端口88cc.info

H3CMSR系列路由器二层技术-以太网交换配置指导(V7)杭州华三通信技术有限公司http://www.
h3c.
com.
cn资料版本:6W103-20140512产品版本:MSR-CMW710-R0105Copyright2013-2014杭州华三通信技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
H3C、、H3CS、H3CIE、H3CNE、Aolynk、、H3Care、、IRF、NetPilot、Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三均为杭州华三通信技术有限公司的商标.
对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言H3CMSR系列路由器配置指导(V7)共分为十五本手册,介绍了MSR系列路由器各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例.
《二层技术-以太网交换配置指导》主要介绍以太网相关协议原理和配置,包括以太网链路聚合、端口隔离、VLAN、LLDP等.
前言部分包含如下内容:适用款型读者对象本书约定产品配套资料资料获取方式技术支持资料意见反馈适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型:款型MSR2600MSR26-30MSR3600MSR36-10MSR36-20MSR36-40MSR36-60MSR3600-28MSR3600-51MSR5600MSR56-60MSR56-80读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
3.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
4.
端口编号示例约定本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
产品配套资料H3CMSR系列路由器的配套资料包括如下部分:大类资料名称内容介绍产品知识介绍路由器产品彩页帮助您了解产品的主要规格参数及亮点硬件描述与安装路由器安装指导帮助您详细了解设备硬件规格和安装方法,指导您对设备进行安装MSR系列路由器接口模块手册帮助您详细了解单板的硬件规格业务配置MSR系列路由器配置指导(V7)帮助您掌握设备软件功能的配置方法及配置步骤MSR系列路由器命令参考(V7)详细介绍设备的命令,相当于命令字典,方便您查阅各个命令的功能运行维护路由器版本说明书帮助您了解产品版本的相关信息(包括:版本配套说明、兼容性说明、特性变更说明、技术支持信息)及软件升级方法资料获取方式您可以通过H3C网站(www.
h3c.
com.
cn)获取最新的产品资料:H3C网站与产品资料相关的主要栏目介绍如下:[服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料.
[产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮书等.
[解决方案]:可以获取解决方案类资料.
[服务支持/软件下载]:可以获取与软件版本配套的资料.
技术支持用户支持邮箱:service@h3c.
com技术支持热线电话:400-810-0504(手机、固话均可拨打)010-62982107网址:http://www.
h3c.
com.
cn资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1MAC地址表·1-11.
1MAC地址表简介1-11.
1.
1MAC地址表项的生成方式·1-11.
1.
2MAC地址表项的分类1-11.
2配置MAC地址表1-21.
2.
1配置MAC地址表项·1-21.
2.
2关闭接口MAC地址学习功能1-31.
2.
3配置动态MAC地址表项的老化时间·1-41.
3MAC地址表显示和维护1-41.
4MAC地址表典型配置举例·1-51-11MAC地址表该特性仅在安装了二层接口卡的款型和MSR3600-28/MSR3600-51的固定二层接口上支持.
1.
1MAC地址表简介MAC(MediaAccessControl,媒体访问控制)地址表记录了MAC地址与接口的对应关系,以及接口所属的VLAN等信息.
设备在转发报文时,根据报文的目的MAC地址查询MAC地址表,如果MAC地址表中包含与报文目的MAC地址对应的表项,则直接通过该表项中的出接口转发该报文;如果MAC地址表中没有包含报文目的MAC地址对应的表项时,设备将采取广播方式通过对应VLAN内除接收接口外的所有接口转发该报文.
1.
1.
1MAC地址表项的生成方式MAC地址表项的生成方式有两种:自动生成、手工配置.
1.
自动生成MAC地址表项一般情况下,MAC地址表是设备通过源MAC地址学习过程而自动建立的.
设备学习MAC地址的过程如下:从某接口(假设为接口A)收到一个数据帧,设备分析该数据帧的源MAC地址(假设为MAC-SOURCE),并认为目的MAC地址为MAC-SOURCE的报文可以由接口A转发.
如果MAC地址表中已经包含MAC-SOURCE,设备将对该表项进行更新.
如果MAC地址表中尚未包含MAC-SOURCE,设备则将这个新MAC地址以及该MAC地址对应的接口A作为一个新的表项加入到MAC地址表中.
为适应网络拓扑的变化,MAC地址表需要不断更新.
MAC地址表中自动生成的表项并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到刷新的表项将被删除,这个生存周期被称作老化时间.
如果在到达生存周期前某表项被刷新,则重新计算该表项的老化时间.
2.
手工配置MAC地址表项设备通过源MAC地址学习自动建立MAC地址表时,无法区分合法用户和非法用户的报文,带来了安全隐患.
如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其他接口进入,设备就会学习到错误的MAC地址表项,于是将本应转发给合法用户的报文转发给非法用户.
为了提高安全性,网络管理员可手工在MAC地址表中加入特定MAC地址表项,将用户设备与接口绑定,从而防止非法用户骗取数据.
1.
1.
2MAC地址表项的分类MAC地址表项分为以下几种:1-2静态MAC地址表项:由用户手工配置,用于目的是某个MAC地址的报文从对应接口转发出去,表项不老化.
静态MAC地址表项优先级高于自动生成的MAC地址表项.
动态MAC地址表项:包括用户手工配置的以及设备通过源MAC地址学习得来的,用于目的是某个MAC地址的报文从对应接口转发出去,表项有老化时间.
手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项.
黑洞MAC地址表项:由用户手工配置,用于丢弃目的MAC地址为指定值的报文(例如,出于安全考虑,可以禁止某个接收报文),表项不老化.
静态MAC地址表项和黑洞MAC地址表项不会被动态MAC地址表项覆盖,而动态MAC地址表项可以被静态MAC地址表项和黑洞MAC地址表项覆盖.
本章节内容只涉及单播的静态、动态和黑洞MAC地址表项.
有关静态组播MAC地址表项的相关介绍和配置内容,请参见"IP组播配置指导"中的"组播路由与转发"和"IPv6组播路由与转发".
1.
2配置MAC地址表以下配置均为可选配置,且配置过程无先后顺序,用户可以根据实际情况选择配置.
1.
2.
1配置MAC地址表项配置MAC地址表项时,需要注意:在手工配置动态MAC地址表项时,如果MAC地址表中已经存在MAC地址相匹配的自动生成表项,但该表项的接口与配置不符,那么该手工配置不生效.
如果不保存配置,设备重启后所有手工配置的MAC地址表项都会丢失;如果保存配置,设备重启后手工配置的静态MAC地址表项和黑洞MAC地址表项不会丢失,手工配置的动态MAC地址表项会丢失.
配置MAC地址表项后,当设备收到的报文的源MAC地址与配置表项中的MAC地址相同时,不同类型的MAC地址表项处理方式不同:表1-1不同类型MAC地址表项对源MAC地址匹配报文的处理方式MAC地址表项类型报文源MAC地址与配置表项中的MAC地址相同静态MAC地址表项如果报文入接口与表项中的接口不同,则丢弃该报文如果报文入接口与表项中的接口相同,则转发该报文动态MAC地址表项如果报文入接口与该表项中的接口不同,则进行MAC地址学习,并覆盖该表项如果报文入接口与该表项中的接口相同,则转发该报文,并更新该表项老化时间1.
配置静态/动态MAC地址表项(1)全局配置静态/动态MAC地址表项1-3表1-2全局配置静态/动态MAC地址表项操作命令说明进入系统视图system-view-添加或者修改静态/动态MAC地址表项mac-address{dynamic|static}mac-addressinterfaceinterface-typeinterface-numbervlanvlan-id缺省情况下,系统没有配置任何MAC地址表项interface参数指定的接口必须属于vlan参数指定的VLAN,而且该VLAN必须事先创建,否则将配置失败(2)接口配置静态/动态MAC地址表项表1-3接口配置静态/动态MAC地址表项操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-在当前接口下添加或者修改静态/动态MAC地址表项mac-address{dynamic|static}mac-addressvlanvlan-id缺省情况下,接口下没有配置任何MAC地址表项当前接口必须属于vlan-id参数指定的VLAN,而且该VLAN必须事先创建,否则将配置失败2.
配置黑洞MAC地址表项表1-4配置黑洞MAC地址表项操作命令说明进入系统视图system-view-添加或者修改黑洞MAC地址表项mac-addressblackholemac-addressvlanvlan-id缺省情况下,系统没有配置任何MAC地址表项vlan参数指定的VLAN必须事先创建,否则将配置失败1.
2.
2关闭接口MAC地址学习功能缺省情况下,MAC地址学习功能处于开启状态.
有时为了保证设备的安全,需要关闭MAC地址学习功能.
常见的危及设备安全的情况是:非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表.
关闭MAC地址学习功能可以有效防止这种攻击.
关闭MAC地址学习功能后,不会立即删除已经学习到的动态MAC地址表项,需要等待MAC地址表项老化时间过后删除.
在开启全局的MAC地址学习功能的前提下,用户可以关闭设备上单个接口的MAC地址学习功能.
1-4表1-5关闭接口的MAC地址学习功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-关闭接口的MAC地址学习功能undomac-addressmac-learningenable缺省情况下,接口的MAC地址学习功能处于开启状态1.
2.
3配置动态MAC地址表项的老化时间当网络拓扑改变后,如果动态MAC地址表项不及时更新,会导致用户流量不能正常转发.
配置动态MAC地址表项的老化时间后,超过老化时间的动态MAC地址表项会被自动删除,设备将重新进行MAC地址学习,构建新的动态MAC地址表项.
用户配置的老化时间过长或者过短,都可能影响设备的运行性能:如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表.
如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,导致设备广播大量的数据报文,增加网络的负担.
用户需要根据实际情况,配置合适的老化时间.
如果网络比较稳定,可以将老化时间配置得长一些或者配置为不老化;否则,可以将老化时间配置得短一些.
比如在一个比较稳定的网络,如果长时间没有流量,动态MAC地址表项会被全部删除,可能导致设备突然广播大量的数据报文,造成安全隐患,此时可将动态MAC地址表项的老化时间设得长一些或不老化,以减少广播,增加网络稳定性和安全性.
动态MAC地址表项的老化时间作用于全部接口上.
表1-6配置动态MAC地址表项的老化时间操作命令说明进入系统视图system-view-配置动态MAC地址表项的老化时间mac-addresstimer{agingseconds|no-aging}缺省情况下,动态MAC地址表项的老化时间为300秒1.
3MAC地址表显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后MAC地址表的运行情况,通过查看显示信息验证配置的效果.
1-5表1-7MAC地址表显示和维护操作命令显示MAC地址表信息displaymac-address[mac-address[vlanvlan-id]|[[dynamic|static][interfaceinterface-typeinterface-number]|blackhole][vlanvlan-id][count]]显示MAC地址表动态表项的老化时间displaymac-addressaging-time显示MAC地址学习功能的使能状态displaymac-addressmac-learning[interfaceinterface-typeinterface-number]1.
4MAC地址表典型配置举例1.
组网需求现有一台用户主机,它的MAC地址为000f-e235-dc71,属于VLAN1,连接Device的GigabitEthernet2/1/1端口.
为防止假冒身份的非法用户骗取数据,在设备的MAC地址表中为该用户主机添加一条静态表项.
另有一台用户主机,它的MAC地址为000f-e235-abcd,属于VLAN1.
由于该用户主机曾经接入网络进行非法操作,为了避免此种情况再次发生,在设备上添加一条黑洞MAC地址表项,使该用户主机接收不到报文.
配置设备的动态MAC地址表项老化时间为500秒.
2.
配置步骤#增加一个静态MAC地址表项,目的地址为000f-e235-dc71,出接口为GigabitEthernet2/1/1,且该接口属于VLAN1.
system-view[Device]mac-addressstatic000f-e235-dc71interfacegigabitethernet2/1/1vlan1#增加一个黑洞MAC地址表项,地址为000f-e235-abcd,属于VLAN1.
[Device]mac-addressblackhole000f-e235-abcdvlan1#配置动态MAC地址表项的老化时间为500秒.
[Device]mac-addresstimeraging5003.
验证配置#查看端口GigabitEthernet2/1/1上的静态MAC地址表项信息.
[Device]displaymac-addressstaticinterfacegigabitethernet2/1/1MACAddressVLANIDStatePort/NickNameAging000f-e235-dc711StaticGE2/1/1N#查看黑洞MAC地址表信息.
[Device]displaymac-addressblackholeMACAddressVLANIDStatePort/NickNameAging000f-e235-abcd1BlackholeN/AN#查看动态MAC地址表项的老化时间.
[Device]displaymac-addressaging-timeMACaddressagingtime:500s.
i目录1以太网链路聚合1-11.
1以太网链路聚合简介·1-11.
1.
1基本概念1-11.
1.
2静态聚合模式·1-31.
1.
3动态聚合模式·1-41.
1.
4聚合负载分担类型·1-71.
2以太网链路聚合配置任务简介1-71.
3配置聚合组1-71.
3.
1配置静态聚合组1-71.
3.
2配置动态聚合组1-81.
4聚合接口相关配置1-91.
4.
1配置聚合接口的描述信息·1-91.
4.
2配置三层聚合接口MTU·1-91.
4.
3限制聚合组内选中端口的数量·1-91.
4.
4配置聚合接口的期望带宽·1-101.
4.
5关闭聚合接口·1-101.
4.
6恢复聚合接口的缺省配置·1-111.
5配置聚合负载分担1-111.
6配置聚合流量重定向功能1-121.
7以太网链路聚合显示与维护·1-121.
8以太网链路聚合典型配置举例1-131.
8.
1三层静态聚合配置举例1-131.
8.
2三层动态聚合配置举例1-141.
8.
3三层聚合负载分担配置举例1-161-11以太网链路聚合1.
1以太网链路聚合简介以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性.
如图1-1所示,DeviceA与DeviceB之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路Linkaggregation1.
这条逻辑链路的带宽最大可等于三条以太网物理链路的带宽总和,增加了链路的带宽;同时,这三条以太网物理链路相互备份,当其中某条物理链路down,还可以通过其他两条物理链路转发报文.
图1-1链路聚合示意图1.
1.
1基本概念1.
聚合组、成员端口和聚合接口链路捆绑是通过接口捆绑实现的,多个以太网接口捆绑在一起后形成一个聚合组,而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口.
每个聚合组唯一对应着一个逻辑接口,称为聚合接口.
聚合组与聚合接口的编号是相同的,例如聚合组1对应于聚合接口1.
聚合组/聚合接口可以分为以下两种类型:二层聚合组/二层聚合接口:二层聚合组的成员端口全部为二层以太网接口,其对应的聚合接口称为二层聚合接口.
三层聚合组/三层聚合接口:三层聚合组的成员端口全部为三层以太网接口,其对应的聚合接口称为三层聚合接口.
在创建了三层聚合接口之后,还可继续创建该三层聚合接口的子接口,即三层聚合子接口.
聚合接口的速率和双工模式取决于对应聚合组内的选中端口(请参见"1.
1.
12.
成员端口的状态"):聚合接口的速率等于所有选中端口的速率之和,聚合接口的双工模式则与选中端口的双工模式相同.
目前,设备仅支持三层链路聚合.
2.
成员端口的状态聚合组内的成员端口具有以下两种状态:选中(Selected)状态:此状态下的成员端口可以参与数据的转发,处于此状态的成员端口称为"选中端口".
1-2非选中(Unselected)状态:此状态下的成员端口不能参与数据的转发,处于此状态的成员端口称为"非选中端口".
3.
操作Key操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值,它是根据成员端口上的一些信息(包括该端口的速率、双工模式等)的组合自动计算生成的,这个信息组合中任何一项的变化都会引起操作Key的重新计算.
在同一聚合组中,所有的选中端口都必须具有相同的操作Key.
4.
配置分类根据对成员端口状态的影响不同,成员端口上的配置可以分为以下两类:(1)属性类配置:包含的配置内容如表1-1所示.
在聚合组中,只有与对应聚合接口的属性类配置完全相同的成员端口才能够成为选中端口.
表1-1属性类配置的内容配置项内容端口隔离端口是否加入隔离组、端口所属的端口隔离组QinQ配置端口的QinQ功能开启/关闭状态、VLANTag的TPID值、VLAN透传.
关于QinQ配置的详细描述请参见"二层技术-以太网交换配置指导"中的"QinQ"VLAN配置端口上允许通过的VLAN、端口缺省VLAN、端口的链路类型(即Trunk、Hybrid、Access类型)、VLAN报文是否带Tag配置.
有关VLAN配置的详细描述,请参见"二层技术-以太网交换配置指导"中的"VLAN"在聚合接口上所作的属性类配置,将被自动同步到对应聚合组内的所有成员端口上.
当聚合接口被删除后,这些配置仍将保留在这些成员端口上.
由于成员端口上属性类配置的改变可能导致其选中/非选中状态发生变化,进而对业务产生影响,因此当在成员端口上进行此类配置时,系统将给出提示信息,由用户来决定是否继续执行该配置.
(2)协议类配置:是相对于属性类配置而言的,包含的配置内容有MAC地址学习、生成树等.
在聚合组中,即使某成员端口与对应聚合接口的协议配置存在不同,也不会影响该成员端口成为选中端口.
在成员端口上所作的协议类配置,只有当该成员端口退出聚合组后才能生效.
5.
聚合模式链路聚合分为静态聚合和动态聚合两种模式,它们各自的优点如下所示:静态聚合模式:一旦配置好后,端口的选中/非选中状态就不会受网络环境的影响,比较稳定.
动态聚合模式:能够根据对端和本端的信息调整端口的选中/非选中状态,比较灵活.
处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组.
1-31.
1.
2静态聚合模式静态聚合模式的工作机制如下所述.
1.
选择参考端口参考端口从本端的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中.
对于聚合组内处于up状态的端口,按照端口的高端口优先级->全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序,选择优先次序最高、且属性类配置与对应聚合接口相同的端口作为参考端口;如果优先次序相同,首先选择原来的选中端口作为参考端口;如果此时有多个端口的优先次序相同且为原来的选中端口,则选择其中端口号最小的端口作为参考端口.
2.
确定成员端口的状态静态聚合组内成员端口状态的确定流程如图1-2所示.
图1-2静态聚合组内成员端口状态的确定流程确定静态聚合组内成员端口状态时,需要注意:当一个成员端口的操作Key或属性类配置改变时,其所在静态聚合组内各成员端口的选中/非选中状态可能会发生改变.
否本端口的操作Key和属性类配置与参考端口是否相同聚合组中候选端口的数量是否已超过上限本端口是否处于up状态本端口是否因硬件限制而无法与参考端口聚合按端口号从小到大排序,本端口是否处于上限范围内开始确定本端口的选中/非选中状态本端口为选中端口本端口为非选中端口是是否是否是否是否1-4当静态聚合组内选中端口的数量已达到上限时,后加入的成员端口即使满足成为选中端口的所有条件,也不会立即成为选中端口.
这样能够尽量维持当前选中端口上的流量不中断,但是由于设备重启时会重新计算选中端口,因此可能导致设备重启前后各成员端口的选中/非选中状态不一致.
1.
1.
3动态聚合模式动态聚合模式通过LACP(LinkAggregationControlProtocol,链路聚合控制协议)协议实现,LACP协议的内容及动态聚合模式的工作机制如下所述.
1.
LACP协议基于IEEE802.
3ad标准的LACP协议是一种实现链路动态聚合的协议,运行该协议的设备之间通过互发LACPDU来交互链路聚合的相关信息.
动态聚合组内的成员端口可以收发LACPDU(LinkAggregationControlProtocolDataUnit,链路聚合控制协议数据单元),本端通过向对端发送LACPDU通告本端的信息.
当对端收到该LACPDU后,将其中的信息与所在端其他成员端口收到的信息进行比较,以选择能够处于选中状态的成员端口,使双方可以对各自接口的选中/非选中状态达成一致.
(1)LACP协议的功能表1-2LACP协议的功能分类类别说明基本功能利用LACPDU的基本字段可以实现LACP协议的基本功能.
基本字段包含以下信息:系统LACP优先级、系统MAC地址、端口优先级、端口编号和操作Key(2)LACP工作模式LACP工作模式分为ACTIVE和PASSIVE两种.
如果动态聚合组内成员端口的LACP工作模式为PASSIVE,且对端的LACP工作模式也为PASSIVE时,两端将不能发送LACPDU.
如果两端中任何一端的LACP工作模式为ACTIVE时,两端将可以发送LACPDU.
(3)LACP优先级根据作用的不同,可以将LACP优先级分为系统LACP优先级和端口优先级两类,如表1-3所示.
表1-3LACP优先级的分类类别说明比较标准系统LACP优先级用于区分两端设备优先级的高低.
当两端设备中的一端具有较高优先级时,另一端将根据优先级较高的一端来选择本端的选中端口,这样便使两端设备的选中端口达成了一致优先级数值越小,优先级越高端口优先级用于区分各成员端口成为选中端口的优先程度(4)LACP超时时间LACP超时时间是指成员端口等待接收LACPDU的超时时间,在LACP超时时间之后,如果本端成员端口仍未收到来自对端的LACPDU,则认为对端成员端口已失效.
1-5LACP超时时间同时也决定了对端发送LACPDU的速率.
LACP超时有短超时(3秒)和长超时(90秒)两种.
若LACP超时时间为短超时,则对端将快速发送LACPDU(每1秒发送1个LACPDU);若LACP超时时间为长超时,则对端将慢速发送LACPDU(每30秒发送1个LACPDU).
2.
动态聚合模式的工作机制:(1)选择参考端口参考端口从聚合链路两端处于up状态的成员端口中选出,其操作Key和属性类配置将作为同一聚合组内的其他成员端口的参照,只有操作Key和属性类配置与参考端口一致的成员端口才能被选中.
首先,从聚合链路的两端选出设备ID(由系统的LACP优先级和系统的MAC地址共同构成)较小的一端:先比较两端的系统LACP优先级,优先级数值越小其设备ID越小;如果优先级相同再比较其系统MAC地址,MAC地址越小其设备ID越小.
其次,对于设备ID较小的一端,再比较其聚合组内各成员端口的端口ID(由端口优先级和端口的编号共同构成):先比较端口优先级,优先级数值越小其端口ID越小;如果优先级相同再比较其端口号,端口号越小其端口ID越小.
端口ID最小、且属性类配置与对应聚合接口相同的端口作为参考端口.
(2)确定成员端口的状态在设备ID较小的一端,动态聚合组内成员端口状态的确定流程如图1-3所示.
1-6图1-3动态聚合组内成员端口状态的确定流程与此同时,设备ID较大的一端也会随着对端成员端口状态的变化,随时调整本端各成员端口的状态,以确保聚合链路两端成员端口状态的一致.
确定动态聚合组内成员端口状态时,需要注意:当动态聚合组内同时存在全双工端口和半双工端口时,全双工端口将优先成为选中端口;只有当所有全双工端口都无法成为选中端口,或动态聚合组内只有半双工端口时,才允许从半双工端口中选出一个成为选中端口,且只有一个半双工端口可成为选中端口.
当一个成员端口的操作Key或属性类配置改变时,其所在动态聚合组内各成员端口的选中/非选中状态可能会发生改变.
当本端端口的选中/非选中状态发生改变时,其对端端口的选中/非选中状态也将随之改变.
当动态聚合组内选中端口的数量已达到上限时,后加入的成员端口一旦满足成为选中端口的所有条件,就会立刻取代已不满足条件的端口成为选中端口.
1-71.
1.
4聚合负载分担类型通过采用逐流负载分担类型,按照报文的源/目的服务端口、源/目的IP地址标签中的一种或某几种的组合区分流,使属于同一数据流的报文从同一条成员链路上通过.
可以实现灵活地对聚合组内流量进行负载分担.
1.
2以太网链路聚合配置任务简介表1-4以太网链路聚合配置任务简介配置任务说明详细配置配置聚合组配置静态聚合组二者必选其一1.
3.
1配置动态聚合组1.
3.
2聚合接口相关配置配置聚合接口的描述信息可选1.
4.
1配置三层聚合接口MTU可选1.
4.
2限制聚合组内选中端口的数量可选1.
4.
3配置聚合接口的期望带宽可选1.
4.
4关闭聚合接口可选1.
4.
5恢复聚合接口的缺省配置可选1.
4.
6配置聚合负载分担可选1.
5配置聚合流量重定向功能可选1.
61.
3配置聚合组配置聚合组时,需要注意:用户删除聚合接口时,系统将自动删除对应的聚合组,且该聚合组内的所有成员端口将全部离开该聚合组.
聚合链路的两端应配置相同的聚合模式.
1.
3.
1配置静态聚合组对于静态聚合模式,用户需要保证在同一链路两端端口的选中/非选中状态的一致性,否则聚合功能无法正常使用.
1.
配置三层静态聚合组表1-5配置三层静态聚合组操作命令说明进入系统视图system-view-1-8操作命令说明创建三层聚合接口,并进入三层聚合接口视图interfaceroute-aggregationinterface-number创建三层聚合接口后,系统将自动生成同编号的三层聚合组,且该聚合组缺省工作在静态聚合模式下退回系统视图quit-进入三层以太网接口视图interfaceinterface-typeinterface-number多次执行此步骤可将多个三层以太网接口加入聚合组将三层以太网接口加入聚合组portlink-aggregationgroupnumber1.
3.
2配置动态聚合组对于动态聚合模式,聚合链路两端的设备会自动协商同一链路两端的端口在各自聚合组内的选中/非选中状态,用户只需保证本端聚合在一起的端口的对端也同样聚合在一起,聚合功能即可正常使用.
1.
配置三层动态聚合组表1-6配置三层动态聚合组操作命令说明进入系统视图system-view-配置系统的LACP优先级lacpsystem-prioritysystem-priority缺省情况下,系统的LACP优先级为32768改变系统的LACP优先级,将会影响到动态聚合组成员的选中/非选中状态创建三层聚合接口,并进入三层聚合接口视图interfaceroute-aggregationinterface-number创建三层聚合接口后,系统将自动生成同编号的三层聚合组,且该聚合组缺省工作在静态聚合模式下配置聚合组工作在动态聚合模式下link-aggregationmodedynamic缺省情况下,聚合组工作在静态聚合模式下退回系统视图quit-进入三层以太网接口视图interfaceinterface-typeinterface-number多次执行此步骤可将多个三层以太网接口加入聚合组将三层以太网接口加入聚合组portlink-aggregationgroupnumber配置当前端口的LACP工作模式为PASSIVElacpmodepassive二者选其一缺省情况下,端口的LACP工作模式为ACTIVE配置当前端口的LACP工作模式为ACTIVEundolacpmode配置端口优先级link-aggregationport-priorityport-priority缺省情况下,端口优先级为32768配置端口的LACP超时时间为短超时(3秒),并使对端快速发送LACPDUlacpperiodshort缺省情况下,端口的LACP超时时间为长超时(90秒),对端慢速发送LACPDU1-91.
4聚合接口相关配置本节对能够在聚合接口上进行的部分配置进行介绍.
除本节所介绍的配置外,能够在三层以太网接口上进行的配置大多数也能在三层聚合接口上进行,具体配置请参见相关的配置指导.
1.
4.
1配置聚合接口的描述信息通过在接口上配置描述信息,可以方便网络管理员根据这些信息来区分各接口的作用.
表1-7配置聚合接口的描述信息操作命令说明进入系统视图system-view-进入三层聚合接口/子接口视图interfaceroute-aggregation{interface-number|interface-number.
subnumber}-配置当前接口的描述信息descriptiontext缺省情况下,接口的描述信息为"接口名Interface"1.
4.
2配置三层聚合接口MTUMTU(MaximumTransmissionUnit,最大传输单元)参数会影响IP报文的分片与重组,可以通过下面的配置来改变MTU值.
表1-8配置三层聚合接口MTU操作命令说明进入系统视图system-view-进入三层聚合接口/子接口视图interfaceroute-aggregation{interface-number|interface-number.
subnumber}-配置三层聚合接口/子接口的MTU值mtusize缺省情况下,三层聚合接口/子接口的MTU值为1500字节1.
4.
3限制聚合组内选中端口的数量本端和对端配置的聚合组中的最小/最大选中端口数必须一致.
聚合链路的带宽取决于聚合组内选中端口的数量,用户通过配置聚合组中的最小选中端口数,可以避免由于选中端口太少而造成聚合链路上的流量拥塞.
当聚合组内选中端口的数量达不到配置值时,对应的聚合接口将不会up.
具体实现如下:1-10如果聚合组内能够被选中的成员端口数小于配置值,这些成员端口都将变为非选中状态,对应聚合接口的链路状态也将变为down.
当聚合组内能够被选中的成员端口数增加至不小于配置值时,这些成员端口都将变为选中状态,对应聚合接口的链路状态也将变为up.
当配置了聚合组中的最大选中端口数之后,最大选中端口数将同时受配置值和设备硬件能力的限制,即取二者的较小值作为限制值.
用户借此可实现两端口间的冗余备份:在一个聚合组中只添加两个成员端口,并配置该聚合组中的最大选中端口数为1,这样这两个成员端口在同一时刻就只能有一个成为选中端口,而另一个将作为备份端口.
表1-9限制聚合组内选中端口的数量操作命令说明进入系统视图system-view-进入三层聚合接口interfaceroute-aggregationinterface-number-配置聚合组中的最小选中端口数link-aggregationselected-portminimumnumber缺省情况下,聚合组中的最小选中端口数不受限制配置聚合组中的最大选中端口数link-aggregationselected-portmaximumnumber缺省情况下,聚合组中的最大选中端口数仅受设备硬件能力的限制1.
4.
4配置聚合接口的期望带宽表1-10配置聚合接口的期望带宽操作命令说明进入系统视图system-view-进入三层聚合接口/子接口视图interfaceroute-aggregation{interface-number|interface-number.
subnumber}-配置当前接口的期望带宽bandwidthbandwidth-value缺省情况下,接口的期望带宽=接口的波特率÷1000(kbit/s)1.
4.
5关闭聚合接口聚合接口关闭时,聚合组内成员端口上不能配置loopback命令,同样的,配置有loopback命令的端口不能加入处于关闭状态的聚合接口.
有关loopback命令的详细介绍,请参见"二层交换-以太网交换命令参考"中的"以太网接口".
对聚合接口的开启/关闭操作,将会影响聚合接口对应的聚合组内成员端口的选中/非选中状态和链路状态:1-11关闭聚合接口时,将使对应聚合组内所有处于选中状态的成员端口都变为非选中端口,且所有成员端口的链路状态都将变为down.
开启聚合接口时,系统将重新计算对应聚合组内成员端口的选中/非选中状态.
表1-11关闭聚合接口操作命令说明进入系统视图system-view-进入三层聚合接口/子接口视图interfaceroute-aggregation{interface-number|interface-number.
subnumber}-关闭当前接口shutdown缺省情况下,聚合接口为打开状态1.
4.
6恢复聚合接口的缺省配置通过执行本操作可以将聚合接口下的所有配置都恢复为缺省配置.
表1-12恢复聚合接口的缺省配置操作命令说明进入系统视图system-view-进入三层聚合接口/子接口视图interfaceroute-aggregation{interface-number|interface-number.
subnumber}-恢复当前聚合接口的缺省配置default-1.
5配置聚合负载分担聚合负载分担类型支持全局配置或在聚合组内配置两种方式:全局的配置对所有聚合组都有效,而聚合组内的配置只对当前聚合组有效.
对于一个聚合组来说,优先采用该聚合组内的配置,只有该聚合组内未进行配置时,才采用全局的配置.
1.
全局配置聚合负载分担类型表1-13全局配置聚合负载分担类型操作命令说明进入系统视图system-view-配置全局采用的聚合负载分担类型link-aggregationglobalload-sharingmode{destination-ip|destination-port|source-ip|source-port}1-122.
在聚合组内配置聚合负载分担类型表1-14在聚合组内配置聚合负载分担类型操作命令说明进入系统视图system-view-进入三层聚合接口视图interfaceroute-aggregationinterface-number-配置聚合组内采用的聚合负载分担类型link-aggregationload-sharingmode{destination-ip|destination-port|source-ip|source-port}1.
6配置聚合流量重定向功能在使能了聚合流量重定向功能后,当关闭聚合组内某选中端口时,系统可以将该端口上的流量重定向到其他选中端口上,从而实现聚合链路上流量的不中断.
(MSR2600/MSR3600)在使能了聚合流量重定向功能后,当重启设备上某块有聚合组选中端口的单板时,系统可以将该单板上的流量重定向到其他单板上,从而实现聚合链路上流量的不中断.
(MSR5600)配置聚合流量重定向功能时,需要注意:必须在聚合链路两端都使能聚合流量重定向功能才能实现聚合链路上流量的不中断.
如果同时使能聚合流量重定向功能和生成树功能,在重启单板/设备时会出现少量的丢包,因此不建议同时使能上述两个功能.
只有动态聚合组支持聚合流量重定向功能.
表1-15配置聚合流量重定向功能操作命令说明进入系统视图system-view-使能聚合流量重定向功能link-aggregationlacptraffic-redirect-notificationenable缺省情况下,聚合流量重定向功能处于关闭状态1.
7以太网链路聚合显示与维护在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网链路聚合的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除端口的LACP和聚合接口上的统计信息.
表1-16以太网链路聚合显示与维护操作命令显示聚合接口的相关信息displayinterface[route-aggregation[interface-number]][brief[description|down]]显示本端系统的设备IDdisplaylacpsystem-id1-13操作命令显示全局或聚合组内采用的聚合负载分担类型displaylink-aggregationload-sharingmode[interface[route-aggregationinterface-number]]显示成员端口上链路聚合的详细信息displaylink-aggregationmember-port[interface-list]显示所有聚合组的摘要信息displaylink-aggregationsummary显示已有聚合接口所对应聚合组的详细信息displaylink-aggregationverbose[route-aggregation[interface-number]]清除成员端口上的LACP统计信息resetlacpstatistics[interfaceinterface-list]清除聚合接口上的统计信息resetcountersinterface[route-aggregation[interface-number]]1.
8以太网链路聚合典型配置举例1.
8.
1三层静态聚合配置举例1.
组网需求DeviceA与DeviceB通过各自的三层以太网接口GigabitEthernet2/1/1~GigabitEthernet2/1/3相互连接.
在DeviceA和DeviceB上分别配置三层静态链路聚合组,并为对应的三层聚合接口配置IP地址和子网掩码.
2.
组网图图1-4三层静态聚合配置组网图3.
配置步骤(1)配置DeviceA#创建三层聚合接口1,并为该接口配置IP地址和子网掩码.
system-view[DeviceA]interfaceroute-aggregation1[DeviceA-Route-Aggregation1]ipaddress192.
168.
1.
124[DeviceA-Route-Aggregation1]quit#分别将接口GigabitEthernet2/1/1至GigabitEthernet2/1/3加入到聚合组1中.
[DeviceA]interfacegigabitethernet2/1/1[DeviceA-GigabitEthernet2/1/1]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/1]quit[DeviceA]interfacegigabitethernet2/1/2[DeviceA-GigabitEthernet2/1/2]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/2]quit1-14[DeviceA]interfacegigabitethernet2/1/3[DeviceA-GigabitEthernet2/1/3]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/3]quit(2)配置DeviceBDeviceB的配置与DeviceA相似,配置过程略.
4.
验证配置#查看DeviceA上所有聚合组的详细信息.
[DeviceA]displaylink-aggregationverboseLoadsharingType:Shar--Loadsharing,NonS--Non-LoadsharingPortStatus:S--Selected,U--UnselectedFlags:A--LACP_Activity,B--LACP_Timeout,C--Aggregation,D--Synchronization,E--Collecting,F--Distributing,G--Defaulted,H--ExpiredAggregateInterface:Route-Aggregation1AggregationMode:StaticLoadsharingType:SharPortStatusPriorityOper-KeyGE2/1/1S327681GE2/1/2S327681GE2/1/3S327681以上信息表明,聚合组1为负载分担类型的三层静态聚合组,包含有三个选中端口.
1.
8.
2三层动态聚合配置举例1.
组网需求DeviceA与DeviceB通过各自的三层以太网接口GigabitEthernet2/1/1~GigabitEthernet2/1/3相互连接.
在DeviceA和DeviceB上分别配置三层动态链路聚合组,并为对应的三层聚合接口配置IP地址和子网掩码.
2.
组网图图1-5三层动态聚合配置组网图3.
配置步骤(1)配置DeviceA#创建三层聚合接口1,配置该接口为动态聚合模式,并为其配置IP地址和子网掩码.
system-view[DeviceA]interfaceroute-aggregation1GE1/0/2GE1/0/1GE1/0/3Linkaggregation1GE1/0/2GE1/0/1GE1/0/3DeviceADeviceBRAGG1192.
168.
1.
1/24RAGG1192.
168.
1.
2/241-15[DeviceA-Route-Aggregation1]link-aggregationmodedynamic[DeviceA-Route-Aggregation1]ipaddress192.
168.
1.
124[DeviceA-Route-Aggregation1]quit#分别将接口GigabitEthernet2/1/1至GigabitEthernet2/1/3加入到聚合组1中.
[DeviceA]interfacegigabitethernet2/1/1[DeviceA-GigabitEthernet2/1/1]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/1]quit[DeviceA]interfacegigabitethernet2/1/2[DeviceA-GigabitEthernet2/1/2]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/2]quit[DeviceA]interfacegigabitethernet2/1/3[DeviceA-GigabitEthernet2/1/3]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/3]quit(2)配置DeviceBDeviceB的配置与DeviceA相似,配置过程略.
4.
验证配置#查看DeviceA上所有聚合组的详细信息.
[DeviceA]displaylink-aggregationverboseLoadsharingType:Shar--Loadsharing,NonS--Non-LoadsharingPortStatus:S--Selected,U--UnselectedFlags:A--LACP_Activity,B--LACP_Timeout,C--Aggregation,D--Synchronization,E--Collecting,F--Distributing,G--Defaulted,H--ExpiredAggregateInterface:Route-Aggregation1AggregationMode:DynamicLoadsharingType:SharSystemID:0x8000,000f-e267-6c6aLocal:PortStatusPriorityOper-KeyFlagGE2/1/1S327681{ACDEF}GE2/1/2S327681{ACDEF}GE2/1/3S327681{ACDEF}Remote:ActorPartnerPriorityOper-KeySystemIDFlagGE2/1/113276810x8000,000f-e267-57ad{ACDEF}GE2/1/223276810x8000,000f-e267-57ad{ACDEF}GE2/1/333276810x8000,000f-e267-57ad{ACDEF}以上信息表明,聚合组1为负载分担类型的三层动态聚合组,包含有三个选中端口.
1-161.
8.
3三层聚合负载分担配置举例1.
组网需求DeviceA与DeviceB通过各自的三层以太网接口GigabitEthernet2/1/1~GigabitEthernet2/1/4相互连接.
在DeviceA和DeviceB上分别配置两个三层静态链路聚合组,并为对应的三层聚合接口都配置IP地址和子网掩码.
通过在聚合组1上按照源IP地址进行聚合负载分担、在聚合组2上按照目的IP地址进行聚合负载分担的方式,来实现数据流量在各成员端口间的负载分担.
2.
组网图图1-6三层聚合负载分担配置组网图3.
配置步骤(1)配置DeviceA#创建三层聚合接口1,配置该接口对应的聚合组内按照源IP地址进行聚合负载分担,并为其配置IP地址和子网掩码.
system-view[DeviceA]interfaceroute-aggregation1[DeviceA-Route-Aggregation1]link-aggregationload-sharingmodesource-ip[DeviceA-Route-Aggregation1]ipaddress192.
168.
1.
124[DeviceA-Route-Aggregation1]quit#分别将接口GigabitEthernet2/1/1和GigabitEthernet2/1/2加入到聚合组1中.
[DeviceA]interfacegigabitethernet2/1/1[DeviceA-GigabitEthernet2/1/1]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/1]quit[DeviceA]interfacegigabitethernet2/1/2[DeviceA-GigabitEthernet2/1/2]portlink-aggregationgroup1[DeviceA-GigabitEthernet2/1/2]quit#创建三层聚合接口2,配置该接口对应的聚合组内按照目的IP地址进行聚合负载分担,并为其配置IP地址和子网掩码.
[DeviceA]interfaceroute-aggregation2[DeviceA-Route-Aggregation2]link-aggregationload-sharingmodedestination-ip[DeviceA-Route-Aggregation2]ipaddress192.
168.
2.
124[DeviceA-Route-Aggregation2]quit#分别将接口GigabitEthernet2/1/3和GigabitEthernet2/1/4加入到聚合组2中.
[DeviceA]interfacegigabitethernet2/1/3[DeviceA-GigabitEthernet2/1/3]portlink-aggregationgroup2[DeviceA-GigabitEthernet2/1/3]quit1-17[DeviceA]interfacegigabitethernet2/1/4[DeviceA-GigabitEthernet2/1/4]portlink-aggregationgroup2[DeviceA-GigabitEthernet2/1/4]quit(2)配置DeviceBDeviceB的配置与DeviceA相似,配置过程略.
4.
验证配置#查看DeviceA上所有聚合组的详细信息.
[DeviceA]displaylink-aggregationverboseLoadsharingType:Shar--Loadsharing,NonS--Non-LoadsharingPortStatus:S--Selected,U--UnselectedFlags:A--LACP_Activity,B--LACP_Timeout,C--Aggregation,D--Synchronization,E--Collecting,F--Distributing,G--Defaulted,H--ExpiredAggregateInterface:Route-Aggregation1AggregationMode:StaticLoadsharingType:SharPortStatusPriorityOper-KeyGE2/1/1S327681GE2/1/2S327681AggregateInterface:Route-Aggregation2AggregationMode:StaticLoadsharingType:SharPortStatusPriorityOper-KeyGE2/1/3S327682GE2/1/4S327682以上信息表明,聚合组1和聚合组2都是负载分担类型的三层静态聚合组,各包含有两个选中端口.
#查看DeviceA上所有聚合接口所对应聚合组内采用的聚合负载分担类型.
[DeviceA]displaylink-aggregationload-sharingmodeinterfaceRoute-Aggregation1Load-SharingMode:source-ipaddressRoute-Aggregation2Load-SharingMode:destination-ipaddress以上信息表明,三层聚合组1按照报文的源IP地址进行聚合负载分担,三层聚合组2按照报文的目的IP地址进行聚合负载分担.
i目录1端口隔离1-11.
1端口隔离简介·1-11.
2配置隔离组1-21.
3端口隔离显示和维护·1-21.
4端口隔离典型配置举例·1-21-11端口隔离该特性仅在安装了SIC4GSW/SIC4GSWP/DSIC9FSW/DSIC9FSWP/HMIM24GSW/HMIM24GSW-POE/HMIM8GSW接口卡的款型和MSR3600-28/MSR3600-51的固定二层接口上支持.
1.
1端口隔离简介为了实现端口间的二层隔离,可以将不同的端口加入不同的VLAN,但VLAN资源有限.
采用端口隔离特性,用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层隔离,而不关心这些端口所属VLAN,从而节省VLAN资源.
隔离组内的端口与未加入隔离组的端口之间二层流量双向互通.
如1图1-1所示,DeviceB和DeviceC都通过DeviceA与外部网络相连,DeviceA分别通过GigabitEthernet2/1/2和GigabitEthernet2/1/3连接DeviceB和DeviceC,且这两个端口均允许VLAN2、VLAN3的报文通过.
将GigabitEthernet2/1/2和GigabitEthernet2/1/3加入隔离组1后,DeviceB与DeviceC之间不能二层互通(属于同一VLAN的HostA和HostC之间、HostB和HostD之间也不能互通).
图1-1非隔离VLAN示意图1-21.
2配置隔离组设备只支持一个隔离组,由系统自动创建隔离组1,用户不可删除该隔离组或创建其他的隔离组.
隔离组内可以加入的端口数量没有限制.
表1-1配置隔离组操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number二层以太网接口视图下的配置只对当前端口生效将当前端口加入到隔离组中port-isolateenable缺省情况下,当前端口未加入隔离组1.
3端口隔离显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后端口隔离的运行情况,通过查看显示信息验证配置的效果.
表1-2端口隔离显示和维护操作命令显示隔离组的信息displayport-isolategroup1.
4端口隔离典型配置举例1.
组网需求如图1-2所示,小区用户HostA、HostB、HostC分别与Router的端口GigabitEthernet2/1/1、GigabitEthernet2/1/2、GigabitEthernet2/1/3相连,Router设备通过GigabitEthernet2/1/4端口与外部网络相连.
现需要实现小区用户HostA、HostB和HostC彼此之间二层报文不能互通,但可以和外部网络通信.
1-32.
组网图图1-2端口隔离组网图3.
配置步骤#将端口GigabitEthernet2/1/1、GigabitEthernet2/1/2、GigabitEthernet2/1/3加入隔离组.
system-view[Router]interfacegigabitethernet2/1/1[Router-GigabitEthernet2/1/1]port-isolateenable[Router-GigabitEthernet2/1/1]quit[Router]interfacegigabitethernet2/1/2[Router-GigabitEthernet2/1/2]port-isolateenable[Router-GigabitEthernet2/1/2]quit[Router]interfacegigabitethernet2/1/3[Router-GigabitEthernet2/1/3]port-isolateenable[Router-GigabitEthernet2/1/3]quit4.
验证配置#显示隔离组中的信息.
[Router]displayport-isolategroupPortisolationgroupinformation:GroupID:1Groupmembers:GigabitEthernet2/1/1GigabitEthernet2/1/2GigabitEthernet2/1/3以上信息显示Router上的端口GigabitEthernet2/1/1、GigabitEthernet2/1/2、GigabitEthernet2/1/3已经加入隔离组,从而实现二层隔离,分别对应的HostA、HostB和HostC彼此之间不能Ping通.
i目录1生成树·1-11.
1生成树简介1-11.
1.
1STP简介1-11.
1.
2RSTP简介·1-71.
1.
3PVST简介·1-71.
1.
4MSTP简介1-81.
1.
5协议规范1-131.
2生成树配置任务简介·1-131.
2.
1STP配置任务简介·1-131.
2.
2RSTP配置任务简介1-141.
2.
3PVST配置任务简介·1-151.
2.
4MSTP配置任务简介·1-161.
3配置生成树1-171.
3.
1配置生成树的工作模式1-171.
3.
2配置MST域1-181.
3.
3配置根桥和备份根桥1-191.
3.
4配置设备的优先级·1-201.
3.
5配置MST域的最大跳数1-201.
3.
6配置交换网络的网络直径·1-201.
3.
7配置生成树的时间参数1-211.
3.
8配置超时时间因子·1-221.
3.
9配置端口发送BPDU的速率·1-231.
3.
10配置端口为边缘端口·1-231.
3.
11配置端口的路径开销·1-241.
3.
12配置端口的优先级·1-261.
3.
13配置端口的链路类型·1-271.
3.
14配置端口收发的MSTP报文格式·1-271.
3.
15打开端口状态变化信息显示开关·1-281.
3.
16使能生成树协议1-281.
3.
17执行mCheck操作·1-291.
3.
18配置摘要侦听功能·1-301.
3.
19配置NoAgreementCheck功能·1-321.
3.
20配置生成树保护功能·1-34ii1.
4生成树显示和维护1-371.
5生成树典型配置举例·1-371.
5.
1MSTP典型配置举例·1-371.
5.
2PVST典型配置举例·1-411-11生成树该特性仅在安装了二层接口卡的款型和MSR3600-28/MSR3600-51的固定二层接口上支持.
1.
1生成树简介生成树协议是一种二层管理协议,它通过选择性地阻塞网络中的冗余链路来消除二层环路,同时还具备链路备份的功能.
与众多协议的发展过程一样,生成树协议也是随着网络的发展而不断更新的,从最初的STP(SpanningTreeProtocol,生成树协议)到RSTP(RapidSpanningTreeProtocol,快速生成树协议)和PVST(Per-VLANSpanningTree,每VLAN生成树),再到最新的MSTP(MultipleSpanningTreeProtocol,多生成树协议).
本文将对STP、RSTP、PVST和MSTP各自的特点及其相互间的关系进行介绍.
1.
1.
1STP简介STP由IEEE制定的802.
1D标准定义,用于在局域网中消除数据链路层物理环路的协议.
运行该协议的设备通过彼此交互信息发现网络中的环路,并有选择的对某些端口进行阻塞,最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环,避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生.
STP包含了两个含义,狭义的STP是指IEEE802.
1D中定义的STP协议,广义的STP是指包括IEEE802.
1D定义的STP协议以及各种在它的基础上经过改进的生成树协议.
1.
STP的协议报文STP采用的协议报文是BPDU(BridgeProtocolDataUnit,桥协议数据单元),也称为配置消息.
本文中将把生成树协议的协议报文均简称为BPDU.
STP通过在设备之间传递BPDU来确定网络的拓扑结构.
BPDU中包含了足够的信息来保证设备完成生成树的计算过程.
STP协议的BPDU分为以下两类:配置BPDU(ConfigurationBPDU):用来进行生成树计算和维护生成树拓扑的报文.
TCNBPDU(TopologyChangeNotificationBPDU,拓扑变化通知BPDU):当拓扑结构发生变化时,用来通知相关设备网络拓扑结构发生变化的报文.
BPDU中包含有足够的信息来保证设备完成生成树的计算过程,其中包括:根桥(RootBridge)ID:由根桥的优先级和MAC地址组成.
根路径开销:到根桥的路径开销.
指定桥ID:由指定桥的优先级和MAC地址组成.
指定端口ID:由指定端口的优先级和该端口的全局编号组成.
MessageAge:BPDU在网络中传播的生存期.
1-2MaxAge:BPDU在设备中的最大生存期.
HelloTime:BPDU的发送周期.
ForwardDelay:端口状态迁移的延迟时间.
2.
STP的基本概念(1)根桥树形的网络结构必须有树根,于是STP引入了根桥的概念.
根桥在全网中有且只有一个,其他设备则称为叶子节点.
根桥会根据网络拓扑的变化而改变,因此根桥并不是固定的.
在网络初始化过程中,所有设备都视自己为根桥,生成各自的配置BPDU并周期性地向外发送;但当网络拓扑稳定以后,只有根桥设备才会向外发送配置BPDU,其他设备则对其进行转发.
(2)根端口所谓根端口,是指非根桥设备上离根桥最近的端口.
根端口负责与根桥进行通信.
非根桥设备上有且只有一个根端口,根桥上没有根端口.
(3)指定桥与指定端口有关指定桥与指定端口的含义,请参见表1-1的说明.
表1-1指定桥与指定端口的含义分类指定桥指定端口对于一台设备而言与本机直接相连并且负责向本机转发BPDU的设备指定桥向本机转发BPDU的端口对于一个局域网而言负责向本网段转发BPDU的设备指定桥向本网段转发BPDU的端口如图1-1所示,DeviceB和DeviceC与LAN直接相连.
如果DeviceA通过PortA1向DeviceB转发BPDU,则DeviceB的指定桥就是DeviceA,指定端口就是DeviceA上的PortA1;如果DeviceB负责向LAN转发BPDU,则LAN的指定桥就是DeviceB,指定端口就是DeviceB上的PortB2.
图1-1指定桥与指定端口示意图(4)路径开销1-3路径开销是STP协议用于选择链路的参考值.
STP协议通过计算路径开销,选择较为"强壮"的链路,阻塞多余的链路,将网络修剪成无环路的树型网络结构.
3.
STP的基本原理STP算法实现的基本过程如下:(1)初始状态各设备的各端口在初始时会生成以本设备为根桥的BPDU,根路径开销为0,指定桥ID为自身设备ID,指定端口为本端口.
(2)选择根桥网络初始化时,网络中所有的STP设备都认为自己是"根桥",根桥ID为自身的设备ID.
通过交换BPDU,设备之间比较根桥ID,网络中根桥ID最小的设备被选为根桥.
(3)选择根端口和指定端口根端口和指定端口的选择过程如表1-2所示.
表1-2根端口和指定端口的选择过程步骤内容1非根桥设备将接收最优BPDU(最优BPDU的选择过程如表1-3所示)的那个端口定为根端口2设备根据根端口的BPDU和根端口的路径开销,为每个端口计算一个指定端口BPDU:根桥ID替换为根端口的BPDU的根桥ID;根路径开销替换为根端口BPDU的根路径开销加上根端口对应的路径开销;指定桥ID替换为自身设备的ID;指定端口ID替换为自身端口ID.
3设备将计算出的BPDU与角色待定端口自己的BPDU进行比较:如果计算出的BPDU更优,则该端口被确定为指定端口,其BPDU也被计算出的BPDU替换,并周期性地向外发送;如果该端口自己的BPDU更优,则不更新该端口的BPDU并将该端口阻塞.
该端口将不再转发数据,且只接收不发送BPDU.
当拓扑处于稳定状态时,只有根端口和指定端口在转发用户流量.
其他端口都处于阻塞状态,只接收STP协议报文而不转发用户流量.
表1-3最优BPDU的选择过程步骤内容1每个端口将收到的BPDU与自己的BPDU进行比较:如果收到的BPDU优先级较低,则将其直接丢弃,对自己的BPDU不进行任何处理;如果收到的BPDU优先级较高,则用该BPDU的内容将自己BPDU的内容替换掉.
2设备将所有端口的BPDU进行比较,选出最优的BPDU1-4BPDU优先级的比较规则如下:根桥ID较小的BPDU优先级较高;若根桥ID相同,则比较根路径开销:将BPDU中的根路径开销与本端口对应的路径开销相加,二者之和较小的BPDU优先级较高;若根路径开销也相同,则依次比较指定桥ID、指定端口ID、接收该BPDU的端口ID等,上述值较小的BPDU优先级较高.
一旦根桥、根端口和指定端口选举成功,整个树形拓扑就建立完毕了.
下面结合例子说明STP算法实现的具体过程.
图1-2STP算法实现过程组网图如图1-2所示,DeviceA、DeviceB和DeviceC的优先级分别为0、1和2,DeviceA与DeviceB之间、DeviceA与DeviceC之间以及DeviceB与DeviceC之间链路的路径开销分别为5、10和4.
(1)各设备的初始状态各设备的初始状态如表1-4所示.
表1-4各设备的初始状态设备端口名称端口的BPDUDeviceAPortA1{0,0,0,PortA1}PortA2{0,0,0,PortA2}DeviceBPortB1{1,0,1,PortB1}PortB2{1,0,1,PortB2}DeviceCPortC1{2,0,2,PortC1}PortC2{2,0,2,PortC2}1-5表1-4中BPDU各项的具体含义为:{根桥ID,根路径开销,指定桥ID,指定端口ID}.
(2)各设备的比较过程及结果各设备的比较过程及结果如表1-5所示.
表1-5各设备的比较过程及结果设备比较过程比较后端口的BPDUDeviceAPortA1收到PortB1的BPDU{1,0,1,PortB1},发现自己的BPDU{0,0,0,PortA1}更优,于是将其丢弃.
PortA2收到PortC1的BPDU{2,0,2,PortC1},发现自己的BPDU{0,0,0,PortA2}更优,于是将其丢弃.
DeviceA发现自己各端口的BPDU中的根桥和指定桥都是自己,于是认为自己就是根桥,各端口的BPDU都不作任何修改,此后便周期性地向外发送BPDU.
PortA1:{0,0,0,PortA1}PortA2:{0,0,0,PortA2}DeviceBPortB1收到PortA1的BPDU{0,0,0,PortA1},发现其比自己的BPDU{1,0,1,PortB1}更优,于是更新自己的BPDU.
PortB2收到PortC2的BPDU{2,0,2,PortC2},发现自己的BPDU{1,0,1,PortB2}更优,于是将其丢弃.
PortB1:{0,0,0,PortA1}PortB2:{1,0,1,PortB2}DeviceB比较自己各端口的BPDU,发现PortB1的BPDU最优,于是该端口被确定为根端口,其BPDU不变.
DeviceB根据根端口的BPDU和路径开销,为PortB2计算出指定端口的BPDU{0,5,1,PortB2},然后与PortB2本身的BPDU{1,0,1,PortB2}进行比较,发现计算出的BPDU更优,于是PortB2被确定为指定端口,其BPDU也被替换为计算出的BPDU,并周期性地向外发送.
根端口PortB1:{0,0,0,PortA1}指定端口PortB2:{0,5,1,PortB2}DeviceCPortC1收到PortA2的BPDU{0,0,0,PortA2},发现其比自己的BPDU{2,0,2,PortC1}更优,于是更新自己的BPDU.
PortC2收到PortB2更新前的BPDU{1,0,1,PortB2},发现其比自己的BPDU{2,0,2,PortC2}更优,于是更新自己的BPDU.
PortC1:{0,0,0,PortA2}PortC2:{1,0,1,PortB2}1-6设备比较过程比较后端口的BPDUDeviceC比较自己各端口的BPDU,发现PortC1的BPDU最优,于是该端口被确定为根端口,其BPDU不变.
DeviceC根据根端口的BPDU和路径开销,为PortC2计算出指定端口的BPDU{0,10,2,PortC2},然后与PortC2本身的BPDU{1,0,1,PortB2}进行比较,发现计算出的BPDU更优,于是PortC2被确定为指定端口,其BPDU也被替换为计算出的BPDU.
根端口PortC1:{0,0,0,PortA2}指定端口PortC2:{0,10,2,PortC2}PortC2收到PortB2更新后的BPDU{0,5,1,PortB2},发现其比自己的BPDU{0,10,2,PortC2}更优,于是更新自己的BPDU.
PortC1收到PortA2周期性发来的BPDU{0,0,0,PortA2},发现其与自己的BPDU一样,于是将其丢弃.
PortC1:{0,0,0,PortA2}PortC2:{0,5,1,PortB2}DeviceC比较PortC1的根路径开销10(收到的BPDU中的根路径开销0+本端口所在链路的路径开销10)与PortC2的根路径开销9(收到的BPDU中的根路径开销5+本端口所在链路的路径开销4),发现后者更小,因此PortC2的BPDU更优,于是PortC2被确定为根端口,其BPDU不变.
DeviceC根据根端口的BPDU和路径开销,为PortC1计算出指定端口的BPDU{0,9,2,PortC1},然后与PortC1本身的BPDU{0,0,0,PortA2}进行比较,发现本身的BPDU更优,于是PortC1被阻塞,其BPDU不变.
从此,PortC1不再转发数据,直至有触发生成树计算的新情况出现,譬如DeviceB与DeviceC之间的链路down掉.
阻塞端口PortC1:{0,0,0,PortA2}根端口PortC2:{0,5,1,PortB2}经过上述比较过程之后,以DeviceA为根桥的生成树就确定下来了,其拓扑如图1-3所示.
图1-3计算后得到的拓扑为了便于描述,本例简化了生成树的计算过程,实际的过程要更加复杂.
4.
STP的BPDU传递机制STP的BPDU传递机制如下:当网络初始化时,所有的设备都将自己作为根桥,生成以自己为根的BPDU,并以HelloTime为周期定时向外发送.
1-7接收到BPDU的端口如果是根端口,且接收的BPDU比该端口的BPDU优,则设备将BPDU中携带的MessageAge按照一定的原则递增,并启动定时器为这条BPDU计时,同时将此BPDU从设备的指定端口转发出去.
如果指定端口收到的BPDU比本端口的BPDU优先级低时,会立刻发出自己的更好的BPDU进行回应.
如果某条路径发生故障,则这条路径上的根端口不会再收到新的BPDU,旧的BPDU将会因为超时而被丢弃,设备重新生成以自己为根的BPDU并向外发送,从而引发生成树的重新计算,得到一条新的通路替代发生故障的链路,恢复网络连通性.
不过,重新计算得到的新BPDU不会立刻就传遍整个网络,因此旧的根端口和指定端口由于没有发现网络拓扑变化,将仍按原来的路径继续转发数据.
如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路.
5.
STP的时间参数在STP的计算过程中,用到了以下三个重要的时间参数:ForwardDelay:用于确定状态迁移的延迟时间.
链路故障会引发网络重新进行生成树的计算,生成树的结构将发生相应的变化.
不过重新计算得到的新BPDU无法立刻传遍整个网络,如果新选出的根端口和指定端口立刻就开始数据转发的话,可能会造成暂时性的环路.
为此,STP采用了一种状态迁移的机制,新选出的根端口和指定端口要经过2倍的ForwardDelay延时后才能进入转发状态,这个延时保证了新的BPDU已经传遍整个网络.
HelloTime:用于设备检测链路是否存在故障.
设备每隔HelloTime时间会向周围的设备发送Hello报文,以确认链路是否存在故障.
MaxAge:用于判断BPDU在设备内的保存时间是否"过时",设备会将过时的BPDU丢弃.
1.
1.
2RSTP简介RSTP由IEEE制定的802.
1w标准定义,它在STP基础上进行了改进,实现了网络拓扑的快速收敛.
其"快速"体现在,当一个端口被选为根端口和指定端口后,其进入转发状态的延时将大大缩短,从而缩短了网络最终达到拓扑稳定所需要的时间.
在RSTP中,根端口的端口状态快速迁移的条件是:本设备上旧的根端口已经停止转发数据,而且上游指定端口已经开始转发数据.
在RSTP中,指定端口的端口状态快速迁移的条件是:指定端口是边缘端口(即该端口直接与用户终端相连,而没有连接到其他设备或共享网段上)或者指定端口与点对点链路(即两台设备直接相连的链路)相连.
如果指定端口是边缘端口,则指定端口可以直接进入转发状态;如果指定端口连接着点对点链路,则设备可以通过与下游设备握手,得到响应后即刻进入转发状态.
1.
1.
3PVST简介STP和RSTP在局域网内的所有网桥都共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发.
而PVST则可以在每个VLAN内都拥有一棵生成树,能够有效地提高链路带宽的利用率.
PVST可以简单理解为在每个VLAN上运行一个STP或RSTP协议,不同VLAN之间的生成树完全独立.
1-8运行PVST的H3C设备可以与运行RapidPVST或PVST的友商设备互通.
当运行PVST的H3C设备之间互联,或运行PVST的H3C设备与运行RapidPVST的友商设备互通时,H3C设备支持像RSTP一样的快速收敛.
根据端口类型的不同,PVST所发送的BPDU格式也有所差别:对于Access端口,PVST将根据该VLAN的状态发送STP格式的BPDU.
对于Trunk端口和Hybrid端口,PVST将在VLAN1内根据该VLAN的状态发送STP格式的BPDU,而对于其他本端口允许通过的VLAN,则发送PVST格式的BPDU.
1.
1.
4MSTP简介1.
MSTP的产生背景(1)STP、RSTP和PVST存在的不足STP不能快速迁移,即使是在点对点链路或边缘端口,也必须等待两倍的ForwardDelay的时间延迟,端口才能迁移到转发状态.
RSTP可以快速收敛,但和STP一样还存在如下缺陷:由于局域网内所有VLAN都共享一棵生成树,因此所有VLAN的报文都沿这棵生成树进行转发,不能按VLAN阻塞冗余链路,也无法在VLAN间实现数据流量的负载均衡.
对于PVST而言,由于每个VLAN都需要生成一棵树,因此PVSTBPDU的通信量将与Trunk端口上允许通过的VLAN数量成正比.
而且当VLAN数量较多时,维护多棵生成树的计算量以及资源占用量都将急剧增长,特别是当允许通过很多VLAN的Trunk端口和Hybrid端口的链路状态发生改变时,对应生成树的状态都要重新计算,网络设备的CPU将不堪重负.
(2)MSTP的特点MSTP由IEEE制定的802.
1s标准定义,它可以弥补STP、RSTP和PVST的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制.
MSTP的特点如下:MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立.
MSTP通过设置VLAN与生成树的对应关系表(即VLAN映射表),将VLAN与生成树联系起来.
并通过"实例"的概念,将多个VLAN捆绑到一个实例中,从而达到了节省通信开销和降低资源占用率的目的.
MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载分担.
MSTP兼容STP和RSTP,部分兼容PVST.
1-92.
MSTP的基本概念图1-4MSTP的基本概念示意图图1-5MST域3详图MSTregion1MSTregion2MSTregion3MSTregion4VLAN1MSTI1VLAN2MSTI2OtherVLANsMSTI0VLAN1MSTI1VLAN2MSTI2OtherVLANsMSTI0VLAN1MSTI1VLAN2MSTI2OtherVLANsMSTI0VLAN1MSTI1VLAN2&3MSTI2OtherVLANsMSTI0CSTToMSTregion21-10在如图1-4所示的交换网络中有四个MST域,每个MST域都由四台设备构成,所有设备都运行MSTP;为了看清MST域内的情形,我们以MST域3为例放大来看,如图1-5所示.
下面就结合这两张图来介绍一些MSTP中的基本概念:(1)MST域MST域(MultipleSpanningTreeRegions,多生成树域)是由交换网络中的多台设备以及它们之间的网段所构成.
这些设备具有下列特点:都使能了生成树协议.
域名相同.
VLAN与MSTI间映射关系的配置相同.
MSTP修订级别的配置相同.
这些设备之间有物理链路连通.
一个交换网络中可以存在多个MST域,用户可以通过配置将多台设备划分在一个MST域内.
如在图1-4所示的网络中就有MST域1~MST域4这四个MST域,每个域内的所有设备都具有相同的MST域配置.
(2)MSTI一个MST域内可以通过MSTP生成多棵生成树,各生成树之间彼此独立并分别与相应的VLAN对应,每棵生成树都称为一个MSTI(MultipleSpanningTreeInstance,多生成树实例).
如在图1-5所示的MST域3中,包含有三个MSTI:MSTI1、MSTI2和MSTI0.
(3)VLAN映射表VLAN映射表是MST域的一个属性,用来描述VLAN与MSTI间的映射关系.
如图1-5中MST域3的VLAN映射表就是:VLAN1映射到MSTI1,VLAN2和VLAN3映射到MSTI2,其余VLAN映射到MSTI0.
MSTP就是根据VLAN映射表来实现负载分担的.
(4)CSTCST(CommonSpanningTree,公共生成树)是一棵连接交换网络中所有MST域的单生成树.
如果把每个MST域都看作一台"设备",CST就是这些"设备"通过STP协议、RSTP协议计算生成的一棵生成树.
如图1-4中的蓝色线条描绘的就是CST.
(5)ISTIST(InternalSpanningTree,内部生成树)是MST域内的一棵生成树,它是一个特殊的MSTI,通常也称为MSTI0,所有VLAN缺省都映射到MSTI0上.
如图1-5中的MSTI0就是MST域3内的IST.
(6)CISTCIST(CommonandInternalSpanningTree,公共和内部生成树)是一棵连接交换网络内所有设备的单生成树,所有MST域的IST再加上CST就共同构成了整个交换网络的一棵完整的单生成树,即CIST.
如图1-4中各MST域内的IST(即MSTI0)再加上MST域间的CST就构成了整个网络的CIST.
(7)域根域根(RegionalRoot)就是MST域内IST或MSTI的根桥.
MST域内各生成树的拓扑不同,域根也可能不同.
如在图1-5所示的MST域3中,MSTI1的域根为DeviceB,MSTI2的域根为DeviceC,而MSTI0(即IST)的域根则为DeviceA.
(8)总根1-11总根(CommonRootBridge)就是CIST的根桥.
如图1-4中CIST的总根就是MST域1中的某台设备.
(9)端口角色端口在不同的MSTI中可以担任不同的角色.
如图1-6所示,在由DeviceA、DeviceB、DeviceC和DeviceD共同构成的MST域中,DeviceA的端口PortA1和PortA2连向总根方向,DeviceB的端口PortB2和PortB3相连而构成环路,DeviceC的端口PortC3和PortC4连向其他MST域,DeviceD的端口PortD3直接连接用户主机.
图1-6端口角色示意图如图1-6所示,MSTP计算过程中涉及到的主要端口角色有以下几种:根端口(RootPort):在非根桥上负责向根桥方向转发数据的端口就称为根端口,根桥上没有根端口.
指定端口(DesignatedPort):负责向下游网段或设备转发数据的端口就称为指定端口.
替换端口(AlternatePort):是根端口和主端口的备份端口.
当根端口或主端口被阻塞后,替换端口将成为新的根端口或主端口.
备份端口(BackupPort):是指定端口的备份端口.
当指定端口失效后,备份端口将转换为新的指定端口.
当使能了生成树协议的同一台设备上的两个端口互相连接而形成环路时,设备会将其中一个端口阻塞,该端口就是备份端口.
边缘端口(EdgePort):不与其他设备或网段连接的端口就称为边缘端口,边缘端口一般与用户终端设备直接相连.
主端口(MasterPort):是将MST域连接到总根的端口(主端口不一定在域根上),位于整个域到总根的最短路径上.
主端口是MST域中的报文去往总根的必经之路.
主端口在IST/CIST上的角色是根端口,而在其他MSTI上的角色则是主端口.
1-12域边界端口(BoundaryPort):是位于MST域的边缘、并连接其他MST域或MST域与运行STP/RSTP的区域的端口.
主端口同时也是域边界端口.
在进行MSTP计算时,域边界端口在MSTI上的角色与CIST的角色一致,但主端口除外——主端口在CIST上的角色为根端口,在其他MSTI上的角色才是主端口.
(10)端口状态MSTP中的端口状态可分为三种,如表1-6所示.
同一端口在不同的MSTI中的端口状态可以不同.
表1-6MSTP的端口状态状态描述Forwarding该状态下的端口可以接收和发送BPDU,也转发用户流量Learning是一种过渡状态,该状态下的端口可以接收和发送BPDU,但不转发用户流量Discarding该状态下的端口可以接收和发送BPDU,但不转发用户流量端口状态和端口角色是没有必然联系的,表1-7给出了各种端口角色能够具有的端口状态("√"表示此端口角色能够具有此端口状态;"-"表示此端口角色不能具有此端口状态).
表1-7各种端口角色具有的端口状态端口角色端口状态根端口/主端口指定端口替换端口备份端口Forwarding√√--Learning√√--Discarding√√√√3.
MSTP的基本原理MSTP将整个二层网络划分为多个MST域,各域之间通过计算生成CST;域内则通过计算生成多棵生成树,每棵生成树都被称为是一个MSTI,其中的MSTI0也称为IST.
MSTP同STP一样,使用BPDU进行生成树的计算,只是BPDU中携带的是设备上MSTP的配置信息.
(1)CIST生成树的计算通过比较BPDU后,在整个网络中选择一个优先级最高的设备作为CIST的根桥.
在每个MST域内MSTP通过计算生成IST;同时MSTP将每个MST域作为单台设备对待,通过计算在域间生成CST.
CST和IST构成了整个网络的CIST.
(2)MSTI的计算在MST域内,MSTP根据VLAN与MSTI的映射关系,针对不同的VLAN生成不同的MSTI.
每棵生成树独立进行计算,计算过程与STP计算生成树的过程类似,请参见"1.
1.
13.
STP的基本原理".
MSTP中,一个VLAN报文将沿着如下路径进行转发:在MST域内,沿着其对应的MSTI转发;在MST域间,沿着CST转发.
1-134.
MSTP在设备上的实现MSTP同时兼容STP和RSTP.
STP和RSTP的协议报文都可以被运行MSTP协议的设备识别并应用于生成树计算.
设备除了提供MSTP的基本功能外,还从用户的角度出发,提供了如下便于管理的特殊功能:根桥保持;根桥备份;根保护功能;BPDU保护功能;环路保护功能;防TC-BPDU攻击保护功能;端口角色限制功能;TC-BPDU传播限制功能;支持接口板的热插拔,同时支持主控板与备板的倒换.
1.
1.
5协议规范与生成树相关的协议规范有:IEEE802.
1D:MediaAccessControl(MAC)BridgesIEEE802.
1w:Part3:MediaAccessControl(MAC)Bridges—Amendment2:RapidReconfigurationIEEE802.
1s:VirtualBridgedLocalAreaNetworks—Amendment3:MultipleSpanningTreesIEEE802.
1Q-REV/D1.
3:MediaAccessControl(MAC)BridgesandVirtualBridgedLocalAreaNetworks—Clause13:SpanningtreeProtocols1.
2生成树配置任务简介生成树协议包括STP、RSTP、PVST和MSTP四种类型.
在配置生成树之前,首先需明确要使用的生成树协议类型,并规划好各设备在其中的角色(根桥或叶子节点);然后根据所选择的协议类型及规划好的设备角色,依照本节中的表格进行配置.
1.
2.
1STP配置任务简介表1-8STP配置任务简介配置任务说明详细配置配置根桥配置生成树的工作模式必选通过本配置将生成树的工作模式配置为STP模式1.
3.
1配置根桥和备份根桥可选1.
3.
3配置设备的优先级可选1.
3.
4配置交换网络的网络直径可选1.
3.
61-14配置任务说明详细配置配置生成树的时间参数可选1.
3.
7配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选1.
3.
16配置叶子节点配置生成树的工作模式必选通过本配置将生成树的工作模式配置为STP模式1.
3.
1配置设备的优先级可选1.
3.
4配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口的路径开销可选1.
3.
11配置端口的优先级可选1.
3.
12打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选1.
3.
16配置生成树保护功能可选1.
3.
201.
2.
2RSTP配置任务简介表1-9RSTP配置任务简介配置任务说明详细配置配置根桥配置生成树的工作模式必选通过本配置将生成树的工作模式配置为RSTP模式1.
3.
1配置根桥和备份根桥可选1.
3.
3配置设备的优先级可选1.
3.
4配置交换网络的网络直径可选1.
3.
6配置生成树的时间参数可选1.
3.
7配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口为边缘端口可选1.
3.
10配置端口的链路类型可选1.
3.
13打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选1.
3.
161-15配置任务说明详细配置配置叶子节点配置生成树的工作模式必选通过本配置将生成树的工作模式配置为RSTP模式1.
3.
1配置设备的优先级可选1.
3.
4配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口为边缘端口可选1.
3.
10配置端口的路径开销可选1.
3.
11配置端口的优先级可选1.
3.
12配置端口的链路类型可选1.
3.
13打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选1.
3.
16执行mCheck操作可选1.
3.
17配置生成树保护功能可选1.
3.
201.
2.
3PVST配置任务简介表1-10PVST配置任务简介配置任务说明详细配置配置根桥配置生成树的工作模式必选生成树缺省工作在MSTP模式下,通过本配置将其工作模式配置为PVST模式1.
3.
1配置根桥和备份根桥可选1.
3.
3配置设备的优先级可选1.
3.
4配置交换网络的网络直径可选1.
3.
6配置生成树的时间参数可选1.
3.
7配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口为边缘端口可选1.
3.
10配置端口的链路类型可选1.
3.
13打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选错误!
未找到引用源.
1-16配置任务说明详细配置配置叶子节点配置生成树的工作模式必选生成树缺省工作在MSTP模式下,通过本配置将其工作模式配置为PVST模式1.
3.
1配置设备的优先级可选1.
3.
4配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口为边缘端口可选1.
3.
10配置端口的路径开销可选1.
3.
11配置端口的优先级可选1.
3.
12配置端口的链路类型可选1.
3.
13打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选1.
3.
16执行mCheck操作可选1.
3.
17配置生成树保护功能可选1.
3.
201.
2.
4MSTP配置任务简介表1-11MSTP配置任务简介配置任务说明详细配置配置根桥配置生成树的工作模式必选通过本配置将生成树的工作模式配置为MSTP模式1.
3.
1配置MST域必选1.
3.
2配置根桥和备份根桥可选1.
3.
3配置设备的优先级可选1.
3.
4配置MST域的最大跳数可选1.
3.
5配置交换网络的网络直径可选1.
3.
6配置生成树的时间参数可选1.
3.
7配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口为边缘端口可选1.
3.
10配置端口的链路类型可选1.
3.
13配置端口收发的MSTP报文格式可选1.
3.
14打开端口状态变化信息显示开关可选1.
3.
151-17配置任务说明详细配置使能生成树协议必选1.
3.
16配置叶子节点配置生成树的工作模式必选通过本配置将生成树的工作模式配置为MSTP模式1.
3.
1配置MST域必选1.
3.
2配置设备的优先级可选1.
3.
4配置超时时间因子可选1.
3.
8配置端口发送BPDU的速率可选1.
3.
9配置端口为边缘端口可选1.
3.
10配置端口的路径开销可选1.
3.
11配置端口的优先级可选1.
3.
12配置端口的链路类型可选1.
3.
13配置端口收发的MSTP报文格式可选1.
3.
14打开端口状态变化信息显示开关可选1.
3.
15使能生成树协议必选1.
3.
16执行mCheck操作可选1.
3.
17配置摘要侦听功能可选1.
3.
18配置NoAgreementCheck功能可选1.
3.
19配置生成树保护功能可选1.
3.
201.
3配置生成树1.
3.
1配置生成树的工作模式生成树的工作模式有以下几种:STP模式:设备的所有端口都将向外发送STPBPDU.
如果端口的对端设备只支持STP,可选择此模式.
RSTP模式:设备的所有端口都向外发送RSTPBPDU.
当端口收到对端设备发来的STPBPDU时,会自动迁移到STP模式;如果收到的是MSTPBPDU,则不会进行迁移.
PVST模式:设备的所有端口都向外发送PVSTBPDU,每个VLAN对应一棵生成树.
进行PVST组网时,若网络中所有设备的生成树维护量(使能生成树协议的VLAN数*使能生成树协议的端口数)达到一定数量,会导致CPU负荷过重,不能正常处理报文,引起网络震荡.
MSTP模式:设备的所有端口都向外发送MSTPBPDU.
当端口收到对端设备发来的STPBPDU时,会自动迁移到STP模式;如果收到的是RSTPBPDU,则不会进行迁移.
MSTP模式兼容RSTP模式,RSTP模式兼容STP模式,PVST模式与其他模式的兼容性如下:对于Access端口:PVST模式在任意VLAN中都能与其他模式互相兼容.
1-18对于Trunk端口或Hybrid端口:PVST模式仅在VLAN1中能与其他模式互相兼容.
需要注意的是,在各工作模式下进行配置时,对是否需要指定MSTI或VLAN的要求不同:在STP模式或RSTP模式下无需指定MSTI和VLAN,若指定了MSTI或VLAN,则该配置无效.
在PVST模式下,若指定了VLAN则表示针对该VLAN进行配置,若未指定VLAN则该配置无效.
在MSTP模式下,若指定了MSTI则表示针对该MSTI进行配置,若指定VLAN则该配置无效;若MSTI和VLAN均未指定,则表示针对CIST进行配置.
表1-12配置生成树的工作模式操作命令说明进入系统视图system-view-配置生成树的工作模式stpmode{mstp|pvst|rstp|stp}缺省情况下,生成树的工作模式为MSTP模式1.
3.
2配置MST域两台或多台使能了生成树协议的设备若要属于同一个MST域,必须同时满足以下两个条件:第一是选择因子(取值为0,不可配)、域名、修订级别和VLAN映射表的配置都相同;第二是这些设备之间的链路相通.
在配置MST域的相关参数(特别是VLAN映射表)时,会引发生成树的重新计算,从而引起网络拓扑的振荡.
为了减少网络振荡,新配置的MST域参数并不会马上生效,而是在使用activeregion-configuration命令激活,或使用命令stpglobalenable全局使能生成树协议后才会生效.
配置MST域时,需要注意的是,在STP/RSTP/PVST模式下,MST域的相关配置不会生效.
表1-13配置MST域操作命令说明进入系统视图system-view-进入MST域视图stpregion-configuration-配置MST域的域名region-namename缺省情况下,MST域的域名为设备的MAC地址配置VLAN映射表instanceinstance-idvlanvlan-id-list二者选其一缺省情况下,所有VLAN都映射到CIST(即MSTI0)上vlan-mappingmodulomodulo配置MSTP的修订级别revision-levellevel缺省情况下,MSTP的修订级别为0(可选)显示MST域的预配置信息checkregion-configuration-激活MST域的配置activeregion-configuration-1-191.
3.
3配置根桥和备份根桥可以通过计算来自动确定生成树的根桥,用户也可以手工将设备配置为指定生成树的根桥或备份根桥:设备在各生成树中的角色互相独立,在作为一棵生成树的根桥或备份根桥的同时,也可以作为其他生成树的根桥或备份根桥;但在同一棵生成树中,一台设备不能既作为根桥,又作为备份根桥.
在一棵生成树中,生效的根桥只有一个;当两台或两台以上的设备被指定为同一棵生成树的根桥时,系统将选择MAC地址最小的设备作为根桥.
可以在每棵生成树中指定多个备份根桥.
当根桥出现故障或被关机时,备份根桥可以取代根桥成为指定生成树的根桥;但此时若配置了新的根桥,则备份根桥将不会成为根桥.
如果配置了多个备份根桥,则MAC地址最小的备份根桥将成为指定生成树的根桥.
用户可以为每棵生成树指定一个根桥,而无需关心设备的优先级配置.
当设备一旦被配置为根桥或者备份根桥之后,便不能再修改该设备的优先级.
也可以通过配置设备的优先级为0来实现将当前设备指定为根桥的目的.
有关设备优先级的配置,请参见"1.
3.
4".
1.
配置根桥请在欲配置为根桥的设备上进行如下配置.
表1-14配置根桥操作命令说明进入系统视图system-view-配置当前设备为根桥STP/RSTP模式:stprootprimary缺省情况下,设备不是根桥PVST模式:stpvlanvlan-id-listrootprimaryMSTP模式:stp[instanceinstance-list]rootprimary2.
配置备份根桥请在欲配置为备份根桥的设备上进行如下配置.
表1-15配置备份根桥操作命令说明进入系统视图system-view-配置当前设备为备份根桥STP/RSTP模式:stprootsecondary缺省情况下,设备不是备份根桥PVST模式:stpvlanvlan-id-listrootsecondaryMSTP模式:stp[instanceinstance-list]rootsecondary1-201.
3.
4配置设备的优先级设备的优先级参与生成树计算,其大小决定了该设备是否能够被选作生成树的根桥.
数值越小表示优先级越高,通过配置较小的优先级,可以达到指定某台设备成为生成树根桥的目的.
可以在不同的生成树中为设备配置不同的优先级.
如果设备的优先级相同,则MAC地址最小的设备将被选择为根.
当指定设备为根桥或者备份根桥之后,不允许再修改该设备的优先级.
表1-16配置设备的优先级操作命令说明进入系统视图system-view-配置设备的优先级STP/RSTP模式:stpprioritypriority缺省情况下,设备的优先级为32768PVST模式:stpvlanvlan-id-listprioritypriorityMSTP模式:stp[instanceinstance-list]prioritypriority1.
3.
5配置MST域的最大跳数MST域的最大跳数限制了MST域的规模,在域根上配置的最大跳数将作为该MST域的最大跳数.
从MST域内的生成树的根桥开始,域内的BPDU每经过一台设备的转发,跳数就被减1;设备将丢弃跳数为0的BPDU,以使处于最大跳数外的设备无法参与生成树的计算,从而限制了MST域的规模.
本配置只需在根桥设备上进行,非根桥设备将采用根桥设备的配置值.
用户可以根据设计的MST域内拓扑的层数来配置MST域的最大跳数,MST域的最大跳数要大于MST域内拓扑的最大层数.
表1-17配置MST域的最大跳数操作命令说明进入系统视图system-view-配置MST域的最大跳数stpmax-hopshops缺省情况下,MST域的最大跳数为201.
3.
6配置交换网络的网络直径交换网络中任意两台终端设备都通过特定路径彼此相连,这些路径由一系列的设备构成.
网络直径就是指对于交换网络中的任意两台网络边缘设备,其中一台经过根桥到达另一台所经过的最大设备数.
网络直径越大,说明网络的规模越大.
1-21在配置了网络直径之后,系统会通过计算自动将设备的HelloTime、ForwardDelay和MaxAge三个时间参数设置为最优值.
在STP/RSTP/MSTP模式下,每个MST域将被视为一台设备,且网络直径配置只对CIST有效(即只能在总根上生效),而对MSTI无效.
在PVST模式下,网络直径的配置只能在指定VLAN的根桥上生效.
表1-18配置交换网络的网络直径操作命令说明进入系统视图system-view-配置交换网络的网络直径STP/RSTP/MSTP模式:stpbridge-diameterdiameter缺省情况下,交换网络的网络直径为7PVST模式:stpvlanvlan-id-listbridge-diameterdiameter1.
3.
7配置生成树的时间参数在生成树的计算过程中,用到了以下三个时间参数:(1)ForwardDelay:用于确定状态迁移的延迟时间.
为了防止产生临时环路,生成树协议在端口由Discarding状态向Forwarding状态迁移的过程中设置了Learning状态作为过渡,并规定状态迁移需要等待ForwardDelay时间,以保持与远端的设备状态切换同步.
(2)HelloTime:用于检测链路是否存在故障.
生成树协议每隔HelloTime时间会发送BPDU,以确认链路是否存在故障.
如果设备在HelloTime时间内没有收到BPDU,则会由于消息超时而重新计算生成树.
(3)MaxAge:用于确定BPDU是否超时.
在MSTP的CIST上,设备根据MaxAge时间来确定端口收到的BPDU是否超时.
如果端口收到的BPDU超时,则需要对该MSTI重新计算.
MaxAge时间对MSTP的MSTI无效.
为保证网络拓扑的快速收敛,需要配置合适的时间参数.
上述三个时间参数之间应满足以下关系,否则会引起网络的频繁震荡:2*(ForwardDelay-1秒)≥MaxAgeMaxAge≥2*(HelloTime+1秒)配置生成树时间参数时,需要注意:ForwardDelay的长短与交换网络的网络直径有关.
一般来说,网络直径越大,ForwardDelay就应该越长.
如果ForwardDelay过短,可能引入临时的冗余路径;如果ForwardDelay过长,网络可能较长时间不能恢复连通.
建议用户采用自动计算值.
合适的HelloTime可以保证设备能够及时发现网络中的链路故障,又不会占用过多的网络资源.
如果HelloTime过长,在链路发生丢包时,设备会误以为链路出现了故障,从而引发设备重新计算生成树;如果HelloTime过短,设备将频繁发送重复的BPDU,增加了设备的负担,浪费了网络资源.
建议用户采用自动计算值.
如果MaxAge过短,设备会频繁地计算生成树,而且有可能将网络拥塞误认成链路故障;如果MaxAge过长,设备很可能不能及时发现链路故障,不能及时重新计算生成树,从而降低网络的自适应能力.
建议用户采用自动计算值.
1-22通常情况下,不建议通过手工配置直接调整上述三个时间参数.
由于这三个时间参数的取值与网络规模有关,生成树协议会自动根据网络直径计算出这三个时间参数的最优值,因此在网络拓扑变化时,建议在设备上通过执行stpbridge-diameter命令调整网络直径,使设备自动调整这三个时间参数的值.
当网络直径取缺省值时,这三个时间参数也分别取其各自的缺省值.
本配置只需在根桥设备上进行,整个交换网络中的所有设备都将采用根桥设备的配置值.
表1-19配置生成树的时间参数操作命令说明进入系统视图system-view-配置ForwardDelay时间参数STP/RSTP/MSTP模式:stptimerforward-delaytime缺省情况下,ForwardDelay为15秒PVST模式:stpvlanvlan-id-listtimerforward-delaytime配置HelloTime时间参数STP/RSTP/MSTP模式:stptimerhellotime缺省情况下,HelloTime为2秒PVST模式:stpvlanvlan-id-listtimerhellotime配置MaxAge时间参数STP/RSTP/MSTP模式:stptimermax-agetime缺省情况下,MaxAge为20秒PVST模式:stpvlanvlan-id-listtimermax-agetime1.
3.
8配置超时时间因子超时时间因子用来确定设备的超时时间:超时时间=超时时间因子*3*HelloTime.
当网络拓扑结构稳定后,非根桥设备会每隔HelloTime时间向周围相连设备转发根桥发出的BPDU以确认链路是否存在故障.
通常如果设备在9倍的HelloTime时间内没有收到上游设备发来的BPDU,就会认为上游设备已经故障,从而重新进行生成树的计算.
有时设备在较长时间内收不到上游设备发来的BPDU,可能是由于上游设备的繁忙导致的,在这种情况下一般不应重新进行生成树的计算.
因此在稳定的网络中,可以通过延长超时时间来减少网络资源的浪费.
在一个稳定的网络中,建议将超时时间因子配置为5~7.
表1-20配置超时时间因子操作命令说明进入系统视图system-view-配置设备的超时时间因子stptimer-factorfactor缺省情况下,设备的超时时间因子为31-231.
3.
9配置端口发送BPDU的速率每HelloTime时间内端口能够发送的BPDU的最大数目=端口发送BPDU的速率+HelloTime时间值.
端口发送BPDU的速率与端口的物理状态和网络结构有关,用户可以根据实际的网络情况对其进行配置.
端口发送BPDU的速率越高,每个HelloTime内可发送的BPDU数量就越多,占用的系统资源也越多.
适当配置发送速率一方面可以限制端口发送BPDU的速度,另一方面还可以防止在网络拓扑动荡时,生成树协议占用过多的带宽资源.
建议用户采用缺省配置.
表1-21配置端口的最大发送速率操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-配置端口的发送BPDU的速率stptransmit-limitlimit缺省情况下,端口发送BPDU的速率为101.
3.
10配置端口为边缘端口当端口直接与用户终端相连,而没有连接到其他设备或共享网段上,则该端口被认为是边缘端口.
网络拓扑变化时,边缘端口不会产生临时环路.
由于设备无法知道端口是否直接与终端相连,所以需要用户手工将端口配置为边缘端口.
如果用户将某个端口配置为边缘端口,那么当该端口由阻塞状态向转发状态迁移时,这个端口可以实现快速迁移,而无需等待延迟时间.
对于直接与终端相连的端口,请将该端口设置为边缘端口,同时使能BPDU保护功能.
这样既能够使该端口快速迁移到转发状态,也可以保证网络的安全.
配置端口为边缘端口时,需要注意:在同一个端口上,不允许同时配置边缘端口和环路保护功能.
在设备没有使能BPDU保护的情况下,如果被设置为边缘端口的端口上收到来自其他端口的BPDU,则该端口会重新变为非边缘端口.
此时,只有重启端口才能将该端口恢复为边缘端口.
表1-22配置端口为边缘端口操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-配置当前端口为边缘端口stpedged-port缺省情况下,端口为非边缘端口1-241.
3.
11配置端口的路径开销路径开销(PathCost)是与端口相连的链路速率相关的参数.
在支持生成树协议的设备上,端口在不同的MSTI中可以拥有不同的路径开销.
设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发,从而实现按VLAN负载分担的功能.
设备可以自动计算端口的缺省路径开销,用户也可以直接配置端口的路径开销.
1.
配置缺省路径开销的计算标准缺省路径开销的计算标准有以下三种,用户可以通过本配置来改变设备自动计算端口的缺省路径开销时所采用的计算标准:dot1d-1998:表示按照IEEE802.
1D-1998标准来计算缺省路径开销.
dot1t:表示按照IEEE802.
1t标准来计算缺省路径开销.
legacy:表示按照私有标准来计算缺省路径开销.
需要注意的是,改变缺省路径开销的计算标准,将使端口的路径开销值恢复为缺省值.
表1-23配置缺省路径开销的计算标准操作命令说明进入系统视图system-view-配置缺省路径开销的计算标准stppathcost-standard{dot1d-1998|dot1t|legacy}缺省情况下,缺省路径开销的计算标准为legacy链路速率与路径开销值的对应关系如表1-24所示.
表1-24链路速率与端口路径开销值的对应关系表链路速率端口类型端口的路径开销值IEEE802.
1D-1998IEEE802.
1t私有标准0-65535200,000,000200,00010Mbps单个端口1002,000,0002,000聚合接口(含两个选中端口)1,000,0001,800聚合接口(含三个选中端口)666,6661,600聚合接口(含四个选中端口)500,0001,400100Mbps单个端口19200,000200聚合接口(含两个选中端口)100,000180聚合接口(含三个选中端口)66,666160聚合接口(含四个选中端口)50,0001401000Mbps单个端口420,00020聚合接口(含两个选中端口)10,00018聚合接口(含三个选中端口)6,66616聚合接口(含四个选中端口)5,000141-25链路速率端口类型端口的路径开销值IEEE802.
1D-1998IEEE802.
1t私有标准10Gbps单个端口22,0002聚合接口(含两个选中端口)1,0001聚合接口(含三个选中端口)6661聚合接口(含四个选中端口)500120Gbps单个端口11,0001聚合接口(含两个选中端口)5001聚合接口(含三个选中端口)3331聚合接口(含四个选中端口)250140Gbps单个端口15001聚合接口(含两个选中端口)2501聚合接口(含三个选中端口)1661聚合接口(含四个选中端口)1251100Gbps单个端口12001聚合接口(含两个选中端口)1001聚合接口(含三个选中端口)661聚合接口(含四个选中端口)501在计算聚合接口的路径开销时,IEEE802.
1D-1998标准不考虑聚合接口所对应聚合组内选中端口的数量;而IEEE802.
1t标准则对此予以考虑,其计算公式为:端口的路径开销=200000000÷链路速率(单位为100Kbps),其中链路速率为聚合接口所对应聚合组内选中端口的速率之和.
当端口的链路速率大于10Gbps、且缺省路径开销的计算标准为IEEE802.
1D-1998或私有标准时,单个端口和聚合接口的路径开销值都会取所选标准规定的最小值,这将影响转发路径选择的合理性.
在这种情况下,建议将缺省路径开销的计算标准配置为IEEE802.
1t,或手工配置端口的路径开销(请参见"1.
3.
112.
配置端口的路径开销").
2.
配置端口的路径开销需要注意的是,当端口的路径开销值改变时,系统将重新计算端口的角色并进行状态迁移.
表1-25配置端口的路径开销操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-1-26操作命令说明配置端口的路径开销STP/RSTP模式:stpcostcost缺省情况下,自动按照相应的标准计算各生成树上的路径开销PVST模式:stpvlanvlan-id-listcostcostMSTP模式:stp[instanceinstance-list]costcost3.
配置举例#在MSTP模式下,配置按照IEEE802.
1D-1998标准来计算缺省路径开销,并配置端口GigabitEthernet2/1/3在MSTI2上的路径开销值为200.
system-view[Sysname]stppathcost-standarddot1d-1998Costofeveryportwillberesetandautomaticallyre-calculatedafteryouchangethecurrentpathcoststandard.
Continue[Y/N]:yCostofeveryporthasbeenre-calculated.
[Sysname]interfacegigabitethernet2/1/3[Sysname-GigabitEthernet2/1/3]stpinstance2cost200#在PVST模式下,配置设备按照IEEE802.
1D-1998标准来计算缺省路径开销,并配置端口GigabitEthernet2/1/3在PVSTVLAN20~30上的路径开销为2000.
system-view[Sysname]stppathcost-standarddot1d-1998Costofeveryportwillberesetandautomaticallyre-calculatedafteryouchangethecurrentpathcoststandard.
Continue[Y/N]:yCostofeveryporthasbeenre-calculated[Sysname]interfacegigabitethernet2/1/3[Sysname-GigabitEthernet2/1/3]stpvlan20to30cost20001.
3.
12配置端口的优先级端口优先级是确定该端口是否会被选为根端口的重要依据,同等条件下优先级高的端口将被选为根端口.
在支持生成树协议的设备上,端口可以在不同的生成树中拥有不同的优先级,同一端口可以在不同的生成树中担任不同的角色,从而使不同VLAN的数据沿不同的物理路径传播,实现按VLAN进行负载分担的功能.
用户可以根据组网的实际需要来设置端口的优先级.
需要注意的是,当端口的优先级改变时,系统将重新计算端口的角色并进行状态迁移.
表1-26配置端口的优先级操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-配置端口的优先级STP/RSTP模式:stpportprioritypriority缺省情况下,端口的优先级为1281-27操作命令说明PVST模式:stpvlanvlan-id-listportprioritypriorityMSTP模式:stp[instanceinstance-list]portprioritypriority1.
3.
13配置端口的链路类型点对点链路是两台设备之间直接连接的链路.
与点对点链路相连的两个端口如果为根端口或者指定端口,则端口可以通过传送同步报文(Proposal报文和Agreement报文)快速迁移到转发状态,减少了不必要的转发延迟时间.
在PVST或MSTP模式下,如果某端口被配置为与点对点链路(或非点对点链路)相连,那么该配置对该端口所属的所有VLAN或MSTI都有效.
需要注意的是,如果某端口被配置为与点对点链路相连,但与该端口实际相连的物理链路不是点对点链路,则有可能引入临时回路.
表1-27配置端口的链路类型操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-配置端口的链路类型stppoint-to-point{auto|force-false|force-true}缺省情况下,端口的链路类型为auto,即由系统自动检测与本端口相连的链路是否为点对点链路1.
3.
14配置端口收发的MSTP报文格式端口可以收发的MSTP报文格式有两种:dot1s:符合802.
1s协议的标准格式;legacy:与非标准格式兼容的格式.
端口默认配置为自动识别方式(auto),即可以自动识别这两种格式的MSTP报文,并根据识别结果确定发送报文的格式,从而实现与对端设备的互通.
用户也可以通过配置改变端口发送的MSTP报文格式,使端口只发送与所配格式相符的MSTP报文,实现与对端只识别特定格式报文的设备互通.
当端口处于auto模式时,默认发送802.
1s标准的报文.
在此模式下,为避免因收到不同格式的MSTP报文而导致端口发送的报文格式频繁变化,端口一旦收到私有格式报文就将一直以该格式发送报文.
若想使该端口恢复发送802.
1s标准的报文,可对其依次执行关闭/开启操作.
需要注意的是,如果当前配置的MSTI大于48,端口将只发送802.
1s标准的MSTP报文.
1-28表1-28配置端口收发的MSTP报文格式操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-配置端口收发的MSTP报文格式stpcompliance{auto|dot1s|legacy}缺省情况下,端口会自动识别收到的MSTP报文格式并根据识别结果确定发送的报文格式1.
3.
15打开端口状态变化信息显示开关在使能了生成树协议的大型网络中,用户可以通过打开端口状态变化信息显示开关,使系统输出端口状态变化的相关信息,方便用户对端口状态进行实时监控.
表1-29打开端口状态变化信息显示开关操作命令说明进入系统视图system-view-打开端口状态变化信息显示开关STP/RSTP模式:stpport-loginstance0缺省情况下,端口状态变化信息显示开关处于关闭状态PVST模式:stpport-logvlanvlan-id-listMSTP模式:stpport-log{all|instanceinstance-list}1.
3.
16使能生成树协议只有使能了生成树协议,生成树的其他配置才会生效.
在STP/RSTP/MSTP模式下,必须保证全局和端口上的生成树协议均处于使能状态;在PVST模式下,必须保证全局、VLAN和端口上的生成树协议均处于使能状态.
需要注意的是,可以通过undostpenable命令关闭指定端口的生成树协议,使其不参与生成树计算,以节省设备的CPU资源.
但必须保证指定的端口关闭生成树协议后,网络中不能出现环路.
表1-30使能生成树协议(STP/RSTP/MSTP模式)操作命令说明进入系统视图system-view-全局使能生成树协议stpglobalenable缺省情况下,生成树协议的全局状态为关闭进入二层以太网接口视图interfaceinterface-typeinterface-number-在端口上使能生成树协议stpenable缺省情况下,所有端口上的生成树协议均处于使能状态1-29表1-31使能生成树协议(PVST模式)操作命令说明进入系统视图system-view-全局使能生成树协议stpglobalenable缺省情况下,生成树协议的全局状态为关闭在VLAN中使能生成树协议stpvlanvlan-id-listenable缺省情况下,生成树协议在VLAN中为使能状态进入二层以太网接口视图interfaceinterface-typeinterface-number-在端口上使能生成树协议stpenable缺省情况下,所有端口上的生成树协议均处于使能状态1.
3.
17执行mCheck操作生成树的工作模式有STP模式、RSTP模式、PVST模式和MSTP模式四种.
在运行RSTP、PVST或MSTP的设备上,若某端口连接着运行STP协议的设备,该端口收到STP报文后会自动迁移到STP模式;但当对端运行STP协议的设备关机或撤走,而该端口又无法感知的情况下,该端口将无法自动迁移回原有模式,此时需要通过执行mCheck操作将其手工迁移回原有模式.
当运行STP的设备A、未使能生成树协议的设备B和运行RSTP/PVST/MSTP的设备C三者顺次相连时,设备B将透传STP报文,设备C上连接设备B的端口将迁移到STP模式.
在设备B上使能生成树协议后,若想使设备B与设备C之间运行RSTP/PVST/MSTP协议,除了要在设备B上配置生成树的工作模式为RSTP/PVST/MSTP外,还要在设备B与设备C相连的端口上都执行mCheck操作.
可以在全局或在端口上执行mCheck操作.
执行mCheck操作时,需要注意,只有当生成树的工作模式为RSTP模式、PVST模式或MSTP模式时执行mCheck操作才有效.
1.
全局执行mCheck操作表1-32全局执行mCheck操作操作命令说明进入系统视图system-view-全局执行mCheck操作stpglobalmcheck-2.
在端口上执行mCheck操作表1-33在端口上执行mCheck操作操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-1-30操作命令说明在端口上执行mCheck操作stpmcheck-1.
3.
18配置摘要侦听功能1.
功能简介根据IEEE802.
1s规定,只有在MST域配置(包括域名、修订级别和VLAN映射关系)完全一致的情况下,相连的设备才被认为是在同一个域内.
当设备使能了生成树协议以后,设备之间通过识别BPDU数据报文内的配置ID来判断相连的设备是否与自己处于相同的MST域内;配置ID包含域名、修订级别、配置摘要等内容,其中配置摘要长16字节,是由HMAC-MD5算法将VLAN与MSTI的映射关系加密计算而成.
在网络中,由于一些厂商的设备在对生成树协议的实现上存在差异,即用加密算法计算配置摘要时采用私有的密钥,从而导致即使MST域配置相同,不同厂商的设备之间也不能实现在MST域内的互通.
通过在我方设备与对生成树协议的实现存在差异的第三方厂商设备相连的端口上使能摘要侦听功能,可以实现我方设备与这些厂商设备在MST域内的完全互通.
2.
配置限制和指导摘要侦听功能在端口生效后,由于不再通过配置摘要的比较计算来判断是否在同一个域内,因此需要保证互连设备的域配置中VLAN与MSTI映射关系的配置相同.
全局使能摘要侦听功能后,如果要修改VLAN与MSTI间的映射关系,或执行undostpregion-configuration命令取消当前域配置,均可能因与邻接设备的VLAN和MSTI映射关系不一致而导致环路或流量中断,因此请谨慎操作.
只有当全局和端口上都使能了摘要侦听功能后,该功能才能生效.
使能摘要侦听功能时,建议先在所有与第三方厂商设备相连的端口上使能该功能,再全局使能该功能,以一次性让所有端口的配置生效,从而减少对网络的冲击.
请不要在MST域的边界端口上使能摘要侦听功能,否则可能会导致环路.
建议配置完摘要侦听功能后再使能生成树协议.
在网络稳定的情况下不要进行摘要侦听功能的配置,以免造成临时的流量中断.
3.
配置准备我方设备与第三方厂商设备相连,网络配置正确,生成树协议正常运行.
4.
配置步骤只有当我方设备与对生成树协议的实现存在差异的第三方厂商设备(即采用私有密钥来计算配置摘要)互连时,才有必要配置本功能.
表1-34配置摘要侦听功能配置步骤命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-1-31配置步骤命令说明在端口上使能摘要侦听功能stpconfig-digest-snooping缺省情况下,端口上的摘要侦听功能处于关闭状态退回系统视图quit-全局使能摘要侦听功能stpglobalconfig-digest-snooping缺省情况下,摘要侦听功能处于全局关闭状态5.
配置举例(1)组网需求DeviceA和DeviceB分别与对生成树协议的实现存在差异的第三方厂商设备DeviceC相连并配置在同一域内.
分别在DeviceA和DeviceB各自与DeviceC相连的端口上使能摘要侦听功能,实现DeviceA、DeviceB和DeviceC在MST域内的互通.
(2)组网图图1-7摘要侦听功能配置组网图(3)配置步骤#在DeviceA的端口GigabitEthernet2/1/1上使能摘要侦听功能,并全局使能摘要侦听功能.
system-view[DeviceA]interfacegigabitethernet2/1/1[DeviceA-GigabitEthernet2/1/1]stpconfig-digest-snooping[DeviceA-GigabitEthernet2/1/1]quit[DeviceA]stpglobalconfig-digest-snooping#在DeviceB的端口GigabitEthernet2/1/1上使能摘要侦听功能,并全局使能摘要侦听功能.
system-view[DeviceB]interfacegigabitethernet2/1/1[DeviceB-GigabitEthernet2/1/1]stpconfig-digest-snooping[DeviceB-GigabitEthernet2/1/1]quitDeviceCGE2/1/1GE2/1/2GE2/1/1GE2/1/2GE2/1/1GE2/1/2根端口指定端口未被协议阻断的链路被协议阻断的链路阻塞端口DeviceADeviceBMSTregion1-32[DeviceB]stpglobalconfig-digest-snooping1.
3.
19配置NoAgreementCheck功能1.
功能简介RSTP和MSTP的指定端口快速迁移机制使用两种协议报文:Proposal报文:指定端口请求快速迁移的报文.
Agreement报文:同意对端进行快速迁移的报文.
RSTP和MSTP均要求上游设备的指定端口在接收到下游设备的Agreement报文后才能进行快速迁移.
不同之处如下:对于MSTP,上游设备先向下游设备发送Agreement报文,而下游设备的根端口只有在收到了上游设备的Agreement报文后才会向上游设备回应Agreement报文.
对于RSTP,下游设备无需等待上游设备发送Agreement报文就可向上游设备发送Agreement报文.
如图1-8所示,是MSTP的指定端口快速迁移机制.
图1-8MSTP指定端口快速迁移机制如图1-9所示,是RSTP的指定端口快速迁移机制.
图1-9RSTP指定端口快速迁移机制1-33当我方设备与作为上游设备且与对生成树协议的实现存在差异的第三方厂商设备互联时,二者在快速迁移的配合上可能会存在一定的限制.
例如:上游设备指定端口的状态迁移实现机制与RSTP类似;而下游设备运行MSTP并且不工作在RSTP模式时,由于下游设备的根端口接收不到上游设备的Agreement报文,它不会向上游设备发Agreement报文,所以上游设备的指定端口无法实现状态的快速迁移,只能在2倍的ForwardDelay延时后变成转发状态.
通过在我方设备与对生成树协议的实现存在私有性差异的上游第三方厂商设备相连的端口上使能NoAgreementCheck功能,可避免这种情况的出现,使得上游的第三方厂商设备的指定端口能够进行状态的快速迁移.
2.
配置准备设备与作为上游设备且支持生成树协议的第三方厂商设备互连,并且端口之间为点对点链路.
为我方设备与第三方厂商设备配置相同的域名、域配置修订级别和VLAN与MSTI的映射关系,以确保它们在同一个域内.
3.
配置功能请在设备的根端口上进行如下配置,且本功能只有在根端口上配置才会生效.
表1-35配置NoAgreementCheck功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-使能NoAgreementCheck功能stpno-agreement-check缺省情况下,NoAgreementCheck功能处于关闭状态4.
配置举例(1)组网需求DeviceA与对生成树协议的实现存在差异的第三方厂商设备DeviceB互连并配置在同一域内.
DeviceB作为域根,DeviceA作为下游设备.
(2)组网图图1-10NoAgreementCheck功能配置组网图(3)配置步骤#在DeviceA的端口GigabitEthernet2/1/1上使能NoAgreementCheck功能.
system-view1-34[DeviceA]interfacegigabitethernet2/1/1[DeviceA-GigabitEthernet2/1/1]stpno-agreement-check1.
3.
20配置生成树保护功能生成树保护功能包括以下几种:BPDU保护功能根保护功能环路保护功能端口角色限制功能TC-BPDU传播限制功能防TC-BPDU攻击保护功能1.
配置BPDU保护功能对于接入层设备,接入端口一般直接与用户终端(如PC)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接收到BPDU时系统会自动将这些端口设置为非边缘端口,重新计算生成树,引起网络拓扑结构的变化.
这些端口正常情况下应该不会收到STP的BPDU.
如果有人伪造BPDU恶意攻击设备,就会引起网络震荡.
生成树协议提供了BPDU保护功能来防止这种攻击:设备上使能了BPDU保护功能后,如果边缘端口收到了BPDU,系统就将这些端口关闭,同时通知网管这些端口已被生成树协议关闭.
被关闭的端口在经过一定时间间隔之后将被重新激活,这个时间间隔就是定时检测时间间隔.
有关定时检测时间间隔的详细介绍,请参见"基础配置指导"中的"设备管理".
请在有边缘端口的设备上进行如下配置.
需要注意的是,BPDU保护功能对使能了环回测试功能的端口无效.
有关环回测试功能的相关介绍,请参见"接口管理配置指导"中的"以太网接口".
表1-36配置BPDU保护功能操作命令说明进入系统视图system-view-使能BPDU保护功能stpbpdu-protection缺省情况下,BPDU保护功能处于关闭状态2.
配置根保护功能生成树的根桥和备份根桥应该处于同一个域内,特别是对于CIST的根桥和备份根桥,网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内.
但是,由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根桥有可能会收到优先级更高的BPDU,这样当前合法根桥会失去根桥的地位,引起网络拓扑结构的错误变动.
这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞.
为了防止这种情况发生,生成树协议提供了根保护功能:对于使能了根保护功能的端口,其在所有MSTI上的端口角色只能为指定端口.
一旦该端口收到某MSTI优先级更高的BPDU,立即将该MSTI端口设置为侦听状态,不再转发报文(相当于将此端口相连的链路断开).
当在2倍的ForwardDelay时间内没有收到更优的BPDU时,端口会恢复原来的正常状态.
请在设备的指定端口上进行如下配置.
1-35需要注意的是,在同一个端口上,不允许同时配置根保护功能和环路保护功能.
表1-37配置根保护功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-使能端口的根保护功能stproot-protection缺省情况下,端口上的根保护功能处于关闭状态3.
配置环路保护功能依靠不断接收上游设备发送的BPDU,设备可以维持根端口和其他阻塞端口的状态.
但是由于链路拥塞或者单向链路故障,这些端口会收不到上游设备的BPDU,此时下游设备会重新选择端口角色,收不到BPDU的下游设备端口会转变为指定端口,而阻塞端口会迁移到转发状态,从而交换网络中会产生环路.
环路保护功能会抑制这种环路的产生.
在使能了环路保护功能的端口上,其所有MSTI的初始状态均为Discarding状态:如果该端口收到了BPDU,这些MSTI可以进行正常的状态迁移;否则,这些MSTI将一直处于Discarding状态以避免环路的产生.
请在设备的根端口和替换端口上进行如下配置.
配置环路保护功能时,需要注意:请不要在与用户终端相连的端口上使能环路保护功能,否则该端口会因收不到BPDU而导致其所有MSTI将一直处于Discarding状态.
在同一个端口上,不允许同时配置边缘端口和环路保护功能,或者同时配置根保护功能和环路保护功能.
表1-38配置环路保护功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-使能端口的环路保护功能stploop-protection缺省情况下,端口的环路保护功能处于关闭状态4.
配置端口角色限制功能用户接入网络中设备桥ID的变化会引起核心网络生成树拓扑的改变.
为了避免这种情况,可以在端口上使能端口角色限制功能,此后当该端口收到最优根消息时将不再当选为根端口,而是成为替换端口.
请在与用户接入网络相连的端口上进行如下配置.
需要注意的是,使能端口角色限制功能后可能影响生成树拓扑的连通性,请慎重配置.
1-36表1-39配置端口角色限制功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-使能端口角色限制功能stprole-restriction缺省情况下,端口角色限制功能处于关闭状态5.
配置TC-BPDU传播限制功能用户接入网络的拓扑改变会引起核心网络的转发地址更新,当用户接入网络的拓扑因某种原因而不稳定时,就会对核心网络形成冲击.
为了避免这种情况,可以在端口上使能TC-BPDU传播限制功能,此后当该端口收到TC-BPDU时,不会再向其他端口传播.
请在与用户接入网络相连的端口上进行如下配置.
需要注意的是,使能TC-BPDU传播限制功能后,当拓扑改变时原有转发地址表项可能无法更新,请慎重配置.
表1-40配置TC-BPDU传播限制功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-使能TC-BPDU传播限制功能stptc-restriction缺省情况下,TC-BPDU传播限制功能处于关闭状态6.
配置防TC-BPDU攻击保护功能设备在收到TC-BPDU后,会执行转发地址表项的刷新操作.
在有人伪造TC-BPDU恶意攻击设备时,设备短时间内会收到很多的TC-BPDU,频繁的刷新操作给设备带来很大负担,给网络的稳定带来很大隐患.
而通过在设备上使能防TC-BPDU攻击保护功能,就可以避免转发地址表项的频繁刷新.
当使能了防TC-BPDU攻击保护功能后,如果设备在单位时间(固定为十秒)内收到TC-BPDU的次数大于stptc-protectionthreshold命令所指定的最高次数(假设为N次),那么该设备在这段时间之内将只进行N次刷新转发地址表项的操作,而对于超出N次的那些TC-BPDU,设备会在这段时间过后再统一进行一次地址表项刷新的操作,这样就可以避免频繁地刷新转发地址表项.
建议不要关闭防TC-BPDU攻击保护功能.
表1-41配置防TC-BPDU攻击保护功能操作命令说明进入系统视图system-view-使能防TC-BPDU攻击保护功能stptc-protection缺省情况下,防TC-BPDU攻击保护功能处于使能状态1-37操作命令说明(可选)配置在单位时间(固定为十秒)内,设备收到TC-BPDU后立即刷新转发地址表项的最高次数stptc-protectionthresholdnumber缺省情况下,在单位时间(固定为十秒)内,设备收到TC-BPDU后立即刷新转发地址表项的最高次数为61.
4生成树显示和维护在完成上述配置后,在任意视图下执行display命令都可以显示配置后生成树的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除生成树的统计信息.
表1-42生成树显示和维护操作命令显示被生成树保护功能阻塞的端口信息displaystpabnormal-port显示端口上的BPDU统计信息displaystpbpdu-statistics[interfaceinterface-typeinterface-number[instanceinstance-list]]显示被生成树保护功能down掉的端口信息displaystpdown-port显示生成树端口角色计算的历史信息(MSR2600/MSR3600)displaystp[instanceinstance-list|vlanvlan-id-list]history显示生成树端口角色计算的历史信息(MSR5600)displaystp[instanceinstance-list|vlanvlan-id-list]history[slotslot-number]显示生成树所有端口收发的TC或TCN报文数(MSR2600/MSR3600)displaystp[instanceinstance-list|vlanvlan-id-list]tc显示生成树所有端口收发的TC或TCN报文数(MSR5600)displaystp[instanceinstance-list|vlanvlan-id-list]tc[slotslot-number]显示生成树的状态和统计信息(MSR2600/MSR3600)displaystp[instanceinstance-list|vlanvlan-id-list][interfaceinterface-list][brief]显示生成树的状态和统计信息(MSR5600)displaystp[instanceinstance-list|vlanvlan-id-list][interfaceinterface-list|slotslot-number][brief]显示当前生效的MST域配置信息displaystpregion-configuration显示所有生成树的根桥信息displaystproot清除生成树的统计信息resetstp[interfaceinterface-list]1.
5生成树典型配置举例1.
5.
1MSTP典型配置举例1.
组网需求网络中所有设备都属于同一个MST域.
DeviceA和DeviceB为汇聚层设备,DeviceC和DeviceD为接入层设备.
1-38通过配置MSTP,使不同VLAN的报文按照不同的MSTI转发:VLAN10的报文沿MSTI1转发,VLAN30沿MSTI3转发,VLAN40沿MSTI4转发,VLAN20沿MSTI0转发.
由于VLAN10和VLAN30在汇聚层设备终结、VLAN40在接入层设备终结,因此配置MSTI1和MSTI3的根桥分别为DeviceA和DeviceB,MSTI4的根桥为DeviceC.
2.
组网图图1-11MSTP典型配置组网图3.
配置步骤(1)配置VLAN和端口请按照图1-11在DeviceA和DeviceB上分别创建VLAN10、20和30,在DeviceC上创建VLAN10、20和40,在DeviceD上创建VLAN20、30和40;将各设备的各端口配置为Trunk端口并允许相应的VLAN通过,具体配置过程略.
(2)配置DeviceA#配置MST域的域名为example,将VLAN10、30、40分别映射到MSTI1、3、4上,并配置MSTP的修订级别为0.
system-view[DeviceA]stpregion-configuration[DeviceA-mst-region]region-nameexample[DeviceA-mst-region]instance1vlan10[DeviceA-mst-region]instance3vlan30[DeviceA-mst-region]instance4vlan40[DeviceA-mst-region]revision-level0#激活MST域的配置.
[DeviceA-mst-region]activeregion-configuration[DeviceA-mst-region]quit#配置本设备为MSTI1的根桥.
[DeviceA]stpinstance1rootprimary#全局使能生成树协议.
[DeviceA]stpglobalenableGE2/1/1GE2/1/1GE2/1/1GE2/1/11-39(3)配置DeviceB#配置MST域的域名为example,将VLAN10、30、40分别映射到MSTI1、3、4上,并配置MSTP的修订级别为0.
system-view[DeviceB]stpregion-configuration[DeviceB-mst-region]region-nameexample[DeviceB-mst-region]instance1vlan10[DeviceB-mst-region]instance3vlan30[DeviceB-mst-region]instance4vlan40[DeviceB-mst-region]revision-level0#激活MST域的配置.
[DeviceB-mst-region]activeregion-configuration[DeviceB-mst-region]quit#配置本设备为MSTI3的根桥.
[DeviceB]stpinstance3rootprimary#全局使能生成树协议.
[DeviceB]stpglobalenable(4)配置DeviceC#配置MST域的域名为example,将VLAN10、30、40分别映射到MSTI1、3、4上,并配置MSTP的修订级别为0.
system-view[DeviceC]stpregion-configuration[DeviceC-mst-region]region-nameexample[DeviceC-mst-region]instance1vlan10[DeviceC-mst-region]instance3vlan30[DeviceC-mst-region]instance4vlan40[DeviceC-mst-region]revision-level0#激活MST域的配置.
[DeviceC-mst-region]activeregion-configuration[DeviceC-mst-region]quit#配置本设备为MSTI4的根桥.
[DeviceC]stpinstance4rootprimary#全局使能生成树协议.
[DeviceC]stpglobalenable(5)配置DeviceD#配置MST域的域名为example,将VLAN10、30、40分别映射到MSTI1、3、4上,并配置MSTP的修订级别为0.
system-view[DeviceD]stpregion-configuration[DeviceD-mst-region]region-nameexample[DeviceD-mst-region]instance1vlan10[DeviceD-mst-region]instance3vlan30[DeviceD-mst-region]instance4vlan40[DeviceD-mst-region]revision-level0#激活MST域的配置.
1-40[DeviceD-mst-region]activeregion-configuration[DeviceD-mst-region]quit#全局使能生成树协议.
[DeviceD]stpglobalenable4.
验证配置在本例中,假定DeviceB的根桥ID最小,因此该设备将在MSTI0中被选举为根桥.
当网络拓扑稳定后,通过使用displaystpbrief命令可以查看各设备上生成树的简要信息.
例如:#查看DeviceA上生成树的简要信息.
[DeviceA]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet2/1/1ALTEDISCARDINGNONE0GigabitEthernet2/1/2DESIFORWARDINGNONE0GigabitEthernet2/1/3ROOTFORWARDINGNONE1GigabitEthernet2/1/1DESIFORWARDINGNONE1GigabitEthernet2/1/3DESIFORWARDINGNONE3GigabitEthernet2/1/2DESIFORWARDINGNONE3GigabitEthernet2/1/3ROOTFORWARDINGNONE#查看DeviceB上生成树的简要信息.
[DeviceB]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet2/1/1DESIFORWARDINGNONE0GigabitEthernet2/1/2DESIFORWARDINGNONE0GigabitEthernet2/1/3DESIFORWARDINGNONE1GigabitEthernet2/1/2DESIFORWARDINGNONE1GigabitEthernet2/1/3ROOTFORWARDINGNONE3GigabitEthernet2/1/1DESIFORWARDINGNONE3GigabitEthernet2/1/3DESIFORWARDINGNONE#查看DeviceC上生成树的简要信息.
[DeviceC]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet2/1/1DESIFORWARDINGNONE0GigabitEthernet2/1/2ROOTFORWARDINGNONE0GigabitEthernet2/1/3DESIFORWARDINGNONE1GigabitEthernet2/1/1ROOTFORWARDINGNONE1GigabitEthernet2/1/2ALTEDISCARDINGNONE4GigabitEthernet2/1/3DESIFORWARDINGNONE#查看DeviceD上生成树的简要信息.
[DeviceD]displaystpbriefMSTIDPortRoleSTPStateProtection0GigabitEthernet2/1/1ROOTFORWARDINGNONE0GigabitEthernet2/1/2ALTEDISCARDINGNONE0GigabitEthernet2/1/3ALTEDISCARDINGNONE1-413GigabitEthernet2/1/1ROOTFORWARDINGNONE3GigabitEthernet2/1/2ALTEDISCARDINGNONE4GigabitEthernet2/1/3ROOTFORWARDINGNONE根据上述显示信息,可以绘出各VLAN所对应MSTI的拓扑,如图1-12所示.
图1-12各VLAN所对应MSTI的拓扑图1.
5.
2PVST典型配置举例1.
组网需求DeviceA和DeviceB为汇聚层设备,DeviceC和DeviceD为接入层设备.
通过配置PVST,使VLAN10、20、30和40中的报文分别按照其各自VLAN所对应的生成树转发.
由于VLAN10、20和30在汇聚层设备终结、VLAN40在接入层设备终结,因此配置VLAN10和20的根桥为DeviceA,VLAN30的根桥为DeviceB,VLAN40的根桥为DeviceC.
1-422.
组网图图1-13PVST典型配置组网图3.
配置步骤(1)配置VLAN和端口请按照图1-13在DeviceA和DeviceB上分别创建VLAN10、20和30,在DeviceC上创建VLAN10、20和40,在DeviceD上创建VLAN20、30和40;将各设备的各端口配置为Trunk端口并允许相应的VLAN通过,具体配置过程略.
(2)配置DeviceA#配置生成树的工作模式为PVST模式.
system-view[DeviceA]stpmodepvst#配置本设备为VLAN10和VLAN20的根桥.
[DeviceA]stpvlan1020rootprimary#全局使能生成树协议,并使能VLAN10、20和30中的生成树协议.
[DeviceA]stpglobalenable[DeviceA]stpvlan102030enable(3)配置DeviceB#配置生成树的工作模式为PVST模式.
system-view[DeviceB]stpmodepvst#配置本设备为VLAN30的根桥.
[DeviceB]stpvlan30rootprimary#全局使能生成树协议,并使能VLAN10、20和30中的生成树协议.
[DeviceB]stpglobalenable[DeviceB]stpvlan102030enable(4)配置DeviceC#配置生成树的工作模式为PVST模式.
GE2/1/1GE2/1/1GE2/1/1GE2/1/11-43system-view[DeviceC]stpmodepvst#配置本设备为生成树VLAN40的根桥.
[DeviceC]stpvlan40rootprimary#全局使能生成树协议,并使能VLAN10、20和40中的生成树协议.
[DeviceC]stpglobalenable[DeviceC]stpvlan102040enable(5)配置DeviceD#配置生成树的工作模式为PVST模式.
system-view[DeviceD]stpmodepvst#全局使能生成树协议,并使能VLAN20、30和40中的生成树协议.
[DeviceD]stpglobalenable[DeviceD]stpvlan203040enable4.
验证配置当网络拓扑稳定后,通过使用displaystpbrief命令可以查看各设备上生成树的简要信息.
例如:#查看DeviceA上生成树的简要信息.
[DeviceA]displaystpbriefVLANIDPortRoleSTPStateProtection10GigabitEthernet2/1/1DESIFORWARDINGNONE10GigabitEthernet2/1/3DESIFORWARDINGNONE20GigabitEthernet2/1/1DESIFORWARDINGNONE20GigabitEthernet2/1/2DESIFORWARDINGNONE20GigabitEthernet2/1/3DESIFORWARDINGNONE30GigabitEthernet2/1/2DESIFORWARDINGNONE30GigabitEthernet2/1/3ROOTFORWARDINGNONE#查看DeviceB上生成树的简要信息.
[DeviceB]displaystpbriefVLANIDPortRoleSTPStateProtection10GigabitEthernet2/1/2DESIFORWARDINGNONE10GigabitEthernet2/1/3ROOTFORWARDINGNONE20GigabitEthernet2/1/1DESIFORWARDINGNONE20GigabitEthernet2/1/2DESIFORWARDINGNONE20GigabitEthernet2/1/3ROOTFORWARDINGNONE30GigabitEthernet2/1/1DESIFORWARDINGNONE30GigabitEthernet2/1/3DESIFORWARDINGNONE#查看DeviceC上生成树的简要信息.
[DeviceC]displaystpbriefVLANIDPortRoleSTPStateProtection10GigabitEthernet2/1/1ROOTFORWARDINGNONE10GigabitEthernet2/1/2ALTEDISCARDINGNONE20GigabitEthernet2/1/1ROOTFORWARDINGNONE20GigabitEthernet2/1/2ALTEDISCARDINGNONE20GigabitEthernet2/1/3DESIFORWARDINGNONE40GigabitEthernet2/1/3DESIFORWARDINGNONE1-44#查看DeviceD上生成树的简要信息.
[DeviceD]displaystpbriefVLANIDPortRoleSTPStateProtection20GigabitEthernet2/1/1ALTEDISCARDINGNONE20GigabitEthernet2/1/2ROOTFORWARDINGNONE20GigabitEthernet2/1/3ALTEDISCARDINGNONE30GigabitEthernet2/1/1ROOTFORWARDINGNONE30GigabitEthernet2/1/2ALTEDISCARDINGNONE40GigabitEthernet2/1/3ROOTFORWARDINGNONE根据上述显示信息,可以绘出各VLAN所对应生成树的拓扑,如图1-14所示.
图1-14各VLAN所对应生成树的拓扑图i目录1环路检测1-11.
1环路检测简介·1-11.
1.
1环路检测产生背景·1-11.
1.
2环路检测报文·1-11.
1.
3环路检测运行机制·1-21.
2环路检测配置任务简介·1-31.
3配置环路检测·1-31.
3.
1使能环路检测功能·1-31.
3.
2配置环路检测处理模式1-41.
3.
3配置环路检测时间间隔1-51.
4环路检测显示和维护·1-51.
5环路检测典型配置举例·1-51-11环路检测1.
1环路检测简介1.
1.
1环路检测产生背景网络连接错误或配置错误都容易导致二层网络中出现转发环路,使设备对广播、组播以及未知单播报文进行重复发送,造成网络资源的浪费甚至导致网络瘫痪.
为了能够及时发现二层网络中的环路,以避免对整个网络造成严重影响,需要提供一种检测机制,使网络中出现环路时能及时通知用户检查网络连接和配置情况,这种机制就是环路检测机制.
当网络中出现环路时,环路检测机制通过生成日志信息(请参见"网络管理和监控配置指导"中的"信息中心")来通知用户,并可根据用户事先的配置来选择是否关闭出现环路的端口.
1.
1.
2环路检测报文设备通过发送环路检测报文并检测其是否返回本设备(不要求收、发端口为同一端口)以确认是否存在环路,若某端口收到了由本设备发出的环路检测报文,就认定该端口所在链路存在环路.
环路检测通常工作在特定的VLAN内,但也可能因QinQ等特性的配置错误而导致VLAN间的环路(即尽管发出和收到的报文所携带的VLAN信息不同,但仍认为存在环路).
有关QinQ的详细介绍,请分别参见"二层技术-以太网交换配置指导"中的"QinQ".
图1-1环路检测报文以太网头的封装格式如图1-1所示,为环路检测报文以太网头的封装格式,其中各字段的解释如下:DMAC:报文的目的MAC地址,使用组播MAC地址010F-E200-0007.
当设备使能了环路检测功能时,会将该目的地址的报文上送CPU处理,并在收到该报文的VLAN内将原始报文广播一份.
SMAC:报文的源MAC地址,采用发送该报文的设备的桥MAC.
TPID:VLAN标签的类型,取值为0x8100.
TCI:VLAN标签的具体值,具体内容为优先级、VLANID等.
1-2Type:协议类型,取值为0x8918.
图1-2环路检测报文内部头的封装格式如图1-2所示,为环路检测报文的内部头的封装格式,其中各字段的解释如下:Code:协议子类型,取值为0x0001,表示环路检测协议.
Version:版本,取值为0x0000,目前保留.
Length:报文长度(包括环路检测报文的头部,但不包括以太网头部).
Reserved:保留字段.
环路检测报文的内容以TLV(Type/Length/Value,类型/长度/值)格式进行封装,环路检测支持的TLV类型如表1-1所示.
表1-1环路检测支持的TLV类型TLV名称说明携带要求EndofPDU结束TLV,用来标志PDU结束可选DeviceID设备标识TLV,表示发送设备的桥MAC地址必须PortID端口标识TLV,用来标识PDU发送端的端口索引可选PortName端口名称TLV,用来标识PDU发送端的端口名称可选SystemName系统名称TLV,表示设备的名称可选ChassisID框号TLV,表示发送端口所在的框号可选SlotID槽位号TLV,表示发送端口所在的槽位号可选SubSlotID子槽位号TLV,表示发送端口所在的子槽位号可选1.
1.
3环路检测运行机制1.
环路检测时间间隔由于网络时刻处于变化中,因此环路检测是一个持续的过程,它以一定的时间间隔发送环路检测报文来确定各端口是否出现环路、以及存在环路的端口上是否已消除环路等,这个时间间隔就称为环路检测的时间间隔.
2.
环路检测处理模式环路检测的处理模式是指当系统检测到端口出现环路时的处理方式,包括以下几种:Block模式:当系统检测到端口出现环路时,除了生成日志信息外,还会禁止端口学习MAC地址并将端口的入方向阻塞.
1-3No-learning模式:当系统检测到端口出现环路时,除了生成日志信息外,还会禁止端口学习MAC地址.
Shutdown模式:当系统检测到端口出现环路时,除了生成日志信息外,还会自动关闭该端口,使其不能收发任何报文.
被关闭的端口将在shutdown-interval命令(请参考"基础配置命令参考"中的"设备管理")所配置的时间之后自动恢复.
缺省情况下,系统不采用上述任何一种模式,当系统检测到端口出现环路时,除了生成日志信息外不对该端口进行任何处理.
3.
端口状态自动恢复在Block模式和No-learning模式下,当设备检测到某端口出现环路后,若在三倍的环路检测时间间隔内仍未收到环路检测报文,就认为该端口上的环路已消除,自动将该端口恢复为正常转发状态,并通知给用户.
这个过程就是端口状态的自动恢复过程.
在Shutdown模式下,出现环路的端口先被自动关闭,然后在shutdown-interval命令所配置的时间之后自动恢复.
如果此时环路尚未消除,该端口将被再次关闭,然后恢复……如此往复直至环路消除.
当网络中存在环路时,为防止大量报文的冲击,设备会丢弃部分报文.
而如果环路检测报文也被丢弃,设备在端口状态自动恢复功能的作用下会误判定环路已消除.
在这种情况下,建议将环路检测的处理模式配置为Shutdown模式,或当设备提示出现环路时通过手工排查来消除环路.
1.
2环路检测配置任务简介表1-2环路检测配置任务简介配置任务说明详细配置使能环路检测功能必选1.
3.
1配置环路检测处理模式可选1.
3.
2配置环路检测时间间隔可选1.
3.
31.
3配置环路检测1.
3.
1使能环路检测功能用户可以在系统视图下全局使能环路检测功能,也可以在接口视图下使能当前端口的环路检测功能.
系统视图下的配置对指定VLAN中的所有端口都有效,而接口视图下的配置则只对当前端口有效(该端口必须属于所指定的VLAN,否则配置无效),且接口视图下的配置优先级较高.
1-41.
全局使能环路检测功能表1-3全局使能环路检测功能操作命令说明进入系统视图system-view-全局使能环路检测功能loopback-detectionglobalenablevlan{vlan-list|all}缺省情况下,环路检测功能处于全局关闭状态2.
在端口上使能环路检测功能表1-4在端口上使能环路检测功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-在端口上使能环路检测功能loopback-detectionenablevlan{vlan-list|all}缺省情况下,端口上的环路检测功能处于关闭状态1.
3.
2配置环路检测处理模式用户可以在系统视图下全局配置环路检测的处理模式,也可以在接口视图下配置当前端口的环路检测处理模式.
系统视图下的配置对所有端口都有效,接口视图下的配置则只对当前端口有效,且接口视图下的配置优先级较高.
1.
全局配置环路检测处理模式表1-5全局配置环路检测处理模式操作命令说明进入系统视图system-view-全局配置环路检测的处理模式loopback-detectionglobalactionshutdown缺省情况下,当系统检测到端口出现环路时不对该端口进行任何处理,仅生成日志信息2.
在二层以太网接口上配置环路检测处理模式表1-6在二层以太网接口上配置环路检测处理模式操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-在端口上配置环路检测的处理模式loopback-detectionaction{block|no-learning|shutdown}缺省情况下,当系统检测到端口出现环路时不对该端口进行任何处理,仅生成日志信息1-51.
3.
3配置环路检测时间间隔当使能了环路检测功能后,系统开始以一定的时间间隔发送环路检测报文,该间隔越长耗费的系统性能越少,该间隔越短环路检测的灵敏度越高.
用户可以通过本配置调整发送环路检测报文的时间间隔,以在系统性能和环路检测的灵敏度之间进行平衡.
表1-7配置环路检测时间间隔操作命令说明进入系统视图system-view-配置环路检测的时间间隔loopback-detectioninterval-timeinterval缺省情况下,环路检测的时间间隔为30秒1.
4环路检测显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后环路检测的运行情况,通过查看显示信息验证配置的效果.
表1-8环路检测显示和维护操作命令显示环路检测的配置和运行情况displayloopback-detection1.
5环路检测典型配置举例1.
组网需求三台设备RouterA、RouterB和RouterC组成一个物理上的环形网络.
通过在RouterA上配置环路检测功能,使系统能够自动关闭RouterA上出现环路的端口,并通过打印日志信息来通知用户检查网络.
1-62.
组网图图1-3环路检测典型组网图3.
配置步骤(1)配置RouterA#创建VLAN100,并全局使能该VLAN内的环路检测功能.
system-view[RouterA]vlan100[RouterA–vlan100]quit[RouterA]loopback-detectionglobalenablevlan100#配置端口GigabitEthernet2/1/1和GigabitEthernet2/1/2为Trunk类型,并允许VLAN100通过.
[RouterA]interfacegigabitethernet2/1/1[RouterA-GigabitEthernet2/1/1]portlink-typetrunk[RouterA-GigabitEthernet2/1/1]porttrunkpermitvlan100[RouterA-GigabitEthernet2/1/1]quit[RouterA]interfacegigabitethernet2/1/2[RouterA-GigabitEthernet2/1/2]portlink-typetrunk[RouterA-GigabitEthernet2/1/2]porttrunkpermitvlan100[RouterA-GigabitEthernet2/1/2]quit#全局配置环路检测的处理模式为Shutdown模式.
[RouterA]loopback-detectionglobalactionshutdown#配置环路检测的时间间隔为35秒.
[RouterA]loopback-detectioninterval-time35(2)配置RouterB#创建VLAN100.
system-view[RouterB]vlan100[RouterB–vlan100]quit#配置端口GigabitEthernet2/1/1和GigabitEthernet2/1/2为Trunk类型,并允许VLAN100通过.
GE2/1/1RouterARouterBRouterCGE2/1/2VLAN1001-7[RouterB]interfacegigabitethernet2/1/1[RouterB-GigabitEthernet2/1/1]portlink-typetrunk[RouterB-GigabitEthernet2/1/1]porttrunkpermitvlan100[RouterB-GigabitEthernet2/1/1]quit[RouterB]interfacegigabitethernet2/1/2[RouterB-GigabitEthernet2/1/2]portlink-typetrunk[RouterB-GigabitEthernet2/1/2]porttrunkpermitvlan100[RouterB-GigabitEthernet2/1/2]quit(3)配置RouterC#创建VLAN100.
system-view[RouterC]vlan100[RouterC–vlan100]quit#配置端口GigabitEthernet2/1/1和GigabitEthernet2/1/2为Trunk类型,并允许VLAN100通过.
[RouterC]interfacegigabitethernet2/1/1[RouterC-GigabitEthernet2/1/1]portlink-typetrunk[RouterC-GigabitEthernet2/1/1]porttrunkpermitvlan100[RouterC-GigabitEthernet2/1/1]quit[RouterC]interfacegigabitethernet2/1/2[RouterC-GigabitEthernet2/1/2]portlink-typetrunk[RouterC-GigabitEthernet2/1/2]porttrunkpermitvlan100[RouterC-GigabitEthernet2/1/2]quit4.
验证配置当配置完成后,系统在一个环路检测时间间隔内在RouterA的端口GigabitEthernet2/1/1和GigabitEthernet2/1/2上都检测到了环路,于是将这两个端口自动关闭,并打印了如下日志信息:[RouterA]%Feb2415:04:29:6632013RouterALPDT/4/LPDT_LOOPED:LoopbackexistsonGigabitEthernet2/1/1.
%Feb2415:04:29:6672013RouterALPDT/4/LPDT_LOOPED:LoopbackexistsonGigabitEthernet2/1/2.
%Feb2415:04:44:2432013RouterALPDT/5/LPDT_RECOVERED:LoopbackonGigabitEthernet2/1/1recovered.
%Feb2415:04:44:2482013RouterALPDT/5/LPDT_RECOVERED:LoopbackonGigabitEthernet2/1/2recovered.
使用displayloopback-detection命令可以查看RouterA上环路检测的配置和运行情况:#显示RouterA上环路检测的配置和运行情况.
[RouterA]displayloopback-detectionLoopbackdetectionisenabled.
Loopbackdetectionintervalis35second(s).
Noloopbackisdetected.
由此可见,RouterA上并未显示在端口GigabitEthernet2/1/1和GigabitEthernet2/1/2上检测到环路,这是由于环路检测功能运行在Shutdown模式下,端口GigabitEthernet2/1/1和GigabitEthernet2/1/2上出现环路后均已被自动关闭,因此这两个端口上的环路已消除.
此时,使用displayinterface命令分别查看RouterA上端口GigabitEthernet2/1/1和GigabitEthernet2/1/2的状态信息:#显示RouterA上端口GigabitEthernet2/1/1的状态信息.
[RouterA]displayinterfacegigabitethernet2/1/11-8GigabitEthernet2/1/1currentstate:DOWN(Loopbackdetectiondown).
.
.
#显示RouterA上端口GigabitEthernet2/1/2的状态信息.
[RouterA]displayinterfacegigabitethernet2/1/2GigabitEthernet2/1/2currentstate:DOWN(Loopbackdetectiondown).
.
.
由此可见,端口GigabitEthernet2/1/1和GigabitEthernet2/1/2均已被环路检测模块自动关闭.
i目录1VLAN1-11.
1VLAN简介·1-11.
1.
1VLAN概述·1-11.
1.
2VLAN报文封装·1-21.
1.
3协议规范1-31.
2配置VLAN基本属性1-31.
3配置VLAN接口基本属性·1-31.
4配置基于端口的VLAN1-41.
4.
1基于端口的VLAN简介·1-41.
4.
2配置基于Access端口的VLAN1-51.
4.
3配置基于Trunk端口的VLAN·1-61.
4.
4配置基于Hybrid端口的VLAN1-71.
5配置VLAN组·1-71.
6VLAN显示和维护·1-81.
7基于端口的VLAN典型配置举例·1-81-11VLAN该特性仅在安装了二层接口卡的款型和MSR3600-28/MSR3600-51的固定二层接口上支持.
1.
1VLAN简介1.
1.
1VLAN概述以太网是一种基于CSMA/CD(CarrierSenseMultipleAccess/CollisionDetect,带冲突检测的载波侦听多路访问)技术的共享通讯介质.
采用以太网技术构建的局域网,既是一个冲突域,又是一个广播域.
当网络中主机数目较多时会导致冲突严重、广播泛滥、性能显著下降,甚至网络不可用等问题.
通过在以太网中部署网桥或二层交换机,可以解决冲突严重的问题,但仍然不能隔离广播报文.
在这种情况下出现了VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术,这种技术可以把一个物理LAN划分成多个逻辑的LAN——VLAN.
处于同一VLAN的主机能直接互通,而处于不同VLAN的主机则不能直接互通.
这样,广播报文被限制在同一个VLAN内,即每个VLAN是一个广播域.
如图1-1所示,VLAN2内的主机可以互通,但与VLAN5内的主机不能互通.
图1-1VLAN示意图VLAN的划分不受物理位置的限制:物理位置不在同一范围的主机可以属于同一个VLAN;一个VLAN包含的主机可以连接在同一个交换机上,也可以跨越交换机,甚至可以跨越路由器.
VLAN根据划分方式不同可以分为不同类型.
基于端口划分VLAN是其中最简单、最有效的VLAN划分方式.
它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文.
本章将介绍基于端口的VLAN.
VLAN的优点如下:限制广播域.
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力.
1-2增强局域网的安全性.
VLAN间的二层报文是相互隔离的,即一个VLAN内的主机不能和其他VLAN内的主机直接通信,如果不同VLAN要进行通信,则需通过路由器或三层交换机等三层设备.
灵活构建虚拟工作组.
通过VLAN可以将不同的主机划分到不同的工作组,同一工作组的主机可以位于不同的物理位置,网络构建和维护更方便灵活.
1.
1.
2VLAN报文封装要使网络设备能够分辨不同VLAN的报文,需要在报文中添加标识VLAN的字段.
IEEE802.
1Q协议规定,在以太网报文的目的MAC地址和源MAC地址字段之后、协议类型字段之前加入4个字节的VLANTag,用以标识VLAN的相关信息.
图1-2VLANTag的组成字段如图1-2所示,VLANTag包含四个字段,分别是TPID(TagProtocolIdentifier,标签协议标识符)、Priority、CFI(CanonicalFormatIndicator,标准格式指示位)和VLANID.
TPID:用来表示报文是否带有VLANTag,长度为16比特,缺省情况下,TPID取值为0x8100,但各设备厂商可以自定义该字段的值.
当邻居设备将TPID值配置为非0x8100时,为了能够识别这样的报文,实现互通,必须在本设备上修改TPID值,确保和邻居设备的TPID值配置一致.
如果报文的TPID值为配置值或0x8100,则该报文被认为带有VLANTag.
配置TPID值的相关命令请参见"二层技术-以太网交换命令参考"中的"QinQ".
Priority:用来表示报文的802.
1p优先级,长度为3比特,相关内容请参见"ACL和QoS配置指导"中的"附录".
CFI:用来表示MAC地址在不同的传输介质中是否以标准格式进行封装,长度为1比特.
取值为0表示MAC地址以标准格式进行封装,为1表示以非标准格式封装.
在以太网中,CFI取值为0.
VLANID:用来表示该报文所属VLAN的编号,长度为12比特.
由于0和4095为协议保留取值,所以VLANID的取值范围为1~4094.
网络设备根据报文是否携带VLANTag以及携带的VLANTag信息,来对报文进行处理,利用VLANID来识别报文所属的VLAN.
详细的处理方式请参见"1.
4.
1基于端口的VLAN简介".
以太网支持EthernetII、802.
3/802.
2LLC、802.
3/802.
2SNAP和802.
3raw封装格式,本文以EthernetII型封装为例.
802.
3/802.
2LLC、802.
3/802.
2SNAP和802.
3raw封装格式添加VLANTag字段的方式请参见相关协议规范.
对于带有多层VLANTag的报文,设备会根据其最外层VLANTag进行处理,而内层VLANTag会被视为报文的普通数据部分.
1-31.
1.
3协议规范与VLAN相关的协议规范有:IEEE802.
1Q:IEEEStandardforLocalandMetropolitanAreaNetworks-VirtualBridgedLocalAreaNetworks1.
2配置VLAN基本属性表1-1配置VLAN基本属性配置命令说明进入系统视图system-view-(可选)创建一个VLAN并进入VLAN视图,或批量创建VLANvlan{vlan-id1[tovlan-id2]|all}缺省情况下,系统只有一个缺省VLAN(VLAN1)进入VLAN视图vlanvlan-id批量创建VLAN时,为必选;否则,无需执行本命令指定当前VLAN的名称nametext缺省情况下,VLAN的名称为"VLANvlan-id",其中vlan-id为该VLAN的编号.
例如,VLAN100的名称为"VLAN0100"配置当前VLAN的描述信息descriptiontext缺省情况下,VLAN的描述信息为"VLANvlan-id",其中vlan-id为该VLAN的编号.
例如,VLAN100的描述信息为"VLAN0100"VLAN1为系统缺省VLAN,用户不能手工创建和删除.
动态学习到的VLAN、配置有QoS策略的VLAN、被其他应用锁定不让删除的VLAN,都不能使用undovlan命令直接删除.
只有将相关配置删除之后,才能删除相应的VLAN.
1.
3配置VLAN接口基本属性不同VLAN间的主机不能直接通信,通过在设备上配置VLAN接口,可以实现VLAN间的三层互通.
VLAN接口是一种三层的虚拟接口,它不作为物理实体存在于设备上.
每个VLAN对应一个VLAN接口,在为VLAN接口配置了IP地址后,该IP地址即可作为本VLAN内网络设备的网关地址,对需要跨网段的报文进行基于IP地址的三层转发.
配置VLAN接口基本属性时,需要注意,在创建VLAN接口之前,对应的VLAN必须已经存在,否则将不能创建指定的VLAN接口.
表1-2配置VLAN接口基本属性配置命令说明进入系统视图system-view-1-4配置命令说明创建VLAN接口并进入VLAN接口视图interfacevlan-interfacevlan-interface-id如果该VLAN接口已经存在,则直接进入该VLAN接口视图缺省情况下,未创建VLAN接口配置VLAN接口的IP地址ipaddressip-address{mask|mask-length}[sub]缺省情况下,未配置VLAN接口的IP地址配置当前VLAN接口的描述信息descriptiontext缺省情况下,VLAN接口的描述信息为该VLAN接口的接口名,如"Vlan-interface1Interface"配置VLAN接口的MTU值mtusize缺省情况下,VLAN接口的MTU值为1500配置VLAN接口的MAC地址mac-addressmac-address缺省情况下,VLAN接口未配置MAC地址(可选)配置VLAN接口的期望带宽bandwidthbandwidth-value缺省情况下,接口的期望带宽=接口的波特率÷1000(kbit/s)(可选)恢复当前VLAN接口的缺省配置default-(可选)取消手工关闭VLAN接口undoshutdown缺省情况下,未手工关闭VLAN接口1.
4配置基于端口的VLAN1.
4.
1基于端口的VLAN简介基于端口划分VLAN是最简单、最有效的VLAN划分方法.
它按照设备端口来定义VLAN成员,将指定端口加入到指定VLAN中之后,端口就可以转发该VLAN的报文.
1.
端口的链路类型根据端口在转发报文时对VLANTag的不同处理方式,可将端口的链路类型分为三种:Access:端口只能发送一个VLAN的报文,发出去的报文不带VLANTag.
一般用于和不能识别VLANTag的用户终端设备相连,或者不需要区分不同VLAN成员时使用.
Trunk:端口能发送多个VLAN的报文,发出去的端口缺省VLAN的报文不带VLANTag,其他VLAN的报文都必须带VLANTag.
通常用于网络传输设备之间的互连.
Hybrid:端口能发送多个VLAN的报文,端口发出去的报文可根据需要配置某些VLAN的报文带VLANTag,某些VLAN的报文不带VLANTag.
2.
端口缺省VLAN除了可以设置端口允许通过的VLAN外,还可以设置端口的缺省VLAN,即端口VLANID(PortVLANID,PVID).
在缺省情况下,所有端口的缺省VLAN均为VLAN1,但用户可以根据需要进行配置.
Access端口的缺省VLAN就是它所在的VLAN.
Trunk端口和Hybrid端口可以允许多个VLAN通过,能够配置缺省VLAN.
1-5当执行undovlan命令删除的VLAN是某个端口的缺省VLAN时,对Access端口,端口的缺省VLAN会恢复到VLAN1;对Trunk或Hybrid端口,端口的缺省VLAN配置不会改变,即它们可以使用已经不存在的VLAN作为缺省VLAN.
建议本端设备端口的缺省VLANID和相连的对端设备端口的缺省VLANID保持一致.
建议保证端口的缺省VLAN为端口允许通过的VLAN.
如果端口不允许某VLAN通过,但是端口的缺省VLAN为该VLAN,则端口会丢弃收到的该VLAN的报文或者不带VLANTag的报文.
3.
端口对报文的处理方式在配置了端口链路类型和缺省VLAN后,端口对报文的接收和发送的处理有几种不同情况,具体情况请参看表1-3.
表1-3不同链路类型端口收发报文的差异端口类型对接收报文的处理对发送报文的处理当接收到的报文不带Tag时当接收到的报文带有Tag时Access端口为报文添加端口缺省VLAN的Tag当报文的VLANID与端口的缺省VLANID相同时,接收该报文当报文的VLANID与端口的缺省VLANID不同时,丢弃该报文去掉Tag,发送该报文Trunk端口当端口的缺省VLANID在端口允许通过的VLANID列表里时,接收该报文,给报文添加端口缺省VLAN的Tag当端口的缺省VLANID不在端口允许通过的VLANID列表里时,丢弃该报文当报文的VLANID在端口允许通过的VLANID列表里时,接收该报文当报文的VLANID不在端口允许通过的VLANID列表里时,丢弃该报文当报文的VLANID与端口的缺省VLANID相同,且是该端口允许通过的VLANID时:去掉Tag,发送该报文当报文的VLANID与端口的缺省VLANID不同,且是该端口允许通过的VLANID时:保持原有Tag,发送该报文Hybrid端口当报文的VLANID是端口允许通过的VLANID时,发送该报文,并可以通过porthybridvlan命令配置端口在发送该VLAN(包括缺省VLAN)的报文时是否携带Tag1.
4.
2配置基于Access端口的VLAN配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在接口视图下进行配置.
1-6表1-4配置基于Access端口的VLAN(在VLAN视图下)配置命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-向当前VLAN中添加一个或一组Access端口portinterface-list缺省情况下,系统将所有端口都加入到VLAN1表1-5配置基于Access端口的VLAN(在接口视图下)操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number进入二层以太网接口视图后,下面进行的配置只在当前接口下生效配置端口的链路类型为Access类型portlink-typeaccess缺省情况下,端口的链路类型为Access将当前Access端口加入到指定VLANportaccessvlanvlan-id缺省情况下,所有Access端口都属于VLAN1在将Access端口加入到指定VLAN之前,该VLAN必须已经存在1.
4.
3配置基于Trunk端口的VLANTrunk端口可以允许多个VLAN通过,只能在接口视图下进行配置.
配置基于Trunk端口的VLAN时,需要注意:Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口.
配置缺省VLAN后,必须使用porttrunkpermitvlan命令配置允许缺省VLAN的报文通过,出接口才能转发缺省VLAN的报文.
表1-6配置基于Trunk端口的VLAN操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number进入二层以太网接口视图后,下面进行的配置只在当前接口下生效配置端口的链路类型为Trunk类型portlink-typetrunk缺省情况下,端口的链路类型为Access类型允许指定的VLAN通过当前Trunk端口porttrunkpermitvlan{vlan-id-list|all}缺省情况下,Trunk端口只允许VLAN1的报文通过(可选)设置Trunk端口的缺省VLANporttrunkpvidvlanvlan-id缺省情况下,Trunk端口的缺省VLAN为VLAN11-71.
4.
4配置基于Hybrid端口的VLANHybrid端口可以允许多个VLAN通过,只能在接口视图下进行配置.
配置基于Hybrid端口的VLAN时,需要注意:Hybrid端口和Trunk端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口.
在设置允许指定的VLAN通过Hybrid端口之前,允许通过的VLAN必须已经存在.
配置缺省VLAN后,必须使用porthybridvlan命令配置允许缺省VLAN的报文通过,出接口才能转发缺省VLAN的报文.
表1-7配置基于Hybrid端口的VLAN操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number进入二层以太网接口视图后,下面进行的配置只在当前接口下生效配置端口的链路类型为Hybrid类型portlink-typehybrid缺省情况下,端口的链路类型为Access类型允许指定的VLAN通过当前Hybrid端口porthybridvlanvlan-id-list{tagged|untagged}缺省情况下,Hybrid端口只允许VLAN1的报文以Untagged方式通过(即VLAN1的报文从该端口发送出去后不携带VLANTag)(可选)配置Hybrid端口的缺省VLANporthybridpvidvlanvlan-id缺省情况下,Hybrid端口的缺省VLAN为该端口在链路类型为Access时的所属VLAN1.
5配置VLAN组VLAN组是一组VLAN的集合.
VLAN组内可以添加多个VLAN列表,一个VLAN列表表示一组VLANID连续的VLAN.
认证服务器可以通过下发VLAN组名的方式为通过认证的802.
1X用户下发一组授权VLAN.
有关802.
1X的详细介绍,请参见"安全配置指导"中的"802.
1X".
表1-8配置VLAN组操作命令说明进入系统视图system-view-创建一个VLAN组,并进入VLAN组视图vlan-groupgroup-name缺省情况下,不存在任何VLAN组在当前VLAN组内添加VLAN成员vlan-listvlan-id-list缺省情况下,当前VLAN组中不存在任何VLAN列表1-81.
6VLAN显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后VLAN的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除VLAN接口统计信息.
表1-9VLAN显示和维护操作命令显示VLAN接口相关信息displayinterface[vlan-interface][brief[down]]displayinterface[vlan-interface[interface-number]][brief[description]]显示VLAN相关信息displayvlan[vlan-id1[tovlan-id2]|all|dynamic|reserved|static]显示创建的VLAN组及其VLAN成员列表displayvlan-group[group-name]显示设备上当前存在的Hybrid或Trunk端口displayport{hybrid|trunk}清除VLAN接口的统计信息resetcountersinterfacevlan-interface[vlan-interface-id]1.
7基于端口的VLAN典型配置举例1.
组网需求HostA和HostC属于部门A,但是通过不同的设备接入公司网络;HostB和HostD属于部门B,也通过不同的设备接入公司网络.
为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量.
其中部门A使用VLAN100,部门B使用VLAN200.
现要求不管是否使用相同的设备接入公司网络,同一VLAN内的主机能够互通,即HostA和HostC能够互通,HostB和HostD能够互通.
2.
组网图图1-3基于端口的VLAN组网图3.
配置步骤(1)配置RouterA#创建VLAN100,并将GigabitEthernet2/1/1加入VLAN100.
1-9system-view[RouterA]vlan100[RouterA-vlan100]portgigabitethernet2/1/1[RouterA-vlan100]quit#创建VLAN200,并将GigabitEthernet2/1/2加入VLAN200.
[RouterA]vlan200[RouterA-vlan200]portgigabitethernet2/1/2[RouterA-vlan200]quit#为了使RouterA上VLAN100和VLAN200的报文能发送给RouterB,将GigabitEthernet2/1/3的链路类型配置为Trunk,并允许VLAN100和VLAN200的报文通过.
[RouterA]interfacegigabitethernet2/1/3[RouterA-GigabitEthernet2/1/3]portlink-typetrunk[RouterA-GigabitEthernet2/1/3]porttrunkpermitvlan100200(2)RouterB上的配置与RouterA上的配置相同,不再赘述.
(3)将HostA和HostC配置在一个网段,比如192.
168.
100.
0/24;将HostB和HostD配置在一个网段,比如192.
168.
200.
0/24.
4.
验证配置(1)HostA和HostC能够互相ping通,但是均不能ping通HostB.
HostB和HostD能够互相ping通,但是均不能ping通HostA.
(2)通过查看显示信息验证配置是否成功.
#查看RouterA上VLAN100和VLAN200的配置信息,验证以上配置是否生效.
[RouterA-GigabitEthernet2/1/3]displayvlan100VLANID:100VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0100Name:VLAN0100Taggedports:GigabitEthernet2/1/3Untaggedports:GigabitEthernet2/1/1[RouterA-GigabitEthernet2/1/3]displayvlan200VLANID:200VLANtype:StaticRouteinterface:NotconfiguredDescription:VLAN0200Name:VLAN0200Taggedports:GigabitEthernet2/1/3Untaggedports:GigabitEthernet2/1/2i目录1QinQ1-11.
1QinQ简介·1-11.
1.
1QinQ的工作原理1-11.
1.
2QinQ的实现方式1-21.
1.
3协议规范1-31.
2配置QinQ功能1-31.
2.
1使能QinQ功能·1-31.
3配置VLANTag的TPID值·1-31.
4配置外层VLANTag的802.
1p优先级·1-41.
5QinQ显示和维护·1-51.
6QinQ典型配置举例1-51.
6.
1QinQ配置举例·1-51-11QinQ该特性仅在安装了HMIM24GSW/HMIM24GSW-POE/HMIM8GSW接口卡的款型上支持.
1.
1QinQ简介IEEE802.
1Q定义的VLANID域有12个比特,最多可以提供4094个VLAN.
但在实际应用中,尤其是在城域网中,需要大量的VLAN来隔离用户,4094个VLAN远远不能满足需求.
QinQ使整个网络最多可以提供4094*4094个VLAN,满足了城域网对VLAN数量的需求.
QinQ是802.
1Qin802.
1Q的简称,是基于IEEE802.
1Q技术的一种比较简单的二层VPN协议.
通过将一层VLANTag封装到私网报文上,使其携带两层VLANTag穿越运营商的骨干网络(又称公网),从而使运营商能够利用一个VLAN为包含多个VLAN的用户网络提供服务.
QinQ具备以下优点:缓解公网VLAN资源日益紧缺的问题.
用户可以规划自己的私网VLAN,不会导致与公网VLAN冲突.
为用户提供了一种简单、灵活的二层VPN解决方案.
当运营商进行VLAN规划时,用户网络不必更改原有配置,使用户网络具有了较强的独立性.
1.
1.
1QinQ的工作原理如图1-1所示,QinQ报文在运营商网络中传输时带有双层VLANTag:内层VLANTag:为用户的私网VLANTag,对应图中的CustomerVLANTag(简称CVLAN).
设备依靠该Tag在私网中传送报文.
外层VLANTag:为运营商分配给用户的公网VLANTag,对应图中的ServiceVLANTag(简称SVLAN).
设备依靠该Tag在公网中传送QinQ报文.
图1-1QinQ的报文结构1-2接口的MTU(MaximumTransmissionUnit,最大传输单元)值默认为1500字节.
由于为报文加上外层VLANTag后,报文长度将增加4个字节,因此建议用户适当增加运营商网络中各接口的MTU值(至少为1504字节).
有关接口MTU值的相关配置,请参见"接口管理配置指导"中的"以太网接口".
在公网的传输过程中,设备只根据外层VLANTag转发报文,而内层VLANTag将被当作报文的数据部分进行传输.
图1-2QinQ典型应用组网图如图1-2所示,用户网络A和B的私网VLAN分别为VLAN1~10和VLAN1~20.
运营商为用户网络A和B分配的公网VLAN分别为VLAN3和VLAN4.
(1)当用户网络A和B中带私网VLANTag的报文进入运营商网络时,报文外面就会被分别封装上VLAN3和VLAN4的公网VLANTag.
(2)来自不同用户网络的报文在运营商网络中传输时被隔离,即使这些用户网络各自的VLAN范围存在重叠,因为分配到的公网VLAN不同,在运营商网络中传输时也不会产生冲突.
(3)当报文穿过运营商网络,到达运营商网络另一侧PE(ProviderEdge,服务提供商网络边缘)设备后,报文被剥离公网VLANTag,然后再传送给用户网络的CE(CustomerEdge,用户网络边缘)设备.
1.
1.
2QinQ的实现方式当端口上配置了QinQ功能后,不论从该端口收到的报文是否带有VLANTag,设备都会为该报文添加本端口缺省VLAN的Tag:如果收到的是带有VLANTag的报文,该报文就成为带两层Tag的报文;1-3如果收到的是不带VLANTag的报文,该报文就成为带有本端口缺省VLANTag的报文.
1.
1.
3协议规范与QinQ相关的协议规范有:IEEE802.
1Q:IEEEStandardforLocalandMetropolitanAreaNetworks-VirtualBridgedLocalAreaNetworksIEEE802.
1ad:IEEEStandardforLocalandMetropolitanAreaNetworks-VirtualBridgedLocalAreaNetworks-Amendment4:ProviderBridges1.
2配置QinQ功能QinQ功能应在PE设备的用户网络侧接口上进行配置.
1.
2.
1使能QinQ功能使能了QinQ功能的端口将为其收到的报文添加该端口缺省VLAN的Tag.
表1-1使能QinQ功能操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-使能端口的QinQ功能qinqenable缺省情况下,端口的QinQ功能处于关闭状态1.
3配置VLANTag的TPID值TPID(TagProtocolIdentifier,标签协议标识符)值可以用来判断报文中是否带有VLANTag.
例如,在设备上配置用户VLANTag和运营商VLANTag的TPID值分别为0x8200和0x9100,如果该设备收到的报文实际携带的内、外层VLANTag的TPID值分别为0x8100和0x9100,由于该报文外层VLANTag的TPID值与配置值相同,而内层VLANTag的TPID值与配置值不同,该设备会认为该报文只携带运营商VLANTag,而没有携带用户VLANTag;对于该设备收到的只带有一层VLANTag的报文,如果该VLANTag的TPID值不为0x9100,则该设备会认为该报文没有携带VLANTag.
第三方厂商的设备可能将QinQ报文外层VLANTag的TPID设为不同的值.
为了与这些厂商的设备兼容,用户可以通过修改TPID值,使发送到的QinQ报文携带的TPID值与第三方厂商的相同,从而实现与这些厂商的设备互通.
VLANTag的TPID值有全局配置和端口上的配置两种方式.
其中,全局配置对所有端口都有效,端口上的配置对一个或多个端口有效.
对于某个端口来说,优先采用端口上的配置,然后才采用全局配置.
VLANTag的TPID值应在PE设备的运营商网络侧的接口上进行配置.
1-41.
全局配置VLANTag的TPID值表1-2全局配置VLANTag的TPID值操作命令说明进入系统视图system-view-配置内层VLANTag的TPID值qinqethernet-typecustomer-taghex-value缺省情况下,内层VLANTag的TPID值都为0x81002.
在端口上配置VLANTag的TPID值表1-3在端口上配置VLANTag的TPID值操作命令说明进入系统视图system-view-进入二层以太网接口视图interfaceinterface-typeinterface-number-配置外层VLANTag的TPID值qinqethernet-typeservice-taghex-value缺省情况下,外层VLANTag的TPID值为0x81001.
4配置外层VLANTag的802.
1p优先级对于携带两层VLANTag的报文,如果需要修改外层VLANTag的802.
1p优先级,可以通过QoS策略实现以下两种功能中的一种:根据内层VLANTag的802.
1p优先级或内层VLANID来标记外层VLANTag的802.
1p优先级.
将内层VLANTag的802.
1p优先级复制为外层VLANTag的802.
1p优先级.
配置外层VLANTag的802.
1p优先级前,需要注意:在未进行本配置时,端口会将内层VLANTag的802.
1p优先级复制为外层VLANTag的802.
1p优先级.
不可以在一台设备上先为报文添加外层VLANTag,再修改该VLANTag的802.
1p优先级.
有关QoS策略相关命令的详细介绍,请参见"ACL和QoS命令参考"中的"QoS策略";有关优先级信任模式的配置,请参见"ACL和QoS配置指导"中的"优先级映射".
表1-4配置外层VLANTag的802.
1p优先级操作命令说明进入系统视图system-view-定义类,并进入类视图trafficclassifierclassifier-name[operator{and|or}]缺省情况下,没有定义类定义匹配报文的规则定义匹配内层VLANID的规则if-matchcustomer-vlan-idvlan-id-list二者选其一1-5操作命令说明定义匹配内层VLANTag的802.
1p优先级的规则if-matchcustomer-dot1pdot1p-value&退回系统视图quit-定义流行为,并进入流行为视图trafficbehaviorbehavior-name-重标记外层VLANTag的802.
1p优先级remarkdot1pdot1p-value退回系统视图quit-定义策略,并进入策略视图qospolicypolicy-name-在策略中,将之前定义的类和流行为进行绑定,组成QoS策略classifierclassifier-namebehaviorbehavior-name-退回系统视图quit-进入二层以太网接口interfaceinterface-typeinterface-number-在端口的入方向应用QoS策略qosapplypolicypolicy-nameinbound-1.
5QinQ显示和维护在完成上述配置后,在任意视图下执行display命令可以显示使能了QinQ功能的端口,通过查看显示信息验证配置的效果.
表1-5QinQ显示和维护操作命令显示使能了QinQ功能的端口displayqinq[interfaceinterface-typeinterface-number]1.
6QinQ典型配置举例1.
6.
1QinQ配置举例1.
组网需求公司A的两个分支机构Site1和Site2通过运营商网络进行通信,该公司各业务使用的VLAN为VLAN10~70;公司B的两个分支机构Site3和Site4也通过运营商网络进行通信,该公司各业务使用的VLAN为VLAN30~90.
PE1和PE2为运营商网络的边缘设备,且二者通过TPID值为0x8200的第三方厂商设备进行连接.
通过配置,利用运营商提供的VLAN100使公司A的两个分支机构之间实现互通,利用运营商提供的VLAN200使公司B的两个分支机构之间实现互通.
1-62.
组网图图1-3QinQ配置组网图3.
配置步骤(1)配置PE1配置端口GigabitEthernet2/1/1#配置端口为Trunk端口,且允许VLAN100和VLAN10~70的报文通过.
system-view[PE1]interfacegigabitethernet2/1/1[PE1-GigabitEthernet2/1/1]portlink-typetrunk[PE1-GigabitEthernet2/1/1]porttrunkpermitvlan10010to70#配置端口的缺省VLAN为VLAN100.
[PE1-GigabitEthernet2/1/1]porttrunkpvidvlan100#使能端口的QinQ功能.
[PE1-GigabitEthernet2/1/1]qinqenable[PE1-GigabitEthernet2/1/1]quit配置端口GigabitEthernet2/1/2#配置端口为Trunk端口,且允许VLAN100和VLAN200的报文通过.
[PE1]interfacegigabitethernet2/1/2[PE1-GigabitEthernet2/1/2]portlink-typetrunk[PE1-GigabitEthernet2/1/2]porttrunkpermitvlan100200#配置外层VLANTag的TPID值为0x8200.
[PE1-GigabitEthernet2/1/2]qinqethernet-typeservice-tag8200[PE1-GigabitEthernet2/1/2]quit配置端口GigabitEthernet2/1/3#配置端口为Trunk端口,且允许VLAN200和VLAN30~90的报文通过.
CE1CompanyASite1PE1PublicnetworkVLANs100and200TPID=0x8200PE2CE2VLANs10to70VLANs30to90Site3CompanyBCE3CompanyBSite4VLANs30to90Site2CompanyAVLANs10to70CE4GE2/1/1GE2/1/2GE2/1/3GE2/1/1GE2/1/2GE2/1/31-7[PE1]interfacegigabitethernet2/1/3[PE1-GigabitEthernet2/1/3]portlink-typetrunk[PE1-GigabitEthernet2/1/3]porttrunkpermitvlan20030to90#配置端口的缺省VLAN为VLAN200.
[PE1-GigabitEthernet2/1/3]porttrunkpvidvlan200#使能端口的QinQ功能.
[PE1-GigabitEthernet2/1/3]qinqenable[PE1-GigabitEthernet2/1/3]quit(2)配置PE2配置端口GigabitEthernet2/1/1#配置端口为Trunk端口,且允许VLAN200和VLAN30~90的报文通过.
system-view[PE2]interfacegigabitethernet2/1/1[PE2-GigabitEthernet2/1/1]portlink-typetrunk[PE2-GigabitEthernet2/1/1]porttrunkpermitvlan20030to90#配置端口的缺省VLAN为VLAN200.
[PE2-GigabitEthernet2/1/1]porttrunkpvidvlan200#使能端口的QinQ功能.
[PE2-GigabitEthernet2/1/1]qinqenable[PE2-GigabitEthernet2/1/1]quit配置端口GigabitEthernet2/1/2#配置端口为Trunk端口,且允许VLAN100和VLAN200的报文通过.
[PE2]interfacegigabitethernet2/1/2[PE2-GigabitEthernet2/1/2]portlink-typetrunk[PE2-GigabitEthernet2/1/2]porttrunkpermitvlan100200#配置外层VLANTag的TPID值为0x8200.
[PE2-GigabitEthernet2/1/2]qinqethernet-typeservice-tag8200[PE2-GigabitEthernet2/1/2]quit配置端口GigabitEthernet2/1/3#配置端口为Trunk端口,且允许VLAN100和VLAN10~70的报文通过.
[PE2]interfacegigabitethernet2/1/3[PE2-GigabitEthernet2/1/3]portlink-typetrunk[PE2-GigabitEthernet2/1/3]porttrunkpermitvlan10010to70#配置端口的缺省VLAN为VLAN100.
[PE2-GigabitEthernet2/1/3]porttrunkpvidvlan100#使能端口的QinQ功能.
[PE2-GigabitEthernet2/1/3]qinqenable[PE2-GigabitEthernet2/1/3]quit(3)配置第三方厂商设备对于PE1与PE2之间的第三方厂商设备,其关键配置如下:在连通PE1与PE2的端口上,都允许VLAN100和VLAN200的报文携带VLANTag通过.
i目录1LLDP·1-11.
1LLDP简介·1-11.
1.
1LLDP产生背景1-11.
1.
2LLDP基本概念1-11.
1.
3LLDP工作机制1-61.
1.
4协议规范1-61.
2LLDP配置任务简介·1-61.
3配置LLDP基本功能·1-71.
3.
1使能LLDP功能1-71.
3.
2配置LLDP桥模式·1-71.
3.
3配置LLDP工作模式·1-81.
3.
4配置接口初始化延迟时间·1-81.
3.
5配置轮询功能·1-81.
3.
6配置允许发布的TLV类型1-91.
3.
7配置管理地址及其封装格式1-101.
3.
8调整LLDP相关参数·1-111.
3.
9配置LLDP报文的封装格式·1-111.
4配置LLDP兼容CDP功能·1-121.
4.
1配置准备1-121.
4.
2配置LLDP兼容CDP功能1-121.
5配置LLDPTrap和LLDP-MEDTrap功能·1-131.
6LLDP显示和维护1-131.
7LLDP典型配置举例·1-141.
7.
1LLDP基本功能配置举例·1-141-11LLDP1.
1LLDP简介1.
1.
1LLDP产生背景目前,网络设备的种类日益繁多且各自的配置错综复杂,为了使不同厂商的设备能够在网络中相互发现并交互各自的系统及配置信息,需要有一个标准的信息交流平台.
LLDP(LinkLayerDiscoveryProtocol,链路层发现协议)就是在这样的背景下产生的,它提供了一种标准的链路层发现方式,可以将本端设备的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(LinkLayerDiscoveryProtocolDataUnit,链路层发现协议数据单元)中发布给与自己直连的邻居,邻居收到这些信息后将其以标准MIB(ManagementInformationBase,管理信息库)的形式保存起来,以供网络管理系统查询及判断链路的通信状况.
有关MIB的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
1.
1.
2LLDP基本概念1.
LLDP代理LLDP代理是LLDP协议运行实体的一个抽象映射.
一个接口下,可以运行多个LLDP代理.
目前LLDP定义的代理类型包括:NearestBridge(最近桥代理)、NearestCustomerBridge(最近客户桥代理)和Nearestnon-TPMRBridge(最近非TPMR桥代理).
其中TPMR(Two-PortMACRelay,双端口MAC中继),是一种只有两个可供外部访问桥端口的桥,支持MAC桥的功能子集.
TPMR对于所有基于帧的介质无关协议都是透明的,但如下协议除外:以TPMR为目的地址的协议、以保留MAC地址为目的地址但TPMR定义为不予转发的协议.
LLDP在相邻的代理之间进行协议报文交互,并基于代理创建及维护邻居信息.
如图1-1所示,是LLDP不同类型的代理邻居关系示意图.
其中,CB(CustomerBridge,客户桥)和SB(ServiceBridge,服务桥)表示LLDP的两种桥模式.
图1-1LLDP邻居关系示意图2.
LLDP报文封装有LLDPDU的报文称为LLDP报文,其封装格式有两种:EthernetII和SNAP(SubnetworkAccessProtocol,子网访问协议).
1-2(1)EthernetII格式封装的LLDP报文图1-2EthernetII格式封装的LLDP报文如图1-2所示,是以EthernetII格式封装的LLDP报文,其中各字段的含义如下:DestinationMACaddress:目的MAC地址.
为区分同一接口下不同类型代理发送及接收的LLDP报文,LLDP协议规定了不同的组播MAC地址作为不同类型代理的LLDP报文的目的MAC地址.
其中固定的组播MAC地址0x0180-C200-000E供最近桥代理类型的LLDP报文使用,0x0180-C200-0000供最近客户桥代理类型的LLDP报文使用,0x0180-C200-0003供最近非TPMR桥代理类型的LLDP报文使用.
SourceMACaddress:源MAC地址,为端口MAC地址.
Type:报文类型,为0x88CC.
Data:数据内容,为LLDPDU.
FCS:帧检验序列,用来对报文进行校验.
(2)SNAP格式封装的LLDP报文图1-3SNAP格式封装的LLDP报文如图1-3所示,是以SNAP格式封装的LLDP报文,其中各字段的含义如下:DestinationMACaddress:目的MAC地址,与EthernetII格式封装的LLDP报文目的MAC地址相同.
SourceMACaddress:源MAC地址,为端口MAC地址.
1-3Type:报文类型,为0xAAAA-0300-0000-88CC.
Data:数据内容,为LLDPDU.
FCS:帧检验序列,用来对报文进行校验.
3.
LLDPDULLDPDU就是封装在LLDP报文数据部分的数据单元.
在组成LLDPDU之前,设备先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据部分进行传送.
图1-4LLDPDU的封装格式如图1-4所示,蓝色的ChassisIDTLV、PortIDTLV、TimeToLiveTLV和EndofLLDPDUTLV这四种TLV是每个LLDPDU都必须携带的,其余的TLV则为可选携带.
每个LLDPDU最多可携带32种TLV.
4.
TLVTLV是组成LLDPDU的单元,每个TLV都代表一个信息.
LLDP可以封装的TLV包括基本TLV、802.
1组织定义TLV、802.
3组织定义TLV和LLDP-MED(LinkLayerDiscoveryProtocolMediaEndpointDiscovery,链路层发现协议媒体终端发现)TLV.
基本TLV是网络设备管理基础的一组TLV,802.
1组织定义TLV、802.
3组织定义TLV和LLDP-MEDTLV则是由标准组织或其他机构定义的TLV,用于增强对网络设备的管理,可根据实际需要选择是否在LLDPDU中发送.
(1)基本TLV在基本TLV中,有几种TLV对于实现LLDP功能来说是必选的,即必须在LLDPDU中发布,如表1-1所示.
表1-1基本TLVTLV名称说明是否必须发布ChassisID发送设备的桥MAC地址是PortID标识LLDPDU发送端的端口.
如果LLDPDU中携带有LLDP-MEDTLV,其内容为端口的MAC地址;否则,其内容为端口的名称是TimeToLive本设备信息在邻居设备上的存活时间是EndofLLDPDULLDPDU的结束标识,是LLDPDU的最后一个TLV是PortDescription端口的描述否SystemName设备的名称否SystemDescription系统的描述否SystemCapabilities系统的主要功能以及已使能的功能项否ManagementAddress管理地址,以及该地址所对应的接口号和OID(ObjectIdentifier,对象标识符)否1-4(2)802.
1组织定义TLVIEEE802.
1组织定义TLV的内容如表1-2所示.
表1-2IEEE802.
1组织定义的TLVTLV名称说明PortVLANID端口的PVID(PortVLANID)PortAndProtocolVLANID端口的PPVID(PortandProtocolVLANID)VLANName端口所属VLAN的名称ProtocolIdentity端口所支持的协议类型LinkAggregation端口是否支持链路聚合以及是否已使能链路聚合ManagementVID管理VLANVIDUsageDigest包含VLANID使用摘要的数据ETSConfiguration增强传输选择(EnhancedTransmissionSelection)配置ETSRecommendation增强传输选择推荐PFC基于优先级的流量控制(Priority-basedFlowControl)APP应用协议(ApplicationProtocol)目前,H3C设备不支持发送ProtocolIdentityTLV和VIDUsageDigestTLV,但可以接收这两种类型的TLV.
三层以太网接口仅支持LinkAggregationTLV.
(3)802.
3组织定义TLVIEEE802.
3组织定义TLV的内容如表1-3所示.
表1-3IEEE802.
3组织定义的TLVTLV名称说明MAC/PHYConfiguration/Status端口支持的速率和双工状态、是否支持端口速率自动协商、是否已使能自动协商功能以及当前的速率和双工状态PowerViaMDI端口的供电能力,包括PoE(PoweroverEthernet,以太网供电)的类型(包括PSE(PowerSourcingEquipment,供电设备)和PD(PoweredDevice,受电设备)两种)、PoE端口的远程供电模式、是否支持PSE供电、是否已使能PSE供电以及供电方式是否可控、设备类型、功率来源、功率优先级、PD请求功率值、PSE分配功率值MaximumFrameSize端口支持的最大帧长度,取端口配置的MTU(MaximumTransmissionUnit,最大传输单元)PowerStatefulControl端口的电源状态控制,包括PSE/PD所采用的电源类型、供/受电的优先级以及供/受电的功率1-5PowerStatefulControlTLV是在IEEEP802.
3atD1.
0版本中被定义的,之后的版本不再支持该TLV.
H3C设备只有在收到PowerStatefulControlTLV后才会发送该类型的TLV.
(4)LLDP-MEDTLVLLDP-MEDTLV为VoIP(VoiceoverIP,在IP网络上传送语音)提供了许多高级的应用,包括基本配置、网络策略配置、地址信息以及目录管理等,满足了语音设备的不同生产厂商在投资收效、易部署、易管理等方面的要求,并解决了在以太网中部署语音设备的问题,为语音设备的生产者、销售者以及使用者提供了便利.
LLDP-MEDTLV的内容如表1-4所示.
表1-4LLDP-MEDTLVTLV名称说明LLDP-MEDCapabilities网络设备所支持的LLDP-MEDTLV类型NetworkPolicy网络设备或终端设备上端口的VLAN类型、VLANID以及二三层与具体应用类型相关的优先级等ExtendedPower-via-MDI网络设备或终端设备的扩展供电能力,对PowerViaMDITLV进行了扩展HardwareRevision终端设备的硬件版本FirmwareRevision终端设备的固件版本SoftwareRevision终端设备的软件版本SerialNumber终端设备的序列号ManufacturerName终端设备的制造厂商名称ModelName终端设备的模块名称AssetID终端设备的资产标识符,以便目录管理和资产跟踪LocationIdentification网络设备的位置标识信息,以供终端设备在基于位置的应用中使用如果禁止发布802.
3的组织定义的MAC/PHYConfiguration/StatusTLV,则LLDP-MEDTLV将不会被发布,不论其是否被允许发布;如果禁止发布LLDP-MEDCapabilitiesTLV,则其他LLDP-MEDTLV将不会被发布,不论其是否被允许发布.
5.
管理地址管理地址是供网络管理系统标识网络设备并进行管理的地址.
管理地址可以明确地标识一台设备,从而有利于网络拓扑的绘制,便于网络管理.
管理地址被封装在LLDP报文的ManagementAddressTLV中向外发布.
1-61.
1.
3LLDP工作机制1.
LLDP的工作模式在指定类型的LLDP代理下,LLDP有以下四种工作模式:TxRx:既发送也接收LLDP报文.
Tx:只发送不接收LLDP报文.
Rx:只接收不发送LLDP报文.
Disable:既不发送也不接收LLDP报文.
当端口的LLDP工作模式发生变化时,端口将对协议状态机进行初始化操作.
为了避免端口工作模式频繁改变而导致端口不断执行初始化操作,可配置端口初始化延迟时间,当端口工作模式改变时延迟一段时间再执行初始化操作.
2.
LLDP报文的发送机制在指定类型LLDP代理下,当端口工作在TxRx或Tx模式时,设备会周期性地向邻居设备发送LLDP报文.
如果设备的本地配置发生变化则立即发送LLDP报文,以将本地信息的变化情况尽快通知给邻居设备.
但为了防止本地信息的频繁变化而引起LLDP报文的大量发送,使用令牌桶机制对LLDP报文发送作限速处理.
有关令牌桶的详细介绍,请参见"QoS配置指导"中的"令牌桶".
当设备的工作模式由Disable/Rx切换为TxRx/Tx,或者发现了新的邻居设备(即收到一个新的LLDP报文且本地尚未保存发送该报文设备的信息)时,该设备将自动启用快速发送机制,即将LLDP报文的发送周期设置为快速发送周期,并连续发送指定数量的LLDP报文后再恢复为正常的发送周期.
3.
LLDP报文的接收机制当端口工作在TxRx或Rx模式时,设备会对收到的LLDP报文及其携带的TLV进行有效性检查,通过检查后再将邻居信息保存到本地,并根据TimeToLiveTLV中TTL(TimeToLive,生存时间)的值来设置邻居信息在本地设备上的老化时间,若该值为零,则立刻老化该邻居信息.
1.
1.
4协议规范与LLDP相关的协议规范有:IEEE802.
1AB-2005:StationandMediaAccessControlConnectivityDiscoveryIEEE802.
1AB2009:StationandMediaAccessControlConnectivityDiscoveryANSI/TIA-1057:LinkLayerDiscoveryProtocolforMediaEndpointDevicesIEEEStd802.
1Qaz-2011:MediaAccessControl(MAC)BridgesandVirtualBridgedLocalAreaNetworks-Amendment18:EnhancedTransmissionSelectionforBandwidthSharingBetweenTrafficClassesIEEE802.
3AT-20091.
2LLDP配置任务简介表1-5LLDP配置任务简介配置任务说明详细配置配置LLDP基本功能使能LLDP功能必选1.
3.
11-7配置任务说明详细配置配置LLDP桥模式可选1.
3.
2配置LLDP工作模式可选1.
3.
3配置接口初始化延迟时间可选1.
3.
4配置轮询功能可选1.
3.
5配置允许发布的TLV类型可选1.
3.
6配置管理地址及其封装格式可选1.
3.
7调整LLDP相关参数可选1.
3.
8配置LLDP报文的封装格式可选1.
3.
9配置LLDPTrap和LLDP-MEDTrap功能可选1.
51.
3配置LLDP基本功能1.
3.
1使能LLDP功能只有当全局和接口上都使能了LLDP功能后,该功能才会生效.
表1-6使能LLDP功能操作命令说明进入系统视图system-view-全局使能LLDP功能lldpglobalenable缺省情况下,LLDP全局为关闭状态进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number在接口上使能LLDP功能lldpenable缺省情况下,LLDP功能在接口上处于使能状态1.
3.
2配置LLDP桥模式LLDP可配置桥模式有service-bridge(服务桥模式)和customer-bridge(客户桥模式)两种.
工作于服务桥模式时,设备可支持最近桥代理和最近非TPMR桥代理,即对上述类型的代理MAC的LLDP报文进行处理,其他目的MAC的LLDP报文进行VLAN内透传.
工作于客户桥模式时,设备可支持最近桥代理、最近非TPMR桥代理和最近客户桥代理,即对上述类型的代理MAC的LLDP报文进行处理,其他目的MAC的LLDP报文进行VLAN内透传.
表1-7配置LLDP桥模式操作命令说明进入系统视图system-view-1-8操作命令说明配置LLDP桥模式lldpmodeservice-bridge缺省情况下,LLDP工作在客户桥模式1.
3.
3配置LLDP工作模式LLDP的工作模式分为以下四种:TxRx:既发送也接收LLDP报文.
Tx:只发送不接收LLDP报文.
Rx:只接收不发送LLDP报文.
Disable:既不发送也不接收LLDP报文.
表1-8配置LLDP工作模式操作命令说明进入系统视图system-view-进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number配置LLDP的工作模式在二层以太网接口视图下:lldpadmin-status{disable|rx|tx|txrx}在三层以太网接口视图下:lldp[agent{nearest-customer|nearest-nontpmr}]admin-status{disable|rx|tx|txrx}在三层聚合接口视图下:lldpagent{nearest-customer|nearest-nontpmr}admin-status{disable|rx|tx|txrx}缺省情况下,最近桥代理类型的LLDP工作模式为TxRx,最近客户桥代理和最近非TPMR桥代理类型的LLDP工作模式为Disable以太网接口视图下,未指定agent参数时,表示配置最近桥代理的工作模式聚合接口视图下,只支持配置最近桥客户桥代理和最近非TPMR代理的工作模式1.
3.
4配置接口初始化延迟时间当接口上LLDP的工作模式发生变化时,接口将对协议状态机进行初始化操作,通过配置接口初始化的延迟时间,可以避免由于工作模式频繁改变而导致接口不断地进行初始化.
表1-9配置接口初始化延迟时间操作命令说明进入系统视图system-view-配置接口初始化的延迟时间lldptimerreinit-delaydelay缺省情况下,接口初始化的延迟时间为2秒1.
3.
5配置轮询功能在使能了轮询功能后,LLDP将以轮询间隔周期性地查询本设备的相关配置是否发生改变,如果发生改变将触发LLDP报文的发送,以将本设备的配置变化迅速通知给其他设备.
1-9表1-10配置轮询功能操作命令说明进入系统视图system-view-进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number使能轮询功能并配置轮询间隔在二层以太网接口视图下:lldpcheck-change-intervalinterval在三层以太网接口视图下:lldp[agent{nearest-customer|nearest-nontpmr}]check-change-intervalinterval在三层聚合接口视图下:lldpagent{nearest-customer|nearest-nontpmr}check-change-intervalinterval缺省情况下,轮询功能处于关闭状态1.
3.
6配置允许发布的TLV类型表1-11配置允许发布的TLV类型操作命令说明进入系统视图system-view-进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number配置接口上允许发布的TLV类型(二层以太网接口视图)lldptlv-enable{basic-tlv{all|port-description|system-capability|system-description|system-name|management-address-tlv[ip-address]}|dot1-tlv{all|port-vlan-id|link-aggregation|protocol-vlan-id[vlan-id]|vlan-name[vlan-id]|management-vid[mvlan-id]}|dot3-tlv{all|mac-physic|max-frame-size|power}|med-tlv{all|capability|inventory|network-policy|power-over-ethernet|location-id{civic-addressdevice-typecountry-code{ca-typeca-value}&|elin-addresstel-number}}}缺省情况下,最近桥代理允许发布除Location-idTLV、PortAndProtocolVLANIDTLV、VLANNameTLV和ManagementVLANIDTLV之外所有类型的TLV1-10操作命令说明配置接口上允许发布的TLV类型(三层以太网接口视图)lldptlv-enable{basic-tlv{all|port-description|system-capability|system-description|system-name|management-address-tlv[ip-address]}|dot1-tlv{all|link-aggregation}|dot3-tlv{all|mac-physic|max-frame-size|power}|med-tlv{all|capability|inventory|power-over-ethernet|location-id{civic-addressdevice-typecountry-code{ca-typeca-value}&|elin-addresstel-number}}}lldpagent{nearest-nontpmr|nearest-customer}tlv-enable{basic-tlv{all|port-description|system-capability|system-description|system-name|management-address-tlv[ip-address]}|dot1-tlv{all|link-aggregation}}缺省情况下:最近桥代理允许发布除NetworkPolicyTLV之外所有类型的TLV,其中IEEE802.
1组织定义的TLV只支持LinkAggregationTLV;最近非TPMR桥代理不发布任何TLV;最近客户桥代理允许发布基本TLV和IEEE802.
1组织定义TLV,其中IEEE802.
1组织定义的TLV只支持LinkAggregationTLV.
配置接口上允许发布的TLV类型(三层聚合接口视图)lldpagent{nearest-customer|nearest-nontpmr}tlv-enablebasic-tlv{all|management-address-tlv[ip-address]|port-description|system-capability|system-description|system-name}缺省情况下:不存在最近桥代理;最近非TPMR桥代理不发布任何TLV;最近客户桥代理只允许发布基本TLV.
1.
3.
7配置管理地址及其封装格式管理地址被封装在ManagementAddressTLV中向外发布,封装格式可以是数字或字符串.
如果邻居将管理地址以字符串格式封装在TLV中,用户可在本地设备上也将封装格式改为字符串,以保证与邻居设备的正常通信.
表1-12配置管理地址及其封装格式操作命令说明进入系统视图system-view-进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number允许在LLDP报文中发布管理地址并配置所发布的管理地址在二层以太网接口视图下:lldptlv-enablebasic-tlvmanagement-address-tlv[ip-address]在三层以太网接口视图下:lldp[agent{nearest-customer|nearest-nontpmr}]tlv-enablebasic-tlvmanagement-address-tlv[ip-address]在三层聚合接口视图下:lldpagent{nearest-customer|nearest-nontpmr}tlv-enablebasic-tlvmanagement-address-tlv[ip-address]缺省情况下,最近桥代理和最近客户桥代理类型的LLDP允许在LLDP报文中发布管理地址,最近非TPMR桥代理类型LLDP不允许在LLDP报文中发布管理地址1-11操作命令说明配置管理地址在TLV中的封装格式为字符串格式在二层以太网接口视图下:lldpmanagement-address-formatstring在三层以太网接口视图下:lldp[agent{nearest-customer|nearest-nontpmr}]management-address-formatstring在三层聚合接口视图下:lldpagent{nearest-customer|nearest-nontpmr}management-address-formatstring缺省情况下,管理地址在TLV中的封装格式为数字格式1.
3.
8调整LLDP相关参数LLDP报文所携TimeToLiveTLV中TTL的值用来设置邻居信息在本地设备上的老化时间,由于TTL=Min(65535,(TTL乘数*LLDP报文的发送间隔+1)),即取65535与(TTL乘数*LLDP报文的发送间隔+1)中的最小值,因此通过调整TTL乘数可以控制本设备信息在邻居设备上的老化时间.
表1-13调整LLDP相关参数操作命令说明进入系统视图system-view-配置TTL乘数lldphold-multipliervalue缺省情况下,TTL乘数为4配置LLDP报文的发送间隔lldptimertx-intervalinterval缺省情况下,LLDP报文的发送间隔为30秒配置LLDP报文发包限速的令牌桶大小lldpmax-creditcredit-value缺省情况下,发包限速令牌桶大小为5配置快速发送LLDP报文的个数lldpfast-countcount缺省情况下,快速发送LLDP报文的个数为4个配置快速发送LLDP报文的间隔lldptimerfast-intervalinterval缺省情况下,快速发送LLDP报文的发送间隔为1秒1.
3.
9配置LLDP报文的封装格式LLDP报文的封装格式有EthernetII和SNAP两种:当采用EthernetII封装格式时,使能了LLDP功能的接口所发送的LLDP报文将以EthernetII格式封装.
当采用SNAP封装格式时,使能了LLDP功能的接口所发送的LLDP报文将以SNAP格式封装.
需要注意的是,LLDP早期版本要求只有配置为相同的封装格式才能处理该格式的LLDP报文,因此为了确保与运行LLDP早期版本的设备稳定通信,建议配置为与之相同的封装格式.
1-12表1-14配置LLDP报文的封装格式操作命令说明进入系统视图system-view-进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number配置LLDP报文的封装格式为SNAP格式在二层以太网接口视图下:lldpencapsulationsnap在三层以太网接口视图下:lldp[agent{nearest-customer|nearest-nontpmr}]encapsulationsnap在三层聚合接口视图下:lldpagent{nearest-customer|nearest-nontpmr}encapsulationsnap缺省情况下,LLDP报文的封装格式为EthernetII格式1.
4配置LLDP兼容CDP功能1.
4.
1配置准备在配置LLDP兼容CDP功能之前,需完成以下任务:全局使能LLDP功能.
在设备与IP电话相连接的接口上使能LLDP功能,并配置接口的LLDP工作模式为TxRx.
1.
4.
2配置LLDP兼容CDP功能LLDP兼容CDP功能有以下两种工作模式:TxRx:既发送也接收CDP报文.
Disable:既不发送也不接收CDP报文.
要使LLDP兼容CDP功能生效,必须先在全局使能LLDP兼容CDP功能,并将LLDP兼容CDP功能的工作模式配置为TxRx.
由于CDP报文所携TimeToLiveTLV中TTL的最大值为255,而CDP报文的发送间隔由LLDP报文的发送间隔控制,因此为保证LLDP兼容CDP功能的正常运行,建议配置LLDP报文的发送间隔值不大于实际TTL的1/3.
表1-15配置LLDP兼容CDP功能操作命令说明进入系统视图system-view-使能LLDP兼容CDP功能lldpcompliancecdp缺省情况下,LLDP兼容CDP功能处于关闭状态1-13操作命令说明进入二层/三层以太网接口视图interfaceinterface-typeinterface-number-配置LLDP兼容CDP功能的工作模式为TxRxlldpcomplianceadmin-statuscdptxrx缺省情况下,LLDP兼容CDP功能的工作模式为Disable1.
5配置LLDPTrap和LLDP-MEDTrap功能使能LLDPTrap或LLDP-MEDTrap功能后,设备可以通过向网管系统发送Trap信息以通告如发现新的LLDP邻居或LLDP-MED邻居、与原来邻居的通信链路发生故障等重要事件.
LLDPTrap和LLDP-MEDTrap信息的发送间隔是指设备向网管系统发送Trap信息的最小时间间隔,通过调整该时间间隔,可以避免由于邻居信息频繁变化而导致Trap信息的频繁发送.
表1-16配置LLDPTrap和LLDP-MEDTrap功能操作命令说明进入系统视图system-view-进入二/三层以太网接口或三层聚合接口视图interfaceinterface-typeinterface-number使能LLDPTrap功能在二层以太网接口视图下:lldpnotificationremote-changeenable在三层以太网接口视图下:lldp[agent{nearest-customer|nearest-nontpmr}]notificationremote-changeenable在三层聚合接口视图下:lldpagent{nearest-customer|nearest-nontpmr}notificationremote-changeenable缺省情况下,LLDPTrap功能处于关闭状态使能LLDP-MEDTrap功能在二/三层以太网接口视图下:lldpnotificationmed-topology-changeenable缺省情况下,LLDP-MEDTrap功能处于关闭状态退回系统视图quit-(可选)配置LLDPTrap和LLDP-MEDTrap信息的发送间隔lldptimernotification-intervalinterval缺省情况下,LLDPTrap和LLDP-MEDTrap信息的发送间隔均为30秒1.
6LLDP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后LLDP的运行情况,通过查看显示信息验证配置的效果.
1-14表1-17LLDP显示和维护操作命令显示LLDP本地信息displaylldplocal-information[global|interfaceinterface-typeinterface-number]显示由邻居设备发来的LLDP信息displaylldpneighbor-information[[[interfaceinterface-typeinterface-number][agent{nearest-bridge|nearest-customer|nearest-nontpmr}][verbose]]|list[system-namesystem-name]]显示LLDP的统计信息displaylldpstatistics[global|[interfaceinterface-typeinterface-number][agent{nearest-bridge|nearest-customer|nearest-nontpmr}]]显示LLDP的状态信息displaylldpstatus[interfaceinterface-typeinterface-number][agent{nearest-bridge|nearest-customer|nearest-nontpmr}]显示接口上可发送的可选TLV信息displaylldptlv-config[interfaceinterface-typeinterface-number][agent{nearest-bridge|nearest-customer|nearest-nontpmr}]1.
7LLDP典型配置举例1.
7.
1LLDP基本功能配置举例1.
组网需求NMS(NetworkManagementSystem,网络管理系统)通过以太网与RouterA相连,RouterA通过接口GigabitEthernet2/1/1和GigabitEthernet2/1/2分别与MED设备和RouterB相连.
通过在RouterA和RouterB上配置LLDP功能,使NMS可以对RouterA与MED设备之间、以及RouterA与RouterB之间链路的通信情况进行判断.
2.
组网图图1-5LLDP基本功能配置组网图3.
配置步骤(1)配置RouterA#全局使能LLDP功能.
system-view[RouterA]lldpglobalenable1-15#在接口GigabitEthernet2/1/1和GigabitEthernet2/1/2上分别使能LLDP功能(此步骤可省略,LLDP功能在接口上缺省使能),并配置LLDP工作模式为Rx.
[RouterA]interfacegigabitethernet2/1/1[RouterA-GigabitEthernet2/1/1]lldpenable[RouterA-GigabitEthernet2/1/1]lldpadmin-statusrx[RouterA-GigabitEthernet2/1/1]quit[RouterA]interfacegigabitethernet2/1/2[RouterA-GigabitEthernet2/1/2]lldpenable[RouterA-GigabitEthernet2/1/2]lldpadmin-statusrx[RouterA-GigabitEthernet2/1/2]quit(2)配置RouterB#全局使能LLDP功能.
system-view[RouterB]lldpglobalenable#在接口GigabitEthernet2/1/1上使能LLDP功能(此步骤可省略,LLDP功能在接口上缺省使能),并配置LLDP工作模式为Tx.
[RouterB]interfacegigabitethernet2/1/1[RouterB-GigabitEthernet2/1/1]lldpenable[RouterB-GigabitEthernet2/1/1]lldpadmin-statustx[RouterB-GigabitEthernet2/1/1]quit4.
验证配置#显示RouterA上全局和所有接口的LLDP状态信息.
[RouterA]displaylldpstatusGlobalstatusofLLDP:EnableBridgemodeofLLDP:customer-bridgeThecurrentnumberofLLDPneighbors:2ThecurrentnumberofCDPneighbors:0LLDPneighborinformationlastchangedtime:0days,0hours,4minutes,40secondsTransmitinterval:30sFasttransmitinterval:1sTransmitcreditmax:5Holdmultiplier:4Reinitdelay:2sTrapinterval:30sFaststarttimes:4LLDPstatusinformationofport1[GigabitEthernet2/1/1]:LLDPagentnearest-bridge:PortstatusofLLDP:EnableAdminstatus:RX_OnlyTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:1NumberofMEDneighbors:1NumberofCDPneighbors:01-16NumberofsentoptionalTLV:21NumberofreceivedunknownTLV:0LLDPagentnearest-nontpmr:PortstatusofLLDP:EnableAdminstatus:DisableTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:1NumberofreceivedunknownTLV:0LLDPagentnearest-customer:PortstatusofLLDP:EnableAdminstatus:DisableTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:16NumberofreceivedunknownTLV:0LLDPstatusinformationofport2[GigabitEthernet2/1/2]:LLDPagentnearest-bridge:PortstatusofLLDP:EnableAdminstatus:RX_OnlyTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:1NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:21NumberofreceivedunknownTLV:3LLDPagentnearest-nontpmr:PortstatusofLLDP:EnableAdminstatus:DisableTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:01-17NumberofCDPneighbors:0NumberofsentoptionalTLV:1NumberofreceivedunknownTLV:0LLDPagentnearest-customer:PortstatusofLLDP:EnableAdminstatus:DisableTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:16NumberofreceivedunknownTLV:0由此可见,RouterA的接口GigabitEthernet2/1/1上连接了一个MED邻居设备,GigabitEthernet2/1/2上则连接了一个非MED邻居设备,且这两个接口的LLDP工作模式都为Rx,即只接收而不发送LLDP报文.
#将RouterA和RouterB间的链路断掉后,再显示RouterA上所有接口的LLDP状态信息.
[RouterA]displaylldpstatusGlobalstatusofLLDP:EnableThecurrentnumberofLLDPneighbors:1ThecurrentnumberofCDPneighbors:0LLDPneighborinformationlastchangedtime:0days,0hours,5minutes,20secondsTransmitinterval:30sFasttransmitinterval:1sTransmitcreditmax:5Holdmultiplier:4Reinitdelay:2sTrapinterval:30sFaststarttimes:4LLDPstatusinformationofport1[GigabitEthernet2/1/1]:LLDPagentnearest-bridge:PortstatusofLLDP:EnableAdminstatus:RX_OnlyTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:1NumberofMEDneighbors:1NumberofCDPneighbors:0NumberofsentoptionalTLV:0NumberofreceivedunknownTLV:5LLDPagentnearest-nontpmr:PortstatusofLLDP:EnableAdminstatus:Disabl1-18Trapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:1NumberofreceivedunknownTLV:0LLDPstatusinformationofport2[GigabitEthernet2/1/2]:LLDPagentnearest-bridge:PortstatusofLLDP:EnableAdminstatus:RX_OnlyTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:0NumberofreceivedunknownTLV:0LLDPagentnearest-nontpmr:PortstatusofLLDP:EnableAdminstatus:DisableTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:1NumberofreceivedunknownTLV:0LLDPagentnearest-customer:PortstatusofLLDP:EnableAdminstatus:DisableTrapflag:NoMEDtrapflag:NoPollinginterval:0sNumberofLLDPneighbors:0NumberofMEDneighbors:0NumberofCDPneighbors:0NumberofsentoptionalTLV:16NumberofreceivedunknownTLV:0由此可见,RouterA的接口GigabitEthernet2/1/2上已经没有任何邻居设备了.