构建高性能园区网络-笔记by-coldbj

H3CSEV1.0构建H3C高性能园区网络读书笔记增强版***在51CTO下载的高性能园区笔记根底之上完善***bycoldbj2011-7目 录1 层级化网络模型 42 网络模型开展历程 43 典型园区网的业务部署 44 VLAN原理 55 VLAN配置 66 VLAN扩展技术 77 VLAN路由 128 STP 139 RSTP 1610 MSTP 1811 STP保护机制 2112 HA 2113 链路聚合 2214 smartlink和monitorlink 2515 RRPP 2816 VRRP 3117 IRF 3318 组播 3619 组播组管理协议 3820 组播转发机制 4321 组播路由协议 4322 组播配置维护 4623 VoiceVLAN 4724 POE根本原理 5025 园区网平安 5326 AAA 5327 端口接入控制 5828 网络访问控制 6429 SSH 6730 园区网维护管理综述 7131 SNMP及日志管理 7132 集群管理技术 7633 LLDP技术 7934 镜像技术 8335 NTP 85层级化网络模型接入层：1、为用户提供网络的访问接口；2、丰富大量的接口；3、接入平安控制；4、接入速率控制、基于策略的分类、数据包标记等；5、较少考虑冗余性。会聚层：1、将接入层数据聚集起来，依据策略对数据、信息等实施控制；2、必要的冗余设计；3、复杂的策略配置。核心层：1、对来自会聚层的数据进行尽可能快速的交换；2、强大的数据交换能力；3、稳定、可靠的高冗余设计；4、不配置复杂策略。*层级化网络模型的优点：1、网络结构清晰；2、便于规划和维护；3、增强网络稳定性；4、增强网络可扩展性。*模块化网络架构的益处：1、确定网络，边界清晰，流量类型清楚；2、便于规划，增加伸缩性；3、模块方便增删，降低复杂性；4、设计的完整性。网络模型开展历程*小型局域网：1、网络主机数量少，但都在同一播送域内；2、甚至还存在多个主机在同一冲突域内。*中型局域网：虚拟局域网的应用〔隔离播送域〕、三层交换的应用〔解决路由转发的性能瓶颈〕。*大型局域网：多个中型或小型网的组合，具有三层结构。典型园区网的业务部署核心层的结构：1、双机主备互连；2、多机环网互连；3、多机Full-Mesh。会聚层的结构：1、双上行；2、路由备份。接入层的结构：1、单上行；2、双上行；3、交叉互连。*典型三级网络结构：1、核心会聚路由备份；2、双核心；3、会聚、接入双上行。*网络的单点故障：星形拓扑和树形拓扑的单点故障可能带来全网性故障。网状网络：1、多冗余链路防止单点故障带来的高风险；2、STP阻塞冗余链路防止环路的形成。以太环网：1、多核心环形链接提供核心链路的备份；2、接入双上行防止单点故障带来的风险；3、RRPP实现高效倒换。双归属网络：1、双核心双上行提供冗余备份；2、SmartLink阻断冗余链路，实现链路的毫秒级切换。三层路由网络：1、路由协议实现最短路径转发，冗余链路提供备份选择；2、ECMP提供负载分担。网关冗余备份：1、边缘网关运行VRRP提供网关的主备备份；2、多备份组+MSTP提供负载分担。IRF设备级备份：1、IRF堆叠实现设备级的N+1冗余备份；2、分布式链路聚合实现链路负载分担。*网络管理和维护：1、统一网管：拓扑发现、设备管理、Trap告警；2、日志集中管理；3、集群、堆叠应用简化管理；4、流量镜像，针对性监控，问题定位；5、NTP效劳统一时间，日志、Trap有序管理。VLAN原理*MAC地址表：[MACAddress][VLANID][Port]*VLAN跨交换机转发的处理流程：〔主机发出的帧不带vlan标记，进入交换机被打上端口vlan标记，出去时被去掉〕*802.1Q帧格式：〔Tag一共4字节；TPID：以太网类型(0x8100)代表802.1Q协议；Priority：优先级，主要做QOS用；CFI：老式TokenRing标识位。〕*当数据帧经过Access端口PVID值与Trunk链路端口PVID值不同时，在trunk链路上带上原来PVID值Tag标签，当相同时可以不带Tag标签。〔PVID：PortVlanID。PVID可以给帧打标记、去标记，它解读VID。〕*Hybrid链路：〔untag：局域网中无标记的。〕1、允许多个VLAN通过，可以接收和发送多个VLAN的数据帧：2、Hybrid端口和Trunk端口的不同之处在于：1.Hybrid端口允许多个VLAN的以太网帧不带标签；2.Trunk端口只允许缺省VLAN的以太网帧不带标签。*VLAN的划分方式：1、基于端口的VLAN〔静态VLAN〕；2、基于MAC地址的VLAN〔动〕；3、基于协议的VLAN〔动〕；4、基于IP子网的VLAN〔动〕。·VLAN的匹配顺序：*VLAN动态注册的背景： 感觉GVRP有点类似VTP。*GARP〔GenericAttributeRegistrationProtocal〕通用属性注册协议。GARP提供了一种通用机制供桥接局域网设备相互之间〔如终端站和交换机等〕注册或注销属性值，如VLAN标识符。这样，属性信息在整个桥接局域网设备中传播开来，并且这些设备形成活动拓朴结构的一个子集－“可达性”树。GARP定义了结构、操作规那么、状态机制以及变量来声明注册或注销属性值。交换机或终端站中的GARP参与者主要由连接端口或交换机的GARP应用程序和GARP信息声明〔GID〕两局部构成。具有相同网桥应用程序的GARP参与者之间的信息传播是由GARP信息传播局部〔GIP〕完成的。参与者之间通过LLC效劳类型1实现协议交换过程，其中采用的是MAC地址组和GARP应用程序定义的PDU格式。GARP是针对IEEE802.1D〔生成数协议〕标准的IEEE802.1P扩展的一局部。GARP协议主要包括：1、GARP信息声明〔GID〕：GARP生成数据局部。2、GARP信息传播〔GIP〕：GARP数据分配局部。3、GARP组播注册协议〔GMRP〕：为参与者动态注册和注销连接相同局域网的MAC桥信息。*802.1QNativeVlan：为了提高转发速度，802.1Q使交换机对Vlan1的帧默认不打Tag。*对从企业A或B出来的帧打上双层Tag，一个是企业内部的Tag，一个是划出的TunnelPortVlan的Tag〔用于云中的区别〕。*GARP消息：为了高效控制属性的声明和注册，GARP提供了五种类型的消息：Empty、JoinIn、JoinEmpty、Leave、LeaveAll。GVRP端口注册模式：1、Normal模式：1.允许该端口动态注册或注销VLAN；2.传播动态VLAN以及静态VLAN信息。2、Fixed模式：1.禁止该端口动态注册或注销VLAN；2.只传播静态VLAN，不传播动态VLAN信息。3、Forbidden模式：1.禁止该端口动态注册或注销VLAN；2.不传播除VLAN1以外的任何VLAN信息。*GARP定时器：1、Hold定时器；2、Join定时器；3、Leave定时器；4、LeaveAll定时器。VLAN配置*Trunk端口配置命令：·配置端口的链路类型为Trunk类型：[Switch-Ethernet1/0/1]portlink-typetrunk·允许指定的VLAN通过当前Trunk端口：[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all}·设置Trunk端口的缺省VLAN：[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id*Hybrid端口配置命令：Trunk和Hybrid端口不能直接切换，先设为Access再设置其它类型。·配置端口的链路类型为Hybrid类型：[Switch-Ethernet1/0/1]portlink-typehybrid·允许指定的VLAN通过当前Hybrid端口：[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged}·设置Hybrid端口的缺省VLAN：[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id*基于MAC地址的VLAN配置命令：·配置MAC地址所对应的VLAN及优先级：[Switch]mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypri]·开启端口的MACVLAN功能：[Switch-Ethernet1/0/1]mac-vlanenable·设置端口VLAN的匹配优先级：[Switch-Ethernet1/0/1]vlanprecedence{mac-vlan|ip-subnet-vlan}基于MAC地址的VLAN配置例如：*基于协议的VLAN配置命令：基于MAC、协议、IP子网的VLAN只对Hybrid端口配置有效。·配置基于协议的VLAN，并指定协议模板：[Switch-vlan10]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx{ethernetii|llc|raw|snap}|mode{ethernetiietypeetype-id|llc{dsapdsap-id[ssapssap-id]|ssapssap-id}|snapetypeetype-id}}·配置Hybrid端口与基于协议的VLAN关联：[Switch-Ethernet1/0/1]porthybridprotocol-vlanvlanvlan-id{protocol-index[toprotocol-end]|all}基于协议的VLAN配置例如：*基于IP子网的VLAN配置命令：·配置当前VLAN与指定的IP子网关联：[Switch-vlan10]ip-subnet-vlan[ip-subnet-index]ipip-address[mask]·配置当前端口与基于IP子网的VLAN关联：[Switch-Ethernet1/0/1]porthybridip-subnet-vlanvlanvlan-id基于IP子网的VLAN配置例如：*配置GVRP：全局GVRP开启后，在接口上还需开启接口GVRP。默认GVRP的注册模式是Normal。·开启全局GVRP功能：[Switch]gvrp·开启端口的GVRP功能：[Switch-Ethernet1/0/1]gvrp·配置GVRP注册模式：[Switch-Ethernet1/0/1]gvrpregistration{fixed|forbidden|normal}配置GARP定时器：·设置GARP的LeaveAll定时器的值：[Switch]garptimerlevealltimer-value·配置Hold定时器、Join定时器和Leave定时器：[Switch-Ethernet1/0/1]garptimer{hold|join|leave}timer-value默认时间〔单位厘秒〕：leaveall=1000。Hold=10，Join=20，Leave=60。GVRP配置例如一：GVRP配置例如二：GVRP配置例如三：VLAN扩展技术*〔1〕Isolate-user-vlan技术产生背景：〔Isolate：隔离〕〔2〕Isolate-user-vlan技术根本原理：1、·Hybrid端口技术的应用所有端口都为Hybrid上行端口允许所有VLAN通过；·下行端口允许Isolate-user-vlan和自己的SecondaryVLAN；2、·MAC地址同步技术：各SecondaryVLAN学习的MAC地址同步到Isolate-user-vlan；·Isolate-user-vlan学习的MAC地址同步到各SecondaryVLAN。Isolate-user-vlan：上行设备感知的用户VLAN，它并不是用户的真正VLAN。SecondaryVLAN：用户真正属于的VLAN。〔3〕Isolate-user-vlan技术功能：Isolate-user-vlan技术根本原理：*在园区网中，基于用户平安和管理计费等方面的考虑，运营商一般要求接入用户互相二层隔离。VLAN是天然的隔离手段，于是很自然的想法是每个用户一个VLAN。根据IEEE802.1Q协议规定，设备最大可使用VLAN资源为4094个。对于核心层设备来说，如果每个用户一个VLAN，4094个VLAN远远不够。为解决VLAN资源紧缺的问题，Isolate-user-vlan应运而生。支持Isolate-user-vlan功能后，可以将图1中的用户所在的VLAN〔VLAN10～15〕配置为SecondaryVLAN，将VLAN2和VLAN3配置为Isolate-user-vlan〔如图2〕。这样，DeviceA上只需配置VLAN2和VLAN3，节省了四个VLAN资源。·图1扁平的网络组网图：·图2Isolate-user-vlan功能示意图：·Isolate-user-vlan采用分层结构：上行的Isolate-user-vlan和下行的SecondaryVLAN。对上行设备来说只需识别Isolate-user-vlan，而不必关心Isolate-user-vlan中的SecondaryVLAN，从而节省了上行设备的VLAN资源。同时，将接入用户划入不同的SecondaryVLAN，可以实现用户之间二层报文的隔离。*〔1〕Isolate-user-vlan技术是如何屏蔽SecondaryVLAN信息、节省VLAN资源的呢？实现这个功能，要求：1、来自不同SecondaryVLAN的报文，能够通过上行端口发送给上行设备，而且不能携带SecondaryVLAN信息。2、来自Isolate-user-vlan的报文，能够通过下行端口发送给用户，而且不能携带Isolate-user-vlan信息。〔2〕我们知道，Isolate-user-vlan和SecondaryVLAN采用不同的VLAN编号，各自包含了不同的端口，通常不同VLAN之间的报文是二层互相隔离的，要到达以上要求，需要两方面的配合：1、在本设备上需要进行配置同步和MAC地址同步处理。2、上行设备需要进行必须的配置：·创立VLAN：VLANID等于Isolate-user-vlan的VLANID。·配置入端口参数：将端口类型设置为Hybrid，将端口缺省VLAN值设置为Isolate-user-vlanID，配置端口允许缺省VLAN的报文以untagged方式通过。*Isolate-user-vlan配置同步：配置Isolate-user-vlan功能后，系统会自动对Isolate-user-vlan和SecondaryVLAN所包含的端口进行配置同步：1、对于上行端口，会将端口类型修改为Hybrid，并允许来自SecondaryVLAN的报文以untagged方式通过。而上行设备的入端口通过手工配置已经将端口的缺省VLAN值设置为Isolate-user-vlanID，所以，当上行设备收到这样的报文后，均认为这些报文来自Isolate-user-vlan，并给它们添加tag，tag中的VLANID等于Isolate-user-vlanID。从而，屏蔽了SecondaryVLAN信息。2、对于下行端口，会将端口类型修改为Hybrid，并允许来自Isolate-user-vlan的报文以untagged方式通过。·图3Isolate-user-vlan配置同步组网图：·表2配置同步后端口的相关属性：·通过MAC地址学习，如上图3所示的组网中Switch会生成并维护一张MAC地址表〔如表3所示〕。如果Device给Host2发送报文〔源MAC为mac_a，目的MAC为mac_2〕；Switch会给报文添加tag，VLANID为5〔即端口的缺省VLANID〕；然后以“mac_2+VLAN5”为条件去查询MAC地址表。由于找不到相应的表项，该报文会在VLAN5内播送，并最终从Eth1/2、Eth1/3发送出去。同理，每次上行和下行的报文都需要播送才能到达目的地。当SecondaryVLAN和Isolate-user-vlan包含的端口较多时，这样的处理方式会占用大量的带宽资源，也不平安〔播送报文容易被截获和侦听〕。通过MAC地址同步机制可以解决这个问题。*Isolate-user-vlan的MAC地址同步机制为：1、SecondaryVLAN到Isolate-user-vlan的同步，即下行端口在SecondaryVLAN内学习到的动态MAC地址都同步至Isolate-user-vlan内。2、Isolate-user-vlan到SecondaryVLAN的同步，即上行端口在Isolate-uservlan学习到的动态MAC地址同步到所有的SecondaryVLAN内。当Isolate-user-vlan下面配置了很多SecondaryVLAN，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行播送，所以，SecondaryVLAN到Isolate-user-vlan的同步所有产品均支持，而Isolate-user-vlan到SecondaryVLAN的同步局部产品不支持。·表4由图三同步后的MAC地址转发表：·通过上图3中Host2的报文流程来阐述Isolate-user-vlan的实现机制。(1)Host2第一次发出单播上行报文，报文为untagged报文，源MAC地址为mac_2，目的MAC地址为mac_a。(2)Switch通过下行端口Ethernet1/2收到报文，给报文打上端口缺省VLAN的标签2，并学习MAC地址，记录MAC地址表项〔mac_2+VLAN2+Eth1/2〕〔表示目的MAC地址为mac_2，VLAN标签为2的报文，出接为Ethernet1/2〕。(3)根据MAC地址同步原那么，该MAC地址同时同步学习到VLAN5内，设备同时记录MAC地址表项〔mac_2+VLAN5+Eth1/2〕。(4)由于Switch当前没有mac_a的MAC表项，因此设备在VLAN2内播送该报文。(5)由于配置同步，Ethernet1/5端口允许VLAN2的报文以untagged方式通过，所以报文去掉tag后通过Ethernet1/5发送出去。(6)DeviceA收到报文后进行响应。(7)Switch通过上行端口Ethernet1/5收到报文，给报文打上端口缺省VLAN的标签5，并学习MAC地址，记录MAC地址表项〔mac_a+VLAN5+Eth1/5〕。通过MAC地址同步，又生成两条MAC地址表项〔mac_a+VLAN2+Eth1/5〕和〔mac_a+VLAN3+Eth1/5〕。(8)Switch以“mac_2+VLAN5”为条件去查询MAC地址表，找到出接口Ethernet1/2，并将报文去掉tag后发送给Host2。*小区内有大量用户且用户支持不同的业务〔如视频、语音、数据等〕，为了保证用户平安以及区分不同业务流，使用VLAN技术对用户的二层报文进行隔离。但因为设备VLAN资源有限，因而可以在接入交换机上配置Isolate-user-vlan功能，以节省Device的VLAN资源。同时将多个端口配置为Isolate-user-vlan的上行端口，并结合ACL和QoS配置，以便让不同的上行端口传输不同的业务，简化网络管理。*GARP〔GenericAttributeRegistrationProtocol〕通用属性注册协议；GMRP〔GARPMulticastRegistrationProtocol〕组播属性注册协议；GVRP〔GARPVLANRegistrationProtocol〕VLAN属性注册协议。*GARP协议主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。GARP作为一个属性注册协议的载体，可以用来传播属性。将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。例如，GMRP和GVRP：1、GMRP是GARP的一种应用，用于注册和注销组播属性；2、GVRP是GARP的一种应用，用于注册和注销VLAN属性。GARP协议通过目的MAC地址区分不同的应用。在IEEEStd802.1D中将01-80-C2-00-00-20分配给组播应用，即GMRP。在IEEEStd802.1Q中将01-80-C2-00-00-21分配给VLAN应用，即GVRP。*如果需要为网络中的所有设备都配置某些VLAN，就需要网络管理员在每台设备上分别进行手工添加。如图1所示，DeviceA上有VLAN2，DeviceB和DeviceC上只有VLAN1，三台设备通过Trunk链路连接在一起。为了使DeviceA上VLAN2的报文可以传到DeviceC，网络管理员必须在DeviceB和DeviceC上分别手工添加VLAN2。对于上面的组网情况，手工添加VLAN很简单，但是当实际组网复杂到网络管理员无法短时间内完全了解网络的拓扑结构，或者是整个网络的VLAN太多时，工作量会非常大，而且非常容易配置错误。在这种情况下，用户可以通过GVRP的VLAN自动注册功能完成VLAN的配置。GVRP基于GARP机制，主要用于维护设备动态VLAN属性。通过GVRP协议，一台设备上的VLAN信息会迅速传播到整个交换网。GVRP实现动态分发、注册和传播VLAN属性，从而到达减少网络管理员的手工配置量及保证VLAN配置正确的目的。在设备上，每一个参与协议的端口可以视为一个应用实体。当GVRP在设备上启动的时候，每个启动GVRP的端口对应一个GVRP应用实体。GVRP协议的属性注册和注销仅仅是对于接收到GVRP协议报文的端口而言的。*GVRP协议可以实现VLAN属性的自动注册和注销：1、VLAN的注册：指的是将端口参加VLAN。2、VLAN的注销：指的是将端口退出VLAN。GVRP协议通过声明和回收声明实现VLAN属性的注册和注销。1、当端口接收到一个VLAN属性声明时，该端口将注册该声明中包含的VLAN信息〔端口参加VLAN〕。2、当端口接收到一个VLAN属性的回收声明时，该端口将注销该声明中包含的VLAN信息〔端口退出VLAN〕。*GARP应用实体之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join消息、Leave消息和LeaveAll消息：1、Join消息：当一个GARP应用实体希望其它设备注册自己的属性信息时，它将对外发送Join消息；当收到其它实体的Join消息或本设备静态配置了某些属性，需要其它GARP应用实体进行注册时，它也会向外发送Join消息。·Join消息分为JoinEmpty和JoinIn两种，区别如下：1.JoinEmpty：声明一个本身没有注册的属性。2.JoinIn：声明一个本身已经注册的属性。2、Leave消息：当一个GARP应用实体希望其它设备注销自己的属性信息时，它将对外发送Leave消息；当收到其它实体的Leave消息注销某些属性或静态注销了某些属性后，它也会向外发送Leave消息。·Leave消息分为LeaveEmpty和LeaveIn两种，区别如下：1.LeaveEmpty：注销一个本身没有注册的属性。2.LeaveIn：注销一个本身已经注册的属性。3、LeaveAll消息：每个应用实体启动后，将同时启动LeaveAll定时器，当该定时器超时后应用实体将对外发送LeaveAll消息。LeaveAll消息用来注销所有的属性，以使其它应用实体重新注册本实体上所有的属性信息，以此来周期性地去除网络中的垃圾属性〔例如某个属性已经被删除，但由于设备突然断电，并没有发送Leave消息来通知其他实体注销此属性〕。*GARP协议中用到了四个定时器，下面分别介绍一下它们的作用：1、Join定时器：Join定时器是用来控制Join消息〔包括JoinIn和JoinEmpty〕的发送的。为了保证Join消息能够可靠的传输到其它应用实体，发送第一个Join消息后将等待一个Join定时器的时间间隔，如果在一个Join定时器时间内收到JoinIn消息，那么不发送第二个Join消息；如果没收到，那么再发送一个Join消息。每个端口维护独立的Join定时器。2、Hold定时器：Hold定时器是用来控制Join消息〔包括JoinIn和JoinEmpty〕和Leave消息〔包括LeaveIn和LeaveEmpty〕的发送的。当在应用实体上配置属性或应用实体接收到消息时不会立刻将该消息传播到其它设备，而是在等待一个Hold定时器后再发送消息，设备将此Hold定时器时间段内接收到的消息尽可能封装成最少数量的报文，这样可以减少报文的发送量。如果没有Hold定时器的话，每来一个消息就发送一个，造成网络上报文量太大，既不利于网络的稳定，也不利于充分利用每个报文的数据容量。每个端口维护独立的Hold定时器。Hold定时器的值要小于等于Join定时器值的一半。3、Leave定时器：Leave定时器是用来控制属性注销的。每个应用实体接收到Leave或LeaveAll消息后会启动Leave定时器，如果在Leave定时器超时之前没有接收到该属性的Join消息，属性才会被注销。这是因为网络中如果有一个实体因为不存在某个属性而发送了Leave消息，并不代表所有的实体都不存在该属性了，因此不能立刻注销属性，而是要等待其他实体的消息。例如，某个属性在网络中有两个源，分别在应用实体A和B上，其他应用实体通过协议注册了该属性。当把此属性从应用实体A上删除的时候，实体A发送Leave消息，由于实体B上还存在该属性源，在接收到Leave消息之后，会发送Join消息，以表示它还有该属性。其他应用实体如果收到了应用实体B发送的Join消息，那么该属性仍然被保存，不会被注销。只有当其它应用实体等待两个Join定时器以上仍没有收到该属性的Join消息时，才能认为网络中确实没有该属性了，所以这就要求Leave定时器的值大于2倍Join定时器的值。每个端口维护独立的Leave定时器。4、LeaveAll定时器：每个GARP应用实体启动后，将同时启动LeaveAll定时器，当该定时器超时后GARP应用实体将对外发送LeaveAll消息，随后再启动LeaveAll定时器，开始新的一轮循环。接收到LeaveAll消息的实体将重新启动所有的定时器，包括LeaveAll定时器。在自己的LeaveAll定时器重新超时之后才会再次发送LeaveAll消息，这样就防止了短时间内发送多个LeaveAll消息。如果不同设备的LeaveAll定时器同时超时，就会同时发送多个LeaveAll消息，增加不必要的报文数量，为了防止不同设备同时发生LeaveAll定时器超时，实际定时器运行的值是大于LeaveAll定时器的值，小于1.5倍LeaveAll定时器值的一个随机值。一次LeaveAll事件相当于全网所有属性的一次Leave。由于LeaveAll影响范围很广，所以建议LeaveAll定时器的值不能太小，至少应该大于Leave定时器的值。每个设备只在全局维护一个LeaveAll定时器。*GVRP注册模式：手工配置的VLAN称为静态VLAN，通过GVRP协议创立的VLAN称为动态VLAN。GVRP有三种注册模式，不同的模式对静态VLAN和动态VLAN的处理方式也不同。GVRP的三种注册模式分别定义如下：1、Normal模式：允许动态VLAN在端口上进行注册，同时会发送静态VLAN和动态VLAN的声明消息。2、Fixed模式：不允许动态VLAN在端口上注册，只发送静态VLAN的声明消息。3、Forbidden模式：不允许动态VLAN在端口上进行注册，同时删除端口上除VLAN1外的所有VLAN，只发送VLAN1的声明消息。*GARP协议报文采用IEEE802.3Ethernet封装形式，报文结构：*Isolate-user-vlan技术配置命令：·设置VLAN的类型为Isolate-user-vlan：[Switch-vlan10]isolate-user-vlanenable·建立Isolate-user-vlan和SecondaryVLAN间的映射关系：[Switch]isolate-user-vlanisolate-user-vlan-idsecondarysecondary-vlan-id[tosecondary-vlan-id]Isolate-user-vlan技术配置例如：*SuperVLAN技术中的概念：1、SuperVLAN：1.只建立三层接口而不包含物理端口；2.假设干SubVLAN的集合，并为SubVLAN提供三层转发效劳。2、SubVLAN：1.只映射假设干物理端口，负责保存各自独立的播送域；2.不能建立三层VLAN接口；3.与外部的三层交换是靠SuperVLAN的三层接口来实现的。*SuperVLAN技术的实现：1、SuperVLAN与SubVLAN形成映射；2、不同SubVLAN主机在不同的播送域；3、各SubVLAN借用SuperVLAN的VLAN接口进行三层通信；4、SubVLAN间的通信依靠SuperVLAN接口的本地代理ARP完成。〔用本地代理ARP实现不同SubVLAN间的三层互通〕*普通代理ARP原理：*当SubVLAN内的用户需要进行三层通信时，将使用SuperVLAN三层接口的IP地址作为网关地址，这样多个SubVLAN共用一个IP网段，从而节省了IP地址资源。同时，为了实现不同SubVLAN间的三层互通及SubVLAN与其他网络的互通，需要利用ARP代理功能。通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。supervlan是节省IP地址的.可以让不同VLAN的网关使用同一个IP.而这个IP就是SUPERVLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPERVLAN就是激活的。*SuperVLAN技术配置命令：·设置当前VLAN的类型为SuperVLAN：[Switch-vlan10]supervlan·建立SuperVLAN和SubVLAN的映射关系：[Switch-vlan10]subvlanvlan-list·开启本地代理ARP功能：[Switch-Vlan-interface10]local-proxy-arpenable*1、SubVLAN与外部的二层通信：Trunk链路自动禁止SuperVLAN通过。2、SubVLAN与外部的三层通信：等同于SuperVLAN到外部的三层通信。*SuperVLAN技术配置例如：*VLANVPN技术的原理及转发流程：〔局域网远程搭建〕Nested：嵌套的*BPDUTunnel工作原理：*BPDUTunnel是一种二层隧道技术，它使不同地域私网用户的二层协议报文，可以通过运营商网络内的指定通道进行透明传输。*为防止环路，用户需要在私网中启用STP功能，当一侧私网发生拓扑变化时，会发送BPDU报文给另一侧私网，否那么将无法完成在整个用户私网内的生成树计算。但由于BPDU报文是二层组播报文，所有开启STP功能的设备都会接收并处理该报文，因此假设用户私网和运营商网络的生成树一起计算将导致每个网络都无法生成正确的生成树。BPDUTunnel功能可以解决上述问题，它可使运行STP功能的用户私网和运营商网络拥有各自的生成树，互不干扰。*利用BPDUTunnel功能，可以在运营商网络中透传用户网络的二层协议报文：(1)运营商网络一端的PE1对从用户A的网络1收到的二层协议报文进行封装，将其目的MAC地址替换成一个特定的组播MAC地址，然后在运营商网络中进行转发；(2)封装好的二层协议报文〔称为BPDUTunnel报文〕被转发至运营商网络另一端的PE2，解封装后被复原为原始的目的MAC地址，并发送给用户A的网络2。*VLANVPN和BPDUTunnel配置命令：·开启以太网端口的QinQ功能：[Switch-Ethernet1/0/1]qinqenable·开启端口STP协议的BPDUTunnel功能：[Switch-Ethernet1/0/1]bpdu-tunneldot1qstp·配置BPDUTunnel帧采用的组播目的MAC地址：[Switch]bpdu-tunneltunnel-dmacmac-addressBPDUTunnel配置例如：*〔1〕路由器实现VLAN间通信：〔路由器与每个VLAN建立一条物理连接，浪费大量的端口〕〔2〕用802.1Q和子接口实现VLAN间路由：VLAN路由*用三层交换机实现VLAN间路由：三层交换机以内置的三层路由转发引擎执行VLAN间路由功能。*〔1〕最长匹配转发模型：1、用报文目的地址与路由表项的子网掩码进行“与”操作；2、如果“与”操作的结果和路由表项中网络地址相同，那么认为路由匹配；3、所有匹配项中子网掩码位数最长的为最正确匹配项报文从该表项对应接口发送。〔2〕交换机精确匹配转发模型：1、CPU维护路由表；2、ASIC芯片完成主要的转发功能；3、对数据包进行一次路由后，生成具体目的地址的转发表项，后续直接根据此表项进行精确匹配转发。〔3〕交换机精确匹配转发表：〔ForwardInformationBase：转发信息库〕当一个数据包到了交换机，需要3层转发的时候，如果IPFDB里没有记录，会先查路由表，再找ARP表，这样转发后会把记录生成在IPFDB里，下次转发就不用再查路由表了。这个IPFDB是默认不会老化的，就是里面的记录会一直存在。*交换机最长匹配转发模型：1、基于硬件的最长匹配的三层交换技术；2、所有报文的转发都通过硬件快速匹配完成转发。交换机最长匹配转发表：*直连VLAN间流量转发：创立VLAN接口配置命令：·创立VLAN接口：[Switch]interfacevlan-interfacevlan-interface-id·配置VLAN接口的IP地址：[Switch-Vlan-interface10]ipaddressip-address{mask|mask-length}[sub]*跨设备VLAN间流量转发：*交换机静态路由配置：交换机RIP协议配置：·查看VLAN接口相关信息：[SWA]displayinterfaceVlan-interface40〔VLAN接口的MAC地址：HardwareAddress：〕·查看ARP表相关信息：[SWB]displayarpallcount·查看路由表相关信息：[SWA]displayiprouting-tableSTP*STP消除环路的思想：将网络拓扑修剪为树形1.选择树根节点ROOT；2.确定最短路径；3.阻塞冗余链路。*桥ID用于在STP中唯一的标识一个桥，桥ID由两局部组成，长度为8个字节：1.桥优先级：高16位；2.MAC地址：低48位。优先级和MAC地址值小优先。桥ID：【桥优先级：2字节】【桥MAC地址：6字节】*路径开销〔PathCost〕：1、路径开销用于衡量桥与桥之间路径的优劣；2、STP中每条链路都具有开销值；3、路径开销等于路径上全部链路开销之和。*链路开销标准：单端口下：10M=2000，100M=200。1G=20。10G=2。*配置BPDU：1、网桥通过交互配置BPDU获取STP计算所需要的参数；2、配置BPDU基于二层组播方式发送，目的地址为01-80-C2-00-00-00；3、配置BPDU由根桥周期发出，发送周期为HelloTime；4、配置BPDU老化时间为MaxAge。*配置BPDU格式：〔网桥协议数据单元(BridgeProtocolDataUnit)〕*STP计算方法：1、配置BPDU处理：·网桥将各个端口收到的配置BPDU和自己的配置BPDU做比拟，得出优先级最高的配置BPDU；·网桥用优先级最高的配置BPDU更新本身的配置BPDU，用于选举根桥和确定端口角色；·网桥从指定端口发送新的配置BPDU。2、配置BPDU比拟原那么——优先级向量最小者最优：首先比拟RootBridgeID>其次比拟RootPathCost>再次比拟DesignateBridgeID>再其次比拟DesignatePortID>最后比拟BridgePortID。*根桥选择：起始各个交换机都认为自己是根桥，然后进行互发帧进行根桥PK，最终根桥ID最小者胜出。*确定端口角色的标准：1、根端口：网桥上到根桥最近的端口；2、指定端口：端口的配置BPDU在其所属链路上是最优的；3、Alternate端口：端口的配置BPDU在其所属链路上不是最优的，且端口不是根端口。Alternate端口：端口既非根端口也非指定端口；根端口：该端口到根桥的开销最小；指定端口：端口拥有该链路上最优的配置消息。〔根桥发送的BPDU消息，其中BPC=0〕*端口角色确定过程：当路径开销相等时，那么根据顺序比拟DesignateBridgeID，越不优者相连或与之相连的端口为Alternate端口。而对于链路聚合的模型，两条链路开销相等时，那么要比拟DesignatePortID，端口越不优者为Alternate端口。*临时环路问题：当拓扑结构发生变化，新的配置BPDU要经过一定的时延才能传播到整个网络，在所有网桥收到这个变化的消息之前可能会存在临时环路。*通过中间状态防止临时环路：1、STP为端口定义了五种状态：Disabled、Blocking、Listening、Learning、Forwarding。2、各端口状态对配置BPDU收发、MAC地址学习以及数据收发的处理有所不同。STP端口状态是否发送配置BPDU是否进行MAC地址学习是否收发数据*ForwardDelay延时：1、从中间状态Listening经过一个延时进入另一个中间状态Learning；2、从Learning状态再经过一个延时进入Forwarding状态；3、延时长度为ForwardDelay。*STP端口状态机：*STP拓扑改变处理过程：〔从中断到恢复需要等待MAC地址老化，将近5分钟的时间！〕使用TCN是50s。TCNBPDU：〔TopologyChangeAcknowledgment：拓扑改变消息〕。详细参见书P192-P193。1、网桥发送TCNBPDU的条件为：1.有端口转变为Forwarding状态，且该网桥至少包含一个指定端口；2.有端口从Forwarding状态或Learning状态转变为Blocking状态。TCA以及TC置位的配置BPDU：*当根桥故障后，指定根桥等待MaxAgeTimer后没收到消息，那么判断为根桥down掉了。网桥发现拓扑变化〔Down或新参加网桥〕，产生TCN的BPDU从RP发出，以通知根桥。如上游网桥不是根桥，那么上游网桥会将下一个要发送的配置BPDU中tCA位置位，作为收到TCN确实认。发送给下游网桥。上游网桥从根端口发送TCN的BPDU直到根桥收到TCNBPDU，收到后，根桥会将下一个要发送的配置BPDU中的TCA位置位作为对收到的TCN确认。并将该配置BPDU中TC位置位，用于通知网络中所有网桥网络拓扑发生了变化。根桥在MaxAge+ForwardDelay〔20s+15s〕内，将发送的配置BPDU中的TC置位，当网桥收到后会将自身的MAC地址老化时间由300秒缩短为ForwardDelay〔15s〕。网桥发送TCN的周期为HelloTime，如果没收到TCA置位那么重复发送TCN，收到TCA后停止从RP发TCN。如以下图TCA和TC置位的配置BPDU：TCN产生的条件：1.网桥上有端口转变为Forwarding状态，且至少包括包含一个DP。2.网桥上有端口从Forwarding或Learning状态转变为Block状态。TCN的BPDU包括三局部：ProtocolID、Protocolversion〔这两个和配置BPDU一样〕、BPDUType(这个有区别〕。BPDUType表示为：0x80为TCN的BPDU。标志位：76543210。第7位置位表示为TCA，第0位置位表示和TC置位BPDU。*STP协议的缺乏：1、收敛时间长：缺省情况下一个端口从Blocking状态过渡到Forwarding状态至少需要30秒钟〔两倍的ForwardDelay〕。对于一个拓扑不稳定网络，会导致网络的长时间中断。〔两倍：Listening>Learning>Forwarding〕2、拓扑变化收敛机制不灵活：主机频繁上下线时，网络会产生大量TCN。RSTP1、RSTP是从STP开展而来，实现的根本思想一致；2、RSTP具备STP的所有功能，可以兼容STP运行；3、RSTP和STP有所不同：1.减少了端口状态；2.增加了端口角色；3.BPDU格式及发送方式不同；4.当交换网络拓扑结构发生变化时，RSTP可以更快地恢复网络的连通性。*RSTP将端口状态缩减为三个：Discarding、Learning、Forwarding。RSTP将端口角色增加到四个：根端口、指定端口、Alternate端口、Backup端口。RSTP是将STP原来的Alternate端口分为Alternate端口〔没写错〕和Backup端口，前者提供一条到达根桥的备用路径，用于根端口做备份。后者提供了到达同一个物理网段的冗余路径，用于指定端口做备份〔书上原话〕。*RSTBPDU报文和STP相比不同之处有：1.ProtocolVersionID变为2〔如0x02〕；2.BPDUType变为2〔如0x02〕；3.使用了Flags字段的全部8位；4.增加Version1Length字段〔如0x00〕。*RSTBPDU中的Flags字段：在RSTBPDU的Flags字段中，除TC以及TCA标志位，还包含P/A标志位、端口状态标志位以及端口角色标志位。*RSTP中BPDU的处理：1、网桥自行从指定端口发送RSTBPDU，不需要等待来自根桥的RSTBPDU。发送周期为HelloTime；2、RSTBPDU老化时间为3个连续的HelloTime时长。RSTP提供了一种保活机制〔上面这两行所述，即网桥可以根据如未收到BPDU那么表示网络中断，时长为3个HelloTime时长〕，STP没有。*STP只能指定端口收到低优先级RSTBPDU做出回应。处于Block状态的端口不会对收到低优先级的BPDU做出回应。RSTP中Block状态的端口收到RSTBPDU可以回应。*RSTP快速收敛机制：STP中端口需要等待两个ForwardDelay时长才能进入转发状态，如果想缩短收敛时间只能手工配置ForwardDelay为较小的值，但是这样可能会影响网络的稳定性；·RSTP提出了快速收敛机制，包括：边缘端口机制；根端口快速切换机制；指定端口快速切换〔P/A〕机制。*边缘端口〔EdgePort〕：1、边缘端口指网桥上直接和终端相连的端口〔如：直接与主机相连的交换机〕；2、边缘端口可以直接进入转发状态，不需要延时，并且不会触发拓扑改变；3、边缘端口收到BPDU后，会转变为非边缘端口。有点像Cisco的PortFast端口。*根端口快速切换：如果旧的根端口已经进入阻塞状态，而且新根端口〔优先级最高的Alternate端口作为新的根端口〕连接的对端网桥的指定端口处于Forwarding状态，那么在新拓扑结构中的根端口可以立刻进入转发状态。*指定端口快速切换：1、指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态：1.握手请求报文：Proposal；2.握手回应报文：Agreement。2、P/A机制条件：握手必须在点到点链路进行。·通过P/A机制实现快速收敛：实例参见书上P213页。*RSTP拓扑改变处理机制1、拓扑改变触发条件：只有非边缘端口转变为Forwarding状态时，产生拓扑改变；2、拓扑改变处理：·在两倍Hello时间内向所有其它指定端口和根端口发送TC置位BPDU报文；·去除除接收到TC报文的端口之外的所有指定端口和根端口学习的MAC地址。*RSTP拓扑改变处理：1、不再使用TCN；2、收敛更快速。STP的TCN是拓扑改变时网桥向根桥发送TCN〔经过的网桥也会收到〕，然后由根桥通知其它网桥。而RSTP是网桥直接通过DP和RP端口向其它网桥直接发送TC报文，其它网桥收到后会继续从其DP和RP端口继续扩散发送，从而实现根桥和所有网桥都知道拓扑改变。*RSTP和STP的兼容运行：1、RSTP的端口连续三次接收到版本为STP的BPDU，那么端口协议将切换到STP协议。2、切换到STP协议的RSTP端口将丧失快速收敛特性。3、出现STP与RSTP混用的情况，建议将STP设备放在网络边缘。4、运行STP的网桥移除后，由RSTP模式切换到STP模式的端口仍将运行在STP模式。*根本配置命令：·生成树在交换机上缺省是关闭的，如果组网中可能存在路径回环，那么要通过命令开启生成树功能：[H3C]stpenable·如果确定某个端口连接的局部不存在回路，那么可以通过命令关闭该端口的生成树功能：[H3C-Ethernet0/1]stpdisable·可以根据需要配置交换机的生成树运行模式：[H3C]stpmode{stp|rstp|mstp}*RSTP可选参数：*配置优先级和端口开销：·通过命令配置可以更改BridgePriority：[H3C]stpprioritybridge-priority·通过命令配置可以改变端口开销的值：[H3C-Ethernet0/1]stpcostcost·通过命令配置可以改变设备支持的端口开销标准：[H3C]stppathcost-standard{dot1d-1998|dot1t|legacy}*配置端口的优先级：1.端口ID由两局部组成:PortPriority+PortIndex；2.通过命令配置可以改变端口优先级。·[H3C-Ethernet0/1]stpportpriorityport-priority*配置端口的HelloTime：1、HelloTime的配置需要注意：1.较长的HelloTime可以降低生成树计算的消耗；2.过长的HelloTime会导致对链路故障的反响缓慢；3.较短的HelloTime可以增强生成树的健壮性；4.过短的HelloTime会导致频繁发送配置消息，加重CPU和网络负担。2、配置命令为：[H3C]stptimerhellocentiseconds*配置端口的MaxAge：1、MaxAge的配置需要注意：1.过长的MaxAge会导致链路故障不能被及时发现；2.过短的MaxAge可能会在网络拥塞的时候使交换机误认为链路故障，造成频繁的生成树重新计算。2、配置命令为：[H3C]stptimermax-agecentiseconds*配置端口的ForwardDelay：1、ForwardDelay的配置需要注意：1.过长的ForwardDelay会导致生成树的收敛太慢；2.过短的ForwardDelay可能会在拓扑改变的时候，引入暂时的路径环路。2、配置命令为：[H3C]stptimerforward-delaycentiseconds*配置网络直径：1、网络直径：任意两台终端设备之间通过的交换机数目的最大值；2、改变网络直径会间接影响到MaxAge和ForwardDelay这两个参数的值，这种方法比直接手工配置两个参数更为可靠。3、所以当网络中参加交换机可以通过改变网络直径参数来到达适应网络状况的目的。4、配置命令为：[H3C]stpbridge-diameterbridgenum〔diameter：直径〕*RSTP高级配置：配置端口为边缘端口：·端口视图配置：[H3C-Ethernet0/1]stpedged-portenable·全局或端口视图执行mCheck操作：[H3C]stpmcheck[H3C-Ethernet0/1]stpmcheck。RSTP自动迁移至STP，STP设备下线后，可手工切换STP到RSTP。*RSTP维护调试命令：·显示和STP统计和状态信息：[H3C]displaystp[interfaceinterface_list][brief]此命令显示内容包括：全局参数：桥ID、HelloTime、MaxAge、ForwardDelay、根桥、根路径开销、RP。端口参数：端口协议是否使能、端口角色、端口优先级、端口开销、端口所属网段指定桥ID和DP的ID、是否为边缘端口、P2P链路？、收发BPDU统计。MSTP·翻开和STP调试开关：<H3C>debugstppacket*STP/RSTP的局限：1、所有VLAN共享一颗生成树；2、无法实现不同VLAN在多条Trunk链路上的负载分担。*MSTP：〔MultipleSpanningTree，多生成树协议〕，基于实例计算出多颗生成树，实例间实现负载分担。*MST域〔MSTRegion〕：拥有相同MST配置标识的网桥构成的集合：域名、修订级别、VLAN映射关系。*CST〔CommonSpanningTree〕公共生成树、IST〔InternalSpanningTree〕内部生成树、CIST〔CommonandInternalSpanningTree〕公共和内部生成树、MSTI〔MultipleSpanningTreeInstance〕多生成树实例。*STP：IEEE802.1D、RSTP：IEEE802.1W、MSTP：IEEE802.1S。*要实现生成树功能，网桥之间必须要进行一些信息的交互，这些信息交互单元就称为配置消息BPDU〔BridgeProtocolDataUnit〕。STPBPDU是一种二层报文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文。*1、当根端口失效的情况下，替换端口就会快速转换为新的根端口并无时延地进入转发状态；当指定端口失效的情况下，备份端口就会快速转换为新的指定端口并无时延地进入转发状态。2、在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态。3、直接与终端相连而不与其他网桥相连的端口定义为边缘端口〔EdgePort〕。边缘端口可以直接进入转发状态，不需要任何延时。*MSTP的特点如下：1、MSTP引入“域”的概念，把一个交换网络划分成多个域。每个域内形成多棵生成树，生成树之间彼此独立；在域间，MSTP利用CIST保证全网络拓扑结构的无环路存在。2、MSTP引入“实例〔Instance〕”的概念，将多个VLAN映射到一个实例中，以节省通信开销和资源占用率。MSTP各个实例拓扑的计算是独立的〔每个实例对应一棵单独的生成树〕，在这些实例上就可以实现VLAN数据的负载分担。3、MSTP可以实现类似RSTP的端口状态快速迁移机制。MSTP兼容STP和RSTP。*CST、IST、CIST、总根和域根：〔Region：区域〕*1、MST域是由交换网络中的多台设备以及它们之间的网段所构成。这些设备具有以下特点：都启动了MSTP；具有相同的域名〔Region〕；具有相同的VLAN到生成树实例映射配置；具有相同的MSTP修订级别配置；这些设备之间在物理上有链路连通。2、VLAN映射表：VLAN映射表是MST域的一个属性，用来描述VLAN和生成树实例的映射关系。3、IST：IST是域内实例上的生成树。IST和CST共同构成整个交换网络的CIST。IST是CIST在MST域内的片段。4、CST：CST是连接交换网络内所有MST域的单生成树。如果把每个MST域看作是一个“设备”，CST就是这些“设备”通过STP协议、RSTP协议计算生成的一棵生成树。5、MSTI：一个MST域内可以通过MSTP生成多棵生成树，各棵生成树之间彼此独立。每棵生成树都称为一个MSTI。每个域内可以存在多棵生成树，每棵生成树和相应的VLAN对应。这些生成树就被称为MSTI。6、域边界端口：域边界端口是指位于MST域的边缘，用于连接不同MST域、MST域和运行STP的区域、MST域和运行RSTP的区域的端口。7、总根：总根是指CIST实例中桥ID最优的桥。8、外部根路径开销：外部根路径开销指的是端口到总根的最短路径开销。9、指定端口ID：由指定端口的优先级和端口号组成。10、Master端口：连接MST域到总根的端口，位于整个域到总根的最短路径上。IST根桥在CIST上的根端口。11、Backup端口：当开启了MSTP的同一台设备的两个端口互相连接时就存在一个环路，此时设备会阻塞端口ID较小的端口，此阻塞端口称为Backup端口，而另外一个端口那么处于转发状态，成为指定端口。*MSTI和MSTI域根：*MSTP的BPDU格式：*CIST的优先级向量：1、CIST优先级向量={RootID：ERPC：RRootID：IRPC：DesignateBridgeID：DesignatePortID：RcvPortID}2、比拟原那么：最小最优：1.首先比拟CIST总根ID>2.其次比拟CIST外部路径开销>3.再次比拟CIST域根ID>4.再其次比拟CIST内部路径开销>5.再其次比拟CIST指定桥ID>6.再其次比拟CIST指定端口ID>7.最后比拟CIST接收端口ID。*MSTI的优先级向量：1、MSTI优先级向量={RRootID：IRPC：DesignateBridgeID：DesignatePortID：RcvPortID}2、比拟原那么：最小最优：1.首先比拟MSTI域根ID>2.其次比拟MSTI内部路径开销>3.再其次比拟MSTI指定桥ID>4.再其次比拟MSTI指定端口ID>5.最后比拟MSTI接收端口ID。*MSTP计算方法：1、CST/IST的计算和RSTP类似；2、MSTI的计算仅限于区域内；3、MSTI计算参数包含在ISTBPDU中，和IST的计算同步完成。*MSTI计算过程-Region1：*MSTP和RSTP的互操作：RSTP桥将MSTP域看做一个桥ID为域根ID的RSTP桥。*MSTP的P/A机制：〔Proposal：建议〕1、上游桥发送的ProposalBPDU中，P标志位和A标志位都置位；2、下游收到P标志位和A标志位都置位的ProposalBPDU，在将端口同步后会回应AgreementBPDU，使得上游的指定端口快速进入转发状态。*〔1〕MSTP根本配置：区域配置：·由系统视图进入区域配置视图：[H3C]stpregion-configuration·配置域名：[H3C-mst-region]region-namename·配置修订级别：[H3C-mst-region]revision-levellevel·配置VLAN和实例的映射：[H3C-mst-region]instanceinstance-idvlanvlan-list·激活区域配置：[H3C-mst-region]activeregion-configuration〔2〕MSTP高级配置：·配置交换机为首选根桥：[H3C]stpinstanceinstance-idrootprimary·配置交换机为备份根桥：[H3C]stpinstanceinstance-idrootsecondary〔3〕MSTP兼容性配置：·配置端口识别/发送MSTP报文格式：[H3C-GigabitEthernet1/0/1]stpcompliance{auto|dot1s|legacy}·全局开启摘要侦听：[H3C]stpconfig-digest-snooping·端口开启摘要侦听：[H3C-Ethernet1/0/1]stpconfig-digest-snooping*MSTP兼容性配置：下游设备配置NoAgreementCheck特性。*MSTP配置案例：*边缘端口受到攻击：如果一个边缘端口接收到配置消息，将从边缘端口转换成非边缘端口，从而导致生成树重新计算。STP保护机制BPDU保护机制：启动了BPDU保护功能后，如果边缘端口收到了配置消息，MSTP就将这些端口关闭。BPDU保护命令：[H3C]stpbpdu-protection可以在边缘设备上配置〔边缘端口:Ethernet1/0/1〕：[SWA]stpbpdu-protection·[SWA-Ethernet1/0/1]stpedged-portenable*根桥的错误切换：合法根桥收到优先级更高的〔BPDU〕配置消息，失去根桥的地位，引起网络拓扑结构的变动。根桥保护机制：对于设置了根保护功能的端口，一旦该端口收到某实例优先级更高的配置消息，立即将该实例端口设置为侦听状态，不再转发报文。根桥保护命令：[H3C-Ethernet1/0/1]stproot-protection*环路的产生：由于链路拥塞或者单向链路故障，端口会收不到上游设备的BPDU报文，此时下游设备重新选择端口角色，会导致环路的产生。〔网络拥塞导致BPDU丧失、光纤链路单通〕环路保护机制：只对RootPort、Alternateport、BackupPort1、配置了环路保护的端口，当接收不到上游设备发送的BPDU报文时，环路保护生效。2、如果该端口参与了STP计算，那么不管其角色如何，该端口在所有实例都将处于Discarding状态。环路保护命令：[H3C-Ethernet1/0/1]stploop-protection*TC攻击：在有伪造的TC-BPDU报文恶意攻击设备时，设备短时间内会收到很多的TCBPDU报文，频繁的删除操作给设备带来很大负担，给网络的稳定带来很大隐患。TC保护机制：1、设置设备在收到TC-BPDU报文后的10秒内，进行地址表项删除操作的最屡次数；2、监控在该时间段内收到的TC-BPDU报文数是否大于门限值。·使能防止TC-BPDU报文攻击的保护功能：[H3C]stptc-protectionenable·配置门限值：[H3C]stptc-protectionthresholdnumberHA*可靠性：Availability，可靠性=MTBF/(MTBF+MTTR)MTBF〔MeanTimeBetweenFailure：平均无故障时间〕：衡量稳定程度MTTR〔MeanTimetoRepair：故障平均修复时间〕：衡量故障响应修复速度*高可靠性在园区的应用：1、网络高可靠性主要是指当设备或网络出现故障时，网络提供效劳的不间断性。1.可靠性到达5个9以上；2.可靠性99.999%意味着每年故障时间不超过5分钟；3.可靠性99.9999%意味着每年故障时间不超过30秒。2、园区网高可靠性技术：1.链路备份技术；2.设备备份技术：包含设备自身备份技术以及设备间备份技术；3.堆叠技术。*链路备份技术：链路备份技术用于防止由于单链路故障导致的网络通信中断。当主链路中断后，备用链路会成为新的主用链路。：链路聚合、RRPP、SmartLink。*链路聚合：1、链路聚合是把多条物理链路聚合在一起，形成一条逻辑链路。2、采用链路聚合可以提供链路冗余性，又可以提高链路的带宽。*RRPP：1、RRPP〔RapidRingProtectionProtocol，快速环网保护协议〕是一个专门应用于以太网环的链路层协议。2、在以太网环上一条链路断开时，RRPP能迅速恢复环网上各个节点之间的通信通路，具备较高的收敛速度。*SmartLink：SmartLink解决方案，实现了主备链路的冗余备份，具备快速收敛性能，收敛速度可到达亚秒级。*设备备份技术：设备备份技术用于防止由于单设备故障导致的网络通信中断。当主设备中断后，备用板卡或备用设备会成为新的主设备。：1.设备自身的备份技术；2.设备间的备份技术VRRP。*设备自身的备份技术：1、主备备份指备用主控板作为主用主控板的一个完全映象，除了不处理业务，不控制系统外，其它与主用主控板保持完全同步。2、当主用板发生故障或者被拔出时，备用板将迅速自动取代主用板成为新的主用板，以保证设备的继续运行。3、主备备份应用于分布式网络产品的主控板，提高网络设备的可靠性。*设备间的备份技术VRRP：VRRP将可以承当网关功能的路由器参加到备份组中，形成一台虚拟路由器。*IRF〔IntelligentResilientFramework，智能弹性架构〕是将多台设备通过堆叠口连接在一起形成一台“联合设备”。用户对这台“联合设备”进行管理，可以实现对堆叠中的所有设备进行管理。*IRF高可靠性：1、堆叠系统由多台成员设备组成，Master设备负责堆叠的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。2、一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N备份。3、成员设备之间物理堆叠口支持聚合功能，