实验准备124二层交换篇13

2、4.1VLAN的配置134.2Trunk的配置164.3以太网链路聚合184.4以太网端口镜像214.5使用STP防止二层环路224.6MSTP基本配置265路由基础篇305.1静态路由305.2RIPv2325.3OSPF基础实验（单区域）365.4OSPF基础实验（多区域）396三层交换篇416.1通过子接口实现VLAN间的互访416.2通过VLAN接口实现VLAN间的互访446.3三层交换机与路由器对接466.4静态路由及静态BFD496.5单区域OSPF536.6PBR576.7交换机上的PBR实验1576.8交换机上的PBR实验2607路由提高篇637.1路由重发布（OSPF与RIP

3、）637.2路由重发布（OSPF重发布直连路由）687.3路由重发布（OSPF重发布静态路由）718可靠性748.1路由器上的基础VRRP748.2路由器子接口上的VRRP778.3三层交换机上的基础VRRP808.4三层交换机上的多组VRRP838.5MSTP+VRRP的典型组网879网络安全篇939.1Eudemon防火墙基础实验939.2Eudemon防火墙NAT实验979.3防火墙上的IPSec Lan to Lan实验9910综合实验10710.1实验110710.1.1实验拓扑10710.1.2实验需求10810.1.3配置实现10910.1.4数据交互过程分析11310.1.5遗

4、留问题及防火墙双机热备11810.2实验212410.2.1实验拓扑12410.2.2实验需求12510.2.3配置实现12610.3实验313310.3.1实验拓扑13310.3.2实验需求13410.3.3配置实现1341 约 定图标约定2 设备管理篇2.1 通过Console登陆设备一般而言，网络设备（例如路由器、交换机、防火墙等设备）在设备面板上都会有一个用于配置和管理的专用接口 Console口（或CON口），通过这个接口，并使用专用的连接线缆将设备与PC进行连接，即可实现对设备的配置及管理，这是我们在工程实施中最常用的设备配置及管理方法之一。简单的说有四个步骤：1. 认识设备的Co

5、nsole口2. 准备好相关线缆3. 搭建配置环境4. 通过终端管理软件登陆设备下面我们来看看如何使用PC通过console口对设备进行配置和管理。1. 认识设备的Console口我司网络设备Console口都有做相关标记，比较容易识别，如下图（防火以E1000E为例）。2. 准备好相关线缆Console线缆一端为RJ45水晶头，一端为串口接头。RJ45接头用于连接设备的RJ45的Console口，线缆另一端的串口用于连接PC机，现在大部分台式机都有串口可以直接连接Console线缆。遗憾的是，大部分笔记本电脑上并没有配置串口，因此我们需要另一根线缆来转接，这就是上图所示的USB-RS232的

6、线缆，这根线缆可以说是网络工程师必备的工作工具，各大电子产品商铺均有销售（USB-RS232需要安装驱动才可使用，驱动程序安装包随线缆附送）。通过这根线缆，将USB端连接到笔记本电脑USB接口，RS232接头连接到Console线的串口，Console线的RJ45接头连接被管理网络设备的Console口，配置环境即可搭建完成。3. 搭建配置环境如果是使用便携（笔记本电脑）设备来配置路由器、交换机或者防火墙，则可参考如上图所示的线缆连接方法。将USB-RS232线缆的USB接口接到笔记本电脑上，同时线缆的另一头连接Console线的DB接口，Console线的另一端也就是RJ45水晶头这一端则接

7、到设备的Console口上。注意，如果是我司框式、插有冗余管理引擎板卡的网络设备，Console线要接在主引擎板的Console口上（而不是备引擎板）。完成这一步的线缆连接后，即可进入下一步。4. 通过终端管理软件登陆设备在PC上，我们需要准备好终端管理软件，用于管理和配置网络设备。一般常用的终端管理软件有：l Windows自带的终端管理工具（WIN7系统没有自带该工具）l SecureCRTl Putty本文档以SecureCRT为例做讲解。请自行下载SecureCRT并安装。安装完成之后，打开软件。在自动弹出的Connect对话框中选择下图所示的按钮来创建一个连接：在弹出的Quick C

8、onnect对话框中选择“serial”，即使用串行线缆管理设备：进一步配置如下：注意在此处：Port的选择：视个人情况而定，当用笔记本通过USB-RS232线缆接Console线管理设备时，USB-RS232线缆是需要在windows系统上安装驱动程序的，安装完成的结果是在系统中会出现一个模拟的COM口，而COM口编号可在右键“我的电脑”-“计算机管理”-“设备管理”-“端口（COM和LPT）”中看到相应的编号，此处现实的编号要与SecureCRT中上述的COM编号对应：Band Rate：这一项要看设备Console的默认参数而定，我司的大部分路由、交换及防火墙设备此处设置的值都是9600

9、。完成后点击“Connect”即可登陆设备。当然，第一次使用CONSOLE登陆设备才需要依照上述步骤来操作，往后再次登陆，则可使用上面以创建好的连接方式快速登陆。2.2 通过Telnet登陆设备在网络设备上线前的首次配置，往往是通过Console的方式进行的，但是在设备接入网络或者上线之后，使用Console的配置是低效的，毕竟这种配置方式要求我们人和电脑都要在设备旁边从而进行管理和配置。另一种管理和配置设备的方式是Telnet，通过Telnet我们能够通过IP网络远程对设备进行管理，只要你的管理机与网络设备之间具有IP连通性，同时网络设备上进行了相应的配置，那么你就能远程telnet到设备进

10、行管理。网络设备开启Telnet服务的配置如下：Quidway User-interface vty 0 4Quidway-ui-vty0-4 authentication-mode password#登陆者身份验证方式为密码验证Quidway-ui-vty0-4 protocol inbound telnet#协议为telnetQuidway-ui-vty0-4 set authentication password cipher huawei#设置登陆密码Quidway-ui-vty0-4 quitQuidway super password level 15 cipher huawei1

11、5 #设置15级管理员身份切换密码除了使用登陆密码进行Telnet的身份认证，另一种认证方式是采用aaa：Quidway User-interface vty 0 4Quidway-ui-vty0-4 authentication-mode aaa#认证方式为aaaQuidway-ui-vty0-4 quitQuidway aaa#进入aaa配置模式Quidway-aaa local-user admin password cipher Adm19gd#创建一个用户，并设置密码Quidway-aaa local-user admin privilege level 15#设定telnet用户为

12、15级别Quidway-aaa local-user admin service-type telnet#账户必须和telnet绑定，否则该账户无法成功telnet登陆2.3 管理及维护设备配置<SW1>save在设备上的每一个配置性操作，都会记录在设备的当前配置：“current-configuration”之中，这个配置文件是保存在动态内存中的，重启之后current-configuration将会丢失。因此为了保证设备重启后不丢失当前已经完成的配置，则要在配置变更后，将current-configuration保存到saved-configuration，也就是保存到启动配置

13、文件，这样设备重启后，将会读取已保存到FLASH存储器中的启动配置文件，加载到当期配置中运行。使用save命令来将current-configuration保存到启动配置文件，save关键字如果不指定可选参数configuration-file，则配置文件将保存为“vrpcfg.zip”。“vrpcfg.zip”是系统缺省命令的配置文件，初始状态是空配置。reset saved-configuration清除已保存的启动配置文件，下次设备重启将恢复出厂配置。copy flash:/vrpcfg.zip flash:/cfgbackup.zip备份配置文件3 实验准备本实验手册所编撰的几乎所有实

14、验都可使用我司eNSP模拟器平台进行模拟。eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台，主要对企业网路由器、交换机进行软件仿真，完美呈现真实设备实景，支持大型网络模拟，让广大用户有机会在没有真实设备的情况下能够模拟演练，学习网络技术。eNSP下载链接：或者在4 二层交换篇4.1 VLAN的配置1.实验拓扑及描述1. 本拓扑包含两台交换机及四台PC；2. 四台PC分别被规划到两个VLAN，VLAN10及VLAN20；3. PC的IP规划如图所示，VLAN10使用192.168.10.0/2

15、4的地址空间；VLAN20使用192.168.20.0/24的地址空间2.实验需求1. 根据图中所示，在交换机上创建相关VLAN；2. 将PC所连接的端口划分给相应的VLAN；3. 本实验完成后，暂不要求做IP连通性测试，也就是不要求PC之间互相做ping测试，仅在交换机上查看VLAN即可。3. 实验步骤及配置SW1的配置如下：# 在交换机创建VLAN10及VLAN20，使用batch关键字可以批量创建VLANSW1 vlan batch 10 20SW1 interface gigabitEthernet 0/0/1 #将接口GE0/0/1配置为Access模式，并且划入VLAN10SW1-

16、GigabitEthernet0/0/1 port link-type accessSW1-GigabitEthernet0/0/1 port default vlan 10 SW1 interface gigabitEthernet 0/0/2 #将接口GE0/0/2配置为Access模式，并且划入VLAN20SW1-GigabitEthernet0/0/2 port link-type accessSW1-GigabitEthernet0/0/2 port default vlan 20 SW2的配置如下：SW2 vlan batch 10 20SW2 interface gigabitE

17、thernet 0/0/1SW2-GigabitEthernet0/0/1 port link-type accessSW2-GigabitEthernet0/0/1 port default vlan 10 SW2 interface gigabitEthernet 0/0/2SW2-GigabitEthernet0/0/2 port link-type accessSW2-GigabitEthernet0/0/2 port default vlan 20 SW2-GigabitEthernet0/0/2 quit完成上述配置后，我们来检验一下：SW1 display vlanThe tot

18、al number of vlans is : 3-U: Up; D: Down; TG: Tagged; UT: Untagged;MP: Vlan-mapping; ST: Vlan-stacking;#: ProtocolTransparent-vlan; *: Management-vlan;-VID Type Ports -1 common UT:GE0/0/3(D) GE0/0/4(D) GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) GE0/0/1

19、3(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) GE0/0/21(D) GE0/0/22(D) GE0/0/23(U) GE0/0/24(U) 10 common UT:GE0/0/1(U) 20 common UT:GE0/0/2(U) VID Status Property MAC-LRN Statistics Description -1 enable default enable disable VLAN 0001 10 enable default ena

20、ble disable VLAN 0010 20 enable default enable disable VLAN 0020我们看到本机一共有3个VLAN：1、10、20，其中VLAN1为默认VLAN，在默认情况下，交换机的所有端口均划分到VLAN1。经过我们上述的配置后，可以通过display vlan命令看到VLAN10中已经添加了GE0/0/1接口，VLAN20中已经添加了GE0/0/2接口。4.2 Trunk的配置1实验拓扑及描述2 实验需求1. 根据上图所示，在交换机上创建相关VLAN；2. 将PC所连接的端口加入相应的VLAN；3. 将交换机直连的链路配置为Trunk，使得该链

21、路能够承载多VLAN流量；4. 完成配置后同一个VLAN内的用户能够互相访问，PC1能够ping通PC3；PC2能够ping通PC4。3 实验步骤及配置SW1的配置如下：SW1 vlan batch 10 20SW1 interface gigabitEthernet 0/0/1SW1-GigabitEthernet0/0/1 port link-type accessSW1-GigabitEthernet0/0/1 port default vlan 10 SW1 interface gigabitEthernet 0/0/2SW1-GigabitEthernet0/0/2 port lin

22、k-type accessSW1-GigabitEthernet0/0/2 port default vlan 20 # GE0/0/24口所连接的链路由于需要承载多VLAN流量，因此需配置为Trunk模式，并且放行VLAN10及VLAN20的流量。SW1 interface GigabitEthernet0/0/24SW1-GigabitEthernet0/0/24 port link-type trunkSW1-GigabitEthernet0/0/24 port trunk allow-pass vlan 10 20 Trunk类型的二层链路默认情况下不允许任何VLAN通行，因此需使用p

23、ort trunk allow-pass vlan命令在接口上放行所需VLAN。SW2的配置如下：SW2 vlan batch 10 20SW2 interface gigabitEthernet 0/0/1SW2-GigabitEthernet0/0/1 port link-type accessSW2-GigabitEthernet0/0/1 port default vlan 10 SW2 interface gigabitEthernet 0/0/2SW2-GigabitEthernet0/0/2 port link-type accessSW2-GigabitEthernet0/0/

24、2 port default vlan 20 SW2-GigabitEthernet0/0/2quitSW2interface GigabitEthernet0/0/24SW2-GigabitEthernet0/0/24 port link-type trunkSW2-GigabitEthernet0/0/24 port trunk allow-pass vlan 10 20 接下来我们来进一步查看配置的结果：SW1 display vlan The total number of vlans is : 3<- 省略部分输出->1 common UT:GE0/0/3(D) GE0/

25、0/4(D) GE0/0/5(D) GE0/0/6(D) GE0/0/7(D) GE0/0/8(D) GE0/0/9(D) GE0/0/10(D) GE0/0/11(D) GE0/0/12(D) GE0/0/13(D) GE0/0/14(D) GE0/0/15(D) GE0/0/16(D) GE0/0/17(D) GE0/0/18(D) GE0/0/19(D) GE0/0/20(D) GE0/0/21(D) GE0/0/22(D) GE0/0/23(D) GE0/0/24(U) 10 common UT:GE0/0/1(U) TG:GE0/0/24(U) 20 common UT:GE0/0/

26、2(U) TG:GE0/0/24(U) VID Status Property MAC-LRN Statistics Description -1 enable default enable disable VLAN 0001 10 enable default enable disable VLAN 0010 20 enable default enable disable VLAN 0020 从上述输出结果我们可以看到，在VLAN1、VLAN10、VLAN20都添加了GE0/0/24，因为这个接口已经被配置为Trunk模式，可承载多VLAN的流量，并且在配置中放行了VLAN10、VLAN2

27、0的流量。同时，该接口针对VLAN10及VLAN20的流量会进行Tag（TG），以便这两个VLAN的流量在Trunk链路上从一端传输到另一端时能够被正常识别。值得注意的是，在交换网络中，如果两台交换机之间的链路是二层链路，并且需承载多个VLAN的流量，那么这段链路的link-type是需要配置成trunk的，并且默认情况下，该trunk链路不允许任何VLAN的流量通过（除了vlan1），因此，还需要使用port trunk allow-pass vlan命令，将所需的VLAN放行。注意：在项目实施过程中，trunk接口上，如果用户数据没有使用vlan1，则用命令undo port trunk

28、allow-pass vlan 1将vlan1的流量禁止，已达到配置规范的目的。测试实验结果的方式很简单，VLAN10内的PC1与PC3能够互相ping通；VLAN20内的PC2与PC4能够互相ping通。4.3 以太网链路聚合1实验拓扑及描述1. 上图中，SW1的GE0/0/23口与SW2的GE0/0/23口互联，同时SW1的GE0/0/24口也与SW2的GE0/0/24口互联，也即SW1与SW2之间有两根互联链路。2. 设备接口编号及IP编址如图所示。2 实验需求1. 在交换机上创建相关VLAN；2. 将PC所连接的端口加入相应的VLAN；3. 将SW1及SW2之间的链路配置为聚合链路（E

29、th-trunk），并将该Eth-trunk配置为Trunk模式的接口，因为它需要承载多VLAN的流量；4. 完成配置后要求PC1与PC3能够相互ping通；PC2与PC4能够相互ping通。3 实验步骤及配置SW1的配置如下：#创建所需的VLAN，根据需求将接口加入相应的VLANSW1 vlan batch 10 20SW1 interface gigabitEthernet 0/0/1SW1-GigabitEthernet0/0/1 port link-type accessSW1-GigabitEthernet0/0/1 port default vlan 10 SW1 interfac

30、e gigabitEthernet 0/0/2SW1-GigabitEthernet0/0/2 port link-type accessSW1-GigabitEthernet0/0/2 port default vlan 20 SW1-GigabitEthernet0/0/2 quitSW1# 现在开始配置链路汇聚，先创建一个Eth-trunkSW1 interface Eth-Trunk 1# 由于该Eth-trunk需要承载多VLAN的流量，因此需配置为Trunk模式，同时放行VLAn10及VLAN20的流量SW1-Eth-Trunk1 port link-type trunkSW1-E

31、th-Trunk1 port trunk allow-pass vlan 10 20SW1-Eth-Trunk1 quitSW1 interface GigabitEthernet 0/0/23# 将接口添加到eth-trunk 1SW1-GigabitEthernet0/0/23 eth-trunk 1SW1 interface GigabitEthernet 0/0/24# 将接口添加到eth-trunk 1SW1-GigabitEthernet0/0/24 eth-trunk 1SW2的配置如下：SW2 vlan batch 10 20SW2 interface gigabitEther

32、net 0/0/1SW2-GigabitEthernet0/0/1 port link-type accessSW2-GigabitEthernet0/0/1 port default vlan 10 SW2 interface gigabitEthernet 0/0/2SW2-GigabitEthernet0/0/2 port link-type accessSW2-GigabitEthernet0/0/2 port default vlan 20 SW2-GigabitEthernet0/0/2 quitSW2SW2 interface Eth-Trunk 1SW2-Eth-Trunk1

33、port link-type trunkSW2-Eth-Trunk1 port trunk allow-pass vlan 10 20SW2-Eth-Trunk1 quitSW2 interface GigabitEthernet 0/0/23SW2-GigabitEthernet0/0/23 eth-trunk 1SW2 interface GigabitEthernet 0/0/24SW2-GigabitEthernet0/0/24 eth-trunk 1接下去我们来验证一下：SW1 display eth-trunk 1Eth-Trunk1's state information

34、 is:WorkingMode: NORMAL Hash arithmetic: According to SIP-XOR-DIP Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 Operate status: up Number Of Up Port In Trunk: 2 -PortName Status Weight GigabitEthernet0/0/23 Up 1 GigabitEthernet0/0/24 Up 1 我们看到，eth-trunk1这条聚合链路有两个成员链路，分别是GE0/0/23及GE

35、0/0/24，且状态都是UP的。完成配置后，PC1与PC3应该能够直接ping通；PC2与PC4也应该能直接ping通。4.4 以太网端口镜像1 实验拓扑及描述2 实验需求一台监控PC连接到了交换机的GE0/0/5口，并开启报文分析工具。现在欲对交换机GE0/0/24的入站报文做分析，在交换机上做端口镜像，将GE0/0/24接口处理的报文镜像到GE0/0/5上。3 实验步骤及配置交换机的配置如下：#配置观察接口，也就是镜像的目的接口observe-port 1 interface gigabitethernet0/0/5#配置镜像接口也就是源，如果要镜像双向的流量，则用both关键字。inte

36、rfae gigabitethernet0/0/24 port-mirroring to observe-port 1 inbound4.5 使用STP防止二层环路1 实验拓扑及描述2 实验需求1. 搭建如图所示的拓扑；2. 在不做任何配置的情况下，观察设备状态（指示灯等）；3. 开启生成树协议STP，观察相关现象；4. 配置STP，使得SW1成为网络的STP主根，SW2成为次根，并且SW3的GE0/0/23被Block。3 实验步骤及配置从拓扑我们能非常直观的看出，在物理上这是一个冗余的环境，存在环路。一旦在这个网络中出现流量，那么流量就很有可能在环路中被不断泛洪从而导致风暴。当出现广播风暴

37、时，我们能从设备的指示灯上观察到非常直观的现象：设备的指示灯会出现非常规律的“齐闪”。我司交换机默认关闭生成树协议，通过开启生成树协议，能在保证物理链路冗余的情况下，解决环路的问题：#选择生成树协议类型为STP（802.1D），并开启生成树SW1 stp mode stpSW1 stp enableSW2 stp mode stpSW2 stp enableSW3 stp mode stpSW3 stp enable在完成上述配置后，STP开始工作，并开始选举根桥（ROOT），三台交换机中，STP桥ID（桥优先级+桥MAC） 最小的交换机将成为本交换网络的根桥。当然，所有的交换机默认的桥优先级

38、为32768，这样一来拥有最小背板MAC的交换机将成为网络的根桥，这显然带有一定的不可控性，在实际的网络部署中，我们往往会手工指定一台设备成为ROOT，从而保证生成树计算的稳定性。例如在这个例子中，我们要手工指定SW1成为交换网络的主根桥，SW2成为本交换网络的次根桥：SW1上增加的配置如下：SW1 stp root primarySW2上增加的配置如下：SW2 stp root secondary现在，我们再看看实验效果：SW1 display stp-CIST Global InfoMode STP-CIST Bridge :0 .4c1f-cc06-71d8Config Times :H

39、ello 2s MaxAge 20s FwDly 15s MaxHop 20Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20CIST Root/ERPC :0 .4c1f-cc06-71d8 / 0CIST RegRoot/IRPC :0 .4c1f-cc06-71d8 / 0CIST RootPortId :0.0BPDU-Protection :DisabledCIST Root Type :Primary rootTC or TCN received :9TC count per hello :0STP Converge Mode

40、 :Normal Time since last TC :0 days 0h:4m:11sNumber of TC :11Last TC occurred :GigabitEthernet0/0/22从输出的信息我们得知，本交换机的桥ID为 0：4c1f-cc06-71d8，其中0为交换机的桥优先级，这显然是我们的命令stp root primary的作用，交换机的优先级被配置为0，最小值也是最优的值。4c1f-cc06-71d8是本机的背板MAC地址。而上述输出的信息中，ROOT的MAC也是4c1f-cc06-71d8，这就表明，本交换机就是网络的根桥。SW1 display stp bri

41、ef MSTID Port Role STP State Protection 0 GigabitEthernet0/0/22 DESI FORWARDING NONE 0 GigabitEthernet0/0/24 DESI FORWARDING NONE使用上述命令，可以查看STP的相关简化信息，从上面的输出我们可以看出，SW1的两个接口现在都是Forwarding转发状态。再去SW2上看看：SW2 display stp -CIST Global InfoMode STP-CIST Bridge :4096 .4c1f-cc34-71cd#本机的桥IDConfig Times :Hell

42、o 2s MaxAge 20s FwDly 15s MaxHop 20Active Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20CIST Root/ERPC :0 .4c1f-cc06-71d8 / 1#根桥的桥ID，也就是SW1CIST RegRoot/IRPC :4096 .4c1f-cc34-71cd / 0CIST RootPortId :128.24BPDU-Protection :DisabledCIST Root Type :Secondary rootTC or TCN received :60TC count per hello

43、 :0STP Converge Mode :Normal Time since last TC :0 days 0h:8m:8sNumber of TC :9Last TC occurred :GigabitEthernet0/0/24SW2为次根桥，它将在检测到SW1出现故障后，替代它成为网络的根桥。我想，你已经能想到SW3上哪一个端口将被Blocked了：SW3 display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet0/0/22 ROOT FORWARDING NONE 0 GigabitEthern

44、et0/0/23 ALTE DISCARDING NONESW3的GE0/0/23口现在是Discarding状态，被阻塞了。这是因为这个接口到达根桥SW1的开销最大。怎么看接口的开销呢？SW3display stp interface GigabitEthernet 0/0/23-Port23(GigabitEthernet0/0/23)DISCARDING- Port Protocol :Enabled Port Role :Alternate Port Port Priority :128#接口优先级 Port Cost(Dot1T ) :Config=auto / Active=1#接

45、口COST Designated Bridge/Port :4096.4c1f-cc34-71cd / 128.23 Port Edged :Config=default / Active=disabled Point-to-point :Config=auto / Active=true Transit Limit :147 packets/hello-time Protection Type :None Port STP Mode :STP Port Protocol Type :Config=auto / Active=dot1s BPDU Encapsulation :Config=s

46、tp / Active=stp PortTimes :Hello 2s MaxAge 20s FwDly 15s RemHop 0 TC or TCN send :1 TC or TCN received :34 BPDU Sent :2 TCN: 1, Config: 1, RST: 0, MST: 0 BPDU Received :367 TCN: 0, Config: 367, RST: 0, MST: 0如果此时，你希望SW3被阻塞的不是GE0/0/23口，而是GE0/0/22口呢？一种可选的办法是，将GE0/0/22 的接口COST调大，使得从这个接口上收到的BPDU，累加COST比

47、GE0/0/23口的累加值要大，也就是使得这个接口距离根桥SW1的“开销”更大、“更远”。SW3增加配置如下：SW3 interface GigabitEthernet 0/0/22SW3-GigabitEthernet0/0/22 stp cost 100SW3display stp brief MSTID Port Role STP State Protection 0 GigabitEthernet0/0/22 ALTE DISCARDING NONE 0 GigabitEthernet0/0/23 ROOT DISCARDING NONE4.6 MSTP基本配置1 实验拓扑及描述2 实

48、验需求1. 在各交换机上创建VLAN10、20、30、40；将交换机互联接口全部配置为Trunk模式并放行所有VLAN。2. 将VLAN10及20映射到MSTP实例1；VLAN30及40映射到MSTP实例23. 分别针对实例1及实例2进行优先级的配置，使得最终两棵CIST阻塞的端口如图所示，从而实现CIST的负载均衡。 3 实验步骤及配置SW1的配置如下：SW1 vlan batch 10 20 30 40SW1 stp mode mstp#将生成树模式设置为MSTPSW1 stp region-configuration#进入MSTP配置视图，MSTP域名为huawei，同时配置VLAN到实例的映射，并激活MSTP配置SW1-mst-region region-name huaweiSW1-mst-region instance 1 vlan 10 20SW1-mst-region instance 2 vlan 30 40SW1-mst-region active region-configurationSW1-mst-regio