管理型交换机技术手册.doc

联科通管理型交换机联科通管理型交换机 技术手册技术手册 VER 1 0 管理型交换机技术手册管理型交换机技术手册 版权声明版权声明 是深圳市联科通网络技术有限公司注 册商标 这里提及的其它产品和产品名称均是他们所属公司的 商标或注册商标 本产品的所有部分 包括配件和软件 其 版权属于深圳市联科通网络技术有限公司所有 在未经过深圳 市联科通网络技术有限公司许可的情况下 不得任意拷贝 抄 袭 仿制或翻译 本手册中的所有图片和产品规格参数仅供参考 随着软 件或硬件的升级会略有差异 如有变更 恕不另行通知 如需 了解更多产品信息 请浏览我们公司的网站 http www ip 管理型交换机技术手册管理型交换机技术手册 前前 言言 版本说明版本说明 本手册对应产品为 IP COM 管理型交换机 本书简介本书简介 IP COM 管理型交换机技术手册 是介绍 IP COM 管 理型交换机高级功能的手册 IP COM 管理型交换机在原有的 基础上添加了四大高级功能 分别是 802 1X RSTP STP IGMP Snooping SNMP 针对 IP COM 管理型交换机说明书 对四大高级功能简要介绍的不足 之处 本手册更深入细致地分别描述这四大高级功能的工作原 理 配置方法 实例讲解 让用户能够充分学习掌握这四大高 级功能 然后利用这四大高级功能 根据自己的需求实现轻松 方便管理网络的目的 章节安排如下 802 1X RSTP STP IGMP Snooping SNMP 管理型交换机技术手册管理型交换机技术手册 读者对象读者对象 本书适合下列人员阅读 网络工程师 网络管理人员 具备网络基础知识的用户 相关手册相关手册 G1216T G1224T 全千兆管理型交换机说明书 管理型交换机技术手册管理型交换机技术手册 目目 录录 第一章 802 1X 1 1 1 802 1X 协议介绍 1 1 2 RADIUS 协议介绍 7 1 3 802 1X 认证配置 12 1 4 802 1X 认证实例 14 第二章 RSTP STP 18 2 1 RSTP STP 介绍 18 2 1 1 生成树工作过程 18 2 1 2 生成树端口状态 21 2 1 3 生成树相关参数 21 2 1 4 RSTP 与 STP 23 2 2 RSTP STP 配置 25 2 2 1 RSTP 设置 25 2 2 2 RSTP 端口 27 2 2 3 RSTP 状态 28 2 3 RSTP STP 实例 29 第三章 IGMP SNOOPING 32 管理型交换机技术手册管理型交换机技术手册 3 1 IGMP SNOOPING介绍 32 3 1 1 组播 Multicast 概述 32 3 1 2 组播 Multicast 寻址 34 3 1 3 IGMP Snooping 原理 37 3 1 4 IGMP Snooping 实现过程 38 3 2 IGMP SNOOPING设置 41 3 2 1 Snooping 设置 41 3 2 2 Snooping 状态 42 3 3 IGMP SNOOPING实例 43 第四章 SNMP 45 4 1 SNMP 介绍 45 4 1 2 SNMP 版本 49 4 1 4 Trap 陷阱 52 4 2 SNMP 设置 55 4 3 SNMP 实例 56 附录 59 管理型交换机技术手册管理型交换机技术手册 1 第一章第一章 802 1X 1 1 802 1X 协议介绍协议介绍 802 1x 协议起源于 802 11 协议 802 11 协议是标准的 无线局域网协议 802 1x 协议的主要目的是为了解决无线局 域网用户的接入认证问题 现在已经开始被应用于一般的有线 LAN 的接入 在 802 1x 出现之前 有线 LAN 应用都没有直 接控制到端口的方法 当时也不需要控制到端口 但是随着无 线 LAN 的应用以及 LAN 接入在网络上大规模开展 有必要对 端口加以控制 以实现用户级的接入控制 802 1x 就是 IEEE 为了解决基于端口的接入控制 Port Based Access Control 而 定义的一个标准 802 1x 协议是一个基于端口的访问控制和认证协议 是 一种对用户进行认证的方法和策略 这里指的端口是逻辑端口 可以是物理端口 MAC 地址或 Vlan ID 等 对于无线局域网来 说 端口 就是一条信道 IP COM 管理型交换机实现的都是 基于物理端口的 802 1x 协议 802 1x 是一个二层协议 认证的交换机和用户的 PC 机 必须处于同一个子网中 协议包是不能跨越网段 802 1x 认 证采用的是客户服务器的模型 必须有一个服务器对所有的用 户进行认证 802 1X 认证的最终目的就是确定一个端口是否 可用 对于一个端口 如果认证成功那么就 打开 这个端口 允许所有的报文通过 如果认证不成功就使这个端口保持 关 闭 此时只允许 802 1X 的认证报文 EAPOL Extensible Authentication Protocol over LAN 通过 也就是说用户必须在 认证通过后才能访问网络 管理型交换机技术手册管理型交换机技术手册 2 1 1 1 802 1X 认证体系的结构 802 1x 设备是由三部分组成 客户端 Supplicant System 认证系统 Authenticator System 和认证服务器 Authentication Server System 在客户端和认证系统之间使 用 802 1x 协议进行通信 在认证系统和认证服务器之间使用 RADIUS 协议进行通信 如图 1 1 所示 图1 1 Supplicant System 客户端 是需要接入 LAN 及享受交 换机提供服务的设备 如 PC 机 客户端需要支持 EAPOL 协议 客户端必须运行 802 1X 客户端软件 如 802 1X complain Microsoft Windows XP 操作系统自带 802 1X 客户端 Authenticator System 认证系统 通常为边缘交换机或 无线接入设备 是根据客户的认证状态控制物理接入的设 备 交换机在客户和认证服务器间充当代理角色 交换 管理型交换机技术手册管理型交换机技术手册 3 机与客户端间通过 EAPOL 协议进行通讯 交换机与认证 服务器间通过 EAPoRadius 或 EAP 承载在其他高层协议 上 以便穿越复杂的网络到达 Authentication Server 交 换机要求客户端提供自己的身份 接收到后将 EAP 报文 承载在 Radius 格式的报文中 再发送到认证服务器 返 回等同 交换机根据认证结果控制端口是否可用 Authentication server 认证服务器 对客户进行实际认证 认证服务器核实客户的身份 通知交换机是否允许客户端 访问 LAN 和交换机提供的服务 认证服务器接受客户端 传递过来的认证需求 认证完成后将认证结果下发给客户 端 完成对端口的管理 由于 EAP 协议较为灵活 除了 IEEE 802 1x 定义的端口状态外 认证服务器实际上也可 以用于认证和下发更多用户相关的信息 如 VLAN QOS 加密认证密钥 DHCP 响应等 1 1 2 802 1X 协议包简介 802 1x 协议在网络上传输的认证数据流是 EAPOL 帧格 式 所有的用户身份信息 包括用户名和口令 封装在 EAP 扩 展认证协议 中 EAP 再封装在 EAPOL 帧中 用户名以明文 的形式在 EAP 中存在 而口令则以 MD5 加密的形式在 EAP 中存在 EAP 包格式如 1 2 图 Code 指的是 EAP 包的类型 管理型交换机技术手册管理型交换机技术手册 4 包括 Request Response Success 和 Failure Identifier 指的是标识符 用于匹配 Response 和 Request Length 指 的是 EAP 包长度 包括包头 Data 指的是 EAP 包数据 EAP 包括以下四种类型 EAP Request Code 值为 1 EAP 请求包 从交换机 发给客户端请求用户名和 或 口令 EAP Response Code 值为 2 EAP 应答包 从客户 端发给交换机 把用户名和 或 口令送给交换机 EAP Success Code 值为 3 EAP 成功包 从交换机 发给客户端 告诉客户端用户认证成功 EAP Failure Code 值为 4 EAP 失败包 从交换机发 给客户端 告诉客户端用户认证失败 1 1 3 802 1X 实现的过程 当交换机使能 802 1x 并且端口的状态是 Auto 时 该端 口下的所有接入用户都必须通过认证后才能访问网络 认证过 程见图 1 3 管理型交换机技术手册管理型交换机技术手册 5 图图 1 3 当用户需要访问网络时 客户端首先发送报文向交换机 请求认证 交换机收到认证请求后发送 EAP Request 请求用 户的用户名 客户端回送 EAP Response 交换机把 EAP 信 息提取出来封装在 RADIUS 包中发给认证服务器 认证服务 器请求用户的口令 交换机发送 EAP Request 给客户端请求 用户的口令 客户端回送 EAP Response 交换机把 EAP 信 息封装在 RADIUS 包中发送给认证服务器 认证服务器根据 用户名和口令对用户进行认证 如果认证成功 认证服务器通 知交换机 交换机发 EAP Success 给客户端并把用户的逻辑 端口处于授权状态 当客户端收到 EAP Success 后表示认证 成功 用户可以访问网络 当用户不再需要使用网络 客户端 发送 EAPOL Logoff 给交换机 交换机把用户的逻辑端口状 态迁为非授权状态 此时用户不能访问网络 为了防止客户端 异常下线 IP COM 管理型交换机提供了重新认证的机制 可 以在交换机开启重新认证模式 当认证时间到达 交换机发起 管理型交换机技术手册管理型交换机技术手册 6 重新认证 如果认证成功 用户可以继续使用网络 如果认证 失败 用户将不能使用网络 1 1 4 802 1X 端口状态 这里指的端口状态是交换机的物理端口状态 交换机的 物理端口存在四种状态 802 1x 关闭状态 自动状态 强制 授权状态和强制非授权状态 当交换机没有打开 802 1x 时 所有的端口处于 802 1x 关闭状态 当交换机端口要设置成自 动状态 强制授权状态或强制非授权状态时 必须先开启交换 机的 802 1x 功能 当交换机的端口处于 802 1x 关闭状态时 端口下的所有 用户不需要认证就可以访问网络 当交换机从该端口收到 802 1 x 协议包时 丢弃这些协议包 当交换机的端口处于强制授权状态时 端口下的所有用户 不需要认证就可以访问网络 当交换机从该端口收到请求 认证的包时 交换机回送 EAP Success 包 当交换机从 该端口收到其它的 802 1x 协议包时 丢弃这些协议包 当交换机的端口处于强制非授权状态时 端口下的所有用 户始终不能访问网络 认证请求永远通不过 当交换机从 该端口收到 802 1x 协议包时 丢弃这些协议包 当交换机的端口处于自动状态时 端口下的所有用户必须 通过认证后才能访问网络 如果用户需要做认证 端口一 般要设置成自动状态 管理型交换机技术手册管理型交换机技术手册 7 1 2 RADIUS 协议介绍协议介绍 当用户进行认证时 交换机和认证服务器之间采用支持 EAP 扩展的 RADIUS 协议进行交互 RADIUS 协议采用客 户 服务器模型 交换机需要实现 RADIUS 客户端 而认证 服务器需要实现 RADIUS 服务端 为了保证交换机和认证服 务器之间交互的安全性 防止非法的交换机或非法的认证服务 器之间的交互 交换机和认证服务器之间要相互鉴权 交换机 和认证服务器需要一个相同的密钥 当交换机或认证服务器发 送 RADIUS 协议包时 所有的协议包要根据密钥采用 HMAC 算法生成消息摘要 当交换机和认证服务器收到 RADIUS 协 议包时 所有的协议包的消息摘要要使用密钥进行验证 如果 验证通过 认为是合法的 RADIUS 协议包 否则是非法的 RADIUS 协议包 将丢弃非法的 RADIUS 协议包 1 2 1 RADIUS 协议包简介 RADIUS 是建立在 UDP 之上的协议 RADIUS 可以封 装认证信息和计费信息 早期的 RADIUS 认证端口是 1645 目前使用端口 1812 早期的 RADIUS 计费端口是 1646 目 前使用端口 1813 IP COM 管理型交换机暂时只支持 RADIUS 认证功能 不支持 RADIUS 计费功能 因为 RADIUS 承载在 UDP 上 所以 RADIUS 要有超 管理型交换机技术手册管理型交换机技术手册 8 时重发机制 同时为了提高认证系统与 RADIUS 服务器通信 的可靠性 可以采用两个 RADIUS 服务器方案 即采用备用 服务器机制 RADIUS 报文格式如图 1 4 Code 指 RADIUS 协议报 文类型 Identifier 指标识符 用于匹配请求和应答 Length 指整个报文 包括报文头 的长度 Authenticator 是一个 16 字 节的串 对于请求包是一个随机数 对于应答包是 MD5 生成 的消息摘要 Attribute 指 RADIUS 协议包中的属性 RADIUS 报文包括以下六种类型 Access Request Code 值为 1 从认证系统发给认证服 务器的认证请求包 用户名和口令封装在此包上 Access Accept Code 值为 2 从认证服务器发给认证 系统的应答包 表示用户认证成功 Access Reject Code 值为 3 从认证服务器发给认证 系统的应答包 表示用户认证失败 Access Challenge Code 值 11 从认证服务器发给认 证系统的应答包 表示认证服务器需要用户的进一步的信 息 如口令等 Accounting Request Code 值为 4 从认证系统发给认 证服务器的计费请求包 包括开始计费和结束计费包 计 费信息封装在此包上 Accounting Response Code 值为 5 从认证服务器发 给认证系统的计费应答包 表示计费信息已收到 管理型交换机技术手册管理型交换机技术手册 9 图图 1 4 1 2 2 RADIUS 实现的过程 用户进行认证时 交换机把用户名封装在 Access Request 报文中发给认证服务器 服务器应答 Access Challenge 请求用户的口令 交换机请求客户端用户的口令 客 户端把口令封装在 EAP 中 交换机获取到此 EAP 后封装在 Access Request 发给认证服务器 认证服务器对用户进行认证 如果认证成功 回送 Access Accept 给交换机 交换机收到此 报文后通知客户端认证成功 当交换机具有计费功能时 同时发送 Accounting Request 通知认证服务器开始计费 认证服务器回送 Accounting Response 当用户不想使用网络时 通知交换机用 户下线 交换机发 Accounting Request 通知认证服务器结束计 费 计费信息封装在此包中 认证服务器回送 Accounting Response 过程见图 1 5 管理型交换机技术手册管理型交换机技术手册 10 图图1 5 1 2 3 RADIUS 用户验证方法 RADIUS 有三种用户验证方法 如下 PAP Password Authentication Protocol 用户以明文的 形式把用户名和他的密码传递给交换机 交换机通过 RADIUS 协议包把用户名和密码传递给 RADIUS 服务器 RADIUS 服务器查找数据库 如果存在相同的用户名和密码 表明验证通过 否则表明验证未通过 CHAP Challenge Handshake Authentication Protocol 当用户请求上网时 交换机产生一个 16 字节的随机码给用户 用户对随机码 密码以及其它各域加密生成一个 response 管理型交换机技术手册管理型交换机技术手册 11 把用户名和 response 传给交换机 交换机把用户名 response 以及原来的 16 字节随机码传给 RADIUS 服务器 RADIU 根据用户名在交换机端查找数据库 得到和用户端进 行加密所用的一样的密码 然后根据传来的 16 字节的随机码 进行加密 将其结果与传来的 response 作比较 如果相同表 明验证通过 如果不相同表明验证失败 EAP Extensible Authentication Protocol 用此种验证 方法 交换机并不真正参与验证 只起到用户和 RADIUS 服 务器之间的转发作用 当用户请求上网时 交换机请求用户的 用户名 并把用户名转送给 RADIUS 服务器 RADIUS 服务 器产生一个 16 字节的随机码给用户并存储该随机码 用户对 随机码 密码以及其它各域加密生成一个 response 把用户 名和 response 传给交换机 交换机转发给 RADIUS 服务器 RADIU 根据用户名在交换机端查找数据库 得到和用户端 进行加密所用的一样的密码 然后根据存储的 16 字节的随机 码进行加密 将其结果与传来的 response 作比较 如果相同 表明验证通过 如果不相同表明验证失败 IP COM 管理型交换机的认证采用的是 EAP 用户验证方 法 管理型交换机技术手册管理型交换机技术手册 12 1 3 802 1X 认证配置认证配置 1 3 1 802 1X 设置 图图1 6 802 1X 模式启用 设置是否开启 802 1X 认证功能 服务器 IP 设置认证服务器的 IP 地址 UDP 端口 设置交换机认证的 UDP 端口 默认为 1812 共享密匙 根据认证服务器端相对应的密匙进行设置 重新认证模式 设置是否开启重新认证 重新认证周期 设置重新认证的周期时间 默认值为 3600 秒 即每隔一小时重新认证一次 EAP 超时 设置 EAP 响应超时的时间 默认为 30 秒 管理型交换机技术手册管理型交换机技术手册 13 1 3 2 802 1X 端口设置 图图 1 7 端口控制方式 可以选择强制授权状态 强制非授权状态 自动状态 当端口为强制授权状态 此端口可以通过任何 报文 当端口为强制非授权状态 此端口只能通过认证信 息的报文 当端口为自动状态时 根据认证情况选择可以 通过的报文 端口认证状态 显示认证的状态可分为四种 802 1X 关 闭 链路断开 授权状态 非授权状态 强制端口重新认证 点击相应的端口进行强制重新认证 管理型交换机技术手册管理型交换机技术手册 14 1 4 802 1X 认证实例认证实例 组网连接图见图 1 8 IP COM 管理型交换机连接了 4 台 PC 和 1 台认证服务器 PC 机的 IP 地址分别为 192 168 0 11 192 168 0 14 认证服务器的 IP 地址为 192 168 0 10 IP COM 管理型交换机使用默认 IP 地址 192 168 0 1 PC 机分别连接交换机端口 1 4 认证服务器连 接端口 24 图图 1 8 首先在认证服务器上安装认证服务器软件 这里使用第三 方软件 WinRadius 做好相关的认证设置 认证端口我们采 用默认的 1812 认证密匙设置为 1234 添加认证帐号 test 登陆密码 test 图图 1 9 管理型交换机技术手册管理型交换机技术手册 15 然后在 IP COM 管理型交换机进行 802 1x 设置 如 1 10 图 将 802 1x 模式 设置 启用 设置 RADIUS 服务器 IP 为 192 168 0 10 与认证服务器的 IP 地址保持一致 设置 RADIUS UDP 端口 为 1812 与认证服务器上的设置保持一 致 设置 RADIUS 共享密匙 为 1234 与认证服务器上的设 置保持一致 重新认证模式 设置为 启用 重新认证周期 设 置为 10 秒 EAP 超时 使用默认值 30 秒 图图 1 10 最后在 802 1x 端口设置中将端口 1 4 都设置为自动状态 同时 PC1 5 在 本地连接属性设置 中将 IEEE 802 1x 验证 开 启 EAP 类型 设置为 MD5 质询 此处 PC1 4 以 Windows XP 为例 Windows XP 自带认证客户端软件 其他操作系统 需自行安装认证客户端软件 管理型交换机技术手册管理型交换机技术手册 16 图图 1 11 图图 1 12 认证设置完成后 PC1 4 会出现需要验证身份的提示 点击提示后出现对话框进行身份验证 我们在 PC1 上输入帐 号 test 密码 test 验证成功后 PC1 就可以进行通信 PC2 4 输入其他随意的认证帐号密码 认证不能通过 所以不 能进行正常的通信 图图 1 13 图图 1 14 在交换机 802 1x 端口设置页面中可以查看到端口 1 为 管理型交换机技术手册管理型交换机技术手册 17 授权状态 端口 2 4 为 非授权状态 在认证服务器上也可 以查看到相应的认证情况 图图 1 15 图图 1 16 管理型交换机技术手册管理型交换机技术手册 18 第二章第二章 RSTP STP 2 1 RSTP STP 介绍介绍 现在的大型网络设计一般都采用分层结构 即分为核心层 汇聚层和接入层三个层次 其中核心层使用核心的设备 比如 高端以太网交换机 汇聚层采用一些中低端的交换机担当 而 接入层则一般采用低端交换机来负责 这样 汇聚层完成接入 层业务的汇聚 然后送到骨干层上传输 为了保证冗余特性 汇聚层交换机或接入层交换机一般通过两条以上的链路跟上层 连接 而骨干层各个设备之间也不是单一的链路 而是组成一 个全网状结构或一个半网状结构 不论何种结构 核心层交换 机之间的链路肯定多于一条 在这些冗余链路的环境中 就会产生很多问题 最典型的 是广播风暴 在这种情况下 我们必须引入一种机制来避免这 种危险 这种机制就是生成树协议 STP 是 Spanning Tree Protocol 的英文缩写 该协议可应用于环路网络 通过一定的 算法实现路径冗余 同时将环路网络修剪成无环路的树型网络 从而避免报文在环路网络中的增生和无限循环 2 1 1 生成树工作过程 交换机启动的时候 向各个端口发送 BPDU 桥接协议数 管理型交换机技术手册管理型交换机技术手册 19 据单元 Bridge Protocol Data Unit 该数据帧的目的 MAC 地 址是一个保留的组播 MAC 地址 这样就保证了以太网上所有 的交换机都可以接收到该数据帧 BPDU 包含下列内容 发 送交换机的标识 发送端口的成本 根交换机的标识 初始化 为自己 到根交换机的成本等等 交换机接收到这个 BPDU 后 便利用 STA 生成树算法 Spanning Tree Arithmetic 的数 学公式进行计算 通过 STA 计算 网桥就可以知道网络上是 否存在环路 如果存在环路 网桥就做出备份端口应该被阻塞 的决定 最终除出环路 生成树协议运行过程分几个过程 选择根桥 启动生成树协议后 交换机之间通过传递 BPDU 包来交换信息 BPDU 包中有一项重要信息 交换 机 ID 它是由 8 个字节组成 两个字节的优先级和 6 个 字节的交换机的 MAC 地址所组成 由于 MAC 地址的唯 一性 同样能保证交换机 ID 的唯一性 IP COM 管理型 交换机的优先级出厂缺省值为 32768 这个数值可由网络 管理员修改 因此 网路管理员可以通过控制优先级的大 小来选择哪个设备为根桥 网络中交换机启动生成树协议 交换机通过比较网桥 ID 的大小选举根网桥 协议规定 交换机 ID 最小的为根桥 根桥只能有一个 如果是 则 选择它为根交换机 这样长时间的选择 最终网络中的交 换机会达成共识 选择某个交换机为根交换机 该交换机 的标识最低 管理型交换机技术手册管理型交换机技术手册 20 选择根端口 根端口是指在每个非根桥上被选择的处于转 发状态的端口 这个端口满足到根桥所花费的代价最小 交换机从接收到的 BPDU 中可以计算出自己哪个端口到 根交换机路径开销最小 路径开销最小的端口被选定为根 端口 并转换到转发状态 当路径开销一致时 比较其端 口优先级 端口优先级小的端口将被选为根端口 选择指定端口和指定交换机 选择出根端口之后 交换机 会向所有其他未阻塞端口 所谓阻塞 是由于物理链路没 有起来或手工关闭 发送从根端口接收到的 BPDU 不过 发送的时候 把 BPDU 进行修改 把其中的发送交换机 标识填写成自己的标识 到根交换机的成本改为端口成本 加上根端口到根交换机的成本 比如 根端口到根交换机 的成本为 100 而某个端口的成本为 20 则从该端口把 BPDU 发送出去后 相应的到根交换机的成本就转换为 120 在发送的同时 也可能从其他交换机接收到 BPDU 这时候就把自己刚才发送的 BPDU 同接收到的 BPDU 比较 看哪个距离根比较近 路径开销小 如果自 己的成本低 则该端口跳转到转发状态 也就是说 该端 口成为相应冲突域的指定端口 而该交换机就是相应冲突 域的指定交换机 而刚才发送 BPDU 的交换机因为发现 自己到根的成本高 就会阻塞该端口 其实 阶段二和阶 段三是确定到根桥的最佳通路的一个过程 并且由于三个 阶段的唯一性 这样生成树协议将去掉多台交换机形成的 管理型交换机技术手册管理型交换机技术手册 21 环路 管理型交换机技术手册管理型交换机技术手册 22 2 1 2 生成树端口状态 端口状态共有五种端口状态 阻塞状态 Blocking 只侦听 BPDU 包 不进行数据帧转 发 侦听状态 Listening 只侦听数据帧 不进行转发 学习状态 Learning 学习地址信息 不进行转发 转发状态 Forwarding 学习地址信息 并进行转发 无效状态 Disabled 不进行转发 不侦听 BPDU 包 因设备故障或者网络管理员的操作而导致 通常情况下 交换机端口的状态是按照如下顺序进行转换 阻塞状态 侦听状态 学习状态 转发状态 转发状态和阻塞 状态可以处于维持状态 而侦听状态和学习状态是过渡状态 最终会转换为转发状态或阻塞状态 2 1 3 生成树相关参数生成树相关参数 系统优先级 Bridge Priority 交换机的优先权可选数值范 围是 0 到 65535 0 表示最高的优先权 老化时间 Max Age 最大时限的可选数值范围是 6 秒到 40 秒 在最大时限将到时 如果还没有收到从根桥发出 的 BPDU 那么 你的交换机将开始发送它自己的 BPDU 到其他所有的交换机申请成为根桥 如果你的交换机的桥 标识符确实是最低的 那么它将成为根桥 管理型交换机技术手册管理型交换机技术手册 23 呼叫时间 Hello Time 呼叫时间的可选数值范围是 1 秒 到 10 秒 这是根桥发送两个 BPDU 的时间间隔 告知其 他所有交换机它是根桥 如果你在你的交换机上设置了问 候时间 而它又还未是根桥时 那么 没有任何影响 一 旦你的交换机成为了根桥 该问候时间就会派上用处 转发延时 Forward Delay Timer 转发延迟时间的可选数 值范围是 4 秒到 30 秒 这是交换机上的端口从阻塞状态 转变为转发状态所需的时间 路径开销 Port Cost 端口路径开销的可选数值范围是 0 至 200000000 数值越小 相应的端口越可能被选定为 端口 端口优先级 Port Priority 当非根交换机路径开销一致时 端口优先级数值越小 相应的端口将成为根端口 IP COM 管理型交换机的端口优先级与端口 ID 相一致 不能 进行修改 例如端口 1 的端口优先级为 1 端口 2 的端口 优先级为 2 依次类推 注意 注意 当你需要变动生成树参数时 请一定记住下述公式 当你需要变动生成树参数时 请一定记住下述公式 最大的桥老化时间最大的桥老化时间 2 x 桥转发时延桥转发时延 1 秒秒 即 即 Max Age 2 x Forward Delay 1 second 最大的桥老化时间最大的桥老化时间 2 x 问候时间问候时间 1 秒秒 即 即 Max Age 2 x Hello Time 1 second 管理型交换机技术手册管理型交换机技术手册 24 2 1 4 RSTP 与 STP STP 端口从阻塞状态进入转发状态必须经历两倍的转发 延时 所以网络拓扑结构改变之后需要至少两倍的转发延时 才能恢复连通性 如果网络中的拓扑结构变化频繁将导致网络 频繁失去连通性 用户就会无法忍受 RSTP 快速生成树协议 是从 STP 生成树协议 发展而来 实现的基本思想一致 快速生成树具备生成树的所有功能 快 速生成树改进目的就是当网络拓扑结构发生变化时 尽可能快 的恢复网络的连通性 快速生成树主要有三大改进 快速生成树主要有三大改进 第一种改进 如果旧的根端口已经进入阻塞状态 而且新 根端口连接的对端交换机的指定端口处于转发状态 在新 拓扑结构中的根端口可以立刻进入转发状态 效果 效果 发现拓扑改变到恢复连通性的时间可达数毫秒 并 且无需传递配置消息 第二种改进 指定端口可以通过与相连的网桥进行一次握 手 快速进入转发状态 效果 效果 网络连通性可以在交换两个配置消息的时间内恢复 即握手的延时 最坏的情况下 握手从网络的一边开始 扩散到网络的另一边缘的网桥 网络连通性才能恢复 比 如当网络直径为 7 的时候 要经过 6 次握手 管理型交换机技术手册管理型交换机技术手册 25 两点注意两点注意 1 握手必须在点对点链路的条件下进行 2 一次握手之后 响应握手的网桥的非边缘指定端口将 变为阻塞状态 则需要继续向自己的邻接网桥发起握手 第三种改进 网络边缘的端口 直接与终端相连 而不是 和其它网桥相连的端口可以直接进入转发状态 不需要任 何延时 效果 效果 边缘端口的状态变化不影响网络连通性 也不会造 成回路 所以进入转发状态无需延时 快速生成树与生成树的不同之处主要有 1 协议版本不同 2 端口状态转换方式不同 3 配置消息报文格式不同 4 拓扑改变消息的传播方式不同 注意 注意 快速生成树也是在整个交换网络应用单生成树实例快速生成树也是在整个交换网络应用单生成树实例 不能不能 解决由于网络规模增大带来的性能降低问题 建议网络直解决由于网络规模增大带来的性能降低问题 建议网络直 径最好不要超过径最好不要超过 7 管理型交换机技术手册管理型交换机技术手册 26 2 2 RSTP STP 配置配置 2 2 1 RSTP 设置 图图 2 1 系统优先级 设置交换机在生成树中的系统优先级别 当 系统优先级数值越小时 那么该交换机越容易成为根桥 如果交换机用于大型的工作组级的网络中 那么 尽量避 免使用 Hello Time 问候时间 数值范围从 1 秒到 10 秒 是指 根桥向其它所有交换机发出 BPDU 数据包的时间间隔 以告知其它所有交换机它是根桥 如果你在你的交换机上 设置了问候时间 而它又还未是根桥时 那么 没有任何 管理型交换机技术手册管理型交换机技术手册 27 影响 一旦你的交换机成为了根桥 该问候时间就会派上 用处 最大老化时间 数值范围从 6 秒到 40 秒 如果在超出 最大老化时间之后 还没有收到根桥发出的 BPDU 数据 包 那么 在允许的条件下你的交换机将充当根桥向其它 所有的交换机发出 BPDU 数据包 如果交换机的确是具 有最小的桥标志级数 那么 它将随之成为根桥 尽量不 要选用较小的数值 以免不断不必要地重设根桥 转发延时 数值范围从 4 秒到 30 秒 是指交换机的端 口从阻塞状态转为转发状态所花的监听时间 数字越高 延时越大 STP 版本选择 可以选择基于 802 1W 的 RSTP 快速生 成树协议 或基于 802 1D 的 STP 生成树协议 默认为 RSTP 管理型交换机技术手册管理型交换机技术手册 28 2 2 2 RSTP 端口 图图 2 2 使能 RSTP STP 可以设置该端口是否开启生成树功能 默认所有端口都是关闭 边缘端口 如果端口直接与终端相连 则该端口可以设置 为边缘端口 如果将与交换机相连的端口配置为边缘端口 则边缘端口将自动关闭 边缘端口的状态迁移会比较快 端口从阻塞状态转为转发状态后不需要经过 2 倍的转发延 时就可以直接进入转发状态 路径开销 路径开销范围为 0 200000000 设为 0 表示 自动根据端口速度决定端口路径开销 管理型交换机技术手册管理型交换机技术手册 29 2 2 3 RSTP 状态 图图 2 3 RSTP 桥状态 可以查看桥 ID 拓扑状态 根桥 ID 以及 设置的 Hello Time 最大老化时间 转发延时 RSTP 端口状态 可以查看点对点端口 协议 端口状态 以及设置的路径开销 边缘端口 管理型交换机技术手册管理型交换机技术手册 30 2 3 RSTP STP 实例实例 组网连接图 2 4 如下 有三个局域网用三台交换机一 一相连 造成了一个环路网络 在此例中 如果不使用生成树 技术 你可以预见到可能发生的一些网络故障 例如 如果交 换机 A 向交换机 B 发出一个广播包 那么 交换机 B 将把 此数据包广播给交换机 C 而交换机 C 又会将此数据包广播 回给交换机 A 随后会一直将如此反复 广播包将会在这个环 路中被循环往复地传递 从而导致严重的网络故障 为了避免 网络环路的发生 可以采用生成树解决 首先进入 RSTP 设置页面 分别设置交换机 A B C 的 系统优先级为 4096 28762 40960 其余参数设置建议尽量 不要改动其出厂默认设置值 当你确实需要变动生成树参数时 记住下述公式 管理型交换机技术手册管理型交换机技术手册 31 最大的桥老化时间 2 x 桥转发时延 1 秒 即 Max Age 2 x Forward Delay 1 second 最大的桥老化时间 2 x 问候时间 1 秒 即 Max Age 2 x Hello Time 1 second 图图 2 5 图图 2 6 图图 2 7 然后进入 RSTP 端口页面 将交换机 A B C 的 1 2 3 端口都开启 RSTP STP 功能 再设置交换机 A 的 1 2 3 端口路径开销为 2000 交换机 B 的 1 2 3 端口路 径开销为 20000 交换机 C 的 1 2 3 端口路径开销为 200000 图图 2 8 图图 2 9 图图 2 10 所有设置完成后 预想结果应该为生成树算法会将计算出 来的各桥 ID 后进行比较 选择交换机 A 为根桥 生成树算法 管理型交换机技术手册管理型交换机技术手册 32 将根据计算出来的各桥和端口之间的路径开销后 任命交换机 C 的 1 端口为根端口 阻塞交换机 C 的端口 2 交换机 B 与 交换机 C 之间的连接受到限制 以打破环路的形成 现在 如果交换机 A 向交换机 C 发出一个广播包 那么 交换机 C 将在端口 2 处将此数据包丢弃 那么此广播将结束 点击进入 RTSP 状态页面 查看状态结果 与我们预想的结果一致 图图 2 11 图图 2 12 图图 2 13 图图 2 14 管理型交换机技术手册管理型交换机技术手册 33 第三章第三章 IGMP Snooping 3 1 IGMP Snooping 介绍介绍 在城域网 Internet 中 采用单播方式将相同的数据包发 送给网络中的多个而不是全部接收者时 由于需要复制分组给 每一个接收端点 随着接收者数量的增多 需要发出的包数也 会线性增加 这使得主机 交换路由设备及网络带宽资源总体 负担加重 效率受到极大影响 随着多点电视会议 视屏点播 群组通信应用等需求的增长 为提高资源利用率 组播方式日 益成为多点通信中普遍采用的传输方式 IP COM 管理型交换机实现了 IGMP SNOOPING IGMP 是组播组管理协议 Internet Group Management Protocol 实现直连子网内的三层 IP 组播地址的动态学习 IGMP Snooping 即 IGMP 侦听 其主要作用是在交换机上完成二层 组播的动态注册 交换机只是通过侦听主机和路由器传送的不 同类型的 IGMP 报文来动态维护二层组播组 只有加入了组播 组的端口才可以接收组播数据流 这样就减少了网络的流量 节省了网络带宽 3 1 1 组播 Multicast 概述 当信息 包括数据 语音和视频 传送的目的地是网络中的 管理型交换机技术手册管理型交换机技术手册 34 少数用户时 可以采用多种传送方式 可以采用单播 Unicast 的方式 即为每个用户单独建立一条数据传送通路 参见图 3 1 或者采用广播 Broadcast 的方式 把信息传送给网络 中的所有用户 不管他们是否需要 都会接收到广播来的信息 参见图 3 2 例如 在一个网络上有 200 个用户需要接收 相同的信息时 传统的解决方案是用单播方式把这一信息分别 发送 200 次 以便确保需要数据的用户能够得到所需的数据 或者采用广播的方式 在整个网络范围内传送数据 需要这些 数据的用户可直接在网络上获取 综上所述 单播方式适合用 户稀少的网络 而广播方式适合用户稠密的网络 当网络中需 求某信息的用户量不确定时 单播和广播方式效率很低 这两 种方式都浪费了大量宝贵的带宽资源 而且广播方式也不利于 信息的安全和保密 图图 3 1 管理型交换机技术手册管理型交换机技术手册 35 图图 3 2 组播技术的出现及时解决了这个问题 组播源仅发送一次 信息 组播路由协议为组播数据包建立树型路由 被传递的信 息在尽可能远的分叉路口才开始复制和分发 参见图 3 3 因 此 信息能够被准确高效地传送到每个需要它的用户 图图 3 3 组播的优势 提高效率 降低网络流量 减轻服务器和 CPU 负 荷 优化性能 减少冗余流量 分布式应用 使多点应用成为可能 管理型交换机技术手册管理型交换机技术手册 36 3 1 2 组播 Multicast 寻址 如果采用组播方式传输信息 信息源该将信息发往何处 目的地址如何选取 即信息源如何知道信息的需求者是谁 这 些问题简而言之就是组播寻址 为了让信息源和组播组成员 一组信息接收者 进行通讯 需要提供网络层组播地址 即 IP 组播地址 同时必须存在一种技术将 IP 组播地址映射为链路 层 MAC 组播地址 下面分别介绍这两种组播地址 IP 组播地址 根据 IANA Internet Assigned Numbers Authority 规定 IP 地址空间分为四类 即 A 类 B 类 C 类和 D 类 单播报 文按照规模大小分别使用 ABC 三类 IP 地址 组播报文的目的 地址使用 D 类 IP 地址 D 类地址不能出现在 IP 报文的源 IP 地址字段 单播数据传输过程中 一个数据包传输的路径是从源地址 路由到目的地址 利用 逐跳 hop by hop 的原理在 IP 网络中 传输 然而在 IP 组播环境中 数据包的目的地址不是一个 而是一组 形成组地址 所有的信息接收者都加入到一个组内 并且一旦加入之后 流向该组地址的数据立即开始向接收者传 输 组中的所有成员都能接收到数据包 这个组就是 组播组 组播组中的成员是动态的 主机可以在任何时刻加入和离 开组播组 组播组可以是永久的也可以是临时的 组播组地址 中 有一部分由 IANA 分配 称为永久组播组 永久组播组保 管理型交换机技术手册管理型交换机技术手册 37 持不变的是它的 IP 地址 组中的成员构成可以发生变化 永 久组播组中成员的数量可以是任意的 甚至可以为零 那些没 有保留下来供永久组播组使用的 IP 组播地址 可以被临时组 播组利用 D 类组播地址范围是从 224 0 0 0 到 239 255 255 255 范围及含义见下表 D 类地址范围类地址范围含义含义 224 0 0 0 224 0 0 255 预留的组播地址 永久组地址 地址 224 0 0 0 保留不做分配 其它地址供路 由协议使用 224 0 1 0 238 255 255 2 55 用户可用的组播地址 临时组地址 全 网范围内有效 239 0 0 0 239 255 255 2 55 本地管理组播地址 仅在特定的本地范围 内有效 以太网组播 MAC 地址 以太网传输单播 IP 报文的时候 目的 MAC 地址使用的 是接收者的 MAC 地址 但是在传输组播报文时 传输目的不 再是一个具体的接收者 而是一个成员不确定的组 所以使用 的是组播 MAC 地址 IANA 规定 组播 MAC 地址的高 24bit 为 0 x01005e MAC 地址的低 23bit 为组播 IP 地址的低 23bit 映射关系如下图所示 管理型交换机技术手册管理型交换机技术手册 38 图图 3 4 由于 IP 组播地址的前 4bit 是 1110 代表组播标识 而 后 28bit 中只有 23bit 被映射到 MAC 地址 这样 IP 地址中 就有 5bit 信息丢失 直接的结果是出现了 32 个 IP 组播地址 映射到同一 MAC 地址上 管理型交换机技术手册管理型交换机技术手册 39 3 1 3 IGMP Snooping 原理 当信息 包括数据 语音和视频 传送的目的地是网络中的 多个用户时 可以采用组播传送方式 IGMP Snooping 是运 行在二层以太网交换机上的组播约束机制 用于管理和控制组 播组 IGMP Snooping 运行在链路层 当二层以太网交换机收 到主机和路由器之间传递的 IGMP 报文时 IGMP Snooping 分析 IGMP 报文所带的信息 当监听到主机发出的 IGMP 主 机报告报文时 交换机就将该主机加入到相应的组播表中 当 监听到主机发出的 IGMP 离开报文时 交换机就将删除与该主 机对应的组播表项 通过不断地监控 IGMP 报文 交换机就可 以在二层建立和维护 MAC 组播地址表 之后 交换机就可以 根据 MAC 组播地址表进行转发从路由器下发的组播报文 没有运行 IGMP Snooping 时 组播报文将在二层广播 图图 3 5 运行 IGMP Snooping 后 报文将不再在二层广播 而是 管理型交换机技术手册管理型交换机技术手册 40 进行二层组播 图图 3 6 3 1 4 IGMP Snooping 实现过程 以太网交换机通过运行 IGMP Snooping 实现对 IGMP 报 文的侦测 并为主机及其对应端口与相应的组播组地址建立映 射关系 为实现 IGMP Snooping 二层以太网交换机对各种 IGMP 报文的处理过程如下 图图 3 7 管理型交换机技术手册管理型交换机技术手册 41 IGMP 通用查询报文 IGMP 通用查询报文是组播路由器 向组播组成员发