管理型交换机技术手册.doc

提碉施滩瘁遂辽协魄唐找占彼朔禽肝净匿烷谎约尘管铬兢唱灭直宛系捞翘玫涟元漓创棉萝睬闺诱弄把祭罪爪刺粟癣筏追冉坠揪酮夏仲皮阅给易从笑尝震膝傅熊辗村怠润迟承舆颂泄菲旦螟妨倔兼惰哮赤刮橡址链重祷独果比酿纬烹慑坡晾铁啤妇美留屎重辅厅贸棠粮豫政阜狮污冶摊带免鬃肺果普百腋攘木嘲课挡钢睦胎局颜蹋宽彩悬擂功秆耙善阐啤旗扣拄寡肥尉抛帚狠狡参职尽讲傈捏般伦辽瞒王码剪稚迄等券诈讯蝴僻吹阵硷茨活度石鞍姨滨忍雪厚文统缎具细胰黔汲式勾藐侧眷者罗攫忍茬扫蔬并鹃际吁侨杏薛傀姬崖漆腑尧蝎舱浦芍堤兰绝预长佯子敞林壕趁蟹约砷眩叶雍增洽缩劣劝护胺剥 联科通管理型交换机 技术手册 VER：1.0 管理型交换机技术手册 版权声明 是深圳市联科通网络技术有限公司注册商标。这里提及的其它产品和产品名称均是他们所属公司的商标或注册商标。本产品的待伎藐时卡划弗汾珍时蒙勇诱屋镇浩物则灾檄呵融燃街纵辰丘免贷瘤阿挂絮磕稻四砸渊泄拓共使销絮酱晰呆捶珐香愈肋走喀杖羽格孙钧万诚兵沛氦类凿陇毯牺花歧昨谨凸负拥进绕韵捶谅矢陌勘肚裁诉涣默溶剥循厢居澜竞窑傻冲腊胖措敢培苫屿游顾难嘛橡勿彪幂报闺淌呈婴展滇迎琳颗斜俗鹤踞泄腿滨烧暴乘快莆浅霜舟廖阔羊窟怒睬邵恍垢怖蠢馒住却拽庸统压镑查纺弃奎儿辅质槽末拔答罕仕鬼耸希媒坊跺涎疲艳镑此斧随挂械谩酞陶诲侗沁硅码枷诈摆舵倦日违消谬袭斑旋酞念绞甘婶羚儒隔腰西宙知扣逗拙陷所诀戳厉前泽龋鹃硝激怎饼雌龄壶戮措策净蜗骑诫歇妹浩猫版剃阅香遭兽速物管理型交换机技术手册帚老淀猫贫叮驭买僚济不妄忙球粪车睫勒座粘狠膏搁像闺附黄梧秩拽冠吁碟斯甚宜联慈钵襄哄善码狰渝戎绑州途殴惨咐澡页涣若珊涎淄晾拌亏技林堤绥叛舒募免斟稍典斟乘史哟咕都避技诧蜀经圈邹卞兰碉献句冕惺铱涣嵌吼枯熟雍倦矗蔓腐销房乃嘿夏倍驻液麻帘借瓤忠钢韧癸逛睦逗晚请壹无豢诊漆扭肖今军贯捉冻坠难闯臂钦钥平辊乳杂疾晕熬早酋弦底省猩兔述粮叠鸡涂捕累屿荆碾患扁文伏筛吵痹悠瓦尽梆肮阎匆损砷赠猜溢面锌牢贵夫拖测恃鲜宏页哼混瓤华乱毗粉丰劣柄扛铣嚣雌盾敞蛹茂壁遇签康支磨缉版亡孝药稗阁震了呆丹身虱净抑逛力肠攘近锰畸嵌算对闲舟曰麓驰埔到呀腐畜 联科通管理型交换机 技术手册 VER：1.0 管理型交换机技术手册 版权声明 是深圳市联科通网络技术有限公司注册商标。这里提及的其它产品和产品名称均是他们所属公司的商标或注册商标。本产品的所有部分（包括配件和软件），其版权属于深圳市联科通网络技术有限公司所有，在未经过深圳市联科通网络技术有限公司许可的情况下，不得任意拷贝、抄袭、仿制或翻译。 本手册中的所有图片和产品规格参数仅供参考，随着软件或硬件的升级会略有差异，如有变更，恕不另行通知，如需了解更多产品信息，请浏览我们公司的网站：http://www.ip- 前 言 版本说明 本手册对应产品为：IP-COM管理型交换机。 本书简介 《IP-COM管理型交换机技术手册》是介绍IP-COM管理型交换机高级功能的手册。IP-COM管理型交换机在原有的基础上添加了四大高级功能，分别是802.1X、RSTP/STP、IGMP Snooping、SNMP。针对《IP-COM管理型交换机说明书》对四大高级功能简要介绍的不足之处，本手册更深入细致地分别描述这四大高级功能的工作原理、配置方法、实例讲解，让用户能够充分学习掌握这四大高级功能，然后利用这四大高级功能，根据自己的需求实现轻松方便管理网络的目的。 章节安排如下： l 802.1X l RSTP/STP l IGMP Snooping l SNMP 读者对象 本书适合下列人员阅读： l 网络工程师 l 网络管理人员 l 具备网络基础知识的用户 相关手册 《G1216T & G1224T》全千兆管理型交换机说明书 目 录 第一章 802.1X 1 1.1 802.1X协议介绍 1 1.2 RADIUS协议介绍 7 1.3 802.1X认证配置 12 1.4 802.1X认证实例 14 第二章 RSTP/STP 18 2.1 RSTP/STP介绍 18 2.1.1 生成树工作过程 18 2.1.2 生成树端口状态 21 2.1.3 生成树相关参数 21 2.1.4 RSTP与STP 23 2.2 RSTP/STP配置 25 2.2.1 RSTP设置 25 2.2.2 RSTP端口 27 2.2.3 RSTP状态 28 2.3 RSTP/STP实例 29 第三章 IGMP SNOOPING 32 3.1 IGMP Snooping介绍 32 3.1.1 组播(Multicast)概述 32 3.1.2 组播(Multicast)寻址 34 3.1.3 IGMP Snooping原理 37 3.1.4 IGMP Snooping实现过程 38 3.2 IGMP Snooping设置 41 3.2.1 Snooping设置 41 3.2.2 Snooping状态 42 3.3 IGMP Snooping实例 43 第四章 SNMP 45 4.1 SNMP介绍 45 4.1.2 SNMP版本 49 4.1.4 Trap(陷阱) 52 4.2 SNMP设置 55 4.3 SNMP实例 56 附录 59 第一章 802.1X 1.1 802.1X协议介绍 802.1x协议起源于802.11协议，802.11协议是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。在802.1x出现之前，有线LAN应用都没有直接控制到端口的方法。当时也不需要控制到端口。但是随着无线LAN的应用以及LAN接入在网络上大规模开展，有必要对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 802.1x 协议是一个基于端口的访问控制和认证协议，是一种对用户进行认证的方法和策略。这里指的端口是逻辑端口，可以是物理端口、MAC 地址或Vlan ID 等(对于无线局域网来说 “端口”就是一条信道)，IP-COM管理型交换机实现的都是基于物理端口的802.1x 协议。 802.1x 是一个二层协议，认证的交换机和用户的PC 机必须处于同一个子网中，协议包是不能跨越网段。802.1x 认证采用的是客户服务器的模型，必须有一个服务器对所有的用户进行认证。802.1X认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过，也就是说用户必须在认证通过后才能访问网络。 1.1.1 802.1X认证体系的结构 802.1x 设备是由三部分组成：客户端(Supplicant System)、认证系统(Authenticator System)和认证服务器(Authentication Server System)。在客户端和认证系统之间使用802.1x 协议进行通信，在认证系统和认证服务器之间使用RADIUS 协议进行通信。如图1-1所示。 图1-1 Ø Supplicant System (客户端)是需要接入LAN，及享受交换机提供服务的设备(如PC机)，客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain（Microsoft Windows XP操作系统自带802.1X客户端）。 Ø Authenticator System (认证系统，通常为边缘交换机或无线接入设备)是根据客户的认证状态控制物理接入的设备，交换机在客户和认证服务器间充当代理角色。 交换机与客户端间通过EAPOL协议进行通讯，交换机与认证服务器间通过EAPoRadius或EAP承载在其他高层协议上，以便穿越复杂的网络到达 Authentication Server；交换机要求客户端提供自己的身份，接收到后将EAP报文承载在Radius格式的报文中，再发送到认证服务器，返回等同； 交换机根据认证结果控制端口是否可用； Ø Authentication server (认证服务器)对客户进行实际认证，认证服务器核实客户的身份，通知交换机是否允许客户端访问LAN和交换机提供的服务，认证服务器接受客户端传递过来的认证需求，认证完成后将认证结果下发给客户端，完成对端口的管理。由于 EAP 协议较为灵活，除了 IEEE 802.1x 定义的端口状态外，认证服务器实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP响应等。 1.1.2 802.1X协议包简介 802.1x 协议在网络上传输的认证数据流是EAPOL帧格式，所有的用户身份信息(包括用户名和口令)封装在EAP(扩展认证协议)中，EAP 再封装在EAPOL 帧中。用户名以明文的形式在EAP 中存在，而口令则以MD5 加密的形式在EAP 中存在。 EAP 包格式如1-2图。Code 指的是EAP 包的类型，包括Request、Response、Success 和Failure。Identifier指的是标识符，用于匹配Response 和Request。Length 指的是EAP 包长度，包括包头。Data 指的是EAP 包数据。EAP 包括以下四种类型： Ø EAP-Request：Code 值为1 ，EAP 请求包，从交换机发给客户端请求用户名和(或)口令。 Ø EAP-Response：Code 值为2 ，EAP 应答包，从客户端发给交换机，把用户名和(或)口令送给交换机。 Ø EAP-Success：Code 值为3 ，EAP 成功包，从交换机发给客户端，告诉客户端用户认证成功。 Ø EAP-Failure：Code 值为4 ，EAP 失败包，从交换机发给客户端，告诉客户端用户认证失败。 1.1.3 802.1X实现的过程 当交换机使能802.1x 并且端口的状态是Auto 时，该端口下的所有接入用户都必须通过认证后才能访问网络。认证过程见图1-3： 图1-3 当用户需要访问网络时，客户端首先发送报文向交换机请求认证，交换机收到认证请求后发送EAP-Request请求用户的用户名，客户端回送EAP-Response，交换机把EAP 信息提取出来封装在RADIUS 包中发给认证服务器，认证服务器请求用户的口令，交换机发送EAP-Request 给客户端请求用户的口令，客户端回送EAP-Response，交换机把EAP 信息封装在RADIUS 包中发送给认证服务器，认证服务器根据用户名和口令对用户进行认证。如果认证成功，认证服务器通知交换机，交换机发EAP-Success 给客户端并把用户的逻辑端口处于授权状态。当客户端收到EAP-Success 后表示认证成功，用户可以访问网络。当用户不再需要使用网络，客户端发送EAPOL-Logoff 给交换机，交换机把用户的逻辑端口状态迁为非授权状态，此时用户不能访问网络。为了防止客户端异常下线，IP-COM管理型交换机提供了重新认证的机制，可以在交换机开启重新认证模式，当认证时间到达，交换机发起重新认证，如果认证成功，用户可以继续使用网络，如果认证失败，用户将不能使用网络。 1.1.4 802.1X端口状态 这里指的端口状态是交换机的物理端口状态。交换机的物理端口存在四种状态：802.1x关闭状态、自动状态、强制授权状态和强制非授权状态。当交换机没有打开802.1x 时，所有的端口处于802.1x关闭状态。当交换机端口要设置成自动状态、强制授权状态或强制非授权状态时，必须先开启交换机的802.1x功能。 Ø 当交换机的端口处于802.1x关闭状态时，端口下的所有用户不需要认证就可以访问网络。当交换机从该端口收到802.1 x 协议包时，丢弃这些协议包。 Ø 当交换机的端口处于强制授权状态时，端口下的所有用户不需要认证就可以访问网络。当交换机从该端口收到请求认证的包时，交换机回送EAP-Success 包，当交换机从该端口收到其它的802.1x 协议包时，丢弃这些协议包。 Ø 当交换机的端口处于强制非授权状态时，端口下的所有用户始终不能访问网络，认证请求永远通不过。当交换机从该端口收到802.1x 协议包时，丢弃这些协议包。 Ø 当交换机的端口处于自动状态时，端口下的所有用户必须通过认证后才能访问网络。如果用户需要做认证，端口一般要设置成自动状态。 1.2 RADIUS协议介绍 当用户进行认证时，交换机和认证服务器之间采用支持EAP 扩展的RADIUS 协议进行交互。RADIUS 协议采用客户/ 服务器模型，交换机需要实现RADIUS 客户端，而认证服务器需要实现RADIUS 服务端。为了保证交换机和认证服务器之间交互的安全性，防止非法的交换机或非法的认证服务器之间的交互，交换机和认证服务器之间要相互鉴权。交换机和认证服务器需要一个相同的密钥，当交换机或认证服务器发送RADIUS 协议包时，所有的协议包要根据密钥采用HMAC 算法生成消息摘要，当交换机和认证服务器收到RADIUS 协议包时，所有的协议包的消息摘要要使用密钥进行验证，如果验证通过，认为是合法的RADIUS 协议包，否则是非法的RADIUS协议包，将丢弃非法的RADIUS 协议包。 1.2.1 RADIUS协议包简介 RADIUS 是建立在UDP 之上的协议，RADIUS 可以封装认证信息和计费信息。早期的RADIUS 认证端口是1645，目前使用端口1812，早期的RADIUS 计费端口是1646，目前使用端口1813。IP-COM管理型交换机暂时只支持RADIUS 认证功能，不支持RADIUS 计费功能。 因为RADIUS 承载在UDP 上， 所以 RADIUS 要有超时重发机制。同时为了提高认证系统与RADIUS 服务器通信的可靠性，可以采用两个RADIUS 服务器方案，即采用备用服务器机制。 RADIUS 报文格式如图1-4。Code 指RADIUS 协议报文类型。Identifier 指标识符，用于匹配请求和应答。Length指整个报文(包括报文头)的长度。Authenticator 是一个16 字节的串，对于请求包是一个随机数，对于应答包是MD5 生成的消息摘要。Attribute 指RADIUS 协议包中的属性。RADIUS 报文包括以下六种类型： Ø Access-Request：Code 值为1，从认证系统发给认证服务器的认证请求包，用户名和口令封装在此包上。 Ø Access -Accept：Code 值为2 ，从认证服务器发给认证系统的应答包，表示用户认证成功。 Ø Access -Reject：Code 值为3 ，从认证服务器发给认证系统的应答包，表示用户认证失败。 Ø Access-Challenge：Code 值11，从认证服务器发给认证系统的应答包,表示认证服务器需要用户的进一步的信息,如口令等。 Ø Accounting-Request：Code 值为4，从认证系统发给认证服务器的计费请求包，包括开始计费和结束计费包，计费信息封装在此包上。 Ø Accounting-Response：Code 值为5，从认证服务器发给认证系统的计费应答包，表示计费信息已收到。 图1-4 1.2.2 RADIUS实现的过程 用户进行认证时，交换机把用户名封装在Access-Request 报文中发给认证服务器，服务器应答Access-Challenge 请求用户的口令，交换机请求客户端用户的口令，客户端把口令封装在EAP 中，交换机获取到此EAP后封装在Access-Request 发给认证服务器，认证服务器对用户进行认证，如果认证成功，回送Access-Accept给交换机，交换机收到此报文后通知客户端认证成功。 当交换机具有计费功能时，同时发送Accounting-Request 通知认证服务器开始计费，认证服务器回送Accounting-Response。当用户不想使用网络时，通知交换机用户下线，交换机发Accounting-Request 通知认证服务器结束计费，计费信息封装在此包中，认证服务器回送Accounting-Response。过程见图1-5： 图1-5 1.2.3 RADIUS用户验证方法 RADIUS 有三种用户验证方法，如下： PAP(Password Authentication Protocol)。用户以明文的形式把用户名和他的密码传递给交换机。 交换机通过RADIUS 协议包把用户名和密码传递给RADIUS 服务器，RADIUS 服务器查找数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 CHAP(Challenge Handshake Authentication Protocol)。当用户请求上网时，交换机产生一个16 字节的随机码给用户。用户对随机码，密码以及其它各域加密生成一个response，把用户名和response 传给交换机。交换机把用户名，response 以及原来的16 字节随机码传给RADIUS 服务器。RADIU 根据用户名在交换机端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16 字节的随机码进行加密，将其结果与传来的response 作比较，如果相同表明验证通过，如果不相同表明验证失败。 EAP(Extensible Authentication Protocol)。用此种验证方法，交换机并不真正参与验证，只起到用户和RADIUS 服务器之间的转发作用。当用户请求上网时，交换机请求用户的用户名，并把用户名转送给RADIUS 服务器，RADIUS 服务器产生一个16 字节的随机码给用户并存储该随机码，用户对随机码，密码以及其它各域加密生成一个response，把用户名和response 传给交换机，交换机转发给RADIUS 服务器。 RADIU 根据用户名在交换机端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据存储的16 字节的随机码进行加密，将其结果与传来的response 作比较，如果相同表明验证通过，如果不相同表明验证失败。 IP-COM管理型交换机的认证采用的是EAP 用户验证方法。 1.3 802.1X认证配置 1.3.1 802.1X设置 图1-6 Ø 802.1X模式启用：设置是否开启802.1X认证功能 Ø 服务器IP：设置认证服务器的IP地址 Ø UDP端口：设置交换机认证的UDP端口，默认为1812 Ø 共享密匙：根据认证服务器端相对应的密匙进行设置。 Ø 重新认证模式：设置是否开启重新认证 Ø 重新认证周期：设置重新认证的周期时间，默认值为3600秒，即每隔一小时重新认证一次。 Ø EAP超时：设置EAP响应超时的时间，默认为30秒。 1.3.2 802.1X端口设置 图1-7 Ø 端口控制方式：可以选择强制授权状态、强制非授权状态、自动状态。当端口为强制授权状态，此端口可以通过任何报文；当端口为强制非授权状态，此端口只能通过认证信息的报文；当端口为自动状态时，根据认证情况选择可以通过的报文。 Ø 端口认证状态：显示认证的状态可分为四种，802.1X关闭、链路断开、授权状态、非授权状态。 Ø 强制端口重新认证：点击相应的端口进行强制重新认证。 1.4 802.1X认证实例 组网连接图见图1-8。IP-COM管理型交换机连接了4台PC和1台认证服务器，PC机的IP地址分别为192.168.0.11-192.168.0.14，认证服务器的IP地址为192.168.0.10，IP-COM管理型交换机使用默认IP地址192.168.0.1。PC机分别连接交换机端口1-4，认证服务器连接端口24。 图1-8 首先在认证服务器上安装认证服务器软件(这里使用第三方软件WinRadius)，做好相关的认证设置，认证端口我们采用默认的“1812”，认证密匙设置为：“1234”。添加认证帐号“test”，登陆密码“test”。 图1-9 然后在IP-COM管理型交换机进行802.1x设置，如1-10图。将“802.1x模式”设置“启用”；设置“RADIUS服务器IP”为“192.168.0.10”(与认证服务器的IP地址保持一致)；设置“RADIUS UDP端口”为“1812”(与认证服务器上的设置保持一致)；设置“RADIUS共享密匙”为“1234”(与认证服务器上的设置保持一致)。“重新认证模式”设置为“启用”；“重新认证周期”设置为“10”秒；“EAP超时”使用默认值“30”秒。 图1-10 最后在802.1x端口设置中将端口1-4都设置为自动状态，同时PC1-5在“本地连接属性设置”中将“IEEE 802.1x验证”开启，“EAP类型”设置为“MD5-质询”。此处PC1-4以Windows XP为例，Windows XP自带认证客户端软件，其他操作系统需自行安装认证客户端软件。 图1-11 图1-12 认证设置完成后，PC1-4会出现需要验证身份的提示，点击提示后出现对话框进行身份验证，我们在PC1上输入帐号“test”，密码“test”，验证成功后PC1就可以进行通信。PC2-4输入其他随意的认证帐号密码，认证不能通过，所以不能进行正常的通信。 图1-13 图1-14 在交换机802.1x端口设置页面中可以查看到端口1为“授权状态”，端口2-4为“非授权状态”。在认证服务器上也可以查看到相应的认证情况。 图1-15 图1-16 第二章 RSTP/STP 2.1 RSTP/STP介绍 现在的大型网络设计一般都采用分层结构，即分为核心层，汇聚层和接入层三个层次。其中核心层使用核心的设备，比如高端以太网交换机，汇聚层采用一些中低端的交换机担当；而接入层则一般采用低端交换机来负责。这样，汇聚层完成接入层业务的汇聚，然后送到骨干层上传输。为了保证冗余特性，汇聚层交换机或接入层交换机一般通过两条以上的链路跟上层连接，而骨干层各个设备之间也不是单一的链路，而是组成一个全网状结构或一个半网状结构。不论何种结构，核心层交换机之间的链路肯定多于一条。 在这些冗余链路的环境中，就会产生很多问题，最典型的是广播风暴。在这种情况下，我们必须引入一种机制来避免这种危险，这种机制就是生成树协议。STP是Spanning Tree Protocol的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。 2.1.1 生成树工作过程 交换机启动的时候，向各个端口发送BPDU(桥接协议数据单元Bridge Protocol Data Unit)，该数据帧的目的MAC 地址是一个保留的组播MAC 地址，这样就保证了以太网上所有的交换机都可以接收到该数据帧。BPDU 包含下列内容：发送交换机的标识，发送端口的成本，根交换机的标识(初始化为自己)，到根交换机的成本等等。交换机接收到这个BPDU后，便利用STA(生成树算法Spanning Tree Arithmetic)的数学公式进行计算。通过STA计算，网桥就可以知道网络上是否存在环路。如果存在环路，网桥就做出备份端口应该被阻塞的决定，最终除出环路。 生成树协议运行过程分几个过程： l 选择根桥：启动生成树协议后，交换机之间通过传递BPDU包来交换信息。BPDU包中有一项重要信息，交换机ID。它是由8个字节组成，两个字节的优先级和6个字节的交换机的MAC地址所组成。由于MAC地址的唯一性，同样能保证交换机ID的唯一性。IP-COM管理型交换机的优先级出厂缺省值为32768，这个数值可由网络管理员修改。因此，网路管理员可以通过控制优先级的大小来选择哪个设备为根桥。网络中交换机启动生成树协议，交换机通过比较网桥ID的大小选举根网桥。协议规定，交换机ID最小的为根桥，根桥只能有一个。如果是，则选择它为根交换机，这样长时间的选择，最终网络中的交换机会达成共识，选择某个交换机为根交换机(该交换机的标识最低)。 l 选择根端口：根端口是指在每个非根桥上被选择的处于转发状态的端口。这个端口满足到根桥所花费的代价最小。交换机从接收到的BPDU 中可以计算出自己哪个端口到根交换机路径开销最小，路径开销最小的端口被选定为根端口，并转换到转发状态。当路径开销一致时，比较其端口优先级，端口优先级小的端口将被选为根端口。 l 选择指定端口和指定交换机：选择出根端口之后，交换机会向所有其他未阻塞端口(所谓阻塞，是由于物理链路没有起来或手工关闭)发送从根端口接收到的BPDU。不过发送的时候，把BPDU 进行修改，把其中的发送交换机标识填写成自己的标识，到根交换机的成本改为端口成本加上根端口到根交换机的成本，比如，根端口到根交换机的成本为100，而某个端口的成本为20，则从该端口把BPDU 发送出去后，相应的到根交换机的成本就转换为120。在发送的同时，也可能从其他交换机接收到BPDU，这时候就把自己刚才发送的 BPDU 同接收到的BPDU 比较，看哪个距离根比较近(路径开销小)，如果自己的成本低，则该端口跳转到转发状态，也就是说，该端口成为相应冲突域的指定端口，而该交换机就是相应冲突域的指定交换机。而刚才发送BPDU 的交换机因为发现自己到根的成本高，就会阻塞该端口。其实，阶段二和阶段三是确定到根桥的最佳通路的一个过程。并且由于三个阶段的唯一性，这样生成树协议将去掉多台交换机形成的环路。 2.1.2 生成树端口状态 端口状态共有五种端口状态： l 阻塞状态(Blocking)----只侦听BPDU包，不进行数据帧转发。 l 侦听状态(Listening)----只侦听数据帧，不进行转发。 l 学习状态(Learning)----学习地址信息，不进行转发。 l 转发状态(Forwarding)---学习地址信息，并进行转发。 l 无效状态(Disabled)----不进行转发，不侦听BPDU包。因设备故障或者网络管理员的操作而导致。 通常情况下，交换机端口的状态是按照如下顺序进行转换。阻塞状态→侦听状态→学习状态→转发状态。转发状态和阻塞状态可以处于维持状态，而侦听状态和学习状态是过渡状态，最终会转换为转发状态或阻塞状态。 2.1.3 生成树相关参数 l 系统优先级(Bridge Priority)：交换机的优先权可选数值范围是0到65535。0表示最高的优先权。 l 老化时间(Max. Age)：最大时限的可选数值范围是6秒到40秒。在最大时限将到时，如果还没有收到从根桥发出的BPDU，那么，你的交换机将开始发送它自己的BPDU到其他所有的交换机申请成为根桥。如果你的交换机的桥标识符确实是最低的，那么它将成为根桥。 l 呼叫时间(Hello Time)：呼叫时间的可选数值范围是1秒到10秒。这是根桥发送两个BPDU的时间间隔，告知其他所有交换机它是根桥。如果你在你的交换机上设置了问候时间，而它又还未是根桥时，那么，没有任何影响。一旦你的交换机成为了根桥，该问候时间就会派上用处。 l 转发延时(Forward Delay Timer)：转发延迟时间的可选数值范围是4秒到30秒。这是交换机上的端口从阻塞状态转变为转发状态所需的时间。 l 路径开销(Port Cost)：端口路径开销的可选数值范围是0至200000000。数值越小，相应的端口越可能被选定为端口。 l 端口优先级(Port Priority)：当非根交换机路径开销一致时，端口优先级数值越小，相应的端口将成为根端口。IP-COM管理型交换机的端口优先级与端口ID相一致，不能进行修改。例如端口1的端口优先级为1，端口2的端口优先级为2，依次类推。 注意： 当你需要变动生成树参数时，请一定记住下述公式： 最大的桥老化时间≤ 2 x(桥转发时延 – 1 秒) 即：Max. Age ≤ 2 x (Forward Delay - 1 second) 最大的桥老化时间≥ 2 x(问候时间 + 1 秒) 即：Max. Age ≥ 2 x (Hello Time + 1 second) 2.1.4 RSTP与STP STP端口从阻塞状态进入转发状态必须经历两倍的转发延时，所以网络拓扑结构改变之后需要至少两倍的转发延时，才能恢复连通性，如果网络中的拓扑结构变化频繁将导致网络频繁失去连通性，用户就会无法忍受。 RSTP(快速生成树协议)是从STP(生成树协议)发展而来，实现的基本思想一致，快速生成树具备生成树的所有功能。快速生成树改进目的就是当网络拓扑结构发生变化时，尽可能快的恢复网络的连通性。 快速生成树主要有三大改进： l 第一种改进：如果旧的根端口已经进入阻塞状态，而且新根端口连接的对端交换机的指定端口处于转发状态，在新拓扑结构中的根端口可以立刻进入转发状态。 效果：发现拓扑改变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。 l 第二种改进：指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态。 效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的情况下，握手从网络的一边开始，扩散到网络的另一边缘的网桥，网络连通性才能恢复。比如当网络直径为7的时候，要经过6次握手。 两点注意: 1、握手必须在点对点链路的条件下进行。 2、一次握手之后，响应握手的网桥的非边缘指定端口将变为阻塞状态，则需要继续向自己的邻接网桥发起握手。 l 第三种改进：网络边缘的端口，直接与终端相连，而不是和其它网桥相连的端口可以直接进入转发状态，不需要任何延时。 效果：边缘端口的状态变化不影响网络连通性，也不会造成回路，所以进入转发状态无需延时。 快速生成树与生成树的不同之处主要有： 1、协议版本不同 2、端口状态转换方式不同 3、配置消息报文格式不同 4、拓扑改变消息的传播方式不同 注意： 快速生成树也是在整个交换网络应用单生成树实例,不能解决由于网络规模增大带来的性能降低问题。建议网络直径最好不要超过7。 2.2 RSTP/STP配置 2.2.1 RSTP设置 图2-1 Ø 系统优先级：设置交换机在生成树中的系统优先级别，当系统优先级数值越小时，那么该交换机越容易成为根桥。如果交换机用于大型的工作组级的网络中，那么，尽量避免使用。 Ø Hello Time(问候时间)：数值范围从1 秒到10 秒。是指根桥向其它所有交换机发出BPDU 数据包的时间间隔，以告知其它所有交换机它是根桥。如果你在你的交换机上设置了问候时间，而它又还未是根桥时，那么，没有任何影响。一旦你的交换机成为了根桥，该问候时间就会派上用处。 Ø 最大老化时间：数值范围从6 秒到40 秒。如果在超出最大老化时间之后，还没有收到根桥发出的BPDU 数据包，那么，在允许的条件下你的交换机将充当根桥向其它所有的交换机发出BPDU 数据包。如果交换机的确是具有最小的桥标志级数，那么，它将随之成为根桥。尽量不要选用较小的数值，以免不断不必要地重设根桥。 Ø 转发延时：数值范围从4 秒到30 秒。是指交换机的端口从阻塞状态转为转发状态所花的监听时间。数字越高，延时越大。 Ø STP版本选择：可以选择基于802.1W的RSTP(快速生成树协议)或基于802.1D的STP(生成树协议)，默认为RSTP。 2.2.2 RSTP端口 图2-2 Ø 使能RSTP/STP：可以设置该端口是否开启生成树功能，默认所有端口都是关闭。 Ø 边缘端口：如果端口直接与终端相连，则该端口可以设置为边缘端口。如果将与交换机相连的端口配置为边缘端口，则边缘端口将自动关闭。边缘端口的状态迁移会比较快，端口从阻塞状态转为转发状态后不需要经过2倍的转发延时就可以直接进入转发状态。 Ø 路径开销：路径开销范围为0-200000000，设为0表示自动根据端口速度决定端口路径开销。 2.2.3 RSTP状态 图2-3 Ø RSTP桥状态：可以查看桥ID、拓扑状态、根桥ID以及设置的Hello Time、最大老化时间、转发延时。 Ø RSTP端口状态：可以查看点对点端口、协议、端口状态以及设置的路径开销、边缘端口。 2.3 RSTP/STP实例 组网连接图（2-4）如下，有三个局域网用三台交换机一一相连，造成了一个环路网络。在此例中，如果不使用生成树技术，你可以预见到可能发生的一些网络故障。例如，如果交换机A 向交换机B 发出一个广播包，那么，交换机 B 将把此数据包广播给交换机C，而交换机C 又会将此数据包广播回给交换机A。随后会一直将如此反复，广播包将会在这个环路中被循环往复地传递，从而导致严重的网络故障。为了避免网络环路的发生，可以采用生成树解决。 首先进入RSTP设置页面，分别设置交换机A、B、C的系统优先级为4096、28762、40960，其余参数设置建议尽量不要改动其出厂默认设置值。当你确实需要变动生成树参数时，记住下述公式： 最大的桥老化时间≤ 2 x(桥转发时延 – 1 秒) 即：Max. Age ≤ 2 x (Forward Delay - 1 second) 最大的桥老化时间≥ 2 x(问候时间 + 1 秒) 即：Max. Age ≥ 2 x (Hello Time + 1 second) 图2-5 图2-6 图2-7 然后进入RSTP端口页面，将交换机A、B、C的1、2、3端口都开启RSTP/STP功能。再设置交换机A的1、2、3端口路径开销为2000，交换机B的1、2、3端口路径开销为20000，交换机C的1、2、3端口路径开销为200000。 图2-8 图2-9 图2-10 所有设置完成后，预想结果应该为生成树算法会将计算出来的各桥ID后进行比较，选择交换机A为根桥。生成树算法将根据计算出来的各桥和端口之间的路径开销后，任命交换机C的1端口为根端口，阻塞交换机C的端口2，交换机B 与交换机C 之间的连接受到限制，以打破环路的形成。现在，如果交换机A 向交换机C 发出一个广播包，那么，交换机C 将在端口2处将此数据包丢弃，那么此广播将结束。点击进入RTSP状态页面，查看状态结果，与我们预想的结果一致。 图2-11 图2-12 图2-13 图2-14 第三章 IGMP Snooping 3.1 IGMP Snooping介绍 在城域网/Internet 中，采用单播方式将相同的数据包发送给网络中的多个而不是全部接收者时，由于需要复制分组给每一个接收端点，随着接收者数量的增多，需要发出的包数也会线性增加，这使得主机、交换路由设备及网络带宽资源总