管理型交换机技术手册

联科通治理型交换机技术手册VER：1.0治理型交换机技术手册治理型交换机技术手册版权声明是深圳市联科通网络技术注册商标。这里提及的其它产品和产品名称均是他们所属公司的权属于深圳市联科通网络技术全部，在未经过深圳市仿制或翻译。或硬件的升级会略有差异，如有变更，恕不另行通知，如需了解更多产品信息，请扫瞄我们公司的网站：“://ip-com.cn/“://ip-com.cn前 言版本说明本手册对应产品为：IP-COM治理型交换机。本书简介《IP-COMIP-COM治理型交换机高级功能的手册。IP-COM治理型交换机在原有的根底802.1XRSTP/STPIGMPSnooping、SNMP。针对《IP-COM治理型交换机说明书》对能，依据自己的需求实现轻松便利治理网络的目的。章节安排如下：802.1XRSTP/STPIGMPSnoopingSNMP读者对象本书适合以下人员阅读：网络工程师网络治理人员具备网络根底学问的用户相关手册《G1216T&G1224T》全千兆治理型交换机说明书目 录\l“_TOC_250020“第一章802.1X 1\l“_TOC_250019“1.1802.1X协议介绍 1\l“_TOC_250018“1.2RADIUS协议介绍 7\l“_TOC_250017“1.3802.1X认证配置 12\l“_TOC_250016“1.4802.1X认证明例 14\l“_TOC_250015“其次章RSTP/STP 18\l“_TOC_250014“RSTP/STP介绍 18生成树工作过程 18生成树端口状态 21\l“_TOC_250013“生成树相关参数 21RSTP与STP 23\l“_TOC_250012“RSTP/STP配置 25RSTP设置 25RSTP端口 27RSTP状态 28\l“_TOC_250011“RSTP/STP实例 29\l“_TOC_250010“第三章IGMPSNOOPING 32\l“_TOC_250009“IGMPSNOOPING介绍 32组播(Multicast)概述 32组播(Multicast)寻址 34IGMPSnooping原理 38IGMPSnooping实现过程 39\l“_TOC_250008“IGMPSNOOPING设置 42\l“_TOC_250007“Snooping设置 42\l“_TOC_250006“Snooping状态 43\l“_TOC_250005“IGMPSNOOPING实例 44\l“_TOC_250004“第四章SNMP 46\l“_TOC_250003“SNMP介绍 464.1.2SNMP版本 504.1.4Trap(陷阱) 53\l“_TOC_250002“SNMP设置 56\l“_TOC_250001“SNMP实例 57\l“_TOC_250000“附录 60治理型交换机技术手册治理型交换机技术手册10第一章802.1X802.1X协议介绍802.1x协议起源于802.11协议，802.11协议是标准的802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开头被应用于一般的有线LAN802.1xLAN应用都没有直接LANLAN接入在网络上大规模开展，有必要对端口加以掌握，以实现用户级的接入掌握。802.1xIEEE为了解决基于端口的接入掌握(Port-BasedAccessControl)而定义的一个标准。802.1x协议是一个基于端口的访问掌握和认证协议，是一种对用户进展认证的方法和策略。这里指的端口是规律端MACVlanID等(对于无线局域网来说“端口”就是一条信道)，IP-COM治理型交换机实现的802.1x协议。802.1xPC机802.1x认户进展认证。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口，假设认证成功那么就“翻开”这个端口，“关闭”，此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过，也就是说用户必需在认证通过后才能访问网络。802.1X认证体系的构造802.1x设备是由三局部组成：客户端(SupplicantSystem)、认证系统(AuthenticatorSystem)和认证效劳器ServerSystem)。在客户端和认证系统之间使802.1x协议进展通信，在认证系统和认证效劳器之间使用RADIUS1-1所示。图1-1SupplicantSystem(客户端)是需要接入LAN，及享受交换机供给效劳的设备(PC机)，客户端需要支持EAPOL协议，客户端必需运行802.1X客户端软件，如：802.1X-complain〔MicrosoftWindowsXP操作系统自带802.1X客户端〕。System线接入设备)是依据客户的认证状态掌握物理接入的设备，交换机在客户和认证效劳器间充当代理角色。交换机与EAPOL协议进展通讯，交换机与认证效劳EAPoRadiusEAP承载在其他高层协议上，以便穿越简单的网络到达AuthenticationServer；交换机要求客户端供给自己的身份，接收到后将EAP报文承载Radius格式的报文中，再发送到认证效劳器，返回等Authenticationserver(认证效劳器)对客户进展实际认证，认证效劳器核实客户的身份，通知交换机是否允许客户端访问LAN和交换机供给的效劳，认证效劳器承受客户端传递过来的认证需求，认证完成后将认证结果下发给客户端，完成对端口的治理。由于EAP协议较为敏捷，除了IEEE802.1xVLANQOS、加密认证密钥、DHCP响应等。802.1X协议包简介802.1x协议在网络上传输的认证数据流是EAPOL帧格(包括用户名和口令)封装在EAP(扩展认证协议)中，EAP再封装在EAPOL帧中。用户名以明文的EAPMD5EAP中存在。EAP1-2图。CodeEAP包的类型，包括Request、Response、Success和Failure。IdentifierResponseRequest。Length指EAPDataEAPEAP包括以下四种类型：EAP-Request：Code1，EAP恳求包，从交换机发给客户端恳求用户名和(或)口令。EAP-Response：Code2，EAP应答包，从客户端发给交换机，把用户名和(或)口令送给交换机。EAP-Success：Code值为3，EAP成功包，从交换机发给客户端，告知客户端用户认证成功。EAP-Failure：Code4，EAP失败包，从交换机发给客户端，告知客户端用户认证失败。802.1X实现的过程802.1xAuto时，该端1-3：1-3当用户需要访问网络时，客户端首先发送报文向交换机恳求认证，交换机收到认证恳求后发送EAP-Request恳求用EAP-ResponseEAP信息提取出来封装在RADIUS包中发给认证效劳器，认证效劳器恳求用户的口令，交换机发送EAP-Request给客户端恳求EAP-ResponseEAP信息封装在RADIUS包中发送给认证效劳器，认证效劳器依据知交换机，交换机发EAP-Success给客户端并把用户的规律端口处于授权状态。当客户端收到EAP-Success后表示认证发送EAPOL-Logoff下线，IP-COM治理型交换机供给了重认证的机制，可以败，用户将不能使用网络。802.1X端口状态这里指的端口状态是交换机的物理端口状态。交换机的物理端口存在四种状态：802.1x关闭状态、自动状态、强制授权状态和强制非授权状态。当交换机没有翻开802.1x时，全部的端口处于802.1x关闭状态。当交换机端口要设置成自动802.1x功能。当交换机的端口处于802.1x关闭状态时，端口下的全部802.1x协议包时，丢弃这些协议包。认证的包时，交换机回送EAP-Success包，当交换机从802.1x协议包时，丢弃这些协议包。802.1x协议包时，丢弃这些协议包。般要设置成自动状态。RADIUS协议介绍当用户进展认证时，交换机和认证效劳器之间承受支持EAPRADIUSRADIUS协议承受客户/效劳器模型交换机需要实现RADIUS客户端而认证效劳器需要实现RADIUS效劳端。为了保证交换机和认证效劳器法的交换机或非法的认证效劳器之互，交换机和认证效劳器之间要相互鉴权。交换机和认证效劳器需要一个一样的密钥，当交换机或认证效劳器发送RADIUS协议包时，全部的协议包要依据密钥承受HMAC算法生成消息摘要，当交换机和认证效劳器收到RADIUS协议全部的协议包的消息摘要要使用密钥进展验证，假设验证通过，认为是合法的 RADIUS协议包，否则是非法的RADIUS协议包，将丢弃非法的RADIUS协议包。RADIUS协议包简介RADIUSUDP之上的协议，RADIUS可以封RADIUS认证端口是1645，1812RADIUS1646，目1813IP-COM治理型交换机临时只支持RADIUSRADIUS计费功能。RADIUSUDPRADIUS要有超时重发机制。同时为了提高认证系统与RADIUS效劳器通信的牢靠性，可以承受两个RADIUS效劳器方案，即承受备用效劳器机制。RADIUS1-4。CodeRADIUS协议报文类型。Identifier指标识符，用于匹配恳求和应答。Length指整个报文(包括报文头)的长度。Authenticator16字节的串，对于恳求包是一个随机数，对于应答包是MD5生成AttributeRADIUSRADIUS报文包括以下六种类型：Access-Request：Code1，从认证系统发给认证服务器的认证恳求包，用户名和口令封装在此包上。Access-Accept：Code2，从认证效劳器发给认证系统的应答包，表示用户认证成功。Access-Reject：Code3，从认证效劳器发给认证系统的应答包，表示用户认证失败。Access-Challenge：Code值11，从认证效劳器发给认证系统的应答包,表示认证效劳器需要用户的进一步的信息,如口令等。Accounting-Request：Code值为4，从认证系统发给认费信息封装在此包上。Accounting-Response：Code值为5，从认证效劳器发给认证系统的计费应答包，表示计费信息已收到。1-4RADIUS实现的过程Access-RequestAccess-Challenge恳求用户的口令，交换机恳求客户端用户的EAPEAP后封装在Access-Request认证，假设认证成功，回送Access-Accept给交换机，交换机收到此报文后通知客户端认证成功。当交换机具有计费功能时，同时发送Accounting-Request通知认证效劳器开头计费，认证效劳器回送Accounting-Response。当用户不想使用网络时，通知交换机用户下线，交换机发Accounting-Request通知认证效劳器完毕Accounting-Response1-5：图1-5RADIUS用户验证方法RADIUS有三种用户验证方法，如下：PAP(PasswordAuthenticationProtocol)。用户以明文的形式把用户名和他的密码传递给交换机。交换机通过RADIUS协议包把用户名和密码传递给RADIUS效劳器，RADIUS验证通过,否则说明验证未通过。CHAP(ChallengeHandshakeAuthenticationProtocol)。16字节的随机码给用户。用户对随机码，密码以及其它各域加密生成一个response，把用户名和response传给交换机。交换机把用户名，response16字节随机码传给RADIUS效劳器。RADIU依据用户名在交换机端查找数据库，得到和用户端进展16字节的随机码进展加密，将其结果与传来的response作比较，假设一样说明验证通过，假设不一样说明验证失败。EAP(ExtensibleAuthenticationProtocol)法，交换机并不真正参与验证，只起到用户和RADIUS效劳RADIUS效劳器，RADIUS效劳器16字节的随机码给用户并存储该随机码，用户对随机码，密码以及其它各域加密生成一个response，把用户名responseRADIUS效劳器。RADIU依据用户名在交换机端查找数据库，得到和用户端进展16字节的随机码进展加密，将其结果与传来的response作比较，假设一样说明验证通过，假设不一样说明验证失败。IP-COM治理型交换机的认证承受的是EAP用户验证方法。802.1X认证配置1.3.1802.1X设置图1-6802.1X802.1X认证功能IP：设置认证效劳器的IP地址UDPUDP1812共享密匙：依据认证效劳器端相对应的密匙进展设置。重认证模式：设置是否开启重认证3600秒，即每隔一小时重认证一次。EAPEAP30秒。1.3.2802.1X端口设置1-7自动状态。当端口为强制授权状态，此端口可以通过任何报文；当端口为强制非授权状态，此端口只能通过认证信息的报文；当端口为自动状态时，依据认证状况选择可以通过的报文。802.1X关闭、链路断开、授权状态、非授权状态。强制端口重认证：点击相应的端口进展强制重认证。802.1X认证明例1-8。IP-COM4台PC和1PC机的IP1-4IP0IP-COM治理型交换机使用默认IP地址。PC机分别连接交换机端口1-4，认证效劳器连24。1-8首先在认证效劳器上安装认证效劳器软件(这里使用第三方软件WinRadius)，做好相关的认证设置，认证端口我们承受“1812”，认证密匙设置为：“1234”。添加认证帐号“test”，登陆密码“test”。1-9IP-COM802.1x1-10图。将“802.1x模式”设置“启用”；设置“RADIUSIP”为“0”(与认证效劳器的IP地址保持全都)；设置“RADIUSUDP端口”为“1812”(与认证效劳器上的设置保持全都)“RADIUS共享密匙”为“1234”(为“10”秒；“EAP超时”使用默认值“30”秒。1-10最终在802.1x端口设置中将端口1-4都设置为自动状PC1-5在“本地连接属性设置”中将“IEEE802.1x验证”“EAP类型”设置为“MD-质询”PC1-4以XP自带认证客户端软件，其他操作系统需自行安装认证客户端软件。 图1-11 图1-12认证设置完成后，PC1-4会消灭需要验证身份的提示，点击提示后消灭对话框进展身份验证，我们在PC1上输入帐号“test”，密码“test”，验证成功后PC1PC2-4正常的通信。图1-13 图1-14在交换机802.1x端口设置页面中可以查看到端口1为“授权状态”2-4为“非授权状态”。在认证效劳器上也可以查看到相应的认证状况。1-151-16其次章RSTP/STPRSTP/STP介绍现在的大型网络设计一般都承受分层构造，即分为核心比方高端以太网交换机，会聚层承受一些中低端的交换机担层交换机之间的链路确定多于一条。种危急，这种机制就是生成树协议。STP是SpanningTreeProtocol的英文缩写。该协议可应用于环路网络，通过肯定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避开报文在环路网络中的增生和无限循环。生成树工作过程交换机启动的时候，向各个端口发送BPDU(桥接协议数BridgeProtocolDataUnit)MAC地MAC地址，这样就保证了以太网上全部BPDU(初始化为自己)，到根交换机的本钱等等。交换机接收到这个BPDU后，STA(SpanningTreeArithmetic)的数学公式进展计算。通过STA计算，网桥就可以知道网络上是否存，最终除出环路。生成树协议运行过程分几个过程：选择根桥：启动生成树协议后，交换机之间通过传递BPDU包来交换信息。BPDU包中有一项重要信息，交换ID86个MACMAC地址的唯一性，同样能保证交换机ID的唯一性。IP-COM治理型32768，这个数值可由网络治理员修改。因此，网路治理员可以通过掌握优先级的大小来选择哪个设备为根桥。网络中交换机启动生成树协ID的大小选举根网桥。协议规定，交换机ID最小的为根桥，根桥只能有一个。假设是，则选择它为根交换机，这样长时间的选择，最终网络中的(该交换机的标识最低)。交换机从接收到的BPDU中可以计算出自己哪个端口到口优先级，端口优先级小的端口将被选为根端口。选择指定端口和指定交换机：选择出根端口之后，交换时机向全部其他未堵塞端口(起来或手工关闭)发送从根端口接收到的BPDU。不过发送的时候，把BPDU进展修改，把其中的发送交换机标识填写成自己的标识，到根交换机的本钱改为端口本钱加上根端口到根交换机的本钱，比方，根端口到根交换机的本钱为100，而某个端口的本钱为20，则从该端口把BPDU发送出去后，相应的到根交换机的本钱就转换为120BPDU时候就把自己刚刚发送的BPDU同接收到的BPDU比较，看哪个距离根比较近(路径开销小)，假设自己的本钱低，则该端口跳转到转发状态，也就是说，该端口成为相应冲突域的指定端口，而该交换机就是相应冲突域的指定交换机。而刚刚发送BPDU的交换机由于觉察自己到根的本钱高，就会堵塞该端口。其实，阶段二和阶段三是确定到根桥的最正确通路的一个过程。并且由于三个阶段的唯一性，这样生成树协议将去掉多台交换机形成的环路。生成树端口状态端口状态共有五种端口状态：堵塞状态(Blocking) 只侦听BPDU包不进展数据帧转发。侦听状态(Listening) 只侦听数据帧，不进展转发。学习状态(Learning) 学习地址信息，不进展转发。转发状态(Forwarding) 学习地址信息，并进展转发。无效状态(Disabled) 不进展转发，不侦听BPDU包。因设备故障或者网络治理员的操作而导致。通常状况下，交换机端口的状态是依据如下挨次进展转态，最终会转换为转发状态或堵塞状态。生成树相关参数系统优先级(BridgePriority)：交换机的优先权可选数值范065535。0表示最高的优先权。老化时间(Max.Age)6秒到40秒。在最大时限将到时，假设还没有收到从根桥发出的BPDU，那么，你的交换机将开头发送它自己的BPDU标识符确实是最低的，那么它将成为根桥。呼叫时间(HelloTime)1秒10秒。这是根桥发送两个BPDU的时间间隔，告知其旦你的交换机成为了根桥，该问候时间就会派上用处。转发延时(ForwardDelayTimer)：转发延迟时间的可选数430秒。这是交换机上的端口从堵塞状态转变为转发状态所需的时间。路径开销(PortCost)0至200000000口。端口优先级(PortPriority)：当非根交换机路径开销全都时，端口优先级数值越小，相应的端口将成为根端口。IP-COM治理型交换机的端口优先级与端口ID相全都，112的2，依次类推。留意：当你需要变动生成树参数时，请肯定记住下述公式：最大的桥老化时间≤2x(桥转发时延–1秒)即：Max.Age2x(ForwardDelay-1second)最大的桥老化时间≥2x(问候时间+1秒)即：Max.Age2x(HelloTime1second)RSTPSTPSTP端口从堵塞状态进入转发状态必需经受两倍的转发频繁失去连通性，用户就会无法忍受。RSTP(快速生成树协议)是从STP(生成树协议)进展而来，实现的根本思想全都，快速生成树具备生成树的全部功能。快速生成树改进目的就是当网络拓扑构造发生变化时，尽可能快的恢复网络的连通性。快速生成树主要有三大改进：拓扑构造中的根端口可以马上进入转发状态。且无需传递配置消息。手，快速进入转发状态。效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的状况下，握手从网络的一边开头76次握手。两点留意:1、握手必需在点对点链路的条件下进展。2、一次握手之后，响应握手的网桥的非边缘指定端口将何延时。成回路，所以进入转发状态无需延时。快速生成树与生成树的不同之处主要有：1、协议版本不同2、端口状态转换方式不同3、配置消息报文格式不同4、拓扑转变消息的传播方式不同留意：,不能解决由于网络规模增大带来的性能降低问题。建议网络直7。RSTP/STP配置RSTP设置2-1使用。HelloTime(问候时间)110秒。是指根桥向其它全部交换机发出BPDU数据包的时间间隔，用处。640秒。假设在超出最BPDU数据包，那么，在允许的条件下你的交换机将充当根桥向其它全部的交换机发出BPDU数据包。假设交换机确实是具有最小的桥标志级数，那么，它将随之成为根桥。尽量不要选用较小的数值，以免不断不必要地重设根桥。430秒。是指交换机的端口时越大。STP802.1WRSTP(快速生成树协议)802.1DSTP(生成树协议)，默认为RSTP。RSTP端口2-2使能RSTP/STP：可以设置该端口是否开启生成树功能，默认全部端口都是关闭。边缘端口：假设端口直接与终端相连，则该端口可以设置为边缘端口。假设将与交换机相连的端口配置为边缘端2倍的转发延时就可以直接进入转发状态。0-200000000，设为0表示自动依据端口速度打算端口路径开销。RSTP状态2-3RSTPIDID以及HelloTime、最大老化时间、转发延时。RSTP端口状态：可以查看点对点端口、协议、端口状态以及设置的路径开销、边缘端口。RSTP/STP实例组网连接图〔2-4〕如下，有三个局域网用三台交换机一AB发出一个播送包，那么，交换机B将把此数据包播送给交换机C，而交换机C又会将此数据包播送A。随后会始终将如此反复，播送包将会在这个环网络环路的发生，可以承受生成树解决。RSTP设置页面，分别设置交换机A、B、C的系统优先级为4096、28762、40960，其余参数设置建议尽量不要改动其出厂默认设置值。当你确实需要变动生成树参数时，记住下述公式：最大的桥老化时间≤2x(桥转发时延–1秒)即：Max.Age2x(ForwardDelay-1second)最大的桥老化时间≥2x(问候时间+1秒)即：Max.Age2x(HelloTime1second)图2-5 图2-6 图2-7RSTPA、B、C1、2、3RSTP/STPA1、2、32000，交换机B1、2、3端口路径开销为20000，交换机C1、2、3200000。图2-8 图2-9 图2-10IDA为根桥。生成树算法C1C2B与交换机C之间的连承受到限制，以打破环路的形成。现在，AC发出一个播送包，那么，交换机C2处将此数据包丢弃，那么此播送将完毕。点击进入RTSP状态页面，查看状态结果，与我们预想的结果全都。2-11图2-12 图2-13 图2-14第三章IGMPSnoopingIGMPSnooping介绍在城域网/Internet益成为多点通信中普遍承受的传输方式。IP-COM治理型交换机实现了IGMPSNOOPING。IGMP是组播组治理协议(InternetGroupManagementProtocol)，实现直连子网内的三层IP组播地址的动态学习。IGMPSnooping即IGMP侦听,其主要作用是在交换机上完成二层IGMP组的端口才可以接收组播数据流,了网络带宽。组播(Multicast)概述当信息(包括数据、语音和视频)传送的目的地是网络中的少数用户时，可以承受多种传送方式。可以承受单播(Unicast)的方式，即为每个用户单独建立一条数据传送通路〔参见图3-1(Broadcast)〔参3-2200个用户需要接收一样200次，以便确保需要数据的用户能够得到所需的数据；或者的安全和保密。3-13-2息在尽可能远的分叉路口才开头复制和分发(参见图3-3)，因此，信息能够被准确高效地传送到每个需要它的用户。3-3组播的优势：CPU负荷；优化性能：削减冗余流量；分布式应用：使多点应用成为可能。组播(Multicast)寻址(一组信息接收者)IP组播地址，同时必需存在一种技术将IP组播地址映射为链路层MAC组播地址。下面分别介绍这两种组播地址：IP组播地址依据IANA(InternetAssignedNumbersAuthorityIP地址空间分为四类，即A类、B类、CD类。单播报文依据ABCIP地址，组播报文的目的地址DIP地址，DIPIP地址字段。单播数据传输过程中，一个数据包传输的路径是从源地址路由到目的地址，利用“逐跳”(hop-by-hop)IP网络中传输。然而在IP组播环境中，数据包的目的地址不是一个，并且一旦参加之后，流向该组地址的数据马上开头向接收者传IANA安排，称为永久组播组。永久组播组保持不变的是它的IP地址，组中的成员构成可以发生变化。永有保存下来供永久组播组使用的IP组播地址，可以被临时组D到55，范围及含义见下表DD类地址范围含义–55–55–55

预留的组播地址永久组地址协议使用〔临时组地址范围内有效内有效MAC地址IPMAC地址使用的是MAC地址。但是在传输组播报文时，传输目的不再MAC地址。IANAMAC24bite23bitIP23bit，映射关系如以下图所示：3-4IP4bit1110，代表组播标识，而28bit23bit被映射到MACIP地址中就5bit32IP组播地址映MAC地址上。IGMPSnooping原理当信息(包括数据、语音和视频)传送的目的地是网络中的IGMPSnooping是运行组。IGMPSnooping主机和路由器之间传递的IGMP报文时，IGMPSnooping分IGMPIGMP主机报IGMP应的组播表项。通过不断地监控IGMP报文，交换机就可以在MAC组播地址表。之后，交换机就可以依据MAC组播地址表进展转发从路由器下发的组播报文。IGMPSnooping时，组播报文将在二层播送。3-5IGMPSnooping后，报文将不再在二层播送，而是进展二层组播。3-6IGMPSnooping实现过程IGMPSnoopingIGMP报射关系。为实现IGMPSnooping，二层以太网交换机对各种IGMP报文的处理过程如下：3-7IGMP通用查询报文：IGMP通用查询报文是组播路由器向组播组成员发送的报文，用于查询哪些组播组存在成员。当收到IGMP通用查询报文时，假设收到通用查询报参加某个组播组，同时启动对该路由器端口的老化定时器。IGMP特定组查询报文：IGMP特定组查询报文是组播路由器向组播组成员发送的报文，用于查询特定组播组是否IGMP特定组查询报文时，IP组播组发特定组查询。IGMP报告报文：IGMP报告报文是主机向组播路由器发送的报告报文，用于申请参加某个组播组或者应答IGMP查询报文。当以太网交换机收到IGMP报告报文时，首先推断该报文要参加的IP组播组对应的MAC组播组是否已MAC组播组不存在，只是通知路由MAC组播组，将接MAC组播组中，并启动该端口VLAN下存在的全部路MACIP组播组，并将接收报告报文的端口参加到IP组播组中；假设MAC组播组已经存在，但是接收报告报文MAC组播组中，则将接收报告报文的端口MAC组播组中并启动该端口的老化定时器，然后判断此报文对应的IP组播组是否存在：假设不存在，则建IP组播组并把接收报告报文的端口参加到IP组播组中，假设存在则将接收报告报文的端口参加到IP组播组MAC组播组已存在，并且接收报MAC组播组，则仅重置接收报告报文的端口上的老化定时器。IGMP离开报文：IGMP离开报文是组播组成员向组播路由器发送的报文，用于告知路由器主机离开了某个组播组。当以太网交换机收到对某IP组播组的离开报文，则会向接收此离开报文的端口发送所离开组的特定组查询从相应MAC组播组中删去。假设MAC组播组没有组播中删除。IGMPSnooping设置Snooping设置3-8IGMP设置：IGMP启用：选择是否启用二层交换机组播侦听功能，默认关闭。IGMP路由端口。IGMP设置表：启用IGMPSnooping：选择是否启用相应VLAN的二层交换机组播侦听功能。IGMPIGMP查询，启用后能在SnoopingVLAN的组播侦听状态。Snooping状态3-9IGMP状态表：VLAN的组播侦听功能。当组播表未建立时，查询处于空闲状态，一旦侦听到组播报文，查询将处于活泼状态。同时将会有查询发送或接收报文消灭，依据V1、V2、V3报文的分类我们可以了解接收的组播报文属于那个版V2版本时，组播表中某个设备需要恳求离开组播组时，将会发送离开报文。刷：重读入计数值，手动刷当前状态信息。IGMPSnooping实例组网连接图如下。IP-COM治理型交换机连接了6台PC和1 台路由器，PC 机的IP 地址分别为1-6，路由器的IP 地址为0IP-COM治理型交换机使用默认IP地址。PC机分别连接交换机端口1-6，路由器连接端24WANInternetPC1-5需要组IGMPSnooping来实现我们的目的。3-10进入IGMPSnooping设置页面进展设置。将IGMPSnooping功能启用，设置端口23，24为路由端口，同时将VLANIGMPSnooping和查询都启用。3-11IGMPSnoopingSnooping状态页报文的统计结果。3-12第四章SNMPSNMP介绍TCP/IP(也叫治理进程，manager)和被管的网络单元(也叫被管设备)。被X终端、终端效劳器和打印机等。这些被管设备的共同点就是都运行TCP/IP协议。被管设备端和治理相关的软件叫做代理程序(agent)站可以显示全部被管设备的状态(接上的流量状况等)。治理进程和代理进程之间的通信可以有两种方式。一种是治理进程向代理进程发出恳求，询问一个具体的参数值(例如：ICMP端口)程主动向治理进程报告有某些重要的大事发生(口掉线了)(IPTTL64)。TCP/IP3个组成局部：MIB(ManagementInformationBase)治理信息库，包含全部代理进程的全部可被查询和修改的参数。SMI(StructureofManagementInformation)治理信息构造MIB的一套公用的构造和表示符号。SNMP(SimpleNetworkManagementProtocol)简洁网络治理协议，治理进程和代理进程之间的通信协议。SNMPUDP，受到很多产品的广泛支持。SNMPSNMP治理者和代理间的SNMP治理者可以是网络治理系统(NMS)的一局部，代理和治理信息库(MIB)包含在交换机上，SNMP，你可以规定治理者同代理之间的联系。SNMP代理包含SNMP治理者能够恳求或更改的治理MIB者发出的设置或恳求操作。TRA〔陷阱TRAP信TRAP信息大事的发生。MIB全部治理信息和计数器都存贮于交换机内的治理信息库(ManagementInformationBaseMIB)。交换机一般使用标准的MIB-II治理信息库模块，因此，可以被任何基于SNMPMIB值可以是只读的(read-only)或者可读写的(read-write)。只读MIB可以是预置在交换机内部的常量，也可以是随量和端口的类型就是只读的常量，而统计所发生的错误的数量。可读写MIB通常是与用户定制有关的变量。例如，交换IP地址、生成树算法的参数，以及端口的状态等。假设你所使用的软件供给扫瞄和修改MIB的功能，那么你可以得到MIB的数值并转变它们(假设该MIB的属性允许进展写操作的话)MIBOID，并且需要一一去读取它们。“授权”命名的对象。“授权”的意思就是这些标识不是任凭安排的，它是由一些权威机构进展治理和安排的。对象标识是一个整数序列，以点“.”分DNSUnix的文件系统。对象标识从树的顶部开头，顶部没有标识，以root表示(Unix中文件系统的树构造格外类似)。图4-1显示了在SNMP中用到的这种树型构造。全部的MIB变量都从.2.1这个标识开头。树上的每个结点同时还有一个文字名。例如标识.2.1就和ernet.memt.mib在治理进程和代理进程进展数据报交互时，MIB变量名是以对.2.1开头的。4-1SNMP版本SNMP的进展主要包括三个版本：SNMPV1RFC1157中定义。SNMPV2c：基于共同体的SNMPv2治理架构,在RFC1901中定义。SNMPV3：通过对数据进展鉴别和加密，供给了更强大安全特性。SNMPV1和SNMPV2c(Community-based)的安全架构。通过定义主机地址以及认证名(Communitystring)来限定能够对代理的MIB进展操作的治理者。SNMPV2cGetBulk的机制并且能够对治理工作站GetBulk能够一次性的猎取表格中的全部信息或者猎取大批量的数据,从而削减恳求-响应的次数。SNMPV2c错误处理力量的提高包括扩大错误代码以SNMPV1中这些错误仅有一种错误代码，现在通过错误代码可以区分错误类型。SNMPV3SNMPv2保数据的机密性SNMPV1、SNMPV2c、SNMPV3的治理工作站，因此SNMP代理必需能够识别SNMPV1、SNMPV2c、SNMPV3报文，并且能返回相应版本的报文。目前可用的安全模型以及安全级别见下表型SNMPV1SNMPV2cSNMPV3SNMPV3

安全级别v名无合法性authNoPrivMD5或SHA无供给基于v名无合法性authNoPrivMD5或SHA无供给基于HMAC-MD5或者HMAC-SHA的数据鉴别机制供给基于HMAC-MD5

鉴别 加密认证 名认证 名用户

合法性合法性通过用户名确认数据的SNMP authPrivV3

MD5或SHA

DE 或者HMAC-SHA的数S 据鉴别机制供给基于CBC-DES的数据加密机制IP-COMSNMPV1版本SNMP报文关于治理进程和代理进程之间的交互信息，SNMP定义了6种报文：get-request：从代理进程处提取一个或多个参数值。get-next-request：从代理进程处提取一个或多个参数的下一个参数值。get-bulk的数据，比方全部治理变量的值。set-request：设置代理进程的一个或多个参数值。get-response：返回的一个或多个参数值。这个操作是由4种操作的响应操作。事情发生。留意：执行get-next-request该操作时，治理者不必知道变量需要的变量。get-bulkSNMPV2c/SNMPV3支持该操作。424-2描述了这几种操作。4-2Trap(陷阱)大事(例如，某人突然关闭交换机)，也可以是一般大事产生陷阱，并将它们发送给网络治理系统(陷阱治理系统)。下面列出了交换机上可能发生的几类大事：系统重启(Systemreset)错误(Errors)状态转变(Statuschanges)拓扑转变(Topologychanges)运行(Operation)IP地址，来限定哪些网管系统能够接收从交换机发出的陷阱信号。马上实行措施以避开网络发生进一步的故障甚至崩溃。下面是陷阱治理系统可能收到的陷阱类型：ColdStart：该陷阱表示交换机已经开机并已初始化，软动(coldstart)不同于恢复出厂设置值(factoryreset)。WarmStart：该陷阱表示交换机已经被重启，但是不执行启动自检(Power-OnSelf-Test，即POST)过程。AuthenticationFailure：该陷阱表示某人试图使用非法的SNMP全都性名称(SNMPcommunityname)登录交换IP地址。NewRoot：该陷阱表示交换机成为生成树(SpanningTree)的的根(newroot)设备。这个陷阱是在交换机中选为根之后，马上由桥电路(bridge)发出的。这示意着拓扑构造(TopologyChangeTimer)超期失效。TopologyChange：当交换机上发生端口配置变化时，如从学习状态(Learningstate)变为转发状态(Forwardingstate)，或者从转发状态(Forwardingstate)变为堵塞状态(Blockingstate)时，将发出此陷阱消息。但是，当类似的变化发生而已经产生了“newroot”陷阱时，将不再产生此陷阱消息。LinkChangeEvent：当端口的连接状态发生变化时，如从连接状态(linkup)变为断开状态(linkdown)，或者从断开状态(linkdown)变为连接状态(linkup)时，将发出此陷阱消息。PortPartition：当端口被隔离(partition)时，将发出此陷阱(collision)次数超过62次10Mbps100Mbps网络环境下，触发此陷阱的碰撞次数是一样的。BroadcastStorm：当端口接收到的播送包超过播送风暴的上升阈值(risingthreshold)或者低于播送风暴的下降阈值(fallingthreshold)时，将发出此陷阱消息。SNMP设置4-3SNMPSNMP治理功能。TrapTrapIP地址。只读共同体名：设置交换机SNMP信息的只读共同体名，SNMPSNMP信息。可写共同体名：设置交换机SNMP信息的可写共同体名，SNMPSNMP信息。TrapSNMPTrap共同Trap信息。SNMP实例