管理型交换机技术手册.docx

《管理型交换机技术手册.docx》由会员分享，可在线阅读，更多相关《管理型交换机技术手册.docx（70页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、联科通治理型交换机技术手册VER：1.0治理型交换机技术手册版权声明是深圳市联科通网络技术注册商标。这里提及的其它产品和产品名称均是他们所属公司的商标或注册商标。本产品的全部局部包括配件和软件，其版权属于深圳市联科通网络技术全部，在未经过深圳市联科通网络技术许可的状况下，不得任意拷贝、抄袭、仿制或翻译。本手册中的全部图片和产品规格参数仅供参考，随着软件或硬件的升级会略有差异，如有变更，恕不另行通知，如需了解更多产品信息，请扫瞄我们公司的网站： :/ ip-com .cn前言版本说明本手册对应产品为：IP-COM 治理型交换机。本书简介IP-COM 治理型交换机技术手册是介绍 IP-COM 治理

2、型交换机高级功能的手册。IP-COM 治理型交换机在原有的根底上添加了四大高级功能，分别是 802.1X、RSTP/STP、IGMP Snooping、SNMP。针对IP-COM 治理型交换机说明书对四大高级功能简要介绍的缺乏之处，本手册更深入细致地分别描述这四大高级功能的工作原理、配置方法、实例讲解，让用户能够充分学习把握这四大高级功能，然后利用这四大高级功能，依据自己的需求实现轻松便利治理网络的目的。章节安排如下：l 802.1Xl RSTP/STPl IGMP Snoopingl SNMP读者对象本书适合以下人员阅读：l 网络工程师l 网络治理人员l 具备网络根底学问的用户相关手册G12

3、16T & G1224T全千兆治理型交换机说明书目录第一章 802.1X11.1 802.1X 协议介绍11.2 RADIUS 协议介绍71.3 802.1X 认证配置121.4 802.1X 认证明例14其次章 RSTP/STP182.1 RSTP/STP 介绍182.1.1 生成树工作过程182.1.2 生成树端口状态212.1.3 生成树相关参数212.1.4 RSTP 与 STP232.2 RSTP/STP 配置252.2.1 RSTP 设置252.2.2 RSTP 端口272.2.3 RSTP 状态282.3 RSTP/STP 实例29第三章 IGMP SNOOPING323.1 I

4、GMP SNOOPING 介绍323.1.1 组播(Multicast)概述323.1.2 组播(Multicast)寻址343.1.3 IGMP Snooping 原理383.1.4 IGMP Snooping 实现过程393.2 IGMP SNOOPING 设置423.2.1 Snooping 设置423.2.2 Snooping 状态433.3 IGMP SNOOPING 实例44第四章 SNMP464.1 SNMP 介绍464.1.2 SNMP 版本504.1.4 Trap(陷阱)534.2 SNMP 设置564.3 SNMP 实例57附录60治理型交换机技术手册第一章 802.1X1

5、.1 802.1X 协议介绍802.1x 协议起源于 802.11 协议，802.11 协议是标准的无线局域网协议，802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开头被应用于一般的有线LAN 的接入。在 802.1x 消灭之前，有线 LAN 应用都没有直接掌握到端口的方法。当时也不需要掌握到端口。但是随着无线LAN 的应用以及 LAN 接入在网络上大规模开展，有必要对端口加以掌握，以实现用户级的接入掌握。802.1x 就是 IEEE 为了解决基于端口的接入掌握(Port-Based Access Control) 而定义的一个标准。802.1x 协议是一个基于端口

6、的访问掌握和认证协议，是一种对用户进展认证的方法和策略。这里指的端口是规律端口，可以是物理端口、MAC 地址或 Vlan ID 等(对于无线局域网来说 “端口”就是一条信道)，IP-COM 治理型交换机实现的都是基于物理端口的 802.1x 协议。802.1x 是一个二层协议，认证的交换机和用户的 PC 机必需处于同一个子网中，协议包是不能跨越网段。 802.1x 认证承受的是客户效劳器的模型，必需有一个效劳器对全部的用户进展认证。802.1X 认证的最终目的就是确定一个端口是否可用。对于一个端口，假设认证成功那么就“翻开”这个端口， 允许全部的报文通过；假设认证不成功就使这个端口保持 “关闭

7、”，此时只允许 802.1X 的认证报文 EAPOL(Extensible Authentication Protocol over LAN)通过，也就是说用户必需在10认证通过后才能访问网络。1.1.1 802.1X 认证体系的构造802.1x 设备是由三局部组成： 客户端(Supplicant System) 、认证系统(Authenticator System) 和认证效劳器(Authentication Server System)。在客户端和认证系统之间使用 802.1x 协议进展通信，在认证系统和认证效劳器之间使用RADIUS 协议进展通信。如图 1-1 所示。图1-1 Suppl

8、icant System (客户端)是需要接入LAN，及享受交换机供给效劳的设备(如 PC 机)，客户端需要支持 EAPOL 协议， 客户端必需运行 802.1X 客户端软件， 如： 802.1X-complainMicrosoft Windows XP 操作系统自带802.1X 客户端。 Authenticator System (认证系统，通常为边缘交换机或无线接入设备)是依据客户的认证状态掌握物理接入的设备， 交换机在客户和认证效劳器间充当代理角色。 交换机与客户端间通过 EAPOL 协议进展通讯，交换机与认证效劳器间通过 EAPoRadius 或 EAP 承载在其他高层协议上， 以便穿

9、越简单的网络到达 Authentication Server；交换机要求客户端供给自己的身份，接收到后将 EAP 报文承载在 Radius 格式的报文中，再发送到认证效劳器，返回等同； 交换机依据认证结果掌握端口是否可用； Authentication server (认证效劳器)对客户进展实际认证， 认证效劳器核实客户的身份，通知交换机是否允许客户端访问 LAN 和交换机供给的效劳，认证效劳器承受客户端传递过来的认证需求，认证完成后将认证结果下发给客户端，完成对端口的治理。由于 EAP 协议较为敏捷，除了IEEE 802.1x 定义的端口状态外，认证效劳器实际上也可以用于认证和下发更多用户相

10、关的信息，如 VLAN、QOS、加密认证密钥、DHCP 响应等。1.1.2 802.1X 协议包简介802.1x 协议在网络上传输的认证数据流是 EAPOL 帧格式，全部的用户身份信息(包括用户名和口令)封装在 EAP(扩展认证协议)中，EAP 再封装在EAPOL 帧中。用户名以明文的形式在 EAP 中存在，而口令则以 MD5 加密的形式在 EAP 中存在。EAP 包格式如 1-2 图。Code 指的是 EAP 包的类型， 包括 Request、Response、Success 和 Failure。Identifier 指的是标识符，用于匹配 Response 和 Request。Length

11、 指的是 EAP 包长度，包括包头。Data 指的是 EAP 包数据。EAP 包括以下四种类型： EAP-Request：Code 值为 1 ，EAP 恳求包，从交换机发给客户端恳求用户名和(或)口令。 EAP-Response：Code 值为 2 ，EAP 应答包，从客户端发给交换机，把用户名和(或)口令送给交换机。 EAP-Success：Code 值为 3 ，EAP 成功包，从交换机发给客户端，告知客户端用户认证成功。 EAP-Failure：Code 值为 4 ，EAP 失败包，从交换机发给客户端，告知客户端用户认证失败。1.1.3 802.1X 实现的过程当交换机使能 802.1x

12、并且端口的状态是 Auto 时，该端口下的全部接入用户都必需通过认证后才能访问网络。认证过程见图 1-3：图 1-3当用户需要访问网络时，客户端首先发送报文向交换机恳求认证，交换机收到认证恳求后发送 EAP-Request 恳求用户的用户名，客户端回送 EAP-Response，交换机把 EAP 信息提取出来封装在 RADIUS 包中发给认证效劳器，认证效劳器恳求用户的口令，交换机发送 EAP-Request 给客户端恳求用户的口令，客户端回送 EAP-Response，交换机把 EAP 信息封装在 RADIUS 包中发送给认证效劳器，认证效劳器依据用户名和口令对用户进展认证。假设认证成功，认

13、证效劳器通知交换机，交换机发EAP-Success 给客户端并把用户的规律端口处于授权状态。当客户端收到EAP-Success 后表示认证成功，用户可以访问网络。当用户不再需要使用网络，客户端发送 EAPOL-Logoff 给交换机，交换机把用户的规律端口状态迁为非授权状态，此时用户不能访问网络。为了防止客户端特别下线，IP-COM 治理型交换机供给了重认证的机制，可以在交换机开启重认证模式，当认证时间到达，交换机发起重认证，假设认证成功，用户可以连续使用网络，假设认证失败，用户将不能使用网络。1.1.4 802.1X 端口状态这里指的端口状态是交换机的物理端口状态。交换机的物理端口存在四种状

14、态：802.1x 关闭状态、自动状态、强制授权状态和强制非授权状态。当交换机没有翻开 802.1x 时，全部的端口处于 802.1x 关闭状态。当交换机端口要设置成自动状态、强制授权状态或强制非授权状态时，必需先开启交换机的 802.1x 功能。 当交换机的端口处于 802.1x 关闭状态时，端口下的全部用户不需要认证就可以访问网络。当交换机从该端口收到802.1 x 协议包时，丢弃这些协议包。 当交换机的端口处于强制授权状态时，端口下的全部用户不需要认证就可以访问网络。当交换机从该端口收到恳求认证的包时，交换机回送EAP-Success 包，当交换机从该端口收到其它的 802.1x 协议包时

15、，丢弃这些协议包。 当交换机的端口处于强制非授权状态时，端口下的全部用户始终不能访问网络，认证恳求永久通不过。当交换机从该端口收到 802.1x 协议包时，丢弃这些协议包。 当交换机的端口处于自动状态时，端口下的全部用户必需通过认证后才能访问网络。假设用户需要做认证，端口一般要设置成自动状态。1.2 RADIUS 协议介绍当用户进展认证时，交换机和认证效劳器之间承受支持EAP 扩展的 RADIUS 协议进展交互。RADIUS 协议承受客户/ 效劳器模型，交换机需要实现 RADIUS 客户端，而认证效劳器需要实现 RADIUS 效劳端。为了保证交换机和认证效劳器之间交互的安全性，防止非法的交换机

16、或非法的认证效劳器之间的交互，交换机和认证效劳器之间要相互鉴权。交换机和认证效劳器需要一个一样的密钥，当交换机或认证效劳器发送RADIUS 协议包时，全部的协议包要依据密钥承受 HMAC 算法生成消息摘要，当交换机和认证效劳器收到 RADIUS 协议包时，全部的协议包的消息摘要要使用密钥进展验证，假设验证通过，认为是合法的RADIUS 协议包，否则是非法的RADIUS 协议包，将丢弃非法的 RADIUS 协议包。1.2.1 RADIUS 协议包简介RADIUS 是建立在 UDP 之上的协议，RADIUS 可以封装认证信息和计费信息。早期的 RADIUS 认证端口是 1645， 目前使用端口 1

17、812，早期的 RADIUS 计费端口是 1646，目前使用端口 1813。IP-COM 治理型交换机临时只支持 RADIUS 认证功能，不支持 RADIUS 计费功能。由于 RADIUS 承载在 UDP 上， 所以 RADIUS 要有超时重发机制。同时为了提高认证系统与 RADIUS 效劳器通信的牢靠性，可以承受两个 RADIUS 效劳器方案，即承受备用效劳器机制。RADIUS 报文格式如图 1-4。Code 指 RADIUS 协议报文类型。Identifier 指标识符，用于匹配恳求和应答。 Length 指整个报文(包括报文头)的长度。Authenticator 是一个 16 字节的串，

18、对于恳求包是一个随机数，对于应答包是MD5 生成的消息摘要。Attribute 指 RADIUS 协议包中的属性。RADIUS 报文包括以下六种类型： Access-Request：Code 值为 1，从认证系统发给认证服务器的认证恳求包，用户名和口令封装在此包上。 Access -Accept：Code 值为 2 ，从认证效劳器发给认证系统的应答包，表示用户认证成功。 Access -Reject：Code 值为 3 ，从认证效劳器发给认证系统的应答包，表示用户认证失败。 Access-Challenge：Code 值 11，从认证效劳器发给认证系统的应答包,表示认证效劳器需要用户的进一步的

19、信息, 如口令等。 Accounting-Request：Code 值为 4，从认证系统发给认证效劳器的计费恳求包，包括开头计费和完毕计费包，计费信息封装在此包上。 Accounting-Response：Code 值为 5，从认证效劳器发给认证系统的计费应答包，表示计费信息已收到。图 1-41.2.2 RADIUS 实现的过程用 户 进 行 认 证 时 ， 交 换 机 把 用 户 名 封 装 在Access-Request 报 文 中发给 认 证 服 务 器 ， 服 务 器 应 答Access-Challenge 恳求用户的口令，交换机恳求客户端用户的口令，客户端把口令封装在 EAP 中，交

20、换机猎取到此 EAP 后封装在 Access-Request 发给认证效劳器，认证效劳器对用户进展认证，假设认证成功，回送Access-Accept 给交换机，交换机收到此报文后通知客户端认证成功。当 交 换 机 具 有 计 费 功 能 时 ， 同 时 发 送Accounting-Request 通知认证效劳器开头计费，认证效劳器回送 Accounting-Response。当用户不想使用网络时，通知交换机用户下线，交换机发 Accounting-Request 通知认证效劳器完毕计 费 ， 计 费 信 息 封 装 在 此 包 中 ， 认 证 服 务 器 回 送Accounting-Respo

21、nse。过程见图 1-5：图1-51.2.3 RADIUS 用户验证方法RADIUS 有三种用户验证方法，如下：PAP(Password Authentication Protocol)。用户以明文的形式把用户名和他的密码传递给交换机。 交换机通过RADIUS 协议包把用户名和密码传递给 RADIUS 效劳器， RADIUS 效劳器查找数据库，假设存在一样的用户名和密码说明验证通过,否则说明验证未通过。CHAP(Challenge Handshake Authentication Protocol)。当用户恳求上网时，交换机产生一个 16 字节的随机码给用户。用户对随机码，密码以及其它各域加密

22、生成一个 response，把用户名和 response 传给交换机。交换机把用户名， response 以及原来的 16 字节随机码传给RADIUS 效劳器。RADIU 依据用户名在交换机端查找数据库，得到和用户端进展加密所用的一样的密码，然后依据传来的 16 字节的随机码进展加密，将其结果与传来的response 作比较，假设一样说明验证通过，假设不一样说明验证失败。EAP(Extensible Authentication Protocol)。用此种验证方法，交换机并不真正参与验证，只起到用户和 RADIUS 效劳器之间的转发作用。当用户恳求上网时，交换机恳求用户的用户名，并把用户名转送

23、给 RADIUS 效劳器，RADIUS 效劳器产生一个 16 字节的随机码给用户并存储该随机码，用户对随机码，密码以及其它各域加密生成一个 response，把用户名和 response 传给交换机，交换机转发给 RADIUS 效劳器。RADIU 依据用户名在交换机端查找数据库，得到和用户端进展加密所用的一样的密码，然后依据存储的 16 字节的随机码进展加密，将其结果与传来的response 作比较，假设一样说明验证通过，假设不一样说明验证失败。IP-COM 治理型交换机的认证承受的是EAP 用户验证方法。1.3 802.1X 认证配置1.3.1 802.1X 设置图1-6 802.1X 模式

24、启用：设置是否开启 802.1X 认证功能 效劳器 IP：设置认证效劳器的IP 地址 UDP 端口：设置交换机认证的 UDP 端口，默认为 1812 共享密匙：依据认证效劳器端相对应的密匙进展设置。 重认证模式：设置是否开启重认证 重认证周期：设置重认证的周期时间，默认值为 3600秒，即每隔一小时重认证一次。 EAP 超时：设置 EAP 响应超时的时间，默认为 30 秒。1.3.2 802.1X 端口设置图 1-7 端口掌握方式：可以选择强制授权状态、强制非授权状态、自动状态。当端口为强制授权状态，此端口可以通过任何报文；当端口为强制非授权状态，此端口只能通过认证信息的报文；当端口为自动状态

25、时，依据认证状况选择可以通过的报文。 端口认证状态：显示认证的状态可分为四种， 802.1X 关闭、链路断开、授权状态、非授权状态。 强制端口重认证：点击相应的端口进展强制重认证。1.4 802.1X 认证明例组网连接图见图 1-8。IP-COM 治理型交换机连接了 4 台PC 和 1 台 认 证 服 务 器， PC 机 的 IP 地 址 分 别为192.168.0.11-192.168.0.14 ， 认 证 服 务 器 的 IP 地 址 为192.168.0.10 ， IP-COM 治理型交换机使用 默认 IP 地址192.168.0.1。PC 机分别连接交换机端口 1-4，认证效劳器连接端

26、口 24。图 1-8首先在认证效劳器上安装认证效劳器软件(这里使用第三方软件 WinRadius)，做好相关的认证设置，认证端口我们承受默认的 “1812”，认证密匙设置为： “1234”。添加认证帐号“test”，登陆密码“test”。图 1-9然后在 IP-COM 治理型交换机进展 802.1x 设置，如 1-10 图。将“802.1x 模式”设置“启用”；设置“RADIUS 效劳器 IP”为“192.168.0.10”( 与认证效劳器的 IP 地址保持全都 )；设置“RADIUS UDP 端口”为“1812”(与认证效劳器上的设置保持全都)；设置“RADIUS 共享密匙”为“1234”(

27、与认证效劳器上的设置保持全都)。“重认证模式”设置为“启用”；“重认证周期”设置为“10”秒；“EAP 超时”使用默认值“30”秒。图 1-10最终在 802.1x 端口设置中将端口 1-4 都设置为自动状态，同时 PC1-5 在“本地连接属性设置”中将“IEEE 802.1x 验证” 开启，“EAP 类型”设置为“MD5-质询”。此处 PC1-4 以Windows XP 为例，Windows XP 自带认证客户端软件，其他操作系统需自行安装认证客户端软件。图 1-11图 1-12认证设置完成后，PC1-4 会消灭需要验证身份的提示， 点击提示后消灭对话框进展身份验证，我们在 PC1 上输入帐

28、号“test”，密码“test”，验证成功后 PC1 就可以进展通信。PC2-4 输入其他随便的认证帐号密码，认证不能通过，所以不能进展正常的通信。图 1-13图 1-14在交换机802.1x端口设置页面中可以查看到端口1 为“授权状态”，端口 2-4 为“非授权状态”。在认证效劳器上也可以查看到相应的认证状况。图 1-15图 1-16其次章 RSTP/STP2.1 RSTP/STP 介绍现在的大型网络设计一般都承受分层构造，即分为核心 层，会聚层和接入层三个层次。其中核心层使用核心的设备， 比方高端以太网交换机，会聚层承受一些中低端的交换机担 当；而接入层则一般承受低端交换机来负责。这样，会

29、聚层完成接入层业务的会聚，然后送到骨干层上传输。为了保证冗余特性，会聚层交换机或接入层交换机一般通过两条以上的链路跟上层连接，而骨干层各个设备之间也不是单一的链路，而是组成一个全网状构造或一个半网状构造。不管何种构造，核心层交换机之间的链路确定多于一条。在这些冗余链路的环境中，就会产生很多问题，最典型的是播送风暴。在这种状况下，我们必需引入一种机制来避开这种危急，这种机制就是生成树协议。 STP 是 Spanning Tree Protocol 的英文缩写。该协议可应用于环路网络，通过肯定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避开报文在环路网络中的增生和无限循环。2.1

30、.1 生成树工作过程交换机启动的时候，向各个端口发送 BPDU(桥接协议数据单元 Bridge Protocol Data Unit)，该数据帧的目的 MAC 地址是一个保存的组播 MAC 地址，这样就保证了以太网上全部的交换机都可以接收到该数据帧。BPDU 包含以下内容：发送交换机的标识，发送端口的本钱，根交换机的标识(初始化为自己)，到根交换机的本钱等等。交换机接收到这个 BPDU 后， 便利用 STA(生成树算法 Spanning Tree Arithmetic)的数学公式进展计算。通过 STA 计算，网桥就可以知道网络上是否存在环路。假设存在环路，网桥就做出备份端口应当被堵塞的打算，最

31、终除出环路。生成树协议运行过程分几个过程：选择根桥：启动生成树协议后，交换机之间通过传递 BPDU 包来交换信息。BPDU 包中有一项重要信息，交换机 ID。它是由 8 个字节组成，两个字节的优先级和 6 个字节的交换机的 MAC 地址所组成。由于 MAC 地址的唯一性，同样能保证交换机 ID 的唯一性。IP-COM 治理型交换机的优先级出厂缺省值为 32768，这个数值可由网络治理员修改。因此，网路治理员可以通过掌握优先级的大小来选择哪个设备为根桥。网络中交换机启动生成树协 议，交换机通过比较网桥 ID 的大小选举根网桥。协议规定，交换机ID 最小的为根桥，根桥只能有一个。假设是， 则选择它

32、为根交换机，这样长时间的选择，最终网络中的交换时机达成共识，选择某个交换机为根交换机(该交换机的标识最低)。l 选择根端口：根端口是指在每个非根桥上被选择的处于转发状态的端口。这个端口满足到根桥所花费的代价最小。交换机从接收到的 BPDU 中可以计算出自己哪个端口到根交换机路径开销最小，路径开销最小的端口被选定为根端口，并转换到转发状态。当路径开销全都时，比较其端口优先级，端口优先级小的端口将被选为根端口。l 选择指定端口和指定交换机：选择出根端口之后，交换时机向全部其他未堵塞端口(所谓堵塞，是由于物理链路没有起来或手工关闭)发送从根端口接收到的 BPDU。不过发送的时候，把 BPDU 进展修

33、改，把其中的发送交换机标识填写成自己的标识，到根交换机的本钱改为端口本钱加上根端口到根交换机的本钱，比方，根端口到根交换机的本钱为 100，而某个端口的本钱为 20，则从该端口把BPDU 发送出去后，相应的到根交换机的本钱就转换为120。在发送的同时，也可能从其他交换机接收到 BPDU， 这时候就把自己刚刚发送的 BPDU 同接收到的 BPDU 比较，看哪个距离根比较近(路径开销小)，假设自己的本钱低，则该端口跳转到转发状态，也就是说，该端口成为相应冲突域的指定端口，而该交换机就是相应冲突域的指定交换机。而刚刚发送 BPDU 的交换机由于觉察自己到根的本钱高，就会堵塞该端口。其实，阶段二和阶段

34、三是确定到根桥的最正确通路的一个过程。并且由于三个阶段的唯一性，这样生成树协议将去掉多台交换机形成的环路。2.1.2 生成树端口状态端口状态共有五种端口状态：l 堵塞状态(Blocking)只侦听BPDU 包，不进展数据帧转发。l 侦听状态(Listening)只侦听数据帧，不进展转发。l 学习状态(Learning)学习地址信息，不进展转发。l 转发状态(Forwarding)学习地址信息，并进展转发。l 无效状态(Disabled)不进展转发，不侦听 BPDU 包。因设备故障或者网络治理员的操作而导致。通常状况下，交换机端口的状态是依据如下挨次进展转换。堵塞状态侦听状态学习状态转发状态。转

35、发状态和堵塞状态可以处于维持状态，而侦听状态和学习状态是过渡状态，最终会转换为转发状态或堵塞状态。2.1.3 生成树相关参数l 系统优先级(Bridge Priority)：交换机的优先权可选数值范围是 0 到 65535。0 表示最高的优先权。l 老化时间(Max. Age)：最大时限的可选数值范围是 6 秒到40 秒。在最大时限将到时，假设还没有收到从根桥发出的 BPDU，那么，你的交换机将开头发送它自己的BPDU 到其他全部的交换机申请成为根桥。假设你的交换机的桥标识符确实是最低的，那么它将成为根桥。l 呼叫时间(Hello Time)：呼叫时间的可选数值范围是 1 秒到 10 秒。这是

36、根桥发送两个BPDU 的时间间隔，告知其他全部交换机它是根桥。假设你在你的交换机上设置了问候时间，而它又还未是根桥时，那么，没有任何影响。一旦你的交换机成为了根桥，该问候时间就会派上用处。l 转发延时(Forward Delay Timer)：转发延迟时间的可选数值范围是 4 秒到 30 秒。这是交换机上的端口从堵塞状态转变为转发状态所需的时间。l 路径开销(Port Cost)：端口路径开销的可选数值范围是 0 至 202300000。数值越小，相应的端口越可能被选定为端口。l 端口优先级(Port Priority)：当非根交换机路径开销全都时，端口优先级数值越小，相应的端口将成为根端口。

37、IP-COM 治理型交换机的端口优先级与端口 ID 相全都， 不能进展修改。例如端口 1 的端口优先级为 1，端口 2 的端口优先级为 2，依次类推。留意：当你需要变动生成树参数时，请肯定记住下述公式： 最大的桥老化时间 2 x(桥转发时延 1 秒)即：Max. Age 2 x (Forward Delay - 1 second)最大的桥老化时间 2 x(问候时间 + 1 秒)即：Max. Age 2 x (Hello Time + 1 second)2.1.4 RSTP 与 STPSTP 端口从堵塞状态进入转发状态必需经受两倍的转发延时，所以网络拓扑构造转变之后需要至少两倍的转发延时， 才能

38、恢复连通性，假设网络中的拓扑构造变化频繁将导致网络频繁失去连通性，用户就会无法忍受。RSTP(快速生成树协议)是从 STP(生成树协议)进展而来， 实现的根本思想全都，快速生成树具备生成树的全部功能。快速生成树改进目的就是当网络拓扑构造发生变化时，尽可能快的恢复网络的连通性。快速生成树主要有三大改进：l 第一种改进：假设旧的根端口已经进入堵塞状态，而且根端口连接的对端交换机的指定端口处于转发状态，在拓扑构造中的根端口可以马上进入转发状态。效果：觉察拓扑转变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。l 其次种改进：指定端口可以通过与相连的网桥进展一次握手，快速进入转发状态。效果：网络连

39、通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的状况下，握手从网络的一边开头，集中到网络的另一边缘的网桥，网络连通性才能恢复。比方当网络直径为 7 的时候，要经过 6 次握手。两点留意:1、握手必需在点对点链路的条件下进展。2、一次握手之后，响应握手的网桥的非边缘指定端口将变为堵塞状态，则需要连续向自己的邻接网桥发起握手。第三种改进：网络边缘的端口，直接与终端相连，而不是和其它网桥相连的端口可以直接进入转发状态，不需要任何延时。效果：边缘端口的状态变化不影响网络连通性，也不会造成回路，所以进入转发状态无需延时。快速生成树与生成树的不同之处主要有：1、协议版本不同2、端口状态转换方式

40、不同3、配置消息报文格式不同4、拓扑转变消息的传播方式不同留意：快速生成树也是在整个交换网络应用单生成树实例 ,不能解决由于网络规模增大带来的性能降低问题。建议网络直 径最好不要超过 7。2.2 RSTP/STP 配置2.2.1 RSTP 设置图 2-1 系统优先级：设置交换机在生成树中的系统优先级别，当系统优先级数值越小时，那么该交换机越简洁成为根桥。假设交换机用于大型的工作组级的网络中，那么，尽量避开使用。 Hello Time(问候时间)：数值范围从 1 秒到 10 秒。是指根桥向其它全部交换机发出 BPDU 数据包的时间间隔， 以告知其它全部交换机它是根桥。假设你在你的交换机上设置了问

41、候时间，而它又还未是根桥时，那么，没有任何影响。一旦你的交换机成为了根桥，该问候时间就会派上用处。 最大老化时间：数值范围从 6 秒到 40 秒。假设在超出最大老化时间之后，还没有收到根桥发出的 BPDU 数据包， 那么，在允许的条件下你的交换机将充当根桥向其它全部的交换机发出 BPDU 数据包。假设交换机确实是具有最小的桥标志级数，那么，它将随之成为根桥。尽量不要选用较小的数值，以免不断不必要地重设根桥。 转发延时：数值范围从 4 秒到 30 秒。是指交换机的端口从堵塞状态转为转发状态所花的监听时间。数字越高，延时越大。 STP 版本选择：可以选择基于 802.1W 的 RSTP(快速生成树

42、协议)或基于 802.1D 的 STP(生成树协议)，默认为RSTP。2.2.2 RSTP 端口图 2-2 使能 RSTP/STP：可以设置该端口是否开启生成树功能， 默认全部端口都是关闭。 边缘端口：假设端口直接与终端相连，则该端口可以设置为边缘端口。假设将与交换机相连的端口配置为边缘端 口，则边缘端口将自动关闭。边缘端口的状态迁移会比较快，端口从堵塞状态转为转发状态后不需要经过 2 倍的转发延时就可以直接进入转发状态。 路径开销：路径开销范围为 0-202300000，设为 0 表示自动依据端口速度打算端口路径开销。2.2.3 RSTP 状态图 2-3 RSTP 桥状态：可以查看桥 ID、

43、拓扑状态、根桥 ID 以及设置的 Hello Time、最大老化时间、转发延时。 RSTP 端口状态：可以查看点对点端口、协议、端口状态以及设置的路径开销、边缘端口。2.3 RSTP/STP 实例组网连接图 2-4如下，有三个局域网用三台交换机一一相连，造成了一个环路网络。在此例中，假设不使用生成树技术，你可以预见到可能发生的一些网络故障。例如，假设交换机 A 向交换机 B 发出一个播送包，那么，交换机 B 将把此数据包播送给交换机 C，而交换机 C 又会将此数据包播送回给交换机 A。随后会始终将如此反复，播送包将会在这个环路中被循环往复地传递，从而导致严峻的网络故障。为了避开网络环路的发生，

44、可以承受生成树解决。首先进入 RSTP 设置页面，分别设置交换机 A、B、C 的系统优先级为 4096、28762、40960，其余参数设置建议尽量不要改动其出厂默认设置值。当你确实需要变动生成树参数时，记住下述公式：最大的桥老化时间 2 x(桥转发时延 1 秒)即：Max. Age 2 x (Forward Delay - 1 second)最大的桥老化时间 2 x(问候时间 + 1 秒)即：Max. Age 2 x (Hello Time + 1 second)图 2-5图 2-6图 2-7然后进入 RSTP 端口页面，将交换机 A、B、C 的 1、2、3 端口都开启 RSTP/STP 功

45、能。再设置交换机 A 的 1、2、3 端口路径开销为 2023，交换机B 的 1、2、3 端口路径开销为20230，交换机C 的 1、2、3 端口路径开销为 202300。图 2-8图 2-9图 2-10全部设置完成后，预想结果应当为生成树算法会将计算出来的各桥 ID 后进展比较，选择交换机 A 为根桥。生成树算法将依据计算出来的各桥和端口之间的路径开销后，任命交换机C 的 1 端口为根端口，堵塞交换机 C 的端口 2，交换机 B 与交换机 C 之间的连承受到限制，以打破环路的形成。现在， 假设交换机 A 向交换机 C 发出一个播送包，那么，交换机 C 将在端口 2 处将此数据包丢弃，那么此播送将完毕。点击进入RTSP 状态页面，查看状态结果，与我们预想的结果全都。图 2-11图 2-12图 2-13图 2-14第三章 IGMP Snooping3.1 IGMP Snooping 介绍在城域网/Internet 中，承受单播方式将一样的数据包发送给网络中的多个而不是全部接收者时，由于需要复制分组给每一个接收端点，随着接收者数量的增多，需要发出的包数也会线性增加，这使得主机、交换路由设备及网络带宽资源总体负担加重，效率受到极大影响。随着多点电视会议、视屏点播、群组通信应用等需求的增长，为提高资源利用率，组播方式日益成为多点通