端口+S+VRR基礎(chǔ)知識及典型組網(wǎng)實例

端口+STP+VRRP基礎(chǔ)知識介紹

第一部分端口通過圖例的方式復(fù)習(xí)交換機端口對報文的處理方式他們對報文的入和出是怎樣處理的呢?他們和PVID在實際組網(wǎng)中又容易出現(xiàn)哪些問題呢?以下我們將用幾個例子來列舉出他們之間的關(guān)系.access、trunk、hybrid和PVID問主機A能PING通主機B嗎?復(fù)習(xí)知識:trunk,access端口同PVID對報文出入是怎樣進行打標(biāo)記的.復(fù)習(xí)目標(biāo):通過復(fù)習(xí)理解,對實際網(wǎng)絡(luò)中出現(xiàn)的端口問題能迅速排查.問:主機B能PING通主機A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為untagged時對報文是怎樣處理的.主機B能ping通主機A嗎?復(fù)習(xí)知識:Hybrid端口當(dāng)配置為tagged時對報文是怎樣處理的.交換機端口接收數(shù)據(jù)幀的處理規(guī)則首先，我們要明白交換機的一點原理：為了快速高效處理，交換機內(nèi)部的數(shù)據(jù)幀一律都帶有VLAN標(biāo)簽，以統(tǒng)一方式處理.1.Access端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進行交換轉(zhuǎn)發(fā)（4）若VLAN標(biāo)簽和PVID一致，轉(zhuǎn)發(fā)VLAN幀；否則直接丟棄2.trunk端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進行交換轉(zhuǎn)發(fā)（4）判斷該trunk端口是否允許該VLAN幀進入：允許則轉(zhuǎn)發(fā)，否則直接丟棄（注意：trunk口允許或不允許VLAN幀，是對進入的幀而言的，對出去的幀沒有限制。）3.hybrid端口（1）收到一個二層幀（2）判斷是否有VLAN標(biāo)簽：沒有則轉(zhuǎn)到第3步，有則轉(zhuǎn)到第4步（3）打上端口的PVID，并進行交換轉(zhuǎn)發(fā)（4）判斷該hybrid端口是否允許該VLAN幀進入：允許則轉(zhuǎn)發(fā)，否則直接丟棄可以看到，trunk口和hybrid口對接收到的數(shù)據(jù)幀的處理規(guī)則是一樣的。交換機端口轉(zhuǎn)發(fā)數(shù)據(jù)幀的處理規(guī)則1.Access端口（1）將二層幀的VLAN標(biāo)簽剝離，直接發(fā)送出去2.trunk端口（1）比較端口的PVID和將要發(fā)送二層幀的VLAN標(biāo)簽（2）如果兩者相等則轉(zhuǎn)到第3步，否則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送3.hybrid端口（1）用“disinterface”命令，可以查到hybrid端口對哪些VLAN是untag，哪些VLAN是tag。以此來判斷進入hybrid口的VLAN幀，是屬于untagVLAN，還是tagVLAN。（2）如果屬于untagVLAN則轉(zhuǎn)到第3步，如果屬于tagVLAN則轉(zhuǎn)到第4步（3）剝離VLAN標(biāo)簽，再發(fā)送（4）直接發(fā)送第二部分ＳＴＰ協(xié)議引入入STP/RSTP/MSTP的的作作用用在二二層層網(wǎng)網(wǎng)絡(luò)絡(luò)上上形形成成樹樹狀狀網(wǎng)網(wǎng)絡(luò)絡(luò)拓拓撲撲結(jié)結(jié)構(gòu)構(gòu)，，避避免免環(huán)環(huán)路路。。二層層網(wǎng)網(wǎng)絡(luò)絡(luò)環(huán)環(huán)路路的的危危害害1.廣廣播播風(fēng)風(fēng)暴暴（（沒沒有有三三層層網(wǎng)網(wǎng)絡(luò)絡(luò)的的TTL機機制制））。。2.MAC地地址址學(xué)學(xué)習(xí)習(xí)錯錯誤誤。。二層層網(wǎng)網(wǎng)絡(luò)絡(luò)的的健健壯壯性性STP可可以以增增強強網(wǎng)網(wǎng)絡(luò)絡(luò)健健壯壯性性，，避避免免單單點點故故障障，，單單鏈鏈路路故故障障。。STP的的基基本本概概念念STP通通過過阻阻塞塞適適當(dāng)當(dāng)?shù)牡亩硕丝诳趤韥肀鼙苊饷猸h(huán)環(huán)路路如圖圖中中，，在在使使能能了了STP后后，，SW3的的B端端口口不不再再轉(zhuǎn)轉(zhuǎn)發(fā)發(fā)流流量量，，從從而而達達到到修修剪剪冗冗余余鏈鏈路路的的目目的的一些些概概念念：：根橋橋/指指定定橋橋指定定端端口口根端端口口根路路徑徑開開銷銷端口口IDSTP的的基基本本概概念念一個個根根橋橋?qū)τ谟谝灰粋€個STP網(wǎng)網(wǎng)絡(luò)絡(luò)，，根根橋橋有且且只只有有一一個個。它是整整個網(wǎng)絡(luò)絡(luò)的邏輯輯中心，，但不一一定是物物理中心心。根據(jù)據(jù)網(wǎng)絡(luò)拓拓撲的變變化，根根橋可能能改變。。STP交交換機之之間通過過比較BID（（橋ID）來選選舉根橋橋。STP的的基本概概念擁有最小小BID的交換換機被選選舉為根根橋每個交換換機上根根路徑開開銷最小小的端口口將成為為根端口口圖3STP的的基本概概念三要素的的選舉從一個初初始的有有環(huán)拓撲撲生成樹樹狀拓撲撲，總體體來說有有三個要要素：根根橋、根根端口和和指定端端口。根橋是全全網(wǎng)意義義上的。。通過交交換特殊殊的協(xié)議議報文，，網(wǎng)絡(luò)中中很快就就會對最最小的BID達達成一致致。所謂根端端口，是是指一個個非根橋橋的STP交換換機上離離根橋最最近的端端口，這這個端口口的選擇擇標(biāo)準(zhǔn)是是根路徑徑開銷。。STP的的基本概概念三要素的的選舉––關(guān)關(guān)于指定定端口在每一個個運行STP交交換機上上（根橋橋除外）），端口口都有三三類：根根端口、、指定端端口、非非根非指指定端口口；根橋橋上沒有有根端口口。指定端口口的概念念是針對對于某網(wǎng)網(wǎng)段（Segment）的，，是流量量從根橋橋方向來來而從這這個端口口轉(zhuǎn)發(fā)““出去””。STP的的基本概概念四條比較較原則STP選選舉有4個比較較原則，，構(gòu)成消消息優(yōu)先先級向量量：{根橋橋ID，，累計根根路徑開開銷，發(fā)發(fā)送交換換機BID，發(fā)發(fā)送端口口PID}STP交交換機協(xié)協(xié)議采用用特殊的的協(xié)議報報文（又又稱協(xié)議議數(shù)據(jù)單單元，BridgeProtocolDataUnit）來交交互信息息，這種種特殊的的消息稱稱為“配配置消息息（ConfigurationMessage）””或者一一般簡稱稱之BPDU。。消息優(yōu)先先級向量量就是攜攜帶在配配置BPDU中中的。STP的的基本概概念四條比較較原則配置BPDU中中攜帶本本端口的的信息，，主要信信息如下下表：字段內(nèi)容簡要說明根橋BID每個STP網(wǎng)絡(luò)中有且僅有一個根累計根路徑開銷發(fā)送這個BPDU的端口到根橋的“距離”發(fā)送交換機BID發(fā)送這個BPDU的交換機的BID發(fā)送端口PID發(fā)出這個BPDU的端口的PIDSTP的的基本概概念最低BID。用來選選根橋。。最小的累累計根路路徑開銷銷。用來來在非根根橋上選選擇根端端口，在在根橋上上每個端端口到根根橋的根根路徑開開銷都是是0。圖4STP的的技術(shù)細細節(jié)根橋的選選擇由于每個個橋都認認為自己己是根橋橋，所以以在每個個端口所所發(fā)出的的BPDU中，，根橋字字段都是是用各自自的BID填充充。BPDU會按照照HelloTime指定定的時間間間隔來來發(fā)送，，默認的的時間為為2秒。。當(dāng)發(fā)送BPDU的時候候，填充充RootBID字字段的是是“當(dāng)前前我所認認為的根根橋”的的BID。通過交互互，交換換機之間間比較RootBID，最最后可以以得出一一個最好好的BID，達達成一致致。STP的的技術(shù)細細節(jié)根端口的的選擇每個非根根橋STP交換換機都要要選擇一一個根端端口，根根端口對對于一個個交換機機來說有有且只有有一個。。其本質(zhì)是是“距離離根橋最最近的端端口”，，這個最最近的衡衡量是靠靠累計根根路徑開開銷來判判定的STP的的技術(shù)細細節(jié)指定端口口的選擇擇在網(wǎng)段上上抑制其其他端口口（無論論是自己己的還是是其他網(wǎng)網(wǎng)橋的））發(fā)送BPDU的端口口，就是是該網(wǎng)段段的指定定端口。。在收斂斂后，只只有指定定端口和和根端口口可以處處于轉(zhuǎn)發(fā)發(fā)狀態(tài)。。在一個網(wǎng)網(wǎng)段上擁擁有指定定端口的的交換機機被稱作作該網(wǎng)段段的指定定橋。STP的的技術(shù)細細節(jié)穩(wěn)定之后后在拓撲穩(wěn)穩(wěn)定之后后，根橋橋仍然按按照HelloTime間間隔發(fā)出出配置BPDU。其他非根根橋交換換機僅僅僅在收到到上一級級過來的的BPDU，才才會觸發(fā)發(fā)發(fā)出BPDU。如果果有必要要，則根根據(jù)BPDU里里面的信信息更新新自己相相應(yīng)端口口的。第三部分分VRRPVrrp技術(shù)用VRRP實現(xiàn)現(xiàn)虛擬路路由器Internet實際IP地址：10.100.10.3/24實際IP地址：10.100.10.2/24虛擬IP地址：10.100.10.1/24VRRP（Virtualrouterredundancyprotocol,虛擬擬路由器器冗余協(xié)協(xié)議）提提供了局局域網(wǎng)上上的設(shè)備備備份機機制VRRP技術(shù)VRRP定義了了一種報報文：VRRP報文，，是組播播報文VRRP定義了了三種狀狀態(tài)：初始狀態(tài)態(tài)（Initialize））活動狀態(tài)態(tài)（Master）備份狀態(tài)態(tài)（Backup）VRRP報文封封裝在IP報文文上VRRP原理從備份組組的交換換機中選選舉主交交換機：：默認情況況下選擇擇優(yōu)先級級最大的的為主交交換機，，其它交交換機作作為備份份交換機機主交換機機定期發(fā)發(fā)送VRRP報報文如果備份份交換機機長時間間沒有收收到主交交換機報報文，則則將自己己狀態(tài)改改為Master若有多臺臺備份交交換機，，則根據(jù)據(jù)接收的的VRRP報文文，選舉舉優(yōu)先級級最大的的交換機機成為新新的主交交換機STP/VRRP/OSPF實例分分析學(xué)習(xí)目標(biāo)標(biāo):1.生成成樹協(xié)議議常見問問題分析析2.VRRP協(xié)協(xié)議及問問題分析析3.典型型組網(wǎng)分分析第一部分分生生成成樹協(xié)議議SwitchABID=0001SwitchCBID=0050SwitchBBID=1045PC=4PC=8PC=4DPDPRPBPDU:RootSwitch=0001CosttoRoot=8BPDU:RootSwitch=0001

CosttoRoot=4BothRootsCostsare=8

BID-A<BIDB問題1：：哪個端端口將被被阻斷？？問題2：：如果所所有的PathCost都相相同，哪哪個端口口將被阻阻斷？復(fù)習(xí)重點點:STP通通過BPDU(BridgeProtocolDataUnit)報報文來學(xué)學(xué)習(xí)網(wǎng)絡(luò)絡(luò)拓撲結(jié)結(jié)構(gòu)。指定端口口同可選選端口怎怎么比較較.如何決定定BPDU配置置消息的的優(yōu)劣比較RID(RootBridgeID)，，確定網(wǎng)網(wǎng)絡(luò)同步步。RID相相同，比比較PathCost（到到根橋距距離），，越小越越優(yōu)。RID/PathCost相同，，比較指指定橋的的BID(DesignatedBridgeID)，，越小越越優(yōu)。RID/PathCost/DBID相相同，比比較指定定端口的的ID(DesignatedPortID)，，越小越越優(yōu)。哪邊更優(yōu)？BPDUBPDU如何確定定根橋根橋—BID（（網(wǎng)橋ID）最最小的網(wǎng)網(wǎng)橋定為為根橋。。BID——網(wǎng)橋的的優(yōu)先級級+網(wǎng)橋橋MAC。網(wǎng)橋的優(yōu)優(yōu)先級為為可配置置，缺省省值為32768。在缺省情情況下，，根橋?qū)⒂蒑AC地址址最小的的網(wǎng)橋擔(dān)擔(dān)任。STP協(xié)協(xié)議簡介介常用概念念根橋(RootBridge)——橋ID最小的的網(wǎng)橋。。其中橋橋ID是是由網(wǎng)橋橋的優(yōu)先先級和網(wǎng)網(wǎng)橋的MAC組組成。根端口(RootPort)—這個個端口到達達根橋的路路徑是該端端口所在網(wǎng)網(wǎng)橋到達根根橋的最佳佳路徑。全全網(wǎng)中只有有根橋是沒沒有根端口口的。指定端口(DesignatedPort)—每一個個網(wǎng)段選擇擇到根橋最最近的網(wǎng)橋橋作為指定定網(wǎng)橋，該該網(wǎng)橋到這這一網(wǎng)段的的端口為指指定端口。?？蛇x端口(AlternatePort)——既不是指定端口，，也不是根根端口的端端口。RP–ROOTPORTSwitchABID=0001SwitchCBID=1045SwitchBBID=0050DP–DESIGNATEDPORTDPRPDPRPDPDPAPAPSwitchDBID=0030確定網(wǎng)橋端端口角色BPDU報報文中總是是攜帶網(wǎng)橋橋到根橋的的最優(yōu)值。。通過BPDU配置消消息來決定定端口的角角色：—根端口：：網(wǎng)橋各個個端口中到到根橋最近近的端口。?！付ǘ丝诳冢壕W(wǎng)橋的的端口發(fā)送送的BPDU配置消消息較接收收的BPDU配置消消息更優(yōu)，則端口為為指定端口口。—可選端口口：網(wǎng)橋的的端口發(fā)送送的BPDU配置消消息較接收收的BPDU配置消消息更差，則端口為為可選端口口。Sw-BSw-AVLAN3VLAN4請問這樣的的組網(wǎng)STP會生效效?復(fù)習(xí)重點:1.STP通過BPDU(BridgeProtocolDataUnit)報文來來學(xué)習(xí)網(wǎng)絡(luò)絡(luò)拓撲結(jié)構(gòu)構(gòu)。2.BPDU報文的的目標(biāo)MAC地址為為：01-80-C2-00-00-00.請問這樣的的組網(wǎng)會有有什么問題題?Sw-B1.1.1.1AREA0Sw-ASTP-1STP-2根橋-A根橋-B1.1.1.22.2.2.12.2.2.2Sw-B-1Sw-B-2Sw-A-1Sw-A-2復(fù)習(xí)重點:1.只在端端口關(guān)閉STP功能能,BPDU報文將將會被丟棄棄.2.沒有運運行STP協(xié)議的網(wǎng)網(wǎng)橋?qū)袯PDU報報文當(dāng)作普普通業(yè)務(wù)報報文轉(zhuǎn)發(fā)。。3.我們的的交換機就就算配置三三層地址,但是大家家也要記住住它只是被被加入了VLAN-Interface里,它它的二層特特性并未改改變.一樣樣可以將BPDU報報文發(fā)送.10MbpsHalfDuplex1002,000,000FullDuplex951,999,999Aggregatedlink901,000,000100MbpsHalfDuplex19200,000FullDuplex18199,999AggregatedLink15100,0001000MbpsFullDuplex420,000AggregatedLink3 10,000復(fù)習(xí)重點:很多時候我我們經(jīng)常會會遇到H3C交換機機同其它友友商交換機機STP選選路錯誤的的問題,問題常常是是因為各個個廠商的PATHCOST標(biāo)準(zhǔn)不同同.第二部分VRRP協(xié)協(xié)議VRRP的的技術(shù)細節(jié)節(jié)虛擬路由器器的VRID(virtualrouteridentifier)用來標(biāo)識虛虛擬路由器器，取值范范圍1-255虛擬路由器器的MAC地址00-00-5e-00-02-xxxx為為vrid值虛擬路由器器的IPAddress虛擬路由器器使用的ip地址虛擬路由器器的priority用來標(biāo)識運運行VRRP協(xié)議路路由器對應(yīng)應(yīng)VRID的優(yōu)先級級取值范范圍0-2551-254是備份路路由器可以以配置的范范圍缺省省值為100InternetVRID1:Priority110:VirtualIPfe80::1MasterBackupIPaddressfe80::2IPaddressfe80::3VRID1:Priority100:VirtualIPfe80::1Gateway:fe80::1ActualIPaddressfe80::5Gateway:fe80::1ActualIPaddressfe80::6Gateway:fe80::1ActualIPaddressfe80::7Gateway:fe80::1ActualIPaddressfe80::8FW-1SW-ASW-BSW-CFW-2PCFW-1SW-ASW-BSW-CFW-2PC圖例一圖例二復(fù)習(xí)重點:1.VRRP在什么么情況下會會進行主備備切換.2.VRRP與靜靜態(tài)路由配配合時容易易忽略的地地方.典型組網(wǎng)分分析政府機關(guān)、、集團公司司總部等對對網(wǎng)絡(luò)可用用性很高的的單位往往往采用雙機機熱備份方案來組網(wǎng)網(wǎng)，2層交交換機的2條千兆鏈鏈路分別上上行到主備備85，主主備85應(yīng)應(yīng)用VRRP為用戶PC提供虛虛擬網(wǎng)關(guān)，，應(yīng)用STP來切斷斷冗余鏈路路組成的環(huán)環(huán)路。綜合組網(wǎng)應(yīng)應(yīng)用Quidview網(wǎng)絡(luò)管理平平臺網(wǎng)絡(luò)中心業(yè)務(wù)服務(wù)器群H3CS9512業(yè)務(wù)服務(wù)器群H3C

S9512H3C

S5024*6臺H3C

S7506*18臺H3C

S5024G*3臺NetEngine40-8廣域網(wǎng)雙機熱備份份組網(wǎng)常用用的組網(wǎng)圖圖:雙機組網(wǎng)的的特點:在單機樹型型組網(wǎng)中，，在網(wǎng)絡(luò)設(shè)設(shè)備受到病病毒等惡意意攻擊時，，一般表現(xiàn)現(xiàn)為網(wǎng)絡(luò)訪問速度變變慢或很慢慢.但是在雙機機熱備份組組網(wǎng)中，由于存在物物理環(huán)路，，設(shè)備在受受到攻擊時時很容易造成STP的BPDU丟失從從而使得STP計算算錯誤，不不能正確切切斷物理環(huán)環(huán)路，引發(fā)廣播風(fēng)暴暴。另外2、3層交換機機長時間受受到巨量廣廣播報文沖沖擊，有時時轉(zhuǎn)發(fā)芯片會失效效，就是在在廣播風(fēng)暴暴消失后也也不能正常常轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)包，必須須手工復(fù)位位交換機。因此，雙機機組網(wǎng)相比比單機組網(wǎng)網(wǎng)顯得脆弱弱些，跟交交換機本身身穩(wěn)定性反反而關(guān)系不是是太大，其其它廠商的的交換機一一樣如此。。所以，針針對雙機組組網(wǎng)，必須須嚴格按照下下面描述的的步驟進行行配置，提提高網(wǎng)絡(luò)的的整體穩(wěn)定定性。業(yè)務(wù)VLAN和虛接接口地址的的配置:在接口上配配置允許通通過的VLAN時時,這里著著重要說明明的是千萬萬不要對端端口配置trunkpermitvlanall或trunkpermitvlan2to200之類，必必須老老實實實的一個一個指定定允許通過過的VLAN，也千千萬不要配配置GVRP。切記記，切記!!!!容易產(chǎn)生8字環(huán)!!!!!!!!!VRRP配配置ping網(wǎng)網(wǎng)關(guān)往往是是診斷網(wǎng)絡(luò)絡(luò)故障的第第一步，所所以在VRRP配置置前，必須須在全局模模式下先配置vrrpping-enable，因為這個個命令在配配置VRRP后就不不能再配置置了。主備85之之間每一組組VRRP都會以advertise配置的時時間間隔發(fā)發(fā)送報文，，默認值是是1秒鐘，如果有多多個VRRP組，每每秒同一時時刻就會有有較多的VRRP報報文上CPU，為了避免這種種情況，可可以將VRRP組分分為4組，，每組分別別以則數(shù)時時間間隔（（2、3、5、7秒秒）配置advertise，這樣就就可以使得得VRRP報文分散散上CPU。VRRP通通過priority來配置置主備，主主備配置必必須與STP的配置置相一致，，否則會使得數(shù)據(jù)多多經(jīng)過1個個交換機加加重網(wǎng)絡(luò)負負荷。STP的配配置主用85配配置為STP的根，，備用85配置為STP的備備用根，一一般不用設(shè)設(shè)置STP的模式，可以以運行在默默認的模式式下。2層層交換機強強烈建議啟啟用STP協(xié)議，只只要直接啟啟用STP，，不用進行行其它STP配置。。按照前面VRRP和和STP的的配置，主主備85是是熱備份方方式，正常常情況下備備用85無無任何業(yè)務(wù)，只只能在網(wǎng)絡(luò)絡(luò)發(fā)生故障障如主用85當(dāng)機或或2層交換換機連接主主用85的的光纖DOWN時時，業(yè)務(wù)才才會全部或或部分切換換到備用85。有用戶提出出要進行主主備85之之間的負荷荷分擔(dān)，如如果2層交交換機全部部或部分支支持MSTP，負荷分擔(dān)是是完全可以以實現(xiàn)的，，只要配置置MSTP的幾個實實例，將不不同的VLAN劃分分到不同的實例例中，配置置不同的實實例有不同同的根，并并相應(yīng)配置置VRRP的主用，，這樣不同同的實例走不不同的85，起到負負荷分擔(dān)的的作用.但是在實際際應(yīng)用中，，局域網(wǎng)的的流量并不不大，采用用雙機更多多的是出于于可靠性的的考慮，配置負荷分分擔(dān)并不能能提高網(wǎng)絡(luò)絡(luò)的性能，，反而增加加了配置的的復(fù)雜性，，潛在的也也降低了網(wǎng)絡(luò)的穩(wěn)定定性，畢竟竟越是復(fù)雜雜穩(wěn)定性越越難以保證證，所以一一般情況下下不建議配配置主備85之間的的負荷分擔(dān)擔(dān)。VRRP+STP的的配置強制雙工和和速率的配配置:電接口的自自協(xié)商功能能穩(wěn)定一些些，一般采采用自協(xié)商商就可以了了.光接口由于于光模塊的的兼容性稍稍差、某些些線路光衰衰比較大等等原因，有有些端口自協(xié)商會會不成功，，需要設(shè)置置為強制雙雙工和強制制速率。防病毒ACL的配置置病毒攻擊產(chǎn)產(chǎn)生大量的的報文沖擊擊設(shè)備，造造成網(wǎng)絡(luò)振振蕩和設(shè)備備故障，所以必須在在所有交換換機配置防防病毒ACL規(guī)則對對病毒報文文進行過慮慮如:aclnameanti-virusadvancedrule42denytcpdestination-porteq135rule43denytcpdestination-porteq137rule44denytcpdestination-porteq138rule45denytcpdestination-porteq139rule46denytcpdestination-porteq593rule47denytcpdestination-porteq445rule48denytcpdestination-porteq4444rule49denyudpdestination-porteqnetbios-nsrule50denyudpdestination-porteq445rule51denyudpdestination-porteq1434rule52denyudpdestination-porteq4444rule53denytcpdestination-porteq1022rule54denytcpdestination-porteq1023rule55denytcpdestination-porteq5554rule56denyudpdestination-porteq6666rule57denytcpdestination-porteq9996交換網(wǎng)絡(luò)排排查步驟:1.通過命令來來查看STP狀態(tài)(displaystpbrief),在正常情情況下應(yīng)該該有一個端端口被DISCARDING掉.如果所所有的端口口都處于FORWARDING,說明網(wǎng)絡(luò)絡(luò)中已經(jīng)存在了了環(huán)路.2.對一一個形成環(huán)環(huán)路的每一一個端口，，使用displaystpinterface命命令查看BPDU收收發(fā)報文數(shù)數(shù)是否在增增長.如如果BPDU報文的的收有增長長,一般情情況下網(wǎng)絡(luò)幾分鐘鐘后可以恢恢復(fù)正常.如果BPDU報文文收發(fā)無正正常,則很很難自愈,應(yīng)該立即關(guān)閉備備的交換機機,讓業(yè)務(wù)務(wù)恢復(fù)正常常.

3.網(wǎng)絡(luò)正常常后，可以以查看各端端口的流量量和廣播流流量，如果果某些端口口廣播流量量特別大，基基本可以確確定下掛的的PC被病病毒感染，，可以通過過端口鏡像像抓包來確確認；STP配置置保護功能能及單端口口環(huán)路監(jiān)測測介紹邊緣端口邊緣端口是是指：不直直接與任何何設(shè)備連接接，也不通通過端口所所連接的網(wǎng)網(wǎng)絡(luò)間接與與任何設(shè)備備相連的端端口。用戶如果將將某個端口口指定為邊邊緣端口，，那么當(dāng)該該端口由堵堵塞狀態(tài)向向轉(zhuǎn)發(fā)狀態(tài)態(tài)遷移時，，這個端口口可以實現(xiàn)現(xiàn)快速遷移移，而無需需等待延遲遲時間。配置命令：：[Sysname-Ethernet1/1/1]stpedged-portenable千萬小心：：刪除邊緣緣的端口命命令！[Sysname-Ethernet1/1/1]undostpedged-portBPDU保保護功能產(chǎn)產(chǎn)生背景當(dāng)邊緣端口口接收到配配置消息（（BPDU報文）時時系統(tǒng)會自自動將這些些端口設(shè)置置為非邊緣緣端口，重重新計算生生成樹，引引起網(wǎng)絡(luò)拓拓撲的震蕩蕩。這些端端口正常情情況下應(yīng)該該不會收到到生成樹協(xié)協(xié)議的配置置消息。如如果有人偽偽造配置消消息惡意攻攻擊設(shè)備，，就會引起起網(wǎng)絡(luò)震蕩蕩。BPDU保護功功能可以防防止這種網(wǎng)網(wǎng)絡(luò)攻擊。。STP-EdgedPortBPDU置為非邊緣端口，重新計算生成樹交換網(wǎng)絡(luò)BPDU保保護功能處處理流程交換機上啟啟動了BPDU保護護功能以后后，如果邊邊緣端口收收到了配置置消息，系系統(tǒng)就將這這些端口關(guān)關(guān)閉，同時時通知網(wǎng)管管這些端口口被STP關(guān)閉。被被關(guān)閉的邊邊緣端口只只能由網(wǎng)絡(luò)絡(luò)管理人員員恢復(fù)。配置命令：：[Sysname]stpbpdu-protectionSTP-EdgedPortBPDU端口被STP關(guān)閉交換網(wǎng)絡(luò)Root保保護功能產(chǎn)產(chǎn)生背景由于維護人人員的錯誤誤配置（例例如網(wǎng)橋優(yōu)優(yōu)先級修改改）或網(wǎng)絡(luò)絡(luò)中的惡意意攻擊，合合法根橋有有可能會收收到優(yōu)先級級更高的配配置消息，，這樣當(dāng)前前根橋會失失去根橋的的地位，引引起網(wǎng)絡(luò)拓拓撲結(jié)構(gòu)的的錯誤變動動。這種不不合法的變變動，會導(dǎo)導(dǎo)致原來應(yīng)應(yīng)該通過高高速鏈路的的流量被牽牽引到低速速鏈路上，，導(dǎo)致網(wǎng)絡(luò)絡(luò)擁塞。Root保保護功能可可以防止這這種情況的的發(fā)生。Root保保護功能處處理流程對于設(shè)置了了Root保護功能能的端口，，其在所有有實例上的的端口角色色只能保持持為指定端端口。一旦旦這種端口口上收到了了優(yōu)先級高高的配置消消息，即其其將被選擇擇為非指定定端口時，，這些端口口的狀態(tài)將將被設(shè)置為為Discarding狀態(tài)態(tài)，不再轉(zhuǎn)轉(zhuǎn)發(fā)報文（（相當(dāng)于將將與此端口口相連的鏈鏈路斷開））。當(dāng)在足足夠長的時時間內(nèi)沒有有收到更優(yōu)優(yōu)的配置消消息時，端端口會恢復(fù)復(fù)原來的正正常狀態(tài)。。配置命令：[Sysname-Ethernet1/1/1]stproot-protection指定主備根橋橋用戶也可以通通過設(shè)備提供供的命令來指指定當(dāng)前設(shè)備備為根橋。配置命令：[Sysname]stp[instanceinstance-id]rootprimary[bridge-diameterbridgenum][hello-timecenti-seconds]指定主備根橋橋（續(xù)）設(shè)置當(dāng)前設(shè)備備為根橋或者者備份根橋之之后，用戶不不能再修改設(shè)設(shè)備的優(yōu)先級級。當(dāng)前設(shè)備在各各棵生成樹實實例中的角色色互相獨立，，它可以作為為一棵生成樹樹實例的根橋橋或備份根橋橋，同時也可可以作為其他他生成樹實例例的根橋或備備份根橋；在在同一棵生成成樹實例中，，同一臺設(shè)備備不能既作為為根橋，又作作為備份根橋橋。當(dāng)根橋出現(xiàn)故故障或被關(guān)機機時，備份根根橋可以取代代根橋成為指指定生成樹實實例的根橋；；但是此時如如果用戶設(shè)置置了新的根橋橋，則備份根根橋?qū)⒉粫沙蔀楦鶚?。如如果用戶為一一棵生成樹實實例配置了多多個備份根橋橋，當(dāng)根橋失失效時，MSTP將選擇擇MAC地址址最小的那個個備份根橋作作為根橋。Root保護護和指定主備備根橋的區(qū)別別配置Root保護功能與與指定主備根根橋的作用一一樣碼？環(huán)路保護功能能產(chǎn)生背景依靠不斷接收收上游設(shè)備發(fā)發(fā)送的BPDU報文，設(shè)設(shè)備可以維持持根端口和其其他阻塞端口口的狀態(tài)。但但是由于鏈路路擁塞或者單單向鏈路故障障，這些端口口會收不到上上游設(shè)備的BPDU報文文，此時下游游設(shè)備會重新新選擇端口角角色，收不到到BPDU報報文的下游設(shè)設(shè)備根端口會會轉(zhuǎn)變?yōu)橹付ǘǘ丝?，而阻阻塞端口會遷遷移到轉(zhuǎn)發(fā)狀狀態(tài)，從而交交換網(wǎng)絡(luò)中會會產(chǎn)生環(huán)路。。環(huán)路保護功功能會抑制這這種環(huán)路的產(chǎn)產(chǎn)生。環(huán)路保護功能能處理流程對于配置了環(huán)環(huán)路保護的端端口，如果發(fā)發(fā)生鏈路擁塞塞或者單向鏈鏈路故障，接接收不到上游游設(shè)備發(fā)送的的BPDU報報文，環(huán)路保保護生效，則則根端口的角角色變?yōu)橹付ǘǘ丝?，端口口的狀態(tài)為Discarding狀狀態(tài)；阻塞端端口同樣也變變?yōu)橹付ǘ丝诳?，端口狀態(tài)態(tài)為Discarding狀態(tài)，不不轉(zhuǎn)發(fā)報文，，從而不會在在網(wǎng)絡(luò)中形成成環(huán)路。配置命令：[Sysname-Ethernet1/1/1]stploop-protection環(huán)路保護功能能流程演示BPDU根端口指定端口TCTC拓撲改變，重新計算，打開端口阻塞端口forwarding拓撲改變，重新計算，打開端口指定端口環(huán)路保護生效效端口discardingBPDU指定端口防止TC-BPDU報文文攻擊的保護護功能設(shè)備在接收到到TC-BPDU報文后后，會執(zhí)行MAC地址表