交换技术一一基础篇

交换技术一一基础篇

［这个贴子最后由XML在2006/08/0501:11pm第4次编辑］

注：好好学好交换原理才是硬道理工作中碰到最多的就是交换的内容掌握各种交换技术中的数据

包是如何交换对排错很有帮助STP,RST,MSTP等都是重点内容。

实例讲解：破解交换机密码地全部过程

交换机和路由器都需要有一定的安全保证，也就是说要及时为他们配置合理的密码，那么如果这个密

码忘记了怎么办呢？笔者就遇到过这么一次，由于岗位调动，以前的网络管理员离开了本部门，却把

交换机上设置了密码，而且没有告诉我这个接任的网络管理员。怎么办呢？送回厂商破解又太麻烦了。

于是我亲手经历了一次破解密码的过程。

一，网络环境：

公司使用实达的3500系列（具体型号是3548）交换机，在交换机上面连接了一台华为2621路

由器，通过电信的光纤上网。实际情况这台实达3548交换机被以前的网络管理员设置了密码而没有

告诉我。所以破解他的密码成为本篇文章的核心。

二，准备工作：

由于整个工作需要断网，毕竟涉及到重新肩动交换机等操作，所以选择时间在工作下班后的晚上

23点。另外由于破解密码这类操作都必须使用CONSOLE控制台线来设置，所以地点只能是中心机房。

笔者找到了实达3548设备的所有相关工具，包括安装说明与CONSOLE控制线等。

三，实战破解密码：

根据笔者以往经验实达所有设备的使用和操作命令语句都应该和CISCO设备类似，所以原本以为

按照破解CISCO设备密码的步骤就可以轻松搞定。谁知道一上手才发现原来差别还真不小。一般来说

CISCO设备都是通过修改配置寄存器configurationregister来实现破解密码的操作。在实达交换

机中根本不存在配置寄存器configurationregister这个概念。通过查询资料才发现，原来实达交

换机是使用修改超级终端配置的方法来破解密码的。

第一步：将实达交换机的配套CONSOLE控制线连接到设备的CONSOLE管理接口。

第二步：将CONSOLE控制线的另一断连接到网络管理员调试使用的笔记本的COM串口上。

第三步：进入笔记本系统桌面，点“开始-＞所有程序-〉附件-＞通讯-＞超级终端”。

第四步：启动系统的超级终端后我们随便为新建立的连接起一个名字。

第五步：在连接设置处的“连接时使用”地方通过下拉菜单选择刚刚使用CONSOLE控制线连接的

端口。例如COM1口。

第六步：在COM1属性设置窗口中我们对连接的参数进行配置。一般来说我们正常连接交换机应

该采用每秒位数9600,数据位为8,奇偶校验是无，停止位是1,数据流控制是无。不过要是想破解

实达交换机的密码的话就需要修改这些数值。将PC超级终端串口速率设成57600,其他和上面写的

相同即可。

第七步：使用终端连接到交换机后，再打开交换机的电源，在交换机启动后进行自检时立即按下

“ESC”键多次进入交换机的监控模式。终端界面将出现多个选项，包括一些基本的初始化设置。

小提示：

刚开始笔者按照第七步的步骤尝试并没有成功，超级终端界面总是显示很多个。。。。。

后来才发现原来交换机必须在超级终端连接后才能加电启动，如果先开交换机再用超级终端连接的话

则无法进入监控模式。

第八步：根据菜单提示，将配置文件config.text上传(Upload)至网络管理员使用的笔记本，

然后删除交换机上的配置文件Config,text.

第九步：在笔记本上打开刚卜.载的保存在系统硬盘中的config.text文件，将以下语句

enablesecretlevel15!E,lu;C9&-8U0H

enablesecretlevel155*r_lu;C3vW8U0H

删除然后保存退出。

第十步：根据交换机监控模式的提示，将笔记本上修改的config,text再下载(Download)到交

换机中。

第十一步：重新将笔记本的超级终端串口速率设成9600,其他保持默认参数。交换机加电重启

后，进入交换机配置界面，你就会发现我们可以重新配置交换机的密码了，包括远程TELNET的管理

密码以及本机的特权密码。此后交换机的密码也将变成你刚刚配置的，而其它配置则保留不变，并不

会影响任何使用。

小提示：

在实际使用中笔者发现使用实达3550交换机的监控模式中的上传和下载文件功能并不稳定，经

常出现传输失败的提示。所以笔者索性直接在监控模式中将config.text删除，然后重新启动交换机

重新配置所有交换机信息。这种情况适用于交换机自身配置不多也不复杂，另外网络管理员也需要对

设置语句比较熟悉。

总结：

经过本次实战破解交换机密码的操作，笔者再次明白了对于路由交换设备来说，不同厂商操作程

序和步骤绝对是不同的，即使命令语句类似但是在其他高级操作上还是大相径庭的。因此本篇文章介

绍的所有内容仅仅是针对实达路由器与交换机，如果你遇到的是其他设备则需要采取其他的方法来解

决。

收藏分享

思科中国人才培训中心技术论坛

注册登录

・搜索

・帮助

・导航

大连诺达思科网络实验室定向就业班学员热招中。。。凡是在大连诺达网络实验室顺利完成CCIE培

训的学员诺达提供六个月的实习工作六个月实习工作全面提高职场竞争力缔造辉煌职业人生!名额

有限欲报名从速!电话真:0411.39707129邮箱:zixun@china-node.ccm报名QQ：

200758121

口2下一页

返回列表

1#跳转到I»倒序看帖

打印

字体大小:tT

注：好好学好交换原理才是硬道理工作中碰到最多的就是交换的内容掌握

管理员

各种交换技术中的数据包是如何交换对排错很有帮助STP,RST,MSTP

等都是重点内容。

实例讲解：破解交换机密码地全部过程

交换机和路由器都需要有一定的安全保证，也就是说要及时为他们配置合理的

密码，那么如果这个密码忘记了怎么办呢？笔者就遇到过这么一次，由于岗位

调动，以前的网络管理员离开了本部门，却把交换机上设置了密码，而且没有

告诉我这个接任的网络管理员。怎么办呢？送回厂商破解又太麻烦了。于是我

亲手经历了一次破解密码的过程。

一，网络环境：

公司使用实达的3500系列（具体型号是3548）交换机，在交换机上面连

接了一台华为2621路由器，通过电信的光纤上网。实际情况这台实达3548交

换机被以前的网络管理员设置了密码面没有告诉我。所以破解他的密码成为本

篇文章的核心。

二，准备工作：

由于整个工作需要断网，毕竟涉及到重新启动交换机等操作，所以选择时

间在工作下班后的晚上23点。另外由于破解密码这类操作都必须使用

CONSOLE控制台线来设置，所以地点只能是中心机房。笔者找到了实达3548

设备的所有相关工具，包括安装说明与CONSOLE控制线等。

三，实战破解密码：

根据笔者以往经验实达所有设备的使用和操作命令语句都应该和CISCO

设备类似，所以原本以为按照破解CISCO设备密码的步骤就可以轻松搞定。谁

知道一上手才发现原来差别还真不小。一般来说CISCO设备都是通过修改配置

寄存器configurationregister来实现破解密码的操作。在实达交换机中根本不存

在配置寄存器configurationregister这个概念。通过查询资料才发现，原来实达

交换机是使用修改超级终端配置的方法来破解密码的。

第一-步：将实达交换机的配套CONSOLE控制线连接到设备的CONSOLE

管理接口。

第二步：将CONSOLE控制线的另一断连接到网络管理员调试使用的笔记

本的COM串口上。

第三步：进入笔记本系统桌而，点“开始，所有程序-＞附件，通讯-＞超级终

端”。

第四步：启动系统的超级终端后我们随便为新建立的连接起一个名字。

第五步：在连接设置处的“连接时使用”地方通过下拉菜单选择刚刚使用

CONSOLE控制线连接的端口。例如COM1U。

第六步：在COM1属性设置窗口中我们对连接的参数进行配置。一般来说

我们正常连接交换机应该采用每秒位数9600,数据位为8,奇偶校验是无，停

止位是1,数据流控制是无。不过要是想破解实达交换机的密码的话就需要修

改这些数值。将PC超级终端串口速率设成57600,其他和上面写的相同即可。

笫七步：使用终端连接到交换机后，再打开交换机的电源，在交换机启动

后进行自检时立即按卜"ESC”键多次进入交换机的监控模式。终端界而将出现

多个选项，包括一些基本的初始化设置。

小提示：

刚开始笔者按照第七步的步骤尝试并没有成功，超级终端界而总是显示很

多个后来才发现原来交换机必须在超级终端连接后才能加电启动，

如果先开交换机再用超级终端连接的话则无法进入监控模式。

第八步：根据菜单提示，将配置文件config.text上传（Upload）至网络管

理员使用的笔记本，然后删除交换机上的配置文件Config.text»

第九步：在笔记本上打开刚卜.载的保存在系统硬盘中的config.text文件，

将以下语句

enablesecretlevel15!E,lu_;C9&-8U0H

enablesecretlevel155*r_lu_;C3vW8U0H

删除然后保存退出。

第十步：根据交换机监控模式的提示，将笔记本上修改的config.text再下

载（Download）到交换机中。

第十一步：重新将笔记本的超级终端串口速率设成9600,其他保持默认参

数。交换机加电重启后，进入交换机配置界面，你就会发现我们可以重新配置

交换机的密码了，包括远程TELNET的管理密码以及本机的特权密码。此后交

换机的密码也将变成你刚刚配置的，面其它配置则保留不变，并不会影响任何

使用。

小提示：

在实际使用中笔者发现使用实达3550交换机的监控模式中的上传和卜载

文件功能并不稳定，经常出现传输失败的提示。所以笔者索性直接在监控模式

中将config.text删除，然后重新启动交换机重新配置所有交换机信息。这种情

况适用于交换机自身配置不多也不复杂，另外网络管理员也需要对设置语句比

较熟悉。

总结：

经过本次实战破解交换机密码的操作，笔者再次明白了对于路由交换设备

来说，不同厂商操作程序和步骤绝对是不同的，即使命令语句类似但是在其他

高级操作上还是大相径庭的。因此本篇文章介绍的所有内容仅仅是针对实达路

由器与交换机，如果你遇到的是其他设备则需要采取其他的方法来解决。

收藏分享

人不怕蠢最怕不肯学此终永恒无尽直到永远

2#

已发表于2006-8-512:31只看该作者

交换技术一一基础篇

HSRP的工作原理

在整个电力局企业网内，虚网之间的交换（三层交换）是通过7609路由交换机

（多层交换特征卡MSFC2）和5500交换机（路由交换模块RSM）来实现的。

两台交换机通过Cisco的热备路由器协议（HSRP）可以实现路由设备之间的冗

余，即三层交换的冗余。HSRP协议是针对于IP协议，参与HSRP协议的路由

设备为IP终端提供一个虚拟IP地址，且IPX等其它网络协议与HSRP兼容。

图：热备路由协议（HSRP）示意图

[attach]97[/attach]

HSRP的工作原理

XML

HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默

认的主动路由器。如果一个路由器的优先级设置得比所有其他路由器的优先级

高，则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设

置一个路由器的优先级高于100,则该路由器将成为主动路由器。

通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当

管理员前的主动路由器。当在预先设定的一段（HoldTime缺省为10秒）时间内主动

路由器不能发送hello消息，或者说HSRP检测不到主动路由器的hello消息时,

将认为主动路由器有故障，这时HSRP会选择优先级最高的备用路由器变为主

动路由器，同时将按HSRP优先级在配置了HSRP的路由器中再选择一台路由

器作为新的备用路由器。

所有参与HSRP的路由器共享一个虚的IP地址，网络中的工作站将缺省网关指

向该虚地址，被选出的主动路由器负责转发由工作站发到虚地址的数据包。

Hello消息是基于UDP的信息包，配置了HSRP的路由器将会周期性的广播

Hello消息包，并利用Hello消息包来选择主动路由器和备用路由器及判断路由

器是否失效。

如图所示，PC将数据包发送到设置的缺省网关（配置HSRP路由器所共享的虚

拟IP地址），假设图中的7609设置了较高的优先级,7609将被选为主动路由器，

并负责转发网络中所有由PC发送到其网关（HSRP地址）的数据包。当7609

发生故障时，7609就不会广播Hello信息包，HSRP如果经过HoldTime还未收

到来自7609的Hello信息包，将认为7609实效，这时HSRP将选择备用的5500

作为主动路由器，并由5500来负责转发网络中所有由PC发送到其网关（HSRP

地址）的数据包。而当7609恢复后，将继续发送Hello信息包，HSRP检测到

其发送的Hello信息包具有高的优先级，则会重新将7609选为主动路由器,5500

则仍将恢复成为备用路由器。

配置了HSRP协议的路由器交换以下三种多点广播消息：

•Hello—hello消息通知其他路由器，发送路由器的HSRP优先级和状态信息，

HSRP路由那默认为每3秒钟发送一个hello消息；

•Coup—当一个备用路由器变为一个主动路由器时发送一个coup消息；

•Resign—当主动路由器要宕机或者当有优先级更高的路由器发送hello消息

时，主动路由器发送一个resign消息。

在任一时刻，配置了HSRP协议的路由器处于由以卜六种状态：

•Initial——表示路由器的HSRP还未运行，一般在配置第一台HSRP路由器时

会显示此状态；

•Learn——表示配置HSRP的路由器还未知道虚地址，并一直监听来自主动路

由器的消息包；

•Listening——表示配置HSRP的路由器还已知道虚地址，路由器还在监听hello

消息；

•Speakingandlistening----路由器正在发送和监听hello消息；

•Standby—处于被用状态，当主动路由器失效时路由器可被选为主动路由器，

接管包转发功能；

•Active—路由器执行包转发功能。

人不怕蠢最怕不肯学此终永恒无尽直到永远

TOP

3"

仃发表于2006-8-512:33只看该作者

交换技术一一基础篇

LAN多层交换技术以及其应用的发展

在过去短短的几年里，网络发生了根本性的变化：网桥已经退出了历史的舞台，

管理员在LAN网中共享式以太网越来越少。人们对于网络的要求导致了新一代网络的

诞生和发展，其中交换技术可以说是新的网络时代的核心。交换技术具备强

大的寻址能力和出,色的稳定性，为需要高带宽的应用程序提供了解决办法，同

时也解决了网络智能化问题，它极大地促进了网络的发展。毫无疑问，LAN交

换技术己经成为一项重要的技术，并在今天广泛的流行起来。

LAN交换技术概述

在LAN网中使用交换的目的是为了提高网络的性能，减少网络的阻塞，同

时，交换技术能够加快数据的移动速度，极大地降低了传统以太网中由于采用

CSMA/CD协议而产生冲突的可能性，因而在一定程度上消除了网络的瓶颈。

LAN交换机的内在功能类似于网桥，通过跟踪每一个端口发来的帧的源地址，

检查帧的目的地址来选择路由。LAN交换机每一端口能够存储的地址数量决定

了它支持的工作站和支持拥有许多工作站的局域网段的能力。若交换机每一端

口只能支持一个地址，它相当于端口交换设备；若每一端口支持多个地址，它

相当于段交换设备。除了按交换方法外，LAN交换机还可以分为“直接通过”和

“存储转发直接通过技术就是在LAN交换机读到帧的目的地址后，直接在源

端口和目的端口之间进行交叉连接。这种交换具有最小的延时和等待时间。相

应地，存储转发交换把全部的帧存在存储器里，并对帧进行差错控制，若对某

一帧的循环冗余校验不符，则丢弃该帧。存储转发技术需要将帧从低速局域网

中移到高速局域网中，因为必须将全部的帧存储起来，所以这种交换方法必然

带来较小程度的时延。另外，LAN交换机还能同时支持FDDI、快速以太网、

令牌环网、以太网和ATM(从严格意义上讲，ATM不完全属于第二层)，可以

更进一步提高带宽，提高交换机的吞吐量，这些支持多协议的LAN交换机能够

将来自一种第二层网络的数据传输到另一种网络中。

通常LAN交换机可以分成两种类型：骨干网交换机和工作组交换机。其中

骨干网交换机(backboneswitch)是网络核心使用的高端交换机。它获得的数

据来自Hub和工作组交换机，它提供这些设备的互连。骨干网交换机通常可以

插入包含各种网络选项卡，这些卡支持的网络类型有：FDDk以太网、快速以

太网、令牌环网和ATM。骨干网交换机通常连接一种或多种高速网络。工作组

交换机属于低端设备，它通过共享技术连接多个共享网段。工作组交换机通常

用于连接PC或低流量的数据库服务器。有12个端口的以太网交换机是一种典

型的交换机，它提供1.2Gbit/s的带宽，可以看作12个分离的以太网段。一般

情况下，工作组交换机要与FDDI或快速以太网等高速骨干网连接。

第三层交换技术的工作原理

传统的路由器需要对每个路由的包进行大量的处理，由于传统的路由器能

够支持多种协议，它们是通过软件来实现的，因此基于软件的执行速度比基于

硬件的要慢，使得路由器成为网络性能的瓶颈。为了解决路由器的通信瓶颈问

题，出现了第三层交换。第三层交换改善了路由器的性能，使网络具有更高的

智能性。第三层交换的运行方式类似于LAN交换机，不同的只是它是基于IP

地址而不是MAC地址转发数据的。

假设两个使用IP协议的站点通过第三层交换机，通信的过程：发送站点A

在开始发送时，已知目的站的IP地址，但尚不知道在局域网上发送所需要的

MAC地址。要采用地址解析（ARP）来确定目的站的MAC地址。发送站把自

己的IP地址与目的的站的IP地址比较，采用其软件中配置的子网掩码提取内。

若目的站B与发送站A在同一子网内，站点A广播一个ARP请求，B站返回

其MAC地址，A站得到目的站点B的MAC地址后将这一地址缓存起来，并

用此MAC地址封装包后转发数据，第二层交换模块查找MAC地址表确定将数

据包发向目的端口。若两个站点不在同一子网内，如发送站A要与目的站C通

信，发送站A要向“缺省路径”发出ARP封装包，而“缺省路径”的IP地址已经

在系统软件中设置。这个IP地址实际上对应第三层交换机的第三层交换模块。

所以当发送站A对“缺省路径”的IP地址广播出一个ARP请求时，若第三层交

换模块在以往的通信过程中己得到目的站C的MAC地址，则向发送站A回复

目的站C的MAC地址；否则第三层交换模块根据路由信息向目的站广播一个

ARP请求，目的站C得到此ARP请求后，向第三层交换模块回复其MAC地址，

第三层交换模块保存此地址并回复发送站A。以后，当再进行站点A与站点C

之间的数据包转发时，将用最终的目的站点C的MAC地址封装包，数据转发

过程全部交给第二层交换处理，因此信息得到高速交换。

第三层交换技术的体系结构

第三层交换机又称为路由交换机，第三层交换可以看作是一个模型，它涉

及ISO参考模型的第二层和第三层。作为交换机，它具有同笫二层相同的属性，

同时又将第二层交换和第三层路由器两者的优势结合成一个灵活的解决方案，

可在各个层次提供线速性能，因而具备某些路由性能。这种集成经的结构还引

进了策略管理属性，它不仅使第二层与第三层相互关联起来，而且还提供通信

流量的优先化处理、安全以及多种其他的灵活功能，如trunking,VPN和Intranet

的动态部署。

接口层包含了所有重要的局域网接口：10/100Mbit/s以太网，吉比特以太网，

FDDI和ATM。交换层集成了多种局域网接口并辅之以策略管理，同时还提供

trunking.VLAN和标签机制。路由层提供主要的LAN路由协议：IPJPX和

AppleT,并通过策略管理，提供传统的路由或直通的笫三层转发技术。策略管

理和行政管理使网络管理员能根据企业（或部门）的特定需求来调整网络。相

对于第三层来说，第二层被采用的程度决定了所谓的网络控制分类。一个纯第

二层的解决方法案，即图中所示的“处处变换”，它在划分子网和广播限制等方

面提供的控制最少。而第三层交换机能为分类中的所有层次提供动态的、集成

的支持。传统的通用路由器与外部的交换机一起使用也能达到此目的，但是与

这种解决方案相比，第三层交换机只需要更少的配置，更少的布线，价格更便

宜，井能提供更高的网络性能。

第三层交换技术的演变

随着硬件和软件的不断升级，第三层交换技术的发展也经历了“三代”的变

化。第一代交换机是基于分立的电子元件和原语式的软件框架的混合体。软件

的功能运行在一个有固定内存的处理机上。随着管理支持和协议功能的改善，

软件的功能也不断增加。当用户的口常业务更加依赖于网络，网络上的流量增

多时，网络设备便成了瓶颈。虽然处理机和存储器变得越来越快和有效，但通

信流量的增加更为迅速。解决问题的第一步是简化网络层：用交换机取代路由

器，以减低处理数据包的开销并显著地提高事务处理速度。引进一种专用于优

化第二层处理的专用集成电路（ASIC）,使性能提高了10倍，并降低了系统的

整体费用。

第三代交换技术并不是仅仅建立在第二代的进展上，而是采用ASIC+RISC

技术，为第三层路由、组播及用户可选的策略（policy）等方面提供了线速性能，

总的数据吞吐量可以达到超过每秒几百万个包。由于使用了基于策略的服务机

制，可以支持QOS,通过FIRE引入分布式数据包处理（DDP）,可以将数据包

快速而独立地传送过系统，同时使用动态分类的PACE技术和RSVP,使第二

层与第三层的性能灵活地结合起来。在第三层交换机中，通过内置一个处理机

将ASIC的能力，如增加对IPV6的支持，并不需要硬件升级或牺牲系统的性能。

第三代第三层交换机可以支持多媒体网络通信，能更有效地减少延时并能确保

安全。由于交换机、Hub和网卡采用了统一的系统环境，使交换机在以太网环

境下支持图像传输。

多层交换发展展望

随着LAN交换技术的发展，又出现了第四层交换，它扩展了第三层和第二

层交换，能够支持更细粒度的网络调整，以及对通信流的优先权划分。第四层

交换是一种基于策略的路由，它位于ISO参考模型的第四层，使用的是第四层

信息，根据第四层信息，例如对于TCP/UDP中数据包的端口号进行交换。它允

许根据应用程序划分通信数据的优先权，能够根据某种特定应用程度的通信量,

将一定量的带宽用于重要的应用程序。从某种意义上讲，第四层交换提供了在

网络中实现服务等级（COS）的方法。这样对于一个Intranet来说，它可以减少

WWW或FTP的通信量，面给E-MAIL或Telent通信量设置更高的优先权。第

三、第四层交换是基于加速路由的处理过程，目前，基于流或标签的路由处理

技术也相继问世,如3Com推出的快速IP和NHRP交换机、Alcatel推出的MPLS

多协议标记交换机等。多层交换有助于实现LAN和WAN的桥接，随着信息全

球化的发展趋势，LAN和WAN的边界变得越来越模糊，多层交换技术为未来

可扩展的解决方案奠定了坚实的基础。

人不怕蠢最怕不肯学此终永恒无尽直到永远

TOP

W发表于2006-8-512:34只看该作者

交换技术一一基础篇

生成树协议介绍

学好生成树协议，你就可以尽可能避免因某台交换机的问题造成整个局域网崩

Arh.

遂I。

生成树协议是由Sun微系统公司著名工程师拉迪亚♦珀尔曼博士(RadiaPerlman)

发明的。网桥使用珀尔曼博士发明的这种方法能够达到2层路由的理想境界:冗

余和无环路运行。你可以把生成树协议设想为一个各网桥设备记在心里的用于

进行优化和容错发送数据的过程的树型结构。

XML[attach]98[/attach]

我们要介绍的这个问题在图1中进行了描述。

图1.

如果这些交换机不采用生成树协议并且以这种方式连接，每一台交换机将无限

地复制它们收到的第一个数据包，直到内存耗尽和系统崩溃为止。在2层，没

管理员

有任何东西能够阻止这种环路的事情发生。在图1中，管理员必须要手工关闭

这个红色连接线路才能让这个以太网网络运行。生成树协议在当前可用连接有

效时关闭一个或者更多其它冗余连接，而在当前连接出现故障后，再启用这些

被关闭的冗余连接。生成树协议决定使用哪一个连接完全取决于网络的拓扑结

构。

生成树协议拓扑结构的思路是，网桥能够自动发现一个没有环路的拓扑结构的

子网，也就是一个生成树。生成树协议还能够确定有足够的连接通向这个网络

的每一个部分。它将建立整个局域网的生成树。当首次连接网桥或者发生拓扑

结构变化时，网桥都将进行生成树拓扑的重新计算。

当一个网桥收到某种类型的“设置信息”(一种特殊类型的桥接协议数据单元，

BPDU)时，网桥就开始从头实施生成树算法。这种算法从根网桥的选择开始的。

根网桥(rootbridge)是整个拓扑结构的核心，所有的数据实际上都要通过根网桥。

顺便提示一下，有手工设置根网桥时要特别注意。对于思科设备来言其根网桥

的选择过程暴露出一些问题，就是过分简单化。思科硬件通常使用最低的MAC

地址，具备这些地址的设备通常是网络中最古老的设备，因而其交换速度常是

最慢的，而从根网桥在网络中的位置看，它负荷却最重。生成树构建的下一步

是让每一个网桥决定通向根桥的最短路径，这样，各网桥就可以知道如何到达

这个“中心，，。这一步会在每个局域网进行，它选择指定的网桥，或者与根桥最

接近的网桥。指定的网桥将把数据从局域网发送到根桥。最后一步是每个网桥

要选择一个根端口。所谓根端口也即“用来向根桥发送数据的端口”。注意，一

个网桥上的每一个端口，甚至连接到终端系统（计算机）的端口，都将参加这个这

个根端口选择，除非你将一个端口设置为“忽略”。

上面就是生成树算法的过程。但是，这还不能解释生成树在现实世界中实际上

在做什么。我们说，这种计算是破坏性的。毫无疑问，它确实是如此。要进行

这种计算，网桥必须停止所有的通信。网桥要经过一系列的测试和学习阶段，

只有在拓扑结构建立起来之后才开始发送数据。网桥只有在拓扑机构改变的时

候或者网桥得到一个BPDP包时才会进行，想起来这种情况应该很少，可事实

上，这种计算发生的频度要比你想象的多。

生成树协议思路是，你允许有一个连接错误，因为你在一对网桥之间存在两条

物理连接。生成树协议在一个端口需要使用之前将封锁那个端口。因此，我们

应该可以拔掉冗余的连接，并且在不中断通信的情况下把它连接到其它的网桥。

很可惜，它不是这样工作的。

当一个物理连接的网桥新网桥连线时，它将发送重新设置BPDU,其它连接的

设备将遵照施行。当生成树协议开始计算的时候，所有的通信都要停止大约50

秒。这些时间可以说是物有所值，因为你仅仅被限制在一个很短的停机时间内。

如果交换机被挤暴，或者你缺少多余的路径，将会出现永久的停机。相比之下，

停机50秒钟只是非常轻的损失。

另外，很多现代厂商已经实现了快速生成树协议，这是老的生成树协议的一个

改进版本，更加注意了在重新计算拓扑时的开销，并且与老版本的协议兼容。

在大多数情况下，它可以把以前多达50秒的计算时间缩短到不足3秒，从这点

看，任何人都应该使用新的快速生成树协议。

希望上面的介绍已经足够清楚。我们知道，启用生成树功能可以让我们通过多

个连接把两个网桥连接在一起，并且不产生环路。如果连接之中的一个网桥坏

了，我们可以绕过这个网桥，使用另一个网桥。这个工作原理是虽然现用的交

换机封锁其备用的连接，但是，它默默地监听BPDU更新并且仍然知道哪一个

连接通向根桥。这就是说，如果你进行了适当的设置。还记得虚拟局域网中的

trunk?如果其中一个物理连接碰巧是一条虚拟局域网trunkk线，会出现什么情况

呢?如果我们只有一个运行的生成树实例，这个生成树可能会发现trunk中的一

个网络不应该使用这个连接（turnk端口汇聚将多条物理连接汇聚为一个带宽更

大的逻辑连接）。除了关闭整个连接之外，它没有其它的选择。

现在进入每一个虚拟局域网一个生成树协议（PVST/pcr-VLANspanningtrees）的

话题。当启用这项功能的时候，一个网桥将为该网桥上的每一个虚拟局域网运

行一个生成树实例。如果一个trunk连接包含虚拟局域网1、2和3,它可以决

定虚拟局域网I和2不能使用那个路径，但是仍然允许虚拟局域网3使用这条

路径。在复杂的网络中，还有许多虚拟局域网3只有一个出口的情况，这可能

是因为管理员要限制虚拟局域网3访问的范围。如果我们不是用PVST,而且

trunk端口被生成树封锁了，这个网桥上的虚拟局域网3将失去与其局域网的其

它方面的连接。每一个人都应该使用PVSTc

最后，你应该不会忘记，发送BPDU数据的任何端口都能够引起网络中断。这

也包括运行ettcrcap软件和其它非法程序的计算机。一•定要在所有的端口启用类

似于思科的“BPDU-Guard”这样的技术来封锁BPDU数据包。这些BPDU数据

包不仅能够引起生成树协议重新进行计算，而且一台计算机也可以参加投票并

且赢得这个选择。你肯定不希望发现你的生成树根是某个人的计算机。当所有

的通信都涌向你的时候，这种情况很容易完成中间人攻击。

还有一些没有提到的BPDU信息以及需要学习的有关生成树协议的其它细节。

这些细节有一点复杂。但是，由于你已经了解了生成树协议的概况，这些细节

应该很容易理解。如果你要花更多的时间学习这些细节.，从长远来看，你会得

到回报。

小结

•生成树协议提供一种控制环路的方法。采用这种方法，在连接发生问题的时候，

你的以太网能够绕过出现故障的连接。

•生成树中的根桥是一个逻辑的中心，并且监视整个网络的通信。最好不要依赖

设备的自动选择去挑选哪一个网桥会成为根桥。

•生成树协议重新计算是痛苦的:恰当地设置主机连接端口(这样就不会引起重新

计算)，推荐使用快速生成树协议。

人不怕蠢最怕不肯学此终永恒无尽直到永远

TOP

XML

口发表于2006-8-512:35只看该作者

交换技术一一基础篇

配置风暴控制(stormcontrol)

管理员

理解风暴控制

风暴控制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单

播风暴所破坏。局域网风暴发生在包在局域网中泛洪，建立的过多的流量并丧

失了网络性能。协议栈中的错误或者网络配置上的错误可以导致风暴。

风暴控制（或者叫流量压制）管理进栈的流量状态，通过一段时间和对比测量带有

预先设定的压制级别门限值的方法来管理。门限值表现为该端口总的可用带宽

的百分比。交换机支持单独的风暴控制门限给广播组播和单播。如果流量类型

的门限值达到了，更多这种类型的流量就会受到压制，直到进栈流量下降到门

限值级别以下。

注意：当组播的速度超出一组门限，所有的进站流量（广播组播单播）都会被丢弃，

直到级别下降到门限级别以下。只有stp的包会被转发。当广播和单播门限超出

的时候，只有超出门限的流量会被封闭。

当风暴控制开启了时，交换机监视通过接口的包来交换总线和决定这个包是单

播，组播还是广播。交换机监视广播组播和单播的数目，每1秒钟一次，并且

当某种类型流量的门限值到达了，这种流量就会被丢弃了。这个门限以可被广

播使用的总的可用带宽的百分比被指定。

以下是一个接口上的一段时间内的广播流量的模型曲线图。

[attach]99[/attach]

这个例子也可被组播和单播流量套用。在这个例子中，广播流量在T1-T2,T4-T5

时间之间被转发超过配置门限值所有的该种流量都在下一个时间被丢弃。因此

广播流量在T2和T5时间内是被封闭的。在下一个时断，T3,如果广播流量没

有超出限制，那么它又被转发了。

风暴控制算法的工作是风暴控制抑制级别和每秒钟间隔控制的结合。一个更高

的门限允许更多的包通过。如果把门限值设置成100%意味着将不会限制所有任

何的流量。0%意味着所有的广播组播和单播流量都会被封闭。

注意：因为包不会在统一时间间隔内到达，每秒钟间隔间如果没有流量会影响

风暴控制。

交换机持续监视端口的流量，而且当利用级别降到门限以下，这种被丢弃类型

的流量，又会被再次转发。

你可以使用storm-control接口命令来设定门限值给每一种类型的流量。

默认的风暴控制配置：

默认地，单播组播广播的风暴控制都是在交换机匕关闭的，意味着：压制级别

都是100%

开启风暴控制：

你在接口开启风暴控制，井输入总可用带宽的百分比来确定你要使用给该种流

量；输入100%会允许所有流量。然而，因为硬件的限制以及包大小的不同的会

导致偏差，门限值百分比是一个近似值。

注意：风暴控制仅支持在物理端口下使用；它不支持以太通道卜使用，尽管能

敲进去。

以卜例子在卜.把组播风暴级别限制在70.5%

Switch#configureterminal

Switch(config)#interfacefastethernetO/17

Switch(config-if)#storm-controlmulticastlevel70.5

Switch(config-if)#end

Switch#showstonn-controlfastethernetO/17multicast

InterfaceFilterStateLevelCurrent

FaO/17Forwarding70.50%0.00%

这个是关闭风暴控制

Switch#configureterminal

Switch(config)#interfacefastethernetO/17

Switch(config-if)#nostorm-controlmulticastlevel

Switch(config-if)#end

Switch#showstonn-controlfastethernetO/17multicast

InterfaceFilterStateLevelCurrent

人不怕蠢最怕不肯学此终永恒无尽直到永远

TOP

6"

XML且发表于2006-8-512:35只看该作者

交换技术一一基础篇

配置端口安全

你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac地

管理员

址的方法。当你绑定了mac地址给一个端口，这个口不会转发限制以外的mac

地址为源的包。如果你限制安全mac地址的数目为1,并且把这个唯一的源地

址绑定了，那么连接在这个接口的主机将独自占有这个端U的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac地址，当这个时候又有另

一个mac地址要通过这个端口连接的时候就发生了安全违规，(security

violation).同样地，如果一个站点配置了mac地址安全的或者是从一个安全端口

试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：

当你给一个端口配置了最大安全mac地址数量，安全地址是以一卜方式包括在

一个地址表中的：

•你可以配置所有的mac地址使用switchportport-securitymac-address<mac地

址〉，这个接口命令。

•你也可以允许动态配置安全mac地址，使用已连接的设备的mac地址。

•你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdownT.所有的动态学的mac地址都会被移除。

一旦达到配置的最大的mac地址的数量，地址们就会被存在一个地址表中。设

置最大mac地址数量为1,并且配置连接到设备的地址确保这个设备独占这个

端口的带宽。

当以卜.情况发生时就是一个安全违规：

,最大安全数目mac地址表外的一个mac地址试图访问这个端口。

•一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：

•protect-当mac地址的数量达到了这个端口所最大允许的数量，带有未知的源地

址的包就会被丢弃，直到删除了足够数量的mac地址，来降下最大数值之后才

会不丢弃。

•restrict一个限制数据和并引起“安全违规"计数器的增加的端口安全违规动作。

•shutdown-,个导致接口马上shutdown.并且发送SNMP陷阱的端口安全违规

动作。当一个安全端口处在error-disable状态，你要恢复正常必须得敲入全局下

的errdisablerecoverycausepsecure-violation命令，或者你可以手动的shut再no

shut端口。这个是端口安全违规的默认动作。

默认的端口安全配置：

以卜是端口安全在接口下的配置-

特性：port-sercurity默认设置:关闭的。

特性：最大安全mac地址数目默认设置：1

特性：违规模式默认配置：shutdown,这端口在最大安全mac地址数量达到的

时候会shutdown,并发snmp陷阱。

配置向导：

下面是配置端口安全的向导-

,安全端口不能在动态的access口或者trunk口上做，换言之，敲port-secure之

前必须的是switchmodeacc之后。

•安全端口不能是一个被保护的口。

•安全端口不能是SPAN的目的地址。

•安全端口不能属于GEC或FEC的组。

•安全端口不能属于802.1X端口。如果你在安全端口试图开启802.lx,就会有报

错信息，而且802.lx也关了。如果你试图改变开启了802.lx的端口为安全端口，

错误信息就会出现，安全性设置不会改变。

配置案例：

1.在fD/12上最大mac地址数目为5的端口安全，违规动作为默认。

switch#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

switch(config)#intfO/12

switch(config-if)#swimodeacc

switch(config-if)#swiport-sec

switch(config-if)#swiport-secmax5

switch(config-if)#end

switch#showport-secintfO/12

SecurityEnabled:Yes,PortStatus:SecureUp

ViolationMode:Shutdown

Max.Addrs:5,CurrentAddrs:0,ConfigureAddrs:0

2.如何配置tB/12安全mac地址

switch(config)#intfO/12

switch(config-if)#swimodeacc

switch(config-if)#swiport-sec

switch(config-if)#swiport-secmac-add1111.1111.1111

switch(config-if)#end

switch#showport-secadd

SecureMacAddressTable

VianMacAddressTypePorts

11000.2000.3000SccureConfigurcdFaO/12

3.配置端口安全超时时间两小时。

switch(config)#intfD/12

switch(config)#swiport-secagingtime120

4.端口安全超时时间2分钟，给配置了安全地址的接口，类型为inactivityaging：

switch(config-if)#swiport-secagingtime2

switch(config-if)#swiport-secagingtypeinactivity

switch(config-if)#swiport-secagingstatic

showport-securityinterfacefD/12可以看状态.

其他show

showport-security看哪些接口启用了端口安全.

showport-securityaddress看安全端口mac地址绑定关系.

人不怕蠢最怕不肯学此终永恒无尽直到永远

TOP

7*

已发表于2006-8-512:35只看该作者

交换技术一一基础篇

Cisco3550端U限速例子

XML一、网络说明

PC1接在Cisco3550F0/l上，速率为1M；

PC1接在Cisco3550F0/2上，速率为2M：

Cisco3550的G0/1为出口。

二、详细配置过程

注：每个接口每个方向只支持一个策略；一个策略可以用于多个接口。因此所

管理员

有PC的下载速率的限制都应该定义在同一个策略(在本例子当中

为policy-mapuser-down),而PC不同速率的区分是在Class-map分别定义。

1、在交换机上启动QOS

Switch(config)#mlsqos〃在交换机上启动QOS

2、分别定义PCl(lO.lO.l.l)和PC2Q)访问控制歹U表

Switch(config)#acccss-list10pcnnit55//控制pci上行流量

Switch(config)#acccss-list100pcnnitany55〃控制pci下行

流量

Switch(config)#acccss-list11permit55〃控制pc2上行流量

Switch(config)#access-list111permitany55〃控制pc2卜行

流量

3、定义类，并和上面定义的访问控制列表绑定

Switch(config)#class-mapuser1-up〃定义PC1上行的类，并绑定访问列表

10

Switch(config-cmap)#matchaccess-group10

Switch(config-cmap)#exit

Switch(config)#class-mapuser2-up

Switch(config-cmap)#matchaccess-group11〃定义PC2上行的类，并绑定访

问列表10

Switch(config-cmap)#exit

Switch(config)#class-mapuser1-down

Switch(config-cmap)#matchaccess-group100〃定义PC1卜行的类，并绑定

访问列表100

Switch(config-cmap)#exit

Switch(config)#class-mapuser2-down

Switch(config-cmap)#matchaccess-group111〃定义PC2卜行的类，并绑定

访问列表111

Switch(config-cmap)#exit

4、定义策略，把上面定义的类绑定到该策略

Switch(config)#policy-mapuserl-up〃定义PC1上行的速率为1M

Switch(config-pmap)#classuser1-up

Switch(config-pmap-c)#trustdscp

Switch(config-pmap-c)#police10240001024000excccd-actiondrop

Switch(config)#policy-mapuser2-up〃定义PC2上行的速率为2M

Switch(config-pmap)&^35;classuscr2-up

Switch(config-pmap-c)#trustdscp

Switch(config-pmap-c)#police20480001024000excccd-actiondrop

Switch(config)#policy-mapuser-down

Switch(config-pmap)&^35;classuser1-down

Switch(config-pmap-c)#trustdscp

Switch(config-pmap-c)#police10240001024000excccd-actiondrop

Switch(config-pmap-c)#exit

Switch(config-pmap)&^35;classuscr2-down

Switch(config-pmap-c)#trustdscp

Switch(config-pmap-c)#police20480001024000excccd-actiondrop