交换与路由技术 课件全套 李春平 第1-10章 网络互联基础 -设备管理与维护

第八章IPv6技术01

OSI参考模型02

TCP/IP协议03

IPv4地址与子网掩码CONTENT目录04

认识IPv605

网络类型06

网络互连设备

1.1OSI参考模型为了克服不同厂商计算机设备的互连，更好地推动互联网络的发展，国际标准化组织（ISO）制定了网络互连的参考模型，该模型框架分为7层，后来被称为：开放系统互连参考模型，简称为OSI/RM（OpenSystemInternetworkReferenceModel），其内涵是集成了常规适用的规范集合，不同计算机设备生产厂商都以这些规范为标准，则能够使全球范围的计算机能够进行互连通信。1.1OSI参考模型7层模型结构OSI的7个层次可以由低到高依次划分为：Physical（物理层）、DataLink（数据链路层）、Network（网络层）、Transport（传输层）、Session（会话层）、Presentation（表示层）和Application（应用层），其中应用层、表示层和会话层可以统一视为应用层，而剩余各层则可视为数据流动层。1.1.2OSI参考模型每层功能1．应用层OSI模型中的最高层称为应用层，是直接向用户提供服务的一层。由于用户的通信内容需要应用进程处理，为了解决不同类型的应用需求，这就要求应用层采用不同的应用协议来提高服务，同时要保证这些不同类型的应用所采用的下一层通信协议是相同的。应用层中含有若干相互独立的用户通用协议模块，为通信用户双方提供专用的程序服务。当然，这里所指应用层并不是具体的应用程序，而仅仅是为应用程序提供服务的协议模块。1.1.2OSI参考模型每层功能2．表示层表示层是为了提供应用服务之间提供表示方式的服务的，采用封装应用层的通信信息。表示层只关注的是所传送数据需要涉及到的语法和语义。表示层的主要作用是处理两个建立连接的通信端交换信息所采用的表示方式，主要包括数据解压与压缩、数据解密与加密、数据格式转变等。在网络带宽相同的前提下，数据压缩的越小其完成传输的速率就越快，所以数据解压与压缩是网络传输速率高低的最重要的因素。同样，数据加密服务是实现网络安全最为重要的要素，其确保了数据在传输过程中的安全性，也是各种安全服务最需要重视的因素。表示层为应用层所提供的服务包括：联接管理、语法转换和语法选择。1.1.2OSI参考模型每层功能3．会话层会话层是提供维护两个节点之间联接服务的，保证点到点的传输和畅通，以及管理和维护数据交换等功能。会话层负责在双方的通信应用进程上创建、管理维护和结束会话。会话层还可以通过控制会话，来决定使用特定的某种通信方式，例如：采用全双工通信或半双工通信。会话层还可以通过自身的协议来对请求与应答双方进行协调管理。1.1.2OSI参考模型每层功能4．传输层传输层在7层模型中，居在中间一层，是衔接网络体系结构中高低层之间的接口层。传输层不但是一个独立的结构层，而且是整个理解和学习OSI体系协议的重要层次。传输层主要为通信用户提供End—to—End（端到端）服务，其作用有：处理次序混乱、数据包报错等传输过程中可能出现的问题。传输层是OSI体系框架中最为重要的一层，它为上三层屏蔽了下三层数据的通信细节，使用户完全不用考虑网络层、数据链路层和物理层工作的具体通信细节。传输层使用网络层提供的网络联接服务，根据用户的、系统的需求可以选择数据传输时使用可靠的面向连接服务或是非可靠的面向无连接服务。1.1.2OSI参考模型每层功能5．网络层网络层主要功能是为通信双方节点创建逻辑链路，通过定义好的路由选择算法，为数据分组规划最佳传输路径，从而实现网络互联、拥塞控制等功能。网络层主要设备为路由器，是整个网络的关键层，它负责把数据分组从源网络，通过路由寻址，传输到目标网络。将多个网络通过网络设备组成在一起的集合称之为互联网，网络与网络之间的通信则通过网络层的路由选择功能，使得多个网络能够互联互通，达到信息得以共享目的。网络层提供的服务有面向连接和面向无连接两种类型。面向连接的服务是可靠的连接服务，在数据在交换之前，通信双方先建立联接，然后再传输数据，数据传输完成后，断开之前建立连接。例如，以虚电路服务的方式则是实现面向联接的服务。面向无连接的服务是一种不可靠的服务，不能防止报文的失序、重发或丢失。面向无连接的服务优点是其服务方式非常迅速，并且灵活方便。例如，以数据报服务的来实现面向无连接的服务。1.1.2OSI参考模型每层功能6．数据链路层数据链路层位于第二层，是在通信实体之间，建立和维护数据链路链接，其基本传输单位为“帧”，为网络层提供流量控制和差错控制服务。数据链路层可以细分为MAC（介质访问控制子层）和LLC（逻辑链路控制子层）两层。其中，MAC的首要任务是定义在物理线路上传输“帧”的规则。而逻LLC则管理在同一条链路上设备之间的通信。LLC主要负责逻辑上分析、鉴别不同类型的协议，然后对其进行封装。因此LLC会接受分组的数据报、网络协议数据，并且会封装更多的控制信息，从而把这个分组传送到它的目标设备。1.1.2OSI参考模型每层功能7．物理层物理层位于OSI参考模型中的最底层，主要功能是定义了系统的机械、电气、功能和过程标准。例如：最大传输距离、物理联接器、物理数据速率电压和其他的类似特性。物理层的主要作用是采用传输介质为数据链路层提供物理联接，负责数据流的物理传输工作。比特流是物理层传输的基本单位，即“0”和“1”，是最基本的电信号或者光信号，是最基本的物理传输特征。1.2TCP/IP协议TCP/IP协议是一个协议集合，其包括TCP协议和IP协议的协议族。TCP/IP协议是OSI的7层参考模型简化版。传统的OSI参考模型，是一种通信协议集合的7层抽象的参考模型，每一层都定义好某一特定任务。该模型的目的将复杂的网络模型用分层来简化，使各种硬件能在相同的层次上相互通信。而TCP/IP则采用了4层的层级结构，每一层都利用下一层所提供的服务来完成自己的需求。表1-1描述了TCP/IP每层次与之对应的功能。表1.1TCP/IP层次和功能1.2.3TCP/IP各层功能1.2.4OSI与TCP/IP两种模型的比较1．共同点（1）采用了协议分层方法将庞大且复杂的问题划分为若干较容易处理的范围较小的问题。（2）对应层的所定义的协议功能类似，两者都划分有应用层，传输层和网络层。（3）两者都可以解决不同网络的互联互通问题，达到不同厂商计算机之间通信目的。（4）两者都是构建计算机通信的国际标准。OSI参考模型建立的初衷就是国际通用的，而TCP/IP参考模型则是当前网络界最被广泛使用的。（5）两者都能够提供面向连接和面向无连接的通信服务机制。1.2.4OSI与TCP/IP两种模型的比较2．不同点两者的不同点可以概括为模型设计的差别陈述和层间调用关系的不同对可靠性的强调。标准的效率和性能上的不同，市场应用和支持上的差别等。1.3IPv4地址与子网掩码IP地址就是一个32位的地址，用来分配给每个Internet上的主机使用。IP地址可以用来定位网络中的计算机和网络设备。1．IP地址的组成在讲解IP地址之前，先介绍一下大家熟知的中国电信长途电话号码，通过该长途电话号码来理解IP地址的网络标识和主机标识。中国电信长途电话号码由区号和主机号码组成。如图1-3所示，广州市的区号是：020，佛山市的区号是：0757，东莞市的区号是：0769。同一地区的电话号码由于拥有相同的区号，打本地电话不需要在电话号码加上区号，而打长途电话则需要在主机号前面加上区号。1.3IPv4地址与子网掩码环回地址本地链路全局单播1.3IPv4地址与子网掩码环回地址本地链路全局单播计算机的IP地址借鉴了电话号码的区号实现原则，设计者将IP地址也划分为两个组成部分：网络标识和主机标识。如图1-4所示，同一网段中，所有计算机配置的IP地址，共同部分就是网络标识。路由器的作用就是用来连接不同网段的网络，其重要的职责之一就是转发不同网段之间的数据，从而将更多的、范围更小的网络组建成较大的、规模更复杂的大网络。二层交换机与路由器的作用不同，其设计的初衷就是工作于数据链路层，所能连接的是同一网段的计算机，负责该网段的计算机数据转发。2．IP地址的格式按照TCI/IP的定义，IPv4的地址用32位二进制形式来表示。换算成字节，就是4字节，例如，某个采用二进制形式的IP地址是10101101000110001000000110000001。这么长的地址，人们处理起来也太费劲了。为了方便人们的使用，这些位通常被分割成四个部分，每一部分为8位二进制，中间使用符号“.”分开。即10101101.00011000.10000001.10000001，虽然做了简化处理，但对于人们来说，记忆和处理还是十分困难，这时的IP地址经常被写成十进制的形式，于是，上面的IP地址可以表示为“29”。IP地址的这种表示法叫做点分十进制表示法。这显然比1和0容易记忆得多。3．子网掩码根据RFC950定义，子网掩码是一个与IP地址具有相同位数的32位的二进制数，其对应网络地址的所有位都置为1，对应于主机地址的所有位置都为0。子网掩码的作用是将与IP地址所对应的每个比特位进行一对一的“与”运算，其运算结果可以将一个IP地址划分出隶属于哪个子网和主机的位掩码两部分内容。因此，子网掩码需要与IP地址一起使用。1.3.2IP地址的分类IETF将IP地址分为成A、B、C三个普通类加上两个D、E特殊类。每一个IP地址包括两部分：网络地址和主机地址，上面五类地址对所支持的网络数和主机数有不同的组合。1.3.2IP地址的分类1．A类：0—127A类网络地址位为前8位，后24位为主机地址位。网络号码范围是至，用于128个网络。但是，该类型的起始地址，也就是网络和最后一个地址（保留用于回路）都不能使用，所以只剩下的126个网络可以使用，也就是第一个点分十进制数从1到126，而且，每个网络能容纳的IP地址为2的24次方-2，共有16777214个可能的主机地址（16777216减2）。所以，A类网络虽然数量少，但每一个网络中，能够分配使用的IP地址是非常庞大的，每一个都是超级大网络。1.3.2IP地址的分类2．B类：128—191B类网络地址位为前16位，后16位为主机地址位。网络号码范围是至

，可以用于16256个网络。并且每个网络能够分配使用的IP地址共有2的16次方减2，共有65534个可能的主机地址。B类地址的划分可以说是中规中矩，既有16256个网络标识，每个网络中，又能容纳65534个可以使用的IP地址，所以，该类网络比较适用于较大规模的企业。1.3.2IP地址的分类3．C类：192－223C类网络地址位为前24位，后8位为主机地址位。网络号码范围是至，一共有2064512个网络。而每个网络中，能够容纳2的8次方减2，共有254个可能的主机地址。从中可以看出，C类网络数量庞大，而且每个网络都可以分配254个IP地址，一般的小型企业能够适应，所以，该类网络是比较常见的网络类型。1.3.2IP地址的分类4．D类：224－239D类地址用于在IP网络中的组播。D类组播地址机制仅有有限的用处。一个组播地址是一个唯一的网络地址。报文依据这个网络地址能够传输到预定义的IP地址组。因此，一台机器可以把数据流同时发送到多个接收端，这比为每个接收端创建一个不同的流有效得多。组播长期以来被认为是IP网络最理想的特性，因为它有效地减小了网络流量。1.3.2IP地址的分类5．E类：240－254E类地址虽被定义但却为IETF所保留作研究之用。所有的网络空间中，能够预留给终端分配的IP地址都需要“减2”，这是因为要减掉两个保留地址：一个是主机地址全为0的IP地址，这需要保留给这个网络标识使用，另外一个则是主机地址全为1的IP地址，这需要保留给广播使用。其余的地址，1-254则可以分配给主机使用。1.3.3子网规划1．默认子网掩码A、B、C类IP地址如果没有划分子网，即采用A、B、C类地址定义的地址方式，这时候A、B、C类地址严格分类，那么称这些IP地址采用的子网掩码为默认子网掩码。A、B、C类IP地址的默认子网掩码如下：A类：（8位）；B类：（16位）；C类：（24位）。1.3.3子网规划2．变长子网掩码（VLSM）变长子网掩码（VLSM）指的是采用非默认（如8位、16位或24位等）的子网掩码长度，子网掩码中表示主机的位数可变。3．子网划分子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。最为直接的方法就是两台计算机各自的IP地址与子网掩码进行AND运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通信。但是划分子网有更简便的方法。1.3.3子网规划【例1-1】C类网络地址，子网掩码92(/26)。（1）子网数=2*2-2=2（2）主机数=2的6次方-2=62（3）第一个有效子网是：256-192=64，所以第一个子网为4,第二个为28（4）广播地址：下个子网－1。所以2个子网的广播地址分别是27和91（5）有效主机范围是：第一个子网的主机地址是5到26；第二个是29到90。1.4认识IPv61.4.1IPv6地址概述IPv6是互联网协议第6版，由IETF设计的，用于替代IPv4的下一代IP协议，其地址数量非常庞大，形象地举个例子，IPv6所包含的地址能够为地球上的每一粒沙子分配唯一的一个地址。IPv4自定义和使用以来，一直存在着一个重要的问题，就是网络地址资源严重不足，从而制约了互联网的快速发展和应用。而推广使用IPv6，不但能够解决IPv4网络地址资源不足的问题，还解决了多种接入设备接入互联网的问题。1.4.2IPv6地址的表示方法IPv6的地址位数可以达到128位，是IPv4地址32位长度的4倍。由于IPv4传统的点分十进制格式不再适用于IPv6地址格式，所以采用十六进制表示。IPv6有3种表示方法。1．冒分十六进制表示法冒分十六进制表示法格式为X:X:X:X:X:X:X:X，其中每个X表示地址中的16位，以十六进制表示，例如：ABCD:EF01:2345:6789:ABCD:EF01:2345:6789。这种表示法中，每个X的前导0是可以省略的，例如：2001:0DB8:0000:0023:0008:0800:200C:417A→

2001:DB8:0:23:8:800:200C:417A1.4.2IPv6地址的表示方法2．0位压缩表示法在某些情况下，一个IPv6地址中间可能包含很长的一段0，可以把连续的一段0压缩为“::”。但为保证地址解析的唯一性，地址中”::”只能出现一次，例如：FF01:0:0:0:0:0:0:1101→FF01::11010:0:0:0:0:0:0:1→::10:0:0:0:0:0:0:0→::3．内嵌IPv4地址表示法为了实现IPv4-IPv6互通，IPv4地址会嵌入IPv6地址中，此时地址常表示为：X:X:X:X:X:X:d.d.d.d，前96位采用冒分十六进制表示，而最后32位地址则使用IPv4的点分十进制表示，例如::与::FFFF:就是两个典型的例子，注意在前96位中，压缩0位的方法依旧适用1.4.3IPv6地址分类IPv6协议主要定义了3种地址类型：单播地址（UnicastAddress）、组播地址（MulticastAddress）和任播地址（AnycastAddress）。与原来在IPv4地址相比，新增了“任播地址”类型，取消了原来IPv4地址中的广播地址，因为在IPv6中的广播功能是通过组播来完成的。单播地址：用来唯一标识一个接口，类似于IPv4中的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的一个接口。组播地址：用来标识一组接口（通常这组接口属于不同的节点），类似于IPv4中的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。任播地址：用来标识一组接口（通常这组接口属于不同的节点）。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近（根据使用的路由协议进行度量）的一个接口。1.4.3IPv6地址分类1.4.4过度技术IPv6不可能立刻替代IPv4，因此在相当一段时间内IPv4和IPv6会共存在一个环境中。要提供平稳的转换过程，使得对现有的使用者影响最小，就需要有良好的转换机制。这个议题是IETFngtrans工作小组的主要目标，有许多转换机制被提出，部分已被用于6Bone上。IETF推荐了双协议栈、隧道技术以及网络地址转换等转换机制：1.5网络类型在网络发展的不同时期，出现了不同类型的网络拓扑结构，这些网络在用户面前呈现出不同的通信方式，为了在异构网络环境下满足对计算机的互相通信的使用要求，按照覆盖区域范围的大小来划分，可以将计算机网络分为局域网、城域网和互联网。1.5.1局域网1.5.1局域网局域网指的是覆盖范围较小，一般是几千米之内的区域，其具备的安装便捷、成本节约、扩展方便等特点使其在各类办公室内运用广泛。局域网可以实现文件管理、应用软件共享、打印机共享等功能，在使用过程当中，通过维护局域网网络安全，能够有效地保护资料安全，保证局域网网络能够正常稳定的运行。1.5.1局域网分类1.5.2城域网城域网概述城域网的服务范围可以覆盖一个城市区域大小的通信网络。一般来说，用MAN来表示，以便区别于LAN。城域网可以看做是一个宽带局域网。城域网主要采用具有有源交换元件进行组建的网络技术，因此其具有传输速度快、延迟小的优点，在城市进行城域网建设时，其主干传输媒介主要以光缆为主，传输速率基本上能够维持在100兆比特/秒以上。MAN的一个重要用途是用作骨干网，通过它将位于同一城市内不同地点的主机、数据库，以及LAN等互相联接起来，这与WAN的作用有相似之处，但两者在实现方法与性能上有很大差别。1.5.2城域网用途：高速上网视频点播网络电视远程医疗远程教育远程监控交易系统宽带业务1.5.3互联网互联网又称国际网络，其指的是将全球的各个国家的、不同结构的网络进行互相连通，从而形成了一个非常庞大的互联网络，当然，这些网络之间的通信，需要遵循一定的、通用的互连协议进行数据转发和传输。从而使得不同国家和地区之间，能够通过互联网进行资源共享和信息交换，从而形成在逻辑上来说，是一个巨大的国际网络。1.6网络互连设备第八章IPv6技术01

交换机的分类02

二层交换机的组成与结构03

二层交换原理CONTENT目录04

交换机基本配置05

交换机安全配置06

项目实验

1.1交换机的分类学习交换机的工作原理及应用，首先来了解常用的局域网交换机的分类，常用的还有以下的两种分类方式：1．固定式交换机2．模块化交换机2.2二层交换机的组成与结构2.2.1交换机的内部组成结构交换机由硬件和软件两部分内容组成，其中，硬件主要包括处理器、内存、接口等物理硬件和电路组成，其结构与一般的计算机主机没有太大的区别，而软件则是由交换机的生产厂商提供，软件包含操作系统和配置文件组成，可以把一台交换机当成为一台独立运行的PC机来看待。2.2二层交换机的组成与结构1．交换机的CPU交换机内部包括一个“中央处理器（CPU）”，不同系列和型号的交换机的CPU不尽相同。CPU是交换机的处理中心，交换机所要执行的数据分析处理及转发数据包工作都通过CPU的控制来实现。2.2二层交换机的组成与结构2．交换机的存储器内存是交换机存储信息和数据的地方，各类交换机都有以下几种内存组件：（1）ROM（ReadOnlyMemory）ROM保存着交换机的引导或启动程序（Bootstrap

Program），是交换机启动时要运行的第一个软件。交换机的ROM是可擦写的，其IOS是可以升级的。2.2二层交换机的组成与结构2．交换机的存储器（2）FLASHROMFLASH又称闪存，主要是用来保存IOS软件，通常被视为主IOS，以维持交换机的正常工作，与常用的PC机对照，功能相当于普通PC的硬盘，但容量比PC的硬盘小得多，一般只能容纳一个IOS映象文件，交换机的FLASH还保存config信息。2.2二层交换机的组成与结构2．交换机的存储器（3）RAM交换机的RAM是系统运行的主存储器，在开机时,交换机的操作系统会把上次关机时最后所保存的配置信息即config信息调入RAM中运行，当前运行的配置信息称为Running-config,如果操作者对交换机作了修改，那么当前RAM中所保存的Running-config会随之改变，但要把修改信息能在下次启动时生效，则需要在退出前进行保存，保存实际是把Running-config信息保存到config中。2.2二层交换机的组成与结构2.2.2交换机的功能与作用在交换式局域网中普遍使用的中心设备是交换机，作为数据交换的中心，交换机担负着繁重的数据处理及转发的任务，交换机的主要功能包括物理编址、错误校验、帧序列以及流控，此外交换机还提供对VLAN（虚拟局域网）的支持、对链路汇聚的支持，有的还具有防火墙的功能。交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络（如以太网和快速以太网）之间起到互连作用。如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口，用于连接网络中的其他交换机或者为带宽占用量大的关键服务器提供附加带宽。2.2二层交换机的组成与结构2.2.3交换机的级联、堆叠与端口汇聚在网络工程的实际应用中，往往需要用交换机来联接大量的机器，但一台交换机的端口数量是有限的，如24个端口，如何可以扩展交换机的端口数量以实现更多的机器可以相互通信呢？答案是肯定的，将多台交换机进行连接的方式有两种：级联和堆叠，采用这两种联接方式进行组网或扩充网络，其要目的是为了增加网络中端口数量2.2二层交换机的组成与结构2．交换机堆叠的实现上面介绍的交换机级联可通过一根双绞线在任何品牌的交换机之间，集线器之间，或交换机与集线器之间完成，但堆叠是通过交换机或集线器的背板连接起来的，是一种建立在芯片级上的连接，堆叠通常需要使用专门的堆叠电缆和专门的堆叠模块实现的，并且堆叠线缆一般只有几米长，堆叠后的交换机带宽是交换机端口速率的几十倍，例如，一台100Mbps交换机，堆叠后两台交换机之间的带宽可以达到几百兆甚至上千兆。2.2二层交换机的组成与结构3．端口的汇聚在实际应用中常常可以看到很多品牌的交换机都在其性能参数上指出能够支持Trunk功能，可以提供更好的传输性能，那什么是Trunk，Trunk在应用中又有那些主要的功能，下面就来作简要分析。Trunk称为端口汇聚或端口的聚合，主要功能就是将多个物理端口（一般为2－8个）绑定为一个逻辑的通道，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口独享的高带宽，例如4个100Mbps/全双工的快速以太网端口可以使用Trunk技术集中在一起形成总带宽800Mbps的连接，这几个端口可以当作一个端口来看待。当交换机和节点之间连接带宽不能满足负荷需要时，这是一种增加带宽的非常有效及实用的方法。此外，将多个物理链路捆绑在一起，除了可以提升整个网络的带宽，还可以实现链路冗余的作用，由于数据可以同时通过被绑定的多个物理链路传输，因此在网络出现故障或其他原因断开其中一条或多条链路时，剩下的链路可以继续支持数据传输工作。2.3二层交换原理2.3.1局域网的帧交换方式二层交换机是数据链路层设备，对应与网络OSI的七层模型，数据在第二层所封装的数据称为数据帧，基于数据链路层的二层交换机在接收到数据帧的时候，能够分析数据帧的目标MAC地址的信息，并根据交换机自身的MAC地址来分析，如果目标MAC地址已经在MAC地址表中已经存在，则交换机就会根据其目标MAC地址与之相对应的端口信息，来将信息从该端口进行转发，来实现的数据交换称为帧交换。因此，交换机内部端口与端口之间的链路都是相对独立的，能够为不同的两个端口之间的同学提供并行传送的机制，从而减小不同端口之间数据传输的冲突，以此来获交换机更优化的带宽，交换机内部对数据帧的处理方式一般有以下三种：2.3二层交换原理1．直通交换提供线速处理能力，交换机在接收到要转发的数据帧时，只读出数据帧的前14个字节，然后将数据帧传送到相应的端口上，转发速度快。2．存储转发通过对数据帧的读取进行验错和控制，接收数据的时候，交换机会把该数据帧完完全全接收下列，并存储在缓冲器中，在转发数据帧之前，交换机会检测该数据帧是否存在错误，如果接收的数据帧都为正确后，才会将存储下列的数据帧进行转发转发。2.3二层交换原理3．自由分段在第一种交换技术的基础上进行调整，综合了前2种交换技术的特点，既进行数据检测，但又不是通过完全的接收检测再转发，交换机在接收数据帧的时候，首先要做的是边接收边检测，当然，其只会检测数据帧的前64B的数据，如果前64B的数据不存在错误，那么，交换机就不会往下检测，而是直接转发该数据帧。这种自由分段的工作原理是，一般情况下，传输数据帧常常出现错误总是发生在刚开始的64B内。2.3二层交换原理2.3.2MAC地址表的建立在上一节中提到，二层交换机数据帧转发过程中，是依据接收到的数据帧中的目标MAC地址信息进行分析，并根据MAC地址来进行交换。在实际的数据帧交换转发的时候，交换机每接收到一个来源MAC地址，如果这个数据帧是来自新的一个接收地址，交换机就会把该MAC地址和接收数据的端口的一一对应关系在交换机中的MAC地址表中记录下来，随着连接交换机中的不同的计算机不断的通信，交换机内部的MAC地址表将会慢慢完善，将所有的计算机MAC地址与其连接的端口关系一一记录下来。在往后的通信中个，交换机能够依靠该MAC地址表中的信息，就可实以现交换机端口到端口的数据线速转发。2.3二层交换原理2.3.3冗余备份与环路问题进在网络连接中，由于设备之间使用一条线路进行连接，这往往会造成因为单条线路出现故障时使到整个网络网络瘫痪的的现象，单链路的缺点在主干核心设备之间连接时显的更为突出，如果因为核心设备之间的链路断掉而不采用相应的解决方法，将可能会带来严重的后果。2.4交换机基本配置2.4.1交换机的配置方法要对交换机实现配置管理，首先要登陆交换机，常用的登陆方法有两种，一种是通过交换机的配置端口（一般标识为Console），使用专用配置电缆登陆；另一种方法是通过网络从交换机的以太网端口远程登陆，此方法执行的前提条件是交换机已经配置了相应的管理IP地址，可以使用Telnet命令远程登陆指定管理IP地址的交换机设备2.4交换机基本配置1.使用Console端口登陆配置交换机对交换机做初始的配置使用此方法，首先使用一条专用的配置电缆，一边连接PC机的串行接口（COM1或COM2端口），另一边连接交换机的Console端口，交换机的Console端口类型可能是RJ-45接口，或者是DB-9或DB-25串行接口，根据Console端口的不同类型使用相应的配置电缆，不同类型端口可以配备RJ-45到DB-9或DB-25接口的转换适配器，设备连接参见下，实际连接可见图2-9，连接好后在PC端运行超级终端程序，创建一个与交换机的连接，连接参数可参照交换机的要求说明设置。2.4交换机基本配置2.使用Telnet命令行方式登陆配置交换机上述方法中对交换机做了初始配置后，一般都会配置一个管理该交换机的管理IP地址，此地址将作为以后其他接入该网络的机器通过网络登陆交换机的依据，如上述方法中，假设给交换机配置了管理IP地址是/24，那么接入此网络的PC只要把网卡的IP地址设置成和/24同一网段的地址就可以通过Telnet命令行方式登陆交换机，操作方法是在PC的命令行界面运行>Telnet即可连接登陆，参见图2-10；配置连接图见图2-11，具体操作见实验安排。2.4交换机基本配置2.4.2交换机的命令模式使用上述方法登陆交换机后，紧跟着就是与交换机所使用的操作系统软件打交道了，交换机的VRP（通用路由平台）提供的是一个字符的操作界面，支持命令集。配置者需要掌握相关的操作命令及了解不同的操作命令应该在什么命令模式中来实现，以下来介绍一下华为系列交换机进行命令配置时所使用到的命令模式，以方便初学者能更快地掌握命令配置操作。1．普通用户视图：提示符为<Huawei>

,其中的Huawei是交换机的机器名，可以自己定义，符号“<>”是用户视图的标记，在该视图下，用户只能执行很有限的一小部分命令，如果要执行所有的命令，则需要切换到特权用户模式，方法是使用system-view命令，方法如下：<Huawei>system-view/*执行进入系统视图命令[Huawei]/*系统视图

2.4交换机基本配置2．系统视图：提示符为[Huawei]

，其中的符号“[]”是系统视图模式的标记，在该命令模式下，用户可以执行全部的EXEC命令，要从系统视图模式返回普通用户模式可以使用QUIT命令来实现，方法如下：[Huawei]quit

/*执行退出系统视图命令<Huawei>/*返回普通用户视图

2.4交换机基本配置3．系统视图模式的子视图：在系统视图模式下，针对交换机的不同配置目的，可以进入相应的子模式下来实现，其中包括线路配置模式、接口配置模式、VLAN配置模式等，线路配置模式下可以配置交换机的线路参数，如配置Console的线路连接限制可以在线路配置模式下实现，接口配置模式可以对交换机的接口参数实行配置，这个模式也是十分常用的配置模式，读者应该紧记该子模式的切换方法，具体如下：

[Huawei]

/*进入系统视图[Huawei]interfaceGigabitEthernet0/0/1/*进入G0/0/1子接口配置视图[Huawei-GigabitEthernet0/0/1][Huawei]vlan10/*进入VLAN配置子视图[Huawei-vlan10]/*VLAN10配置子视图如果要退出子模式，可以使用的QUIT命令，方法执行如下：[Huawei-vlan10]quit

返回上一级命令模式[Huawei]全局配置模式2.4交换机基本配置2.4.3交换机的基本配置针对交换机的基本配置，对于入门者来说，熟悉各种模式下的命令应用，可以为今后进行复杂的配置打下坚实的基础，而相关的初始配置项目又是使用者必须掌握的，所以对交换机执行基本配置可以说是一举两得的事情，学习者应该认真地把相关的基本配置熟练掌握，为今后的学习做好坚实的铺垫。2.4交换机基本配置2.4交换机基本配置2.5交换机安全配置2.5.1TELNET与SSH前面第三节中提到，在局域网通讯中，由于单链路连接会造成因为链路中断而使整个网络通讯终止的情况，如下图2-12，三台交换机通过链路1和链路2进行连接，网络服务器FS接在交换机C上，客户机PC接在交换机A上，由于是单链路连接，因此链路1和链路2中任意一条断掉都会造成客户机PC无法访问服务器FS。为了解决这个问题，可以在A、B之间和B、C之间增加冗余链路，修改后连接可参考图2-13，还可以在A、C之间添加一条链路作为冗余链路2.5交换机安全配置2.5交换机安全配置2.5.2端口安全启用了生成树协议后，网络中各交换机的各端口会有不同的工作状态，而生成树协议下的各端口都被赋予相关的名称，端口类型可以参考图2-18，主要如下：Rootport：称为根端口，其作用是用于在非根交换机中，选择到根交换机的所有路径中，最短路径的端口，简称RP。Alternateport：称为根端口的替换口，其作用是当已选择的根端口失效时，这个端口就会马上变更成为根端口，简称AP。Designatedport：称为指定端口，每个LAN通过该口连接到根交换机，简称DP。Backupport：指定端口的备份口，如果一个根交换机有两个端口都连接在一个LAN上，那么高优先级的端口为Designatedport，低优先级的端口为Backupport，简称BP。Undesignatedport：简称UP，当前不处于活动状态的端口，即工作状态是down的端口称为UP。2.5交换机安全配置2.5交换机安全配置交换机启用生成树协议时，需要有一个选举过程，比如网络中最优路径的选取、根交换机的选举等等，都会产生一定时间的延迟，经过这些步骤后，才能最终确定各个端口所处在的工作状态，因此，启用了生成树协议的交换机的各端口的状态，在STP工作过程中会有不同的类型，总的来说，主要有4种，分别是：Discarding(阻塞)：这时候，端口不处于工作状态，既不转发已收到的帧，也不会学习源Mac地址。Listening（侦听）：当原来正常工作的链路发生阻塞时，该端口将立即进入侦听状态，这时，端口就可以接收和解析BPDU信息。Learning（学习）：这时候，该端口不会对接收到的数据帧进行转发，但是，端口会学习源Mac地址，因此，这个时候是处于过渡状态。

Forwarding（转发）：顾名思义，在这个状态下，端口既对收到的帧进行转发，也会学习源Mac地址。

2.5交换机安全配置2.5.3在二层交换机上配置STP2.6项目实验2.6.1项目实验二交换机的基本配置1．项目描述二（1）项目背景。交换机的基本配置实验任务是要熟练交换机的简单配置，为今后的复杂项目的交换机配置打下基础。（2）逻辑拓扑如图2-20所示。2.6项目实验2.6.1项目实验二交换机的基本配置1．项目描述二（3）任务内容。第一部分：配置计算机通过Console口登录交换机第二部分：测试。（4）所需资源。如表2.2所示。2.6项目实验2.6.1项目实验二交换机的基本配置2．项目实施第一部分：配置计算机通过Console口登录交换机步骤1：按拓扑图使用Console线、以太网线连接所有设备的相应端口。步骤2：配置计算机IP地址，将PC1和PC2的IP地址及掩码分别配置为/24和/24（1）配置计算机PC1和PC2的IP地址，如图2-21所示。2.6项目实验2.6.1项目实验二交换机的基本配置2．项目实施第一部分：配置计算机通过Console口登录交换机步骤3：交换机基本配置2.6项目实验2.6.1项目实验二交换机的基本配置2．项目实施第一部分：配置计算机通过Console口登录交换机步骤3：交换机基本配置2.6项目实验2.6.1项目实验二交换机的基本配置2．项目实施第二部分：测试步骤：（1）通过PC2ping交换机测试连通性从PC2的命令输入ping54，结果显示PC2与交换机SW1的链路是互通的。如图2-23所示。（2）从PC2Telnet到交换机从PC2的命令行中，输入telnet54，如果设置正确，则弹出图2-24所示，正确输入刚刚在交换机设置的用户名“test”和密码“123”，则能够成功登录交换机SW1。2.6项目实验2.6.1项目实验二交换机的基本配置2．项目实施第二部分：测试2.6项目实验2.6.1项目实验二交换机的基本配置2．项目实施第二部分：测试注意：输入密码时候不会显示，完成输入后，直接按“回车键”即可。（3）验证PC1通过控制台需要用密码登录交换机从PC1中，通过Console口再次连接交换机时，会出现password提示符，需输入在实验过程中设置的“huawei”密码才能够登录上交换机。如图2-25所示。第八章IPv6技术01

VLAN概述02

VLAN工作原理与VLAN技术类型03

中继链接与VLANTrunk协议CONTENT目录04

VLAN通信05

VLAN的配置06

项目实验

概述VLAN（VirtualLocalAreaNetwork，虚拟局域网）是比较普遍使用的逻辑网络划分技术，是对连接到的第二层交换机端口的网络用户的逻辑分段，使得位于的物理位置不同的用户根据业务需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。锁。3.1VLAN概述3.1.1VLAN的概念及意义对于一台交换机而言，缺省情况下，它的所有接口都属于同一个广播域。所谓广播域，指的是一个广播数据所能到达的范围。当多台主机连接到同一台交换机时，它们可以直接进行通信（只需配置相同的网段的IP地址），而且无需借助路由设备这种通信行为被称为二层通信，由于这些主机同都属于同一个广播域，因此当其中一台主机发出一份广播数据时，连接在交换机上的其他所有主机都会收到这份数据的拷贝。当然，如果交换机在某个接口上接到目的MAC地址未知的单波数据帧会将这个数据中进行泛洪，如图3-1所示，然而并非所有的主机都需要这些数据称。此时对于他们而言，这些广播帧或者MAC地址未知的单播帧实际上是增加了设备性能损耗，而且对于网络带宽而言也是一种浪费，设想一下。如果存在一个由许多二层交换机构成的大型二层网络，那么在这个大规模的广播域中，一旦出现广播帧或目的MAC地址未知的单播帧便将引发大量的泛红现象，从而给该网络带来沉重的负担。3.1VLAN概述3.1VLAN概述3.1.1VLAN的概念及意义实际的网络中经常存在这样的业务要求。某个企业由于人员较少，每个部门也只有几个人，而用一台交换机足以把所有人都能联网，但是，由于不同的业务部门的数据有着不同安全性要求，所以用户希望对每个部门进行隔离，并能够提高网络的性能，对广播域进行隔离管理。那么网络中就迫切的需要一种技术，一种能够在交换机上实现二层隔离的技术。否则网络管理员就不得不为不同的业务部门分配不同的交换机，并且搭配其他设备，从而实现二层隔离。当然，我们规划一个网络时，也需要关注网络中广播域的大小，因为只有对广播域进行好的划分，才能够提升整个网络的性能。所以，需要采用适当的技术，将一个大的广播域划分为更小的范围，3.1VLAN概述3.1VLAN概述3.1.1VLAN的概念及意义路由器的每个三层接口连接着一个独立的广播域，因此在网络中部署路由器确实可以起到隔离广播的作用，毕竟一个广播数据缺省时会被终结在路由器的三层接口上不会被透传，然而路由器接口资源相对于交换机而言更为有限，而且增加模块的成本会更高，再者为什么不能直接在交换机上实现广播域的隔离或规划呢？VLAN就是这样的一个技术。它可以将一个物理上连成的LAN，在逻辑上，划分成多个小的广播域。3.1VLAN概述3.1.2VLAN的特征及优点划分VLAN是二层交换领域中，非常重要一种优化技术，同时，也是学习网络工程技术必须要掌握的非常基础的技术。通过给网络进行VLAN的划分，其能给网络带来很多好处，下面分别进行介绍：隔绝广播当管理人员对交换机进行VLAN规划与划分后，连接交换机上所有端口的计算机发送的广播数据都会被限制在其所属于的VLAN内。其他VLAN内的计算机不会接收到该广播信息，因此，采用VLAN技术，可以轻松、简单的将一个大的广播域划分出成多个较小的广播域，同样，减少了泛洪对原来整个网络带来的带宽资源的消耗以及降低设备性能。3.1VLAN概述3.1.2VLAN的特征及优点提高网络组件的灵活度管理人员采用VLAN技术对原网络划分，能将网络设计及部署更具备灵活性，比如，同属于一个部门或工作组的用户，可以位于不同的地理位置，但他们的组网可以安排在一个VLAN内。提高网络的可管理性管理人员按照不同的业务范围，将不同类型的终端规划到不同的VLAN，从而将每个业务规划在一个小的范围内，并进行IP地址配置。这样的话，在今后的日常网络管理和维护过程，极大提高管理员的工作效率。3.1VLAN概述3.1.2VLAN的特征及优点提高网络的安全性，管理人员采用VLAN技术手动，将不同的业务部门的终端设备进行二层隔离，这样一来，当某个VLAN内发生病毒感染等安全事件时，不会蔓延到其他VLAN，这样极大的提高了整个网络的安全性，同时，也可以保证了不同业务部门之间的数据不会轻易的被其他部门的网络进行攻击。3.2

VLAN工作原理与VLAN技术类型3.2.1VLAN的工作原理为了提高VLAN内或不同VLAN之间的数据处理效率，在交换机内部，针对数据帧都会封装上VLANTag（VLAN标签）。当交换机从某个端口接收到一个数据帧时，如果该数据帧没有带VLANTag，但该接口上配置了PVID（PortDefaultVLANID），这时，该数据帧就会将接口的PVID封装上。另外一种情况，假如该数据帧已标志有VLANTag，这时，即使接口已经配置了PVID，交换机不会将VLANTag给数据帧封装上。3.2

VLAN工作原理与VLAN技术类型3.2

VLAN工作原理与VLAN技术类型3.2

VLAN工作原理与VLAN技术类型3.2

VLAN工作原理与VLAN技术类型3.2.2VLAN技术类型VLAN根据划分方式由多种常见类型，比如：基于端口的VLAN划分、基于MAC地址的VLAN划分、基于协议的VLAN划分和基于IP子网的VLAN划分。在这几种VLAN划分方式中，其中基于端口的VLAN是最网络规划人员最为常用的VLAN划分方法，由于其配置简单，方便快捷，所以最为常见。而基于MAC地址的VLAN方式，则是依据接入网络中的每台计算机的网卡中的MAC地址进行配置，用此方式来划分VLAN，这种划分最大的优点是，计算机可以随意移动，不受物理位置限制，只需要重新接入交换机，就可以获得先前配置的VLAN中去，这种方式配置的VLAN场景，比较适用于经常移动的办公环境。3.3中继链接与VLANTrunk协议3.3.1访问链接与中继链接交换机的端口可以依据对数据转发的特性，可以分为访问链接和汇聚链接两种。访问链接，指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。一般情况下，大多数厂商的交换机设备的端口连接模式默认情况下，都会预设置为访问连接模式，在这种模型下，访问链接的端口所连接的是客户机。管理人员可以根据业务的实际需求出发，配置访问链接的方法，事实上，可以是事先配置或者是根据所连的终端进行动态配置。这就是常见的“静态VLAN”和“动态VLAN”两种类型。3.3中继链接与VLANTrunk协议1．静态VLAN静态VLAN就是提前配置的，一般是基于端口进行划分的VLAN。从字面上理解，就是网络管理人员在规划网络拓扑的时候，事先规划好哪些主机属于哪个VLAN，在网络组建的时候，当在交换机进行配置过程中，明确指定交换机中的各个端口分别归属于哪个VLAN的设定方法。由于需要对交换机中的每个端口进行配置，所以，当配置的网络足够庞大且交换机数据足够多的时候，管理人员的配置操作就会变得烦杂无比，配置过程中，也往往会出现误差，导致网络调试的时候，过程较长。此外，在网络正常运行过程中，如果有客户机需要进行变更所连端口时，管理人员都必须登录上交换机，并更改该端口所属VLAN的设定，因此，这样的静态VLAN配置方法很不适合于大型的、业务变换频繁的网络。3.3中继链接与VLANTrunk协议2．动态VLAN动态VLAN则是根据管理人员在交换机中，设定好每个端口所连的计算机，随时根据业务需求，改变端口所属的VLAN。这样的动态修改无需手工干预，因此，其灵活性大大高于基于静态VLAN配置的网络。动态VLAN可以大致分为3类：基于MAC地址的VLAN基于子网的VLAN基于用户的VLAN3.3中继链接与VLANTrunk协议3.3.2VLAN帧标记协议：IEEE802.1Q与ISLIEEE802.1Q是经过IEEE认证的、对数据帧附加VLAN识别信息的协议。IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址”与“类别域（TypeField）”之间。具体内容为2字节的TPID和2字节的TCI，共计4字节。在数据帧中添加了4字节的内容，那么CRC值自然也会有所变化。这时数据帧上的CRC是插入TPID、TCI后，对包括它们在内的整个数据帧重新计算后所得的值。需要注意的是，不论是IEEE802.1Q的“TaggingVLAN”，还是ISL的“EncapsulatedVLAN”，都不是很严密的称谓。不同的书籍与参考资料中，上述词语有可能被混合使用，因此需要大家在学习时格外注意。3.3中继链接与VLANTrunk协议3.3.3VLANTrunk协议VLAN

Trunk（虚拟局域网中继技术）是指能让连接在不同交换机上的相同VLAN中的主机互通。如果交换机A的VLAN1中的机器要访问交换机B的VLAN1中的，我们可以把两台交换机的直连端口设置为Trunk端口，这样，当交换机把数据包从级联口发出去的时候，会在数据包中做一个标记（TAG），以使其它交换机识别该数据包属于哪一个VLAN，这样，其它交换机收到这样一个数据包后，只会将该数据包转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。VLANTrunk目前有两种标准，ISL和802.1q，前者是Cisco专有技术，后者则是IEEE的国际标准，除了Cisco两者都支持外，其它厂商都只支持后者。3.4VLAN通信3.4.1VLAN内跨越交换机通信在进行网络规划与组建时，经常会将属于同一个VLAN的用户主机，根据业务的实际要求，被分配到到不同的交换机上。那么，这个时候，当同属于一个VLAN的不同主机需要跨越交换机进行通信时，就需要识别交换机间的接口，并将要在跨越交换机传输的VLAN报文。面临这样的问题，怎么解决？这就需要用到接下来要介绍的TrunkLink技术。TrunkLink有两个作用：中继作用在相互连接的交换机之间透传VLAN报文。干线作用TrunkLink通道上，可以用来传输交换机上配置的所有VLAN的报文。3.4VLAN通信例如在下图3-4所示，为了让交换机A和B之间的链路不但要支持VLAN2内的用户通讯，同时需要支持VLAN3内的用户通讯，那么这个时候，就需要将配置连接接口同时加入VLAN2和VLAN3中去。3.4VLAN通信3.4.2VLAN间通信原理当交换机的所有端口划分归属到不同VLAN后，这些端口所连接的计算机之间是不能直接通信的。如果要实现VLAN间通信，可以采取以下方案：（1）子接口如下图3-5所示，交换机A为支持配置子接口的三层设备，交换机B则为普通型的二层交换设备。从图中可以看出，用线路连接交换机B的端口与交换机A的端口。而局域网中的用户主机则被划分到两个VLAN：一个是VLAN2，一个是VLAN3。为了实现这两个VLAN的数据通信，可通过下面的详细配置，来实现两个VLAN之间的互联互通。3.5VLAN的配置3.5.1VLAN配置步骤及命令在华为交换机上，需要熟练配置VLAN的Access接口和Trunk接口，允许特定VLAN通过。并能够根据实际需要，将网络划分为多个VLAN进行接口配置。下面将从最基础的VLAN配置步骤进行学习。VLAN配置步骤及命令网络拓扑图如图3-7所示。3.5VLAN的配置步骤1：配置SW1的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤1：配置SW1的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤2：配置SW2的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤2：配置SW2的e0/0/1、e0/0/2和g0/0/1端口3.5VLAN的配置步骤3：测试过程3.5VLAN的配置3.5.2查看VLAN参数在完成交换机VLAN配置后，能够通过displayvlan命令进行查看VLAN的配置信息。在上述例子中，在交换机SW1系统视图中执行displayvlan的结果如图所示：3.6项目实验3.6.1项目实验四VLAN划分与配置实验1．项目描述四（1）项目背景。某企业有两个部门，办公室分布在同一栋楼的两层，每层办公室都同时有两个部门的人员办公。两部门计算机共30台，交换机两台，请以部门为单位进行网络规划，保证同部门的计算机二层互通。使用VLAN技术将两个部门的计算机分别划分到VLAN10和VLAN20中进行二层隔离。（2）逻辑拓扑如图3-10所示。3.6项目实验3.6.1项目实验四VLAN划分与配置实验（3）网络规划如表3.2所示。3.6项目实验3.6.1项目实验四VLAN划分与配置实验（4）任务内容。第1部分：连接设备、配置PC的IP地址。第2部分：VLAN划分与配置。第3部分：连通性测试（5）所需资源，如表3.3所示。3.6项目实验3.6.1项目实验四VLAN划分与配置实验2．项目实施一第1部分：连接设备、配置PC的IP地址。步骤1：按拓扑要求使用以太网线连接所有设备的相应端口。步骤2：配置PC的IP地址。配置计算机IP地址部门a的计算机PC1和PC3的IP及掩码分别配置为。和。部门逼的计算机pcr和PC4的IP及掩码分别配置为。和。注意：实验只要求进行二层隔离，因此所有计算机均未配置网关，同一个via设备间通信是通过mac寻址的。无需网关转发。3.6项目实验3.6.1项目实验四VLAN划分与配置实验2．项目实施一第2部分：VLAN划分与配置步骤1：创建VLAN并配置各计算机的VLAN归属（1）SW1的配置3.6项目实验3.6.1项目实验四VLAN划分与配置实验3.6项目实验3.6.1项目实验四VLAN划分与配置实验3.6项目实验3.6.1项目实验四VLAN划分与配置实验2．项目实施一第2部分：VLAN划分与配置步骤2：配置交换机间的连接端口为Trunk类型，允许VLAN10和VLAN20通过。3.6项目实验3.6.1项目实验四VLAN划分与配置实验2．项目实施一第3部分：连通性测试（1）用PC1去ping计算机PC3，用PC2去ping计算机PC4，结果显示Echoreply报文回复正常，说明PC1和PC3之间，PC2和PC4之间可互通，因为PC1与PC3同属于VLAN10,PC2和PC4同属于VLAN20。（2）用PC1去ping计算机PC2，用PC3去ping计算机PC4，结果显示超时，说明PC1和PC2之间，PC3和PC4之间不可互通，因为它们分属于不同的VLAN。测试结果说明实验配置满足了实验要求。第4章冗余网络01生成树协议02快速生成树协议03以太网链路聚合CONTENT目录04项目实验生成树协议01规模比较大的交换机网络中，为了避免单点故障（设备故障导致网络中断），通常采用双汇聚和双核心的网络架构，对网络关键部位进行链路冗余，提高网络的可靠性，但是，这样网络中出现了物理环路的问题，会产生广播风暴和MAC地址表震荡，这就需要在网络设备上配置生成树协议。汇聚交换机接入交换机PC终端图4-1单链路网络汇聚交换机2汇聚交换机1接入交换机PC终端图4-2增加冗余链路的网络知识引入1.1生成树协议简介

生成树协议（SpanningTreeProtocol，STP）是一个用于在局域网中消除环路的协议，在IEEE802.1d文档中定义了STP相关的标准。STP协议能在以太网中创建一个无环路的逻辑拓扑。汇聚交换机2汇聚交换机1接入交换机PC终端图4-3启用STP的网络1.2生成树的工作原理STP协议通过以下4个步骤来实现：

在交换网络中选举一个根桥。在每台非根桥上选举一个根端口。在每条链路上选举一个指定端口。阻塞备用端口，形成一个无环网络。图4-4网桥标识符（BID）的构成生成树端口的五种状态端口状态说明禁用（Disabled）禁用状态的端口不接收BPDU,不发送BPDU,不学习MAC地址表，不转发数据，端口关闭。阻塞（Blocking）阻塞状态的端口接收并处理BPDU,不发送BPDU,不学习MAC地址表，不转发数据。侦听（Listening）侦听状态的端口接收和发送BPDU,不学习MAC地址表，不转发数据。学习（Learning）学习状态的端口可以接收并发送BPDU，也可以进行MAC地址学习，但不能转发数据帧转发（Forwarding）转发状态的端口可以接收并发送BPDU，也可以进行MAC地址学习，同时能够转发数据帧表4.1STP端口的五种状态生成树端口的3种端口角色端口角色发送BPDU接收BPDU发送数据接收数据根端口是是是是指定端口是是是是备用端口否是否否表4.2STP的3种端口角色网桥协议数据单元网桥协议数据单元（BridgeProtocolDataUnit，BPDU）是STP能够正常工作的根本。BPDU是STP的协议报文。运行STP协议的网络中，交换机之间会交互BPDU报文，这些BPDU报文携带着BID、路径开销和端口ID等重要信息，正是基于这些信息，STP才能够顺利工作。BPDU分为两种类型：配置BPDU（ConfigurationBPDU）、TCNBPDU（TopologyChangeNotificationBPDU）。华为交换机STP配置(1)配置生成树工作模式[Huawei]stpmodestp/*配置生成树协议工作在STP模式。配置交换机为根桥[Huawei]stprootprimary/*配置当前交换机为根桥。配置交换机为备份根桥[Huawei]stprootsecondary/*配置当前交换机为备份根桥。配置交换机的STP优先级[Huawei]stpprioritypriority/*缺省情况下，交换机的优先级取值是32768。配置端口路径开销[Huawei]stppathcost-standard{dot1d-1998|dot1t|legacy}/*配置端口路径开销计算方法。[Huawei-GigabitEthernet0/0/1]stpcostcost/*设置当前端口的路径开销值。华为交换机STP配置(2)配置端口优先级[Huawei-intf]stpprioritypriority/*配置端口的优先级，缺省情况下，交换机端口的优先级取值是128。启用STP[Huawei]stpenable/*启用交换机的STP/RSTP/MSTP功能。缺省情况下，设备的STP功能处于启用状态。查看交换机的STP状态[Huawei]displaystp查看交换机的STP端口角色[Huawei]displaystpbrief查看交换机某个端口的详细信息[Huawei]displaystpinterfaceGigabitEthernet0/0/0快速生成树协议02生成树的演变STP：1990年，IEEE提出了802.1d标准，这是一种通用的生成树协议。RSTP：快速生成树（RSTP）是IEEE802.1w提出的一种协议，它比STP具有更快的收敛速度。MSTP：是将多个拥有同样数据流量需求的VLAN映射进同一个生成树实例中的协议。IEEE于2002年发布的802.1s标准定义了MSTPRSTP快速生成树协议（rapidspanningTreeProtocol，RSTP）是一个用于在局域网中消除环路的协议。RSTP由STP改进而来，是在IEEE802.1w提出的一种协议。RSTP完全向下兼容STP协议，除了有创建无环路的逻辑拓扑的功能外，RSTP还具有拓扑收敛速度快的特点。RSTP的端口角色相比STP，RSTP的端口角色增加到了4种，分别是根端口、指定端口、Alternate端口（也叫替代端口）和Backup端口（也叫备份端口）。交换机2优先级32768交换机1优先级0交换机3优先级32768G0/0/2根端口替代端口图4-9RSTP新增端口角色RSTP的端口状态相比STP的5种端口状态，RSTP把端口状态调整为3种。STP端口状态RSTP端口状态端口在拓扑中的角色转发（

Forwarding）转发（

Forwarding）包括根端口、指定端口学习（Learning）学习（

Learning）包括根端口、指定端口监听（Listening）禁用（

Discarding）包括根端口、指定端口阻塞（Blocking）包括Alternate端口、Backup端口禁用（Disabled）包括Disable端口表4.3RSTP与STP相的端口状态对比RSTP的快速收敛相比STP，RSTP还有快速收敛的机制，RSTP快速收敛包含下面三个方面：（1）Proposal/Agreement机制。（2）根端口快速切换机制。（3）引入边缘端口。交换机2交换机1交换机3边缘端口PC终端图4-10边缘端口RSTP提供的保护功能1．BPDU保护2．根保护3．环路保护4．防TC-BPDU攻击华为交换机RSTP配置（1）配置生成树工作模式[Huawei]stpmoderstp/*配置生成树协议工作在RSTP模式。配置根桥[Huawei]stprootprimary/*配置当前设备为根桥。缺省情况下，交换机不作为任何生成树的根桥。配置后该设备优先级数值自动为0。备份根桥[Huawei]stprootsecondary/*配置当前交换机为备份根桥。缺省情况下，交换机不作为任何生成树的备份根桥。配置后该设备优先级数值为4096。配置交换机的STP优先级[Huawei]stpprioritypriority/*缺省情况下，交换机的优先级取值是32768。

华为交换机RS