您现在的位置:首页 > >

第八章 第2层交换和生成树协议(STP)

发布时间:

第 8章 第 2层 交换和 生成树协议 (sTP)

试要点 : 一 个带 Ⅴ LAN和 交换机 间通信 的交换机 √ 配置 、 证和排错 验 ? 择合 适 的介质 、 电缆 、 口和连接 器 ,将 交换机 与其他 网络设备和主机连接起 来 端 选 ? 于 以太 网,解释其技 术和介质 访 问控制方 法 对 ? 解释 网络分段 和基本 的 网络流量 管理 概念 ? 解释 交换 的基本概念及 Cisco交 换机 的操作 ? 行并验 证 交换机 的初始 配置任 务 ,包括远程访 问管理 执
? 使 用 基 本 的 工 具 ( 包 括 :ig pn、 taeot、 rcrue tle、 ent SH S、 ap r和 icni) pofg及 so和 hw de

本章涵盖的 CCNA考

bug命 令 ,验证 网络状 态和 交换机 的操作 ? 别 、 断并解 决交换式 网络 中的 常 见 问题 ,包括 :网 络介 质 问题 、 配置 问题 、 识 自动协 诊 商和 交换机硬件 失效 问题 当 ⒍s∞ 的员 工 讨论交换 时 ,他们说 的都是第 2层 交换 ,除 非另有所 指 。第 2层 交换是 在 LAN上 使用设备 的硬件地址对 网络进行 分段 的过程 。由于大家 已经有 了基本 的概 念 , 所 以下面将集 中讨论第 2层 交换 ,并着重说 明它是如何 工 作 的。 大家 已经知道交换技术用来将大 的冲突域分隔为小 一 些 的冲突域 ,所谓 冲突域 ,是 指用 两 台或 多台设备对 网络进行分段所形成 的区域 ,这些 区域共享 同一 个带 宽 。由集线器所构 成 的网络是这种技术 的典型例子 。但 由于交换 机上 的每个端 口实 际上有它 自己的冲突域 , 所 以 ,只要 将集线器替换为交换机 ,就可 以构造 一 个性能好得多的 以太 网 I'AN。 交换机确实改变 了我们设计及实现 网络 的方式 。如果 一 个纯粹 的交换式设计被 正确实 性能价格 比高 的、 能灵 活扩展 的互联 网络 。在介 绍交换 现 了 ,那么绝对会得到 一 个简单 的 、 技术 的同时 ,本 章将纵览并 比较 网络设计 。 路 由协议 (比 如 RIP,我 们 已在第 6章 讨论过 )可 以防止在 网络层发生 网络环路 。然而 , 如果在交换机之 间有冗余 的物理链路 ,路 由协议将不 能 防止在数据链 路层发生 的环路 。正 —— 它可 以防止在第 2层 交换式 的互联 网络 中发生 是 由于这个原 因 ,才开 发 了生成树协议 环路 。生成树协议是必不可少 的 ,它 的工 作原理也是非常重要 的 ,这 一 章将详细讨论 生成树 协议 的原理及其在交换式 网络 中的作用 。 我准备使用 3台 交换机来介绍交换式 网络 的配置 。在第 9章 中,实 际上还会 继续介绍 它们 的配置 。
说 明 :关 于 本 章 的 及 时 更 新 ,请 访 问 网 站 www.lammle。 ∞ manⅣ orwww。 ,sybex。 com。

406

CCNA学

习指 南 (中 文 第 六版×64⒍ 802)

第 2层 交换技术 出现 之前
我们先花 一 点时问看看在交换机 出现之前 ,网络 中的状况是怎样 的 ,以及交换机 如何用 来对公 司的 LAN进 行分段 。在 LAN交 换技术 出现之前 ,典 型 的网络设计 看起来 如 图 8,1 中的网络所示 。 图 8.1中 的设计被称为是折叠式 的主干结构 ,因 为所有 的主机都需要 接到公 司 的主干 网上才能获得 网络服务 —— LAN和 大型机都如此 。

服务器

远程分支机构

图 8.1 在

交换技术 出现之前 的网络状况

回到更早些时候 ,在像图 8,1所 示的能够用路 由器和集线器等设各进行物理分段的网
络 出 现 之 前 , 是 大 型 机 网 络 。 这 种 网 络 中 包 括 大 型 机 (B、 IM Hnyel oewl、 Ser、 pry DC等 E,

控制器和连接到控制器 中的哑终端 。任 何远程站点都用 网桥连接到大型机上 。 等 )、 。这些 然后 ,PC机 登 台了 ,大型机 被 连接 到安装 了服务 器 的 以太 网或令 牌环 LAN上 OS/2或 LAN Manager,囚 NT。 在建筑物 的每 一 层 ,都用 同 服务器通常是 为在那 时还没有 轴 电缆或双绞线连接 到公 司主干 网上 ,然后 再 连接 到路 由器 。PC机 运行 一 种仿 真 软件 程 序 ,这种程序允许它们连接到大型机 服务 ,这 样 ,这些 PC机 就能够 同时访 问来 自大 型机 和 LAN的 服务 。最后 ,PC机 的功能变得非常强大 ,足 以允许应用程序开发者开发 出 比以往任 何 时候所开发 的程序都更有效 的应用程序 ,这样就极大地降低 了联 网成本 ,并使得业务 以极 快 的发展速度增长 。 在 ⒛ 世纪 80年 代后期和 ⒛ 世纪 90年 代初期 ,当 Novell网 变得更 为流行 时 ,OS/2和
LNMngr A aae服 务 器 就 被 Ntae eWr取 代 了 。 这 使 得 以 太 网 更 加 流 行 , 因 为 Nve1。 o,l3 x 服

务器使用客户/服务器软件进行通信 。 这样一来 ,就出现了如图 8.1所 示 的网络。这里只有 一个 问题 :公 司主干网在不断增

第 8章 第 2层 交换和生成树协议(sTP) 长 ,随着它的增长,网络服务就变慢了。出现这种情况的最大原因是 ,在业务量

407

出现爆发性 增长的同时,I从N服 务甚至需要 更快 的服务 ,网 络就变得 完全饱和了。每个人 都在使用 Mac和 用于大型机服务的哑终端 ,这有利于那些新出现的 PC机 ,因 为它们更容易连接 到公 司主干 网和网络服务 L。 所有这一切发生在因特网变得极为流行之前 ,因此 ,公司中的每个人需要访 问公司网络 的服务。为什么呢?这 是因为,没有因特网,所有的网络服务都是 内部的— — 只是公司网络 专用的。这导致了强烈的对巨大而缓慢的公司网络进行分段的需求 ,这些网 络是用行动迟 缓的老式路由器连接起来的。一开始 ,Clsco只 是创建了高速的路 由器 (这 毫无疑问),但 人 们需要更多的分段 ,特别是在以太网 I'AN~L。 快速以太网(F孙 tEthernet)的 发明也 一 是 件 很好的事情 ,但它根本没有解决网络分段的需求 。 但是 ,网桥这种设各满足了这种需求 ,它们首先被用在 网络中分隔冲突域。网桥的 口 端 数量非常有限,它们能够提供的其他网络服务也有限,这样 ,就 导致 了第 2层 交换技术 的出 现。就像网桥一样 ,通过在每个端 口上提供分隔的冲突域 ,这些交换机就扭 转 了局 面 ,而 且 交换机可以提供上百个端 口。这种早期的交换式 的 I'AN看 起来如图 8.2所 示 。
集线器

/\

服 务器

远程分支机构

图 8.2 最 旱的交换式 I'AN 每 台集线器 都插人交换机 端 口中 ,这种革新极 大地改进 了网络性能 。现 ,每 在 座建 筑物 不是被塞入 到 同一 个 冲突域 中 ,而是每 台集线器 都有 自己的冲突域 。 一 个 问题 :交 但还有 换 机端 口仍然非常新 奇 ,因 此 ,非 常昂贵 ,贵得令人难 以置 信 。正 是 由于这个原 因 ,在 建筑物 的 每 一 层简单地 添加 一 台交换机 的情况未 曾出现 ,至少 还未 实现 。但是 ,交 换机 的价格 已经 下 调很 多 了 ,因 此 ,现 在看来 ,将 每个用户 都接人到交换机 端 口中是既 好又切实可行 的事情 。 如果你正 准备设计 一 个 网络并实现 它 ,在 网络 中包含交 换式服 务就是必需 的 。 目前 流

4

^ υ

° °

CCNA学

习指 南(中 文 第 六版×640802)

一 行的典 型 网络设计 如 图 8,3所 示 ,这是 个完全交换式 网络 的设计 和实现 。 ” —— 这里确实有 一 台路 由器 。但 这里还有 一 台路 由器呀 。是 的 ,这不是幻想 你会说 :“ 路 由器 的作用 已经变 了 ,它现在不执行物理分段 ,而 是创建并处 理逻 辑分段 。这些逻辑上 的 网段称为 VLAN,在 笫 9章 将详细讨论 Ⅵ 'AN。

图 8.3 典 型 的交换式 网络设计

交换式服务
跟 网桥使用软件来创建和管理过滤表不 一 样 ,交换机使用专用集成 电路 (ASIC)来 创建 一 并维护其过滤表 。但把第 2层 交换机视为多端 口网桥仍 然是 可 以的 ,因 为它们 的用途是 样 的—— 用来分隔冲突域 。 一 第 2层 交换机和 网桥转发数据 的速度 比路 由器快 些 ,因 为它们不花 时 间查看 网络层 报头 的信息 。相反 ,在 决定是转发帧或是丢弃它 之前 ,它们查看帧的硬件 地址 。 一 交换机能够创建专用 的冲突域 ,并 在每个 端 口上提供 独立 的带 宽 ,这 跟集线器不 样 。 图 8.4显 示 了 5台 主机连接到 一 台交换机 ,它 们 到服务器都 运行在 10Mb/s的 半 双工链 路 上 。跟集线器不 同的是 ,每个端 口都有到服务器 的 10Mˇ s的 专用通信线路 。 第 2层 交换提供 的性能如下 : ? 基于硬件 的桥接 (A⒊ C)
? 线 速 (ie Wr叩 ed e)

? 低延迟 ? 低成本 第 2层 交换之所 以这样有效 ,是 因为没有对数 据包做任何修改 。设 备 只是读取封装 了 数据包 的帧 ,与路 由选择过程相 比,这就使得交换过程非常快 ,而且不 容易 出错 。 如果将第 2层 交换既用于 工 作组连接 ,又 用于 网络分段 (分 隔冲突域 ),那 么就可 以创建 出极好 的网络设计 ,比 传统 的带路 由的网络创建 出更多的网段 。 此外 ,第 2层 交换增加 了每个用户 的带宽 ,因 为到交换机 的每个连接 (接 口)都 有 自己的 冲突域 。这种特性使得在每个接 口中接人多 台设各成为可能 。 下面将详细讨论第 2层 交换技术 。

第 8章 第 2层 交换和生成树协议(STP)
10Mb//s半

409

双 工 链 路

服务器

图 8.4 交

换机创建 专用的域

第 2层 交 换 的 局 限 性 由于我们通常将第 2层 交换与桥接 的网络 归为 一 类 ,所 以我 们也倾 向于认 为它像桥 接 网络 一 样 ,有 同样 的难题和问题 。一 定要记住 ,如 果 我们 能正确设 计 网络 的话 ,网 桥就是有 帮助 的 ,一定要将它 们 的特性 和局 限牢记 在心里 。要 用 网桥 设计 出一 个好 的网络 ,就必 须考 虑到下面两个最重要 的方面 : 。 必须绝对正 确地分隔出 冲突域 。 ? 创建 一 个功能强大 的桥接 网络 的正确方法 是 ,确信其用户在本地 网段上花 费 了 80% 的日 间 。 寸 桥接 网络能够分隔 冲突域 ,但 是要记 住 ,网 络仍 然是 一 个大 的广播 域 。默认 时 ,笫 2层 交换机 和网桥 都不能分隔广播域 —— 这不仅 限制 了网络 的规模 和增 长潜 力 ,而 ± 降低 了 l^还 它的整体性 能 。 随着 网络 的增长 ,广播 、 组播 及生 成树 的慢收敛会让 你觉得恼火 。这 就是 为什么第 2层 交换机和 网桥在互联 网络 中不能完仝取 代路 由器 (第 3层 设备 )的 重要原 囚。 桥 接 与 LAN交 换 的 比较

第 2层 交换机确实只是多端 口的网桥 ,这是千真万 确 的 ,但必 须始终牢 记它们之 间的一 些重要 区别 : ? 网桥是基于 软件 的 ,而 交换机是基 于硬件 的 ,因 为交换机使用 A⒏ C芯 片来 帮助做 出 过滤 的决定 。 ? 交换机可 以看成是多 端 口的网桥 。 ? 个网桥只有 一 个生成树实 ,而 每 例 交换机 可以有 许 多生成树 实例 (马 上就 会讨论这 一
点 )。

? 交换机的端 口数量 比大多数 网桥都多。 。 网桥和交换机都转发第 2层 广播。 ? 通过检查所接收的每个数据帧的源地址

,网桥和交换机就学到了 MAC地

址。

410

CCNA学

习 指 南 (中 文 第 六 版 × 64∝ 802)

? 网桥和交换机都 基于第 2层 地址做 出转发 的决定 。 第 2层 的 3种 交 换 功 能 转 第 2层 交换有 3种 不 同 的功 能 (必 须 记 住 它 们 D:地 址 学 习 、 发/过 滤 决 定 和避 免 环路 。 2层 交换机和 网桥能够记住在 一 个接 口上所 收到 的每 地址学 习(Address℃ aming) 第 个 帧的源设备 硬 件 地 址 ,而 且 它 们 会 将 这 个 硬 件 地 址 信 息 输 人 到 被 称 为转 发/过 滤 表 的 MAC数 据库 中 。 转发/过 滤决定 (Forward/Ⅱ lter decisions) 当 在某 个 接 口上 收 到 帧 时 ,交 换 机 就查 看 据库 中找到其外 出的接 口。帧只被转发到指定 的 目的端 口。 其 目的硬件地址 ,并 在 MAC数 x,p卩 oidance) 如 果为 了提供冗余而在交换机 之 间创建 了多个连接 ,网 络 避免环路 (L】 l,STP) 中就可能产生 环路 。在提供冗余 的同时 ,可使用 生成树协议 (Spanning Tree Proto∞ 来 防止产生 网络环路 。 转发/过 滤决定和避免 环路 。 下面几节将详细讨论 地址学 习 、 地址学 习 当交换机初次加 电时 ,其 MAC转 发/过 滤表是空 的 ,如 图 8,5所 示 。
MAC转 E0/0∶ /】 Eθ ∶ EO/2∶ E0/3∶ 发 /过 滤 表


主机 A 亡机 B 主 机C



图 8.5 交 换机上空的转发/过滤表

当某台设各发送帧而某个接 口收到帧时 ,交换机就将帧的源地址放入 MAC转 发/过滤 表中 ,这使得它能够记住发送帧的源设各位于哪个接 口上。然后 ,交换机只能将这个帧扩散 到网络中 ,因为它并不知道 目的设各实际上在哪里。 如果某台设备响应了此广播并回送了一个帧 ,交换机就会从那个帧中取出源地址 ,将此 MAC地 址放人其数据库中,并 将此 地址与收到帧的接 口联系起来 。由于交换机现在在其

第 8章 第 2层 交换和生成树协议(STP)

411

过滤表 中有 了两 个相关 的 MAC地 址 ,所 以 这 两 台设 各 现 在就 可 以 实 现 点 到点 的连 接 了。 现在 ,交换机不 需要像 第 一 次转发 帧时那样进行广 了 ,因 为帧现 在能够只在这两 台设 备之 播 间进 行转发 。正 是 由于这 一 点 ,使 得第 2层 交换机 比集 线器 的性 能要 好 得多 。在 由集线器 连接 的网络 中,所 有 的帧每次都被 转发到所 有 的端 口—— 不 管这些 帧要 去哪里 !图 8.6显 示 了构建 MAC数 据库 的过程 。
MAC转 发 /过 滤表 EO/0∶ oooll8cll1θ θ A s奄 θ ep2 Eσ】 llθ ∶ 008ε θ 1θo9B step博 ε ll/2∶ E0/3∶

主机 A

主杌 B

主机 C

主机 D

图 8,6 交

换机学 习主机 的位置 的方 式

在图 8.6中 ,可以看到有 4台 主机连接到交换机上。 当交换机加电时,其 MAC地 址转 发/过 滤表是空 的,如图 8.5所 示 。但当主机开始通 信时,交换机就将发送每个帧的源设备 的硬件地址放人地址表 中,并且将与帧 的地址相对应的 口 端 也放在其中。 下面举例说明转发/过滤表的形成过程 :
1主 . MC A地 机 A 向 主 址 是 机 B 发 OO.c1oo。 008o.oB 送 一 个 帧 。 主 机 A 的 MC A地 址 是 00,c1oo, 008o.oA主 机 B 的

2.交 换机在 E0/0接 口上收 到帧 ,并 将源地址 放人 MAC地 址表 中。 3.由 于 目的地 址不在 MAC数 据库 中 ,帧 就被 转发到所 有接 口上 。 4.主 机 B收 到帧并 响应 了主机 A。 交换机 在接 口 E0/1上 收到此 帧 ,并 将 源硬 件地址 放人 MAC数 据库 中。 5.主 机 A和 主机 B现 在可 以实现点 到点 的连接 了,而且 只有 这两 台设备 会 收到 帧 。主 机 C和 主机 D将 不会 看到帧 ,在数据库 中也不会 找到它 们 的 MAC地 址 ,因 为它们还 没有 向交换机 发送帧 。 如果主机 A和 主机 B在 特定 的时间之 内没有再 次跟交 换机进 行通信 ,交 换机 将刷新其 数据库 中的表项 ,以 尽可能地 维持 当前的信`氪 。 转发/过 滤决定 当帧到达交换机 接 口时 ,交 换机就将其 目的地址 与转发/过 行 比较 。如果 目的硬 件地址是 已知 的且 已列在数 据库 据库 中的地址 进 中 ,帧 就只被发 送 到正确 的外 出接 口 。 滤 MAC数

412

CCNA学

习指 南 (中文 第 六版×64∝802)

交换 机不会将 帧送往除 了 目的地接 口之外 的任何 其他接 口,这 样就保 留了在其他 网段 上的 带宽 ,这种方式称 为帧过滤 。 据库 中 ,帧就被 广播 到除 了发送 帧 的接 口之外 如果 目的硬件 地址没有被列在 MAC数 据库就会用 此 设备 的接 口 的所有其他活动 的接 口c如 果某 台设备 响应 了此广播 ,MAC数 地址 (位 置 )进 行更新 。 一 如果某 台主机或服务 器在 LAN上 发送 了 个广播 ,默认 时交换 机 就会将 帧广播 到 所 一 一 有活动端 口上 。记住 ,交换机只创建 小 些 的冲突域 ,但默认 时它仍然是 个大的广播域 。 一 在 图 8.7中 ,主机 A发 送 个数据帧到 主机 D。 当交换 机接 收到来 自主机 A的 帧 时 , 它将如何处 理?
5witch#sh mac address-table PortE M a cA d d r e s s Vlan
◇ /鸹 o00$‘ dCcb。 d74b F滚 /$ ooθ滠 f467 9翕 8θ F愚 ◇ /6 ooo锇 f467× 9夸8b F滠 ◇

图 8.7 转 发/过滤表 由于 主机 A的 MAC地 址 不 在 转 发 /过 滤 表 中 ,因 此 ,交 换 机会 将 主机 A的 源 MAC地 址不 址 表 中 ,然 后 将 帧转 发 给 主机 D。 如 果 主 机 D的 MAC地
t砘 le的

址 和端 口添加 到其 MAC地

在转 发 /过 滤 表 中 ,交 换 机 就会 将 帧扩散 到 除 了 F⒛ /3的 所 有 端 口上 。
现 在 ,让 我 们 看 看 命 令 show mac耐 dres⒏ 输 出 :

sw1tCh#sh mac address-tab1e

Vlan
1 1 1 △ 1
1

MacAddress
0005.dCCb.d74b 000a.f467,9e80 000a.f467.9e8b 000a.f467.9e8c 0010.7b7f.c2bO
0030.80dC,460b DYNAMIC

Type
FaO/1 FaO/3 FaO/4 FaO/3 FaO/3 FaO/1 FaO/1

Ports

DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC
FaO/3

△ 1

0030.9492,a5dd 00dO,58ad。

DYNAMIC 05f4

DYNAMIC

假定前面的交换 机接收到 的帧 的 MAC地
源 MAC:0005。
目 的 MC00。 A:0a

址如下所示 :

dccb.d74b
⒕ 6.ec 798

那 么 ,交换机将如何处理这个 帧呢?答 案是 :在 MAC地

址表 中 ,将 会找到 日的 MAC地

址,

第 8章 第 2层 交换和生成树协议(STP)
因此 ,帧 就只会被 转发到 Fao/3端 口。记 住 :如果在转发/过 滤表 中找不到 目的 MAC地

413

址, 址

交换机就会 将帧转发到其他所 有端 口,以 搜 寻 目的设 备 。现 在我们 已经 看 到 了 MAC地 表 ,也 知道 了交换机 如何将主机 的 MAC地 授权用户访 问交换机 呢? 端 口安全

址添加 到转发/过 滤表 中 ,那 么 ,我 们如何 防止非

怎样才能阻止 非授权用户 的主机接人 到交换机 的端 口上 呢?更 重要 的是 ,怎 样 能 才 防 止非 授 权 用 户将 集 线 器 、 换 机 或 接 人 点 设 备插 人 办公 室 的 Ethemet插 座 上?默 交 认时, MAC地 址 只是 动态地显示 在 MAC转 发/过 滤数据库 中 ,通 过使用端 口安全 ,就 可 以 阻止它 们 。命令如下 :
sw1tch#conf1g t swi tch(config)#1nt fO/I
sw1tch(conf1g-if)#sw讠 tchport port-security ?

ag1ng

mac-address
max1mum

Port-security aging commands S e c u r em a c a d d r e s s Maxsecure addresses

v1o1ation <Cr>

security v1o1at1on mode

从上面的输出中大家可以清楚地看到 ,命令 s诫tc? llport port-∞ cuⅡty有 4个 选项可用。 我个人比较喜欢 po⒒-∞ctl血 令 ,因为它让我可以轻松地控制网络 中的用户 。大家可以 y命
使 用 s 诫 tlp⒒ clo pⅡ o -et血 scl y刁 m c 叼 ccrs勿 ffes 2 ⒍ 彐C d e s Frs命 令 , 这 样 就 可 以 将 单 个 的 MC A地

址分配到交换机的每个端 口中。但是 ,如果你想这样做 ,你最好有充足 的时间可用 ! 如果需要对交换机端 口进行设置 ,使得一个端 口只能接一 台主机 ,而且 当这个规则被违 反时就关 闭端 口,那么可以使用如下命令 :
sw1tch#co"f1g t sw1tch(conf讠
sw1tch(conf1g-if)#sw讠

g)#1nt fO/l
tchport ρ ort-secur1ty "aX讠 mum 1 on shutdown

switch(conf1g-1f)#sw1tchport port-security v1o1at丬

这些命令可能是最受欢迎 的了,因为它们可以防止用户在其办公室接人交换机或接人 点 。Ma妊 mum设 置为 1,意 味着在那个端 口上只能使用一个 MAC地 址。如果 用户试 图在 那个网段上添加另一 台主机 ,交换机端 口就将被关 闭。如果发生了这种情况 ,就需要手工地 在交换机上进行配置 ,就是使用命令 n。shtltdown来 重新启用端 口。 我最喜欢的一个命令恐怕就是 s。 tSky了 。命令 sut? ky不 仅能执行很 酷的功能 ,它还有 一个很酷的名字 !在 mac-address命 令下 ,可以看到这个命令 :
sw1tCh(conf1gˉ 1f)#s"itchρ ort ρ ort-sec"r讠 ty "ac-address st1cky mum 2 1o1at讠 on shutdo"n sw1tch(config-1f)#s"itchport port-security inx讠 sW1tch(configˉ 1f)#s"1tchport port-secur1ty ˇ

这个命令主要提供静态 MAC地 就像我说 的那样——酷 !

址安全 ,而无需在网络 中输人每个端 口的 MAC地

址。

414

CCNA学

习 指 南 (中 文 第 六 版 × 64⒐ 802)

“ 在上面的例子中 ,进入 stkk” 端 口的前两个地址是静态地址 ,不 管在命令 中设置的 一 时间长度如何 ,它们将一直保持不变 。为什么我将它设置为 2呢 ?是 这样的 ,我将其中 个 用于 PC机 ,另一个用于电话机 。在第 9章 中 ,还会讨论这种类型的配置。 说明 :在本章后 面的配置例子中,还会复 习端 口安全。 避免环路

一 一 交换机之间存在冗余链路是 件好事 ,这是因为,万 某条链路出了故障的话 ,它们就 可以用来防止整个网络失效 。 这听起来不错 ,然而 ,尽管冗余链路可能非常有帮助 ,但 它们所引起的问题却常常 比它 们能够解决 的问题要多 。这是因为帧可以同时被广播 到所有冗余链路上 ,从而导致 网络环 路和其他的严重问题 。下面列出的是最严重的问题 。 ? 如果网络中没有采取避免环路的措施 ,交换机将通过互联网络无止境地扩散广播帧 。 这有时被称为广播风暴 。图 8.8演 示了广播是怎样通过互联网络传播的。可以观察 到帧是怎样通过互联网络的物理网络介质不断地进行广播的 。

图 8,8 广 播风暴 ? 台设各可能收到 同一 个帧 的多个复制 品 ,因 为那个 帧可能 通 过不 同的 网段 同时到 某 达 。图 8,9演 示 了整个帧是怎样通过多个 网段 同时到达 的。图中的服务 器 向路 由器 C发 送 了一 个单播帧 。由于它是单播 帧 ,交换机 A就 会 转发该 帧 ,交换 机 B提 供 同 —— 它转发广播 。这样就会 出问题 ,因 为它意味着路 由器 C会 两 次接 收到 样 的服务 那个单播 帧 ,从而在 网络上产生额外 的开销 。 ? 也许会这样想 :MAC地 址过滤表将被设 备 的位置完 全 弄糊涂 了 ,因 为交换 机可能 你 从多条链路接收帧 。更严重 的是 ,被 弄糊涂 的交换机可能更糊涂 了 ,它不断地用源硬 滤表 ,这 样 它就没有 时 间来 转 发帧 了。这 就称 为 MAC地 件地址位 置更新 MAC过 址表不稳定 。 ? 可能发生 的最糟糕 的事情之 一 ,是 在整个 互联 网络 中产生 了多个 环路 。这意 味着可 能在其他 的环路 中产生环路 ,如果也产生 了广播风暴 ,在 网络 中就将 不能进行帧 的转 发 了。

第 8章 第 2层 交换和生成树协议(STP)

415

图 8.9 多

帧复制

上面提到的所有 问题都是应当避免的,至少应当 想办法修复它。正 因为如此 ,才引入了 生成树协议(SpanⅡ ng Tree Proto∞ D,它 可以用来解 决上面提到的所有问题 。

生成树 协议
生 成 树 协 议 (T) SP最 早 是 由 数 字 设 备 公 Ⅱ 司 ( gt EomltCroainDc开 ld qpel oprto,E) 发

的 ,这个公 司后 来被收 购并 改名 为 Compaq公
为 821。 0.D 坏 消 息 是 , 默 认 时 ,i∞ Cs 交 换 机 运

司。IEEE后
行 SP T的

来开发 了它 自己的 STP版
IE821版 EEo.D 本 , 它 与

本 ,称
DC E版

本不兼容。好 消息是 ,Gsco在 其新出品的交换机上 使用 了另一个工业 标准 ,称 为 802.1w, 我将在这一节介绍 STP,但 我先要定义一些有关 sTP的 重要而基本的概念 。 STP的 主要任务是阻止在第 2层 网络 (网 桥或交换机)上 产生网络环路。它警惕地监 视着 网络中的所有链路 ,通过关闭任何冗余的接 口 来确保在 网络 中不会产生环路 。STP采 用生成树算法(STA),它 首先创建 一个拓扑 数据库 ,然 后搜 索并破坏掉冗 余 的链路 。运行 了 STP算 法之后 ,帧就只能被转发到保险的由 STP挑 选出来的链路上 。 下一节将详细讨论生成树协议 。 说明:STP是 第 2层 的协议 ,用 来维护一个无环路 的交换 式网络。 在如图 8.10所 示的网络中,STP是 必需的。

图 8.10 存

在交换环 路 的交换 式 网络

在图 8.10所 示的交换式网络中,存在着冗余的拓扑(交 换环路)。 如果没

有 (采取 )一 些

4i6

C(NA学

习指 南 (申文 第 六版× 64⒍802)

第 2层 的机制来阻止网络环路 ,就会遇到前面讨论过钓词题 '广播风暴和多帅复捌' 10史 皈陬终硪宋比姣茕劲、 一些酞讽、 试楚虬滚忑 飞悲 钰灾 警告 .要理鼷殴 8、 焦丧 但它 禊环路时的危险。更糟糕的是 ,一旦 出现 了 环路 ,却很不容 易找 出它来。 生成 树 术 语 在详细讨论 STP怎 样在网络中起作用之前 ,需要理解一些基本的概念和术语 ,以及 它 们是怎样与第 2层 交换式网络联系在一起的。 x,t 根桥 (R】 bridge) 根 桥是桥 ID最 低 的网桥。对于 STP来 说 ,关键 的问题是为网络 中所有的交换机推选 一 个根桥 ,并 让根桥成为 网络 中的焦点。在 网络 中,所 有其他 的决 定—— 比如哪一个端 口要被阻塞 ,哪一个端 口要被置为转发模式—— 都是根据根桥的判断 来做出选择的。 BPDU(桥 协议数据单元) 所 有的交换机相互之间都交换信息 ,并利用这些信息来选 出根交换机 ,也根据这些信息来进行 网络 的后续配置。每 台交换机都对桥协议数 据单元
(Bridge ProtOcol Data U“ t,BPDU)中 的 参 数 进 行 比 较 ,它 们 将 BPDU传 送 给 某 个 邻 居 ,并

在其中放人它们从其他邻居那里收到的 BPDU。 桥 ID(Bridge ID) STP利 用桥 ID来 跟踪网络中的所有交换机。桥 ID是 由桥优先级 (在所有的 αsco交 换机上 ,默认 的优先级为 32768)和 MAC地 址的组合来决定的。在网络 中,桥 ID最 小的网桥就成为根桥。 ,nrcx|t bridge) 除了根桥外 ,其他所有的网桥都是非根桥。它们相互之间都 非根桥 (N】 交换 BPDU,并 在所有交换机上更新 STP拓 扑数据库 ,以防止环路并对链路失效采取补 救 措施 。 端口开销 (Port cost) 当 两台交换机之 间有多条链路且都不是根端 口时 ,就根据端 口 开销来决定最佳路径 ,链路的开销取决于链路的带宽。 根端 口(Rcx,t port) 根端 口是指直接连到根桥的链路所在的端 口,或者到根桥的路径 最短的端 口。如果有多条链路连接到根桥 ,就通过检查每条链路的带宽来决定端 口的开销 , 开销最低的端 口就成为根端 口。如果多条链路的开销相同,就使用桥 ID小 一些 的那个桥。 如果多条链路来 自同一 台设备 ,就使用端 口号最低的那条链路 。 指定端口(Designated port) 有 最低开销的端 口就是指定端 口,指定端 口被标记为转发 端 口。 非指定端口(Nc,ndesignated port) 非指定端 口是指开销 比指定端 口高的端 口,非指定 端 口将被置为阻塞状态 ,它不是转发端 口。
转 发 端 口 (Fo「 warding port) 指 能 够 转 发 帧 的 端 口 。

阻塞端口(Blc|cked pOrt)阻 塞端 口是指不能转发帧的端 口,这 样做是为了防止产生环 路。然而 ,被阻塞的端 口将始终监听帧。 生成 树 的操 作 正如前面提到的 ,STP的 任务是找到网络中的所有链路 ,并 关闭任何冗余的链路 ,这 样 就可以防止网络环路的产生。 为了达到这个 目的,STP首 先选举 一个根桥 ,由 根桥来负责决定 网络拓扑。一旦所有

第 8章 第 2层 交换和生成树协议 (sTP)

417

的交换机都同意将某台交换机选举 为根桥 ,其余的每台交换机就必须找到其唯一 的根端 口。 在两台交换机之 间的每一条链路必须有唯一 的指定端 口—— 在那条链路上的端 口提供到根 桥最大的带宽。重要 的是记住 ,一个网桥到达根桥可能通过许多其他网桥 ,即它不`总 是最短 的路径 ,但它是将被使用的最快(最大带宽 )的 路径。 显然 ,在根交换机上的每个端 口都是指定端 口,因为根桥离 自己总是最近的。在尘埃落 定之后 (指执行 STP算 法之后),任 何既不是根端 口也不是指定端 口的端 口—— 这意味着它 是非根端 口、 非指定端 口—— 就被置为阻塞状态 ,这样就打破了交换环路 。 在决定航行路线时,如果只由某个人来做决定 ,事情就会顺利 一些。因此 ,在任何给定 的网络中,只能有一个根桥。在下一节 ,将详细讨论根桥的选举过程。 选举根桥 在网络中,桥 ID用 来选举根桥 ,并决定根端 口。桥 ID为 8个 字节长 ,其 中包括了设备 的优先级 和 MAC地 址 ,在 运行 IEEE STP版 本 的所 有设 各 上 ,默 认 时 的优 先 级都 为 32768。 决定根桥时,需要将桥的优先级和 MAC地 址结合起来 。如果两台交换机 或网桥碰巧 有同样的优先级值 ,那 么就 比较它们 的 MAC地 址 ,MAC地 址最 小 的设各就有最 低 的桥 ID。 举个例子 ,如果有两台交换机 ,即 A和 B,它 们都采用默认 优先级 32768,那 么就要用
MC A地 址 来 进 行 比 较 了 。 如 果 交 换 机 A 的 MC A地 址 A 将 为 00.c011, 0000.11交 换 只 需 记 住 在 选 机 B 的 MC A地 址 为 00.c022.22那 0000,2222, 么 , 交 换 机 成 为 根 桥 。



























默认 时 ,每 2秒 发送 一 次 BPDU,它 被发送 到 网桥/交 换机 的所有 活动端 口上—— 再强 调 一 遍 ,桥 ID最 小 的网桥就被选 举为根桥 。可 以改变桥 的 ID,以 使它 自动成 为根桥 。在 大 的交换式 网络 中 ,能 够做到这 一 点是很重要 的 ,它 保证 了能够选 出最佳路径 。在这里 ,需要 考虑效率 。 图 8.11显 示 了典型的带冗余交换路径 的交换式 网络 。首 先 ,我 们来找 出哪一 台交换机 是根桥 ,通 过改变交换机 的默认优先级 ,我们可 以让 非根桥成为根桥 。
交换机 A 默认优先级 夕 768
MAC Oc001llll11

交换机 B 默认优先级 32768
MC A地
FaO/11

c02222 址 002222

图 8,11 带 冗余交换路径的交换式网络 从 图 8.11中 ,我 们可以看 出交换机 A是 根桥 ,因 为它 的桥 ID最 小 。交换 机 B必 须将 其连接到交换机 A的 某个端 口关 闭 ,以 防止产生交换环 路 。记 住 ,尽 管交换机 B的 阻塞端 口不能 转发帧 ,但 它仍然可 以接收 帧 ,包 括 BPDU。 在交换机 B上 ,要通过 STP确 定将关 闭哪个端 口,首 先要检查 每条链路 的带宽值 ,然后 关 闭带宽值最 低 的链路 。由于在交换机 A和 交换 机 B之 间 的两条链 路都是 100Mb/s的 ,

418

CCNA学

习指 南 (中文 第 六版×64⒍802)

因此 ,典型 情况下 ,STP将 关 闭端 冂号高 的一 条 ,但 并不 总是这样 的 。在这个 例子 中 ,12比 11高 ,因此 ,端 口 12将 被置为阻塞模式 。 改变默认优先级是选举根桥 的最佳方式 。这 一 点很 重要 ,因 为你希望 网络 中的核 心交 换机 (离 网络 中心最近 的交换机 )成 为根桥 ,这样 STP就 会快速收敛 。 让我们来试 一 下 ,让交换机 B成 为 网络 中的根桥 。以下是 交换 机 B的 输 出 ,显 示 了默
认 优 先 级 。 我 们 使 用 的 是 sllow叩 an血 n⒏ tree命 令 :

sw1tch B(confi g)#do show spann1ngˉ

tree

VLANO001
spann1ng tree enab1ed protoco1 ieee

Root ID

Pr1or1ty

32769 O005.74ae,aa40 19 1 (FastEthernetO/1)

Address Cost POrt

He11o Time 2 sec Max Age 20 sec Forward De1ay 15 sec

Br1dge ID Pr1ori ty

32769 (pr1ori ty 32768 sys-1d-ext 1) O012.7f52。 0280

Address

He11o T1me 2 sec Max Age 20 sec FOrward De1ay 15 sec

Ag1ng T1me 300
[output cut]

在这 里,要注意两件事情 ,交换机 B运 行 的是 IEEE802.1d协 议 ,第 一 项输 出 (RootID) 是交换式 网络 中根桥 的信息 ,但 这不是交换 机 B的 信 息 。交换 机 B到 根 桥 的端 口(称 为根 端 口)是 端 冂 1。 桥 ID实 际上是有关交换机 B和 VI'AN1的 生成树信息 。VI'AN1被 列为 — 每个 VLAN都 VI'AN0001— B的 MAC地 可 以有不 同的根桥 ,尽 管这不常见 。交换机 址 ,大家可 以看 出 ,它 与根桥 的 MAC地 也列 出来 了 址是不 同的 。 交换机 B的 优先级是 32768,这 是 每 台交换 机 的默认 优先级 。大家 可 以看 到 ,它 被列 为 32769,由 于 Ⅵ 'AN ID实 际上被加进来 了 ,因此 在这种情况下 ,对 于 VI'AN1,它 显示 为 32769。 VLAN2将 32770,以 此类推 。 为

正如前面提到的 ,你可以改动优先级 ,以迫使交换机成为 STP网 络中的根桥 ,现在我们 让交换机 B成 为根桥 。可使用下列命令在 Catal阝 t交 换机上改动桥的优先级 :
switCh B(conf1g)#spa"ningˉ tree v1an 1 priority ?

(0-61440> br1dge pr1ority in 1ncrements of 4096
sw1tch B(confi g)#span"ingˉ tree ˇ 1an 1 pr1ority 4096

可以将优先级设置为 0~61狃 0的 任何值 。将优先级设置为 0意 味着 ,交换机将始终 是根桥。桥优先级的数值以 4096递 增 。对于网络中的每个 VI'AN,如 果你想将某 台交换 AN的 优先级 ,0是 可以使用的最低优先级。将所有 机设置为根桥 ,那么必须改动每个 VI冫 一件好事。 交换机的优先级都设置为 0并 不是 检查下面的输出 ,我们 已经在 VIAN1中 将交换机 B的 优先级改成了 4096,因 此就成 功地将这台交换机变成了根桥 :

第 8章 第 2层 交换和生成树协议(STP)
sw1tch B(config)#do show sρ ann讠 ng~tree

419

VLANO0o1
spann1ng tree enab1ed protoco1 1eee

Root ID

Pr1ori ty

4o97 Oo12.7f52.o28o dge 1s the root

Add re5s This br△

He11o Time 2 sec Max Age 2o seC FOrward De1ay 15 sec

Br1dge ID Prior1ty

4o97

(prior1ty 4o96 sys-id~ext 1) Oo12.7f52。 o28o

Add ress

He11o T1me 2 sec Max Age 2o sec FOrward De1ay 15 sec

Ag1ng Time 15
Eoutput cut彐

址 和交 换机 B的 桥 ID是 一 样 的 了,这意 味着交 换机 B已 经成 了 根桥 。知道命令 show叩 all血 n⒏tree非 常重要 ,在本章最后 ,还会用到这 个命 令 。 说 明 :不 管你信 不信 ,还 有 另一 个可 以 用 来设置根 桥 的 命令 ,在 本 章 的后 面,在 讨论 交换 机 的配置 时,我会告 诉你这个命令 。 生成树 端 口状态 网桥或交 换机 来说 ,其端 口状态会 在下列 5种 状态之 间转变 : 阻塞 (Blc,cking) 被 阻塞 的端 口将不 能转发 帧 ,它 只监 听 BPDU。 设 置 阻塞状 态 的意 图是 防止使 用有环 路 的路径 。当交换机加 电时 ,默认情况 下所 有 的端 口都处于阻塞 状态 。 侦听 (Listening) 端 口都侦听 BPDU,以 确信在 传送数据帧之 前 ,在 网络上没 有环路 产 生 。处 在侦 听状态 的端 口 ,在 没有形 成 MAC地 址表 时 ,就 准备转发 数据帧 。 学 习 (Leaming) 交 换机端 口侦 听 BPDU,并 学 习交 换式 网络 中的所 有路径 。处 在学 习状态 的端 口形成 了 MAC地 址表 ,但 不能 转发数 据帧 。转发延迟 意味 着将端 口 从 侦 听状 态 转换 到学 习状态 所花费 的时 间 ,默 认 时设 置 为 15秒 ,可 以用命 令 show叩 an“ng tree显 示 出来 。 转发 (Forwarding) 在 桥接 的端 口上 ,处 在转发状态 的端 口发送并 接 收所 有 的数据 帧 。 如果在 学 习状态 结束 时 ,端 口仍然是指定 端 口或根端 口 ,它 就进人 转发状态 。 禁用 (msabIed) 从 管理 上 讲 ,处 于禁 用 状 态 的端 口不 能参 与 帧 的转 发 或 形 成 STP。 处于禁用状态下 ,端 口实质上是不工 作 的。 说 明 :只 有在 学习状 态或 转发状 态下 ,交换 机 才能填 写 MAC地 址表 。 对 于运行 STP的

现在 ,根桥 的 MAC地

大多数 情况下 ,交 换机 端 口都处在阻塞 或转发状态 。 转发端 口是 指 到根桥 的开销最 低 的端 口 ,但 如果 网络 的拓扑 改变 了(可 能是链 路失效 了 ,或 者有人 添加 了一 台新 的交换 机 ), 交换机上 的端 口就会处 于侦听或学 习状 态 。 正如 前面提 到的 ,阻塞端 口是 一 种 防止 网络环 路 的策 略 。一 旦 交换 机决 定 了到根 桥 的 最佳 路径 ,那 么所 有其他 的端 口将处 于阻塞状态 。被阻塞 的端 口仍然 能接收 BPDU,它 们 只 是不能 发送 任何 帧 。

CCNA学

习指 南(中 文 第 六版 ×64⒍802)

如果由于网络拓扑的改变 ,交换机决定让一个被阻塞的端 口现在成为指定端 口或桥端 口,它将转到侦听状态 ,并检查它收到的所有 BPDU,以 确信一旦它变为转发状态 ,将不会引 起网络环路的出现。 收敛 当网桥或交换机上的所有端 口都转变到转发或阻塞状态时,就产生了收敛 。在收敛完 成之前 ,交换机不能转发任何数据 。在重新转发数据之前 ,所 有的设备都必须更新。是的 , STP正 在收敛时,所有主机的数据都会停止发送 !因 此 ,如 果你想让 网络 中的用户能够继 续发送数据 (或者保持他们在任何时候都有可用链路 ),就 必须保证交换式网络的实际设计 确实很好 ,以便 STP能 够快速收敛。 图 8.12显 示了在设计和实施交换式网络时,必须引起特别重视的一些问题 ,以便 sTP 能够有效地收敛 。
STP根 桥 优先级 硐96

桥优先级
8192

将核心交换机作为 sTP的 根桥,以 便快速收敛 图 8.12 优 化 的层 次化 交换 机设 计

收敛是重要 的 ,它 用来确保所有 的设备 都有 同样 的数据库 ,但 它确实会花 一 些时间 。从 阻塞状态转变到转发状态通 常要花 50秒 ,建议你不要改变默认 的 STP定 时器时 间 (但 如果 需要 的话 ,可 以调整这些 定时器 )。 如 图 8.12所 示 ,通过 创建层次化 的交换机实 际设计 ,就 可 以让核心 交换机成为 sTP的 根桥 ,以便让 STP收 敛得又快又好 。 在交换机端 口上 ,生成树拓扑从 阻塞到转发 的典型 收敛 时间为 50秒 ,在 服务器 或 主机 上 ,这会引起超时问题 —— 比如 当你重新 引导它们 时 。要解决这 个 问题 ,可 以使用快速端 口 (PortFast)在 某个端 口上禁用生成树 。 生成树快速端 口 (PortFast) 如果你有 一 台服务器或其他设各连接

到交换机上 ,而且可 以保证在禁用 sTP时

不会产

生交换环路 ,那么 就可 以在这些 端 口上使用 快速端 口(PortFmt)。 STP正 在收敛时 ,端 口不会花费通常的 50秒 才进 人 转发状态 。 下面是这些命令 ,它们很简单 :
sW1tch(configˉ 1f)#span"1ngˉ tree portfast ?

使用快速端 口意 味着 ,当

d1sab1e D1sab1e portfast for th1s interface
trunk (cr> Enab1e portfast on the 1nterface even 1n trunk mode

第 8章 第 2层 交换和生成树协议(sTD

421

我们还没有讨论 中继端 口,但基本上 ,它们是用来将交换机连接起来 ,并 在交换机之 间 传递 VI'AN信 息的。如果你想在中继端 口上启用它 ,就必须特别指定 poⅡfast。这并不是 典型的配置 ,因为交换机之间 的端 口通常应 当运行 STP。 下面,我 们看看 当在某个接 口上 打开 portfast时 所看到的信息 :
sw1tch(conf1g-讠 f)#spanningˉ tree portfast

%Warni ng: portfast shou1d on1y be enab1ed on ports connected to a s1ng1e host, Connect1ng hubs, concentrators, sw1tches, br1dges, etc... to th1s 1nterfaCe when portfast 1s enab1ed, can cause

temporary br1dg1ng 1oops. Use w1th CAuTION
%POrtfast has been conf1gured on FastEthernetO/1 but w111 on1y have effect when the 1nterface 1s 1n a non-trunk1ng mode.

sW1tch(config-1f)#

在端 口 FO/1上 启用了 portfast,请 注意,这里 有很长的提示 信息 ,告 诉你要 留意些 什 么。另一个有用的接 口命令是 range命 令 ,它 用来在交换机上 帮助你 同时配置多个 端 口。 下面是一个例子 :
sw1tch(conf1g)#1nt ra"ge fastEther"et O/1 - 12 sw1tch(conf1g-1f-range)#spann1ngˉ tree portfast

通过输入一条命令 ,上面的 range命 令就可以让我将交换机上的所有 12个 端 口都设置 为 portf凼t模 式 ,然后按一下回车键即可。希望确实不会生成任何环路 !再 次声明,一定要 极其小心地对待 portfast命 令 。我还希望你知道 ,intedace range命 令能够与其他任何命令 一起使用 ,在刚才的例子中,我 就将它与 portfast命 令一起使用了。 生成树上行链路快速 上行链路快速 (UplinkFast)是 Gsco产 品特有 的特性 ,当 链路失效时,它 可用来改进 STP的 收敛时间。大家要知道 ,就 像使用 poⅡfast命 令 一样 ,当 你使用 uplinkfast命 令时 , 同样要十分小心 !当 交换机至少有一个可选/各份的根端 口(处 于阻塞状态的端 口)时 ,UΓ hnkFast特 性被设计运行于交换式环境中,这就是为什么 Cisco会 推荐仅当交换机 典型地在 接入层有被阻塞 的端 口时,才启用 UplinkFast。 U山 nkh哎 允许交换机在主链路 (pⅡ mary hk)失 效前 ,找 出到根桥 的可选 路径 。这 意味着如果主链路失效 ,各 份链路 (sec。 ndary hk)将 更快地启 用—— 端 口将不会等待通 常的 50秒 STP收 敛时间。因此 ,如 果你正在运 行 802.1d STP,而 且在接入层交换机上 有冗余链路 ,那 么肯定就需要打开 UphnkFast。 但是 ,在 Cisco多 层设计 中 ,如果不知道 典 型地用于分配层 和核心层 交换机 的可选/备 份根链路 的拓扑结 构 ,就 不要使用 UphnkFast。
生成 树 主 干快 速

在本地交换机上 ,UphnkFa哎 用来确定 并快速修复链 路失效 。与 UphnkFa哎 不 一 样 的是 ,Gsco有 另外一个专用的 STP扩 展特性 ,称 为主干快速 (BackboneFast),当 某条链 路 并没有直连到失效的交换机 时 ,就 可以使用 BackboneFast加 速收敛 。如果运行 Backbone Fast的 交换机从它 的指定桥 接收到一 个次等 (infeⅡ or)BPDU,它 就知道路径 中到根桥 的

422

CCNA学

习指 南 (中文 第 六版)(64∝802)

链路失效了。你一定要清楚地知道 ,次等 BPDU是 指其 中列 出的根桥和指定 桥是 同一 台 交换机 。 再重申一遍 ,UplinkFa哎 贝能配置在接入层 交换机上或带冗余链路 的交换机上 ,而且 至少有一条链路处于阻塞状态 ,而 BackbolleFast可 以在所有的 Catdyst交 换机上启用 ,以 便能够检测到非直连的链路失效 。启用 BackboneFⅡ t也 是有好处的,因为它能够更快速地 启动生成树配置—— 在 50秒 的默认 STP收 敛时间中 ,它能节省 ⒛ 秒的时间。 快速生成树协议(RsTP)8021w 你是不是希望在交换式网络(不管交换机的品牌是哪一种 )中 ,既有好 的 STP配 置正在 运行 ,同时又让我们刚才讨论过的所 有特性 内置并启用在每台交换机上?当 然可 以这样 ! 那么 ,欢迎进人快速生成树协议(RSTP)的 世界 ! ” Gsco创 建 了 PortFast、 Uplirdast和 hckbone孔 st来 “ 修补 IΠE8o2.1d标
准 中的漏洞 Gsco专 用的且需要进行额外 的配置 。但新 和缺陷。这些改进特性 的不足之处仅在于 ,它们是 “ ” 的 ⒛2.1w标 准 (RS” )将所有这些 问题 都放在一个封包 中解决 了—— 只需要打开 (1P就

可以了。重要 的是 ,必须确信网络 中所有的交换机都在正确地运行 ⒛2.1w协 议 。 说 明 :大 家可能会感到惊 奇 ,但 RSTP确 实能 够与 老 的 STP协 议 实现 互操 作 。大 家 只

需要知道 ,当 它与老的 网桥 交互作 用时 ,802,1w内 在本章后面 ,我将演示怎样配置 RSTP,实
EtherChannel

在 的快速收敛 能力将丢失 。

际上相 当简单 。

除了保留冗余链路并让 STP将 某条链路置于阻塞模式(BLK)之 外 ,还可以将多条链路 一起创建出逻辑聚合 ,这样 ,多条链路就可以像一条链路 捆在 那样起作用 。既然这样做仍将 提供像 STP一 样的冗余性 ,那么我们为什么不将冗余链路捆在一起呢?
像 前 面 一 样 ,你 可 以 选 择 使 用 Cisco版 本 和 IEEE版 本 的 EtherChannel。 802.3ad标 Gsco的 版 本 称 为 端 口 聚 合 协 议 (Port Aggregation Protocol,PAgP),IEEE的 聚 合 控 制 协 议 (hnk Aggregat0n Cor1trol Protocol,LACP)。 准 则 称 为 链 路

这 两 个 版 本 都 工 作 得 很 好 ,但

它们 的配置却是不 同的 。在 本章 的末尾 ,我 将演示 对几 条链路 的捆绑 。别担 心 ,在 下 一 节 , 我将讨论 STP扩 展 的所有配置 。 配 置 Catalyst交 Gs∞ Catdyst交 换 机

换机包含 了多种 型号 的产 品 ,其 中一 些运行在 10MVs的 端 口上 ,另 一 些则运行在双绞 线和光纤组合起来 的 10Gb/s的 交换端 口上 ,这些 新 型 的交换机 (特 别是 2960和 3560)具 有更多 的智能 ,也 能够提供更快 的数据传输 (包 括音频和视频服务 )。 下面我们来看看这些交换机 。我将显示 怎样使 用命 令 行 界 面 (CLI)启 动及 配置 Gsco Catalyst交 换机 。在本 章 学 习 了基 本 的配 置命 令 之后 ,我 将 在 下 一 章 告 诉 大 家 怎样 配 置 VLAN、 I⒏'、 802.1q路 由和 Ci∞o的 虚拟 中继协议 (Virtual Tmnk Protocol,VTP)。

本节我们将完成下列基本任务 : ? 管理功能

第 8章 第 2层 交换和生成树协议(sTP)
? 配置 IP地 址 和子 网掩码 ? 设置 IP默 认 网关 ? 设置端 口安全
? ? ? ? ? ? 设 置 启 用 启 用 启 用 启 用 启 用 PrFs otat BD护 PU UlnFs pikat BcbnFs akoeat RT(0.w SP821) Ehrhne teCanl 卫 (PUur) BDGad和 BD过 PU (PUitr BDFle)

滤 器

? 配置 STP根 ? 使用 CNA配
说 明 : 在 C∞ i o 的

交换机 置交换机
网 站 wwoC。 w.so Cme o/〃 U 吖 pout rdc√ h/诫 ws t 山 ∝ /ne.tl idxhm上 ,

可 以 找 到 G∝ o Catalyst交 配 置 Catalyst交 换机

换 机 的 系列 产 品 。

就像我们在第 6章 和第 7章 中配置路由器一样 ,在本章和第 9章 ,我们将使用图例和交 换机设置来进行配置。图 8.13显 示了我们一直在讨论的交换式网络。
电话 A

肱心 (Corc)

图 8.13 交

换式 网络

我将使用新型的 3560、296o和 3550交 换机。记住 ,当 我们学习第 9章 时,网络 中所示 的主机(客户机)、 电话和路由器将变得更为重要 。 在对 Cataly,st交 换机进行实际配置之前 ,就像第 4章 配置路由器一样 ,我们需要先学习 这些交换机 的引导过程 。图 8.14显 示了典型 的 Gsco Catal阝 t交 换机的外观细节 ,我 需要 向大家介绍这种产品的各种接 口和特性。 大家首先要知道 ,Catd阝 t交 换机的控 制台端 口通常位于交换机 的后背板上。但是在 小型的交换机 比如 3560上 ,如 图 8.14所 示 ,控 制台在前面板上 ,以 便于使用 (8个 端 口的 2960看 起来完全一样 )。 如果成功地 完成 了 POST,系 统 LED就 会变绿 ;如果 POST失 败

424

CCNA学
系统 LED

习 指 南 (中 文 第 六 版 × 64⒍ 802)



8.14 Gsco Catd阝

t交

换 机

了,系统 LED就 会变成琥珀色。如果看见亮起 了琥珀色 ,就是出问题 了—— 通常是致命 的 问题。因此 ,你手边可能需要一 台备用的交换机 ,特别是当交换机没法工作时。下面的按钮 用来显示哪一个灯正在提供以太网供 电(Power over Ethernet,PoE),可 以按下 Mode按 钮 看出这一点 。对于这些交换机来说 ,PoE是 一种非常好的特性 ,有了这种特性 ,就可以将无 线接人点和电话通过以太网电缆连接到交换机来为它们供电。 交换机的引导过程结束之后 ,就可以使用 Express Setup HTTP屏 幕了。图 8.15显 示 了当连接到新的交换机并在浏览器的 HTTP字 段 中使用 10.0.0.1时 所看到的屏幕 。显 一个子网中。 然 ,主机应 当位于同

Ⅴ 钸‰ 1 喟∵ ∶
.5 xrs∝ 图 81 Epes tpH"屏 u 1P 幕

∴r氵 ` ∷ :∵
∷ ∷ ∷ 彡 ∷∷ ∷

^^∷ 「

∷ ∷∷ ∷∷Ⅱ∷∷ ∷ ∷Ⅱ∷∷∷∵ ∷ ∷ ∷∷∷∷∷∷ ∷ 、 | ∷∷∷∷

∷ ∷ ∷ ∷ ∶

;粲|∵ :婴 :蛴 舯醺 |0篝
从屏幕中可以看出,我们可以设置一 些基本 的功能。对于我来说 ,通过 CLI配 置这些 信息更容易一些 ,我将在下面谈到这一 点 ,但这只是选择之 一 。大家可以配置 IP地 址 、 掩 码、 交换机的默认网关以及 口令 。还可以配置 管理 Ⅵ 'AN,这 一点将在下一章讨论 。接下 来 ,可以有选择地配置主机名 、 系统联系和位置 ,并设置 Telnet访 问。最后 ,Express⒏ tup 一些简单 的帮助信息 ,用 来设置交换机 的 SNMP,以 便 网络管理系统 HTTP屏 幕将提供 够找到它。 现在我们假定交换机的连接如图 8.13所 示 ,首 先要记住 ,在交换机之间要使用交叉 电 缆。2960和 3560交 换机能够 自动检测连接类型 ,因此 我可以使用直通 电缆 ,但 2950或 3550交 换机不能 自动检测电缆类型。不同的交换机有不同的需求和能力 ,因此 ,在 将不 同 的交换机连接到一起时,要牢记这一点。 当首次将交换机的端 口连接在一起时,链路灯是橙色的,然后变绿 ,表示操作正常了。 这就是生成树的收敛 ,大家已经知道 ,在没有启用生成树扩展时 ,这个过程需要 50秒 。当连 (NMS)能

第 8章 第 2层 交换和生成树协议(STP)
接到交换机端 口时 ,如 果交换机端 口的 LED在 绿色 和琥 珀色之 间交替 变化 ,就 说 明端 口不 正常 。如果 出现 了这种情况 ,可 以检查 一 下 网卡 (NIC)或 电缆 。
s1

我们从连接到每台交换机并设置其管理功能开始进行配置。我们为每台交换机分配了 一个 IP地 址 ,对于网络功能来 ,这 说 并不是必需的。为交换机设置 IP地 址 的唯一原因是 , 我们能够对它进行管理。我们使用的是简单 的 IP寻 址方案 ,比 如 192.168.1o,16/28。 大 家一定很熟悉这种掩码 。请检查下面的输出:
sw1tCh>en sw讠tch#conf1g t
Enter conf1gurat1on commands, one per 11ne. End w1th CNTL/z.

sw1tch(conf1g)#hostna"e s1
s1(confi g)#enab1e secret todd

s1(conf1g)#1nt fO/1
s1(confi g-if)#descr1pt1on lst Connection to Core sw1tch

s1(c° nf1g-1f)#1nt fO/2
s1(confi gˉ 1f)#descr1pt1on 2nd Connect1on to Core switch

S1(conf1g-1f)#讠
s1(conf1g-if)#descr讠

nt fO/3
ption Connect1on to HostA

s1(confi gˉ 1f)#1nt fO/4
s△ (conf1g-讠 f)#descr1ption Co"nect1on tO Ph° neA

s1(confi gˉ if)#1nt fO/8
s1(conf1gˉ 1f)#descr1pt讠 on Connect1on to IVR

s1(conf1g-1f)#11ne cons°
s1(confi g-1ine)#password conso1e

1e o
n

s1(conf1g-11ne)#1og讠 s△(conf1gˉ 11ne)#exit s1(confi g)#11"e ˇ

ty O ?

(1-15) Last L1ne number <Cr> s1(confi g)#1ine ˇ
s1(confi g-1ine)#password te1net

ty O 15

s1(conf1g-11ne)#1ogin s1(conf1g-11ne)#1nt v1a" l
s1(conf1g-if)#1p address 192.168.10.17 255,255.255.240

s1(confi gˉ 1f)#no shut s1(conf1g-if)#ex1t s1(conf1g)#banner motd # Th1s is the sl s"itch # s1(config)#exit s1#Copy r"n start
Dest1nat1on f11ename [startup-conf1g]? Ee"ter1
Bu ur ia 1t di nn g. c o n f i g o

[OK彐 s1#

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

需要注意的第一件事情是 ,在交换机的接 口上并没有配置 IP地 址。默认时,交换机上 的所有端 口都是启用的,因此并不需要太多的配置。IP地 址是在逻辑接 口下配置的,称 为 AN。 典型情况下 ,使用 VLAN1来 管理域或 VI冫 管理交换式 网络 ,就像我们在这里所做的 一样 。其余的配置跟配置 路由器时的情况基本上是一样的。记住 ,在交换机的接 口上不需 要 IP地 址 ,不需要路 由协议 ,等等 。我们在这里只是执行第 2层 的交换功能,而不是路 由! 还要注意 的是 ,在 Cisco的 交换机上 ,也没有 aux端 口。
s2

以下 是 ⒏ 的配置 :
sw1tch#conf讠 g t

sw1tch(conf1g)#hostname s2 s2(config)#e"ab1e secret todd

s2(conf1g)#1nt faO/1
2(conf1g-1f)#descr讠 pt1on 1st Connect1on to Core

s2(conf1g-1f)#int faO/2
s2(config-1f)#descr1pt1o" 2nd Connection to Core

s2(conf1g-1f)#讠
s2(conf1g-if)#descr1pt讠

nt faO/3
on Connect1on to HOstB

s2(conf1g-if)#1nt faO/4
s2(conf1gˉ if)#description Connection tO Ph° neB

s2(conf1gˉ
s2(conf1gˉ

if)#11ne con o
11ne)#pass"ord conso1e

s2(conf1g-11ne)#1og1n s2(confi g-11ne)#ex1t s2(conf讠 g)#1ine vty O ? <1-15> Last Line number (cr> s2(conf1g)#11ne vty O 15
s2(confi g-11ne)#password te1net

s2(conf1g-1ine)#1og1n s2(conf1g-11ne)#1nt v1an l s2(conf1g-1f)#ip address 192.168.lO.18 255.255.255.240 s2(conf1g-1f)#no shut s2(conf1g-1f)#ex1t s2(conf1g)#banner motd # Th1s 1s "y s2 sw讠 s2(conf1g)#ex讠 s2#copy ruⅡ t start
?Eenter彐

tch #

Dest1nat1on fi1ename [startup-conf1g彐
.ntufcn1B .oagn gdu .1rio i1

EOK〕 s2#

现在我们应当能够从 ⒏ "ng通

S1。 让我们来试一下 :

第 8章 第 2层 交换和生成树协议(STP)
s2#p1ng 192.168.1o.17

Tp ecp sqec t aot ye sae eune o br.

sendi ng 5, 1oo~byte ICMP Echos to 192.168,1o.17, timeout is 2 seconds:
lIII success rate 1s 8o percent (4/5), round-trip min/avg/max = 1/1/△

s2#

ms

这里有两个问题 :如果还没有配置核心交换机 ,能不能 通过 核心交换机执行 mng命 令 呢?为 什么我只 ping通 了 4次 而不是 5次 (第一 个点号表示超时,感叹号表示成功了)? 这两个问题问得好。原因是这样的:第一 ,让交换机起作用,并 不需要对它进行配置。默认 时,交换机的所有端 口都是启用的。因此,只需要打开 交换机,就可以在主机之 间进行通信了。 第二,第一次 ong不 起作用,是因为 村P协 议在将 IP地 址解 析为 NIAC地 址时超时了。 核心交换机 (Core) 以下是核心交换机 的配置 :
sw1tch>en sw1tch#conf1g t
sw1tch(conf1g)#hostname C° Core(c° nf1g)#enab1e secret todd re

Core(config)#1"t fO/5
Core(conf1g-1f)#descr1pt1o" lst Connect10n t° s2

Core(conf1g-if)#int faO/s
Core(conf1g-1f)#descr讠 pt讠 on 2nd Connection to s2

Core(conf1g-1f)#int fO/7
Core(conf1g-1f)#desc lst Con"ect1° n to s1

Core(config-1f)#1nt fO/8
Core(conf1gˉ 1f)#desc 2nd Connect1on to s1

Core(conf1g-1f)#1i"e con o
Core(conf1g-11ne)#password cons° 1e

Core(conf1g-1ine)#1og讠 Core(config-1ine)#11ne ˇ
Core(conf1g-1ine)#pass"ord te1net

n ty O ls

Core(conf1g-1ine)#1og1n
Core(conf1g-11ne)#1nt ˇ 1an 1

Core(conf1gˉ
Core(config-if)#n°

if)#1p address 192.168.lO.19 255.255.2s5.24o
shut

Core(config-讠 Core(conf1g)#eX1t
Core#copy run start

f)#ex1t

Core(conf1g)#ba"ner motd # Th1s 1s the Core s"itch #

Dest1nat1on f11ename [startup-conf1g彐
Bu ur 1a di nn g. c o n f 1 g t o ,

?Ienter彐

EOK] Core#

428

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

现在我们从核 心交换机 "ng Sl和
Core#ping 192.168.10.17
Type escape sequence to abort.

⒏ ,看看情况如何 :

sendi ng 5, 100-byte ICMP Echos to 192.168,10.17, t1meout is 2 seconds:
lIll success rate 1s 80 pe rcent (4/5), round-trip m1n/avg/max = 1/1/1 ms

Core#p1ng 192.168.10.18
Tp ecp sqeC t aot ye sae eune o br,

sending 5, 100-byte ICMP Echos to 192,168,10.18, t1meout 1s 2 seconds:
IIII success rate 1s 80 percent (4/5), round-tr1p m1n/avg/max = 1/1/1 ms

Core#sh ip arp
Protoco1 Address Age (mi n) Hardware Addr Type Interface

Internet 192.△ Internet 192.168.10.19 Internet 192,168.10.17 Core#

68.10,18 0

0

001a.e2ce,ff40 ARPA

V1an1 4b80 ARPA V1an1

000d.29bd。 001b,2b55,7540 ARPA V1an1

一 在我们对交换机的配置进行验证 之前 ,还需要学 习另 个命令 ,就 是 ip default gate way命 令 ,在 目前的网络中,我们并不需要这个命令 ,因为还没有涉及到路 由器。如果想在 LAN之 外对交换机进行管理 ,就需要在交换机上设置默认 网关 ,就像需要在 主机上设置默 一 认网关一样 。可以在全局配置模式下进行这种设置。下面是 个例子 。我们使用子网中的 用到这台路 最后一个 IP地 址 ,引入了有一个 IP地 址的路 由器 (在第 9章 中 ,将在 VLAN上 由器 ):
Core#config t
Enter conf1gurat1on commands, one per 11ne。 End w1th CNTL/z,

Core(conf1g)#ip defau1t-gateway 192.168.10.30
Core(config)#ex1t

Core#

一 现在我们 已经对所有这 3台 交换机进行 了基本 的配置 ,下面让我们看看其他 些特性 。

端 口安全 正如我在本章前面提到 的 ,让 任何人都 可 以通过交换机接人 网络 中并不是 我是说 ,我 们需要无线 网络的安 全 ,因此 ,你不希望交换机更安全 吗?

一 件好事情 。

答案是 ,你肯定希 望交换机更安全些 。因此可 以使用端 口安全 。你可 以限制能够动态 址 ,就 可 以阻止 非 授权 用 户 的访 址 数量 ,设 置静 态 MAC地 分配给交换 机端 口的 MAC地 —— 这是我最喜欢 的地方 。我个人喜欢这样 做 :当用户违 反 了安全策 略时 ,就 关 闭端 口, 问 一 然后请他们 的老板给我写 个备忘录 ,解释他们为什么会违反安全策略 ,之后再为他们重新 启用端 口。这样就可 以有效地 防止用户 的非授权访 问 。 MAC地 址 中的任何 一 个联 系起来 ,但 是 50系 列 安全 的交换机端 口可 以与 1~8192个

第 8章 第 2层 交换和生成树协议(STP)
的交换机只 能支持 192个 ,对 于我来说 ,这 已经 足够 了。可 以选择 让交换机动态 地学 习这些
值 , 或 者 使 用 命 令 s 诵 t? lpⅡ c lo pⅡ o -eu scⅡ t mc刁 y a孔 %smc s a叼 招 Ⅱ s为 s 每 个 端 口 设 置 静 态

地址 。 下面我们在交换机 S1上 设置端 口安全。在我们的实验 中 ,端 口 fao/3和 fao/4只 连接 一 台设各 。通 了 过使用 端 口安全 ,现 在我们 知道 ,一 旦 连接 了端 口 fao/2的 主机 和端 口 faO/3的 电话 ,其他的设各都无法连接进来了。以下是配置 命令 :
s1#conf讠 gt
Enter conf1guration commands, one per 11ne, End with CNTL/z. S1(conf1g)#讠 S1(conf1g-1f-range)#sw讠 <1-8192> Max1mum addresses s1(confi gˉ 1f-range)#s"讠 tchport port-secur1ty max1mu" 1 nt range faO/3 - 4 tchport port-security Ⅱ ax1mum ?

s1(conf1g-if-range)#sw1tchport port-security "ac-address st1cky s1(config-if-range)#s"1tchport port-sec"r1ty ˇ protect secur1ty v1o1ation protect mode 1o1at1on ?

restr1ct secur1ty v1o1ation restr1ct mode shutdown security v1o1at1on shutdown mode s1(conf1gˉ if-range)#sw1tchport port-secur讠 ty ˇ 1o1at1on shutdom

s△ (conf1g-if-range)#ex1t

上述命令在端 口 h0/3和 fao/4上 设置端 口安全 ,允许关联的最多 MAC地 址为一 , 个 只有关联到端 口的第一个 MAC地 址才能通过交换机发送帧。如果具有不 同 MAC地 址的 第二 台设各试图向交换机发送帧 ,那么端 口将 由于 访 olaton命 令的存在而被关闭。我使用 的是 血cky命 令 ,因为我太懒了,不愿意通过手工输人每台设备的所有 MAC地 址 。 除了关闭端 口之外 ,还可以使用其他两种模式。保护模式意味着可以连接另一 台主机 , 但通过它的帧将被丢弃。限制模 式也很酷 ,它通过 SNMP警 告你 ,在端 口上出现了违例情 况 ,然后你可以打电话给非授权访问者 ,并提出警告—— 你能够看见他们 ,知道他 们干了些 什么,得给他们点颜色看看 ! 在图 8.13所 示的交换机之间,存 在着冗余链路 ,因 此最好在这些链路上运行 STP(到 目前为止)。但在 S1和 ⒏ 交换机上 ,还有主机连接到端 口 fao/3和 fao/4(而 不是核心 交换 机 )。在这些端 口上 ,就不需要运行 STP。 说明:要理解主机 可以直接连接 到电话的后 面,因 为这些电话上有 以太网插 口。因此, 对于这两 台设备 ,只 需要 一 个交换机 端 口。在 第 9章 的“ 电话通信 :配 置语 音
VN L” A 一 节 , 会 深 入 讨 论 这 一 J 点 。

PortFast

如果在交换机上使用 poHfast命 令 ,就 可以防止 出现 由于 STP的 收敛时间太长 ,导 致 主机 的 DHCP请 求超时,从而使主机不能接收到 DHCP地 址的问题 。下 面我准各在交换 机 S1和 ⒏ 的端 口 fao/3及 %0/4上 使用 portfast:

430

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

Sl#config t Sl(config)#int range tO/3-4 S 1 ( c o n f i g - i f - r a n g e ) # s p a n n i n g - t r e ep o r t f a s t ? disable Disable portfast for this interface trunk Enableportfast on the 'interface even in trunk mode <cr> 51(conf i g-'i f - range)#spanni ng-tree portfast p % W a r n i n g : o r t f a s t s h o u l d o n l y b e e n a b l e d o n p o r t s c o n n e c t e dt o a s i n g l e h o s t . C o n n e c t i n g u b s , c o n c e n t r a t o r s ,s w i t c h e s , b r i d g e s , h e t c . . . t o t h i s i n t e r f a c e w h e np o r t f a s t i s e n a b l e d , c a n c a u s e temporary ridging 1oops. b Use with CAUTION %Portfast has been configured on F a s t E t h e r n e t 0 / Zb u t w i l l o n l y h a v e e f f e c t w h e n t h e i n t e r f a c e i s i n a n o n - t r u n k i n gm o d e . 5 1 (c o n f i g - i f - r a n g e ) #

我已经配置了 s1,就 不显示下一个输 出了,但我准各在 ⒏ 的端 口 fao/3和 fao/4上 也 启用 PortFast。 再说一遍 ,在使用 PortFast时 要小心—— 你肯定不希望创建出一个 网络环 路 !为 什么会这样呢?因 为如果 出现了这种情况 ,尽 管 网络似乎仍在工作 (看 起来好像如 此 ),但 数据的传送将会特别慢 ,更糟糕的是 ,你得花很长的时间才能找出问题所 在 ,这会使 你很不痛快。所以,要小心啊。 值得高兴的是 ,当有人不小心使用 PortF嚣 t在 某个启用了 PortF灬 t配 置的端 口上导致 环路出现时,可以使用一些护卫(safegLlard)命 令 。下面就介绍这一点 。
BPDU护 卫 (BPDUGuard)

我在前面提到过 BPDUGtlard:如 果在交换机端 口上 打开 PortFast,那 么,打开 BPDU Guard就 是一个好主意。如果启用 了 PortF孙 t的 交换机端 口在那个端 口上接收 到 BPDU, 那么它会将端 口置为错误的禁用状态。这将阻止网络管理员偶然地将另一个交换机或集线 器端 口连接到配置了 PortFast的 交换机端 口上。基本上 ,可 以防止这种情况的出现 ,或 者 至少 防止出现网络崩溃。只能在接入层的交换机上配置此命令 ,用 户是直接连接到接入层 交换机的,在核心交换机上 ,不能配置此命令 。
BPDU过 滤 器 (BPDUFiIter) 使 用 Porfast时 ,另 一 个 有 用 的 命 令 是 BPDUFilter。 由 于 默 认 时 启 用 了 PortFast的

交换机端 口仍将接收 BPDU,就
果 接 收 到 STP拓 扑 了 的 ,但 BPDU,BPDUFilter过 一 部 分 。 BPDUGuard会 PortFast。 了 PortFast时

可以使用 BPDUFilter完
滤 将 将 端 没 有 ,为 理 立 即 使 端 口 关 闭 口 置 为 错 误 配 置 为

全阻止 BPDU出
PortFast,并 ,而 迫 的 禁 用 状 态 端 BPDUFilter将 收

人那个端 口。如
使 端 口 重 新 成 为 口 , 使 端 老 实 说

保 持 打 开

不 运 行 当 启 用

由 让

PortFast的 BPDUGt】

口 接 ard和

BPDU。

我 并 不 知 道

什 么 默 认

时 不 启 用

BPDUFilter。

下面让我们配置 交换 机 S1和

Ⅱ 的接 口 ,它 们 已经 配 置 了 PortFast,现

在 我们 来 配置

第 8章 第 2层 交换和生成树协议(sTP)
BDGad PUur和 BDFle, PUitr很 简 单 :

431

s1(conf1g-1f-range)#spann1ngˉ

tree bpduguard ?

disab1e D1sab冂

e BPDV guard for th1s interface

enab1e Enab1e BPDU guard for this interface
s1(conf1g-if-range)#spann1mg-tree bpduguard enab1e

s1(conf1gˉ

if-range)#spann1ngˉ

tree bpduf11ter ?

d1sab1e Disab1e BPDu f11ter1ng for this 1nterface enab1e
sn 1g (e c) o# ns fρ 1 g f r a

Enab1e BPDu f11ter1ng for th1s 1nterface
au nf 1 g t r e b p d 讠 1 t e r n a b 1 e

s2(conf1gˉ

1f-range)#spann1ngˉ

tree bpduguard e"ab1e

s2(config-1f-range)#spann1ng-tree bpduf"ter enab1e

BPDUGttard和 BPDUFilter完 成的是同一件事情 ,因此大家要理解 ,在典型情况下 ,只 需使用其中一个或另一个命令 。如果两个命令都配置 ,就 有点多余 了。在配置 STP时 ,我 们还会配置一些其他 的 STP802.1d扩 展特性。
Up1inkb“

下面是如 何在接人层交 换机 (s1和
s1#config t
s1(conf1g)#spann1ngˉ tree up11nkfast

⒏ )上 配置 UplinkFast:

s2#Config t
s2(config)#spann1ngˉ s1(conf1g)#do sho" spann1ngˉ tree up1讠 nkfast tree up1inkfast

Up11nkFast 1s enab1ed

stat1on update rate set to 15o packets/sec.

Up11nkFast statistics

N u m b eo f t r a n s i t i o n s v i a u p l i n k F a s t ( a l l V L A N s ) r : 1 N u m b e r f p r o x y m u l t i c a s t a d d r e s s e st r a n s m j t t e d ( a l l V L A N s ): g o Interface Li st
∨ LANO001 s1(conf1g)# FaO/1(fwd), FaO/2

UpljnkFa哎 是全局命令 ,在每个端 口上都可 以启用。
BackboneFast

下面是如何在交换机上配置 BackbolleFast:

432

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

51(confi g)#spanning-tree backbonefast 52( confi g)#spanning-tree backbonefast Core(confi g)#spanning-tree backbonefast 52(confi g)#do show spanning-tree backbonefast is BackboneFast enabled B a c k b o n e F a sstt a t i s t i c s t N u m b e o f t r a n s i t i o n v i a b a c k b o n e F a s( a l l V L A N s ) r (all VLANs) r N u m b e o f i n f e r i o r B P D U se c e i v e d r r N u m b e o f R L Qr e q u e s t P D U s e c e i v e d ( a l l V L A N s ) r r N u m b e o f R L Qr e s p o n s eP D U s e c e i v e d ( a l l V L A N s ) r s N u m b e o f R L Qr e q u e s t P D U s e n t ( a l l V L A N s ) r s N u m b e o f R L Qr e s p o n s eP D U s e n t ( a l l V L A N s ) r 5 2 ( c o n f ig ) #

注意 ,这里与配置 UplinkFa哎 时不 一 样 ,我 在 网络 中 的所 有 交换 机 上都 配 置 了 Back boneFast,而 不只是在接 人层 交换 机 上进行 配 置 。大 家要记 住 ,BackboneFast用 来在远端 UplinkFast不 一 样 ,UphnkFast用 来在本地交换 机上检测链 交换机上检测链路失效 ,这 与 路失效 ,并且 能快速修复链路失效 。 RsTP(802.1w) 一 实际上 ,RSTP的 配置就像配置任何其他 802.1d扩 展特性 样简单 。考虑到它 的特性 比 802.1d好 得多 ,因此 ,你可 能会认 为它 的配置 比较 复杂 。幸运 的是 ,情 况并 不是这样 的。 现在 ,让 我们在核心交换机上打开 ⒛2.1w,看 看会 出现什么情况 :
Core#co"fig t
Core(conf1g)#spann1ngˉ mst pvst Mu1ti p1e spann1ng tree mode Per-V1an spann1ng tree mode tree mode ?

rap1d-pvst Per-V1an rap1d spann1ng tree mode Core(confi g)#sρ anningˉ tree mode rapid-pvst

Core(conf1g)# 1dO2h: %LINEPROTO-5-VPDOWN: L1ne protoco1 on InterfaCe V1an1,
changed state to down

1dO2h: %LINEPROTo-5-UPDOWN: L1ne protoCo1 on Interface V1an1,
changed state to up

很好 ,核心 交换机现在运行 ⒛2.1w STP了
Core(confi g)#do sho" spa"n1ngˉ tree

。我们来验 证 一 下 :

VLANO001
spann1ng tree enab1ed protoco1 rstp

Root ID

Pri or1ty

32769 O00d,29bd.4b80

Address

第 8章 第 2层 交换和生成树协 议 (sTP)
This bridge is the root H e l l o T i m e 2 s e c M a x A q e 20 sec Forward De'lay 15 sec Bridge ID Priority 3 2 7 6 9 ( p r i o r i t y 3 2 7 6 8s y s - i d - e x t L ) Address 000d.29bd.4b80 H e l l o T i m e 2 s e c M a x A g e 20 sec Forward Delay L5 sec Aging Time 300 Role Sts Cost
Desg FWD 19 Desg FWD 19 Desg FWD 19 Desg FWD 19

433

fnte rface
Fa0/5 Fa0/6 FaO/7 FaO/8

Prio.Nbr Type
128.5 128.6 △ 28.7 128.8 P2p Peer(sTP) P2p Peer(sTP) P2p Peer(sTP) P2p Peer(sTP)

看起来好像什么事情也没发生过 ,这很有趣。在其他两台交换机上 ,我们可以看到,所 有端 口都收敛了。一旦所有事情都正常了,就好像什么都没发生过一样 。看起来 802.1d和 802.1w似 乎能够很好地配合在一起 。 但是 ,如果我们仔细观察 ,就会发现在连接到其他运行 802.1d的 交换机(即 s1和 ⒏ ) 口上时,802.1w交 换机将 802.1w BPDU变 端 成了 ⒛2.1d BPDU。 S1和 ⒏ 相信 ,核心交换机实际上正在运行 802.1d,因 为核心交换机 已经向它 交换机
们 回 复 了 802.1w BPDU。 尽 管 交 换 机 S1和 ⒏ 收 到 的 是 802.1w BPDU,但 它 们 并 不 理 解

此只是简单地丢弃它 们 。然而 ,核心 交换机收到 的却是 802.1d BPDU,是 从 S1和 ⒏ 那里 收到 的 ,现 在它知道这些端 口运行 的是 ⒛2.1d。 换句话说 ,只 是在其 交换机 中一 台交换机上打开 802,1w,并 不能让 802.1w在 网络 中起作用 。 另 一 个小 问题是 ,一旦 核心 交换 机 知 道 了需 要 向连接 到 Sl和 ⒏ 的端 口发 送 802.1d BPDU,即 便交换 机 S1和 ⒏ 后来 配置 了 802.1w,核 心交 换机也 不 能 自动地 随之 而 改变 。 在这种情况下 ,需要 重新 引导核心交换机 ,以让 它停止发送 802.1d BPDU。
EtheFChannel
配 置 CNA)来 CLI命 版 本 ,并 在 命 令 和 令 将 S1和 EtllerChannel的 进 行 配 置 。 记 住 S1交 ,有 ,我 最 简 单 将 在 本 章 最 的 方 式 后 加 ,是 以 介 通 绍 过 Cls∞ 网 络 ,我 助 手 (Gsco Network Assistant, 用 CI'I,因 本 为 你 也 需 要 知 道 Cis∞

这些 BPDU,因

。 现 在

准 备 使 本 和 IEEE版 。

两 个 版 本

Ethe£

llannel,Gsco版 间 的 链 路 捆 绑 在 令 是 interface port-channel全 :

。 我 准 备 使 用

换 机 和 核 心 交 换 机 之 ,使 用 的 命





核 心 交 换 机 上 l接

局 命



、channel-group

channel-proto∞

口 命 令

。 下 面 是 这 些 命 令

s1#conf讠 g t s1(conf1g)#1nt port-cha""e1 1 s1(conf1gˉ 1f)#讠 "t range fO/1-2

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

s1(confi g-1f-range)#s"1tchport mode trunk

1dO3h: %sPANTREE~ AsT-7-PORT~ D~ PLINK: VLANO001 FastEthernetO/2
moved tO FOrwarding (Up1i nkFast), s1(confi g-1f-range)#switchport nonegot1ate
r a b 1 e

snu 1gp (e1 c)m o#o ncd fhe ias ge讠 -1 1fg rr ao n

s1(conf1g-1f-range)#d°

sh int faO/1 etherchanne1

POrt state
Can1gop=1 Md =Dsrb es GCag =o hne ru oe e1al -1 Chne

= Up sng1-port-Bnd1 Mstr Not-in-Bnd1

Pr-hne =n1 G =O0000 Ped pr-hne =P1 otcan1 u1 C x0101 suo otcan1 o

POrt 1ndex [output cut]

=O

Load = OxOO

Protoco1 〓

PAgP

Core#conf1g t
Core(conf1g)#1nt port-channe1 1

Core(conf1gˉ

1f)#讠 nt range fO/7-8

Core(confi g-1f-range)#switchport trunk encap dotlq Core(confi gˉ 1f-range)#switchport mode trunk

1dO3h: %sPANTREE~ AsT-7-PORT~ WD~ PL王
moved tO FOrwarding (Up11nkFast). Core(confi g-1f-range)#sw1tchport nonegot1ate Core(confi g-1f-range)#channe1-group 1 mode des1rab1e

NK: VLANO001 FastEthernetO/2

1dO4h: %sPANTREE FAsT-7-PORT FWD UPLINK: VLANO001 FastEthernetO/2
moved tO FOrward1ng (Up11nkFast),

1dO4h: %sPANTREE_FAsT-7-PORT~FWD_UPLINK: VLANO001 FastEthernetO/2
moved tO FOrward1ng (Up11nkFast).

△ dO4h: %LINK-3-UPDOWN: InterfaCe Port-channe1△ 1dO4h: %LINEPROTO-5-VPDOWN: L1ne protoco1 on Interface
Port-Channe11, Changed state to up Core(configˉ POrt-channe11 讠 if-range)#do sh¤ s up, 11ne protoco1 1s up (connected) w int port-channe1 置

, changed state to up

Hardware 1s EtherChanne1, address 1s O01b,2b55,7501 (b1a O01b.2b55,7501) MTU 1500 bytes, BW 200000 Kb1t, DLY 100 usec, re11ab111ty 255/255, txη
Encapsu冂 at讠 on ARPA, 1oopback not set e 1s auto, media tyρ e 1s unknoWn

oad 1/255, rx1oad 1/255

Fu11-dup1ex, 100Mb/s, 1ink tyρ [output cut]

onegotiate接 口命令 ,以 阻止交换机试图 自动检测链路类型,以 我添加了 s诵tchpoⅡ l△ 及 自动设置中继。此外 ,我还静态地配置了中继链路 ,⒊ 和核心交换机之间的两条链路现 在捆在了一起 ,使用的是 PAgP的 Cisco EtherChannel版 本。 下面 ,我们需要对交换机 的配置进行验证 ,在 下 一 章学 习 VLAN之 前 ,还需要看看根桥
的设置 。
验 证 Cisco Catalyst交 换 机 的 配 置

对于任何路由器或交换机 ,我 喜欢做的第 一件事是 ,使用命令 show rumh⒏

∞nⅡ g运

第 8章 第 2层 交换和生成树协议(STP)

435

行一下配置文仵。为什么呢?因 为通过配置文件 可以了解每台设各的大致情况 。然而,显 示配置文件是要耗费时间的,而要显示 出所有的配置 ,恐怕整页纸都不够。通过运行其他的 命令 ,也能得到非常有用 的信息 。 例如 ,要验证在交换机上设置 的 IP地 址 ,可 以使用 曲ow血 erface命 令。下面是其输 出:
S1#sh int ˇ
Va11 u,1n pooo i u 1n s p 1e rtc1 s p

1an l

Hardware 1s EthersVI, address 1s O01b.2b55.7540 (b1a O01b.2b55.7540)
Internet address 1s 192,168,10.17/28

MTU 1500 bytes, BW 1oooo00 Kb1t, DLY 10 usec, re11abi11ty 255/255, tx1oad 1/255, rx1oad 1/255
Encapsu1ation ARPA, loopback not set, re11abi1ity 255/255, tx1oad 1/255,

rx1oad 1/255
[output cut]

说 明 :记住 ,在 交换机上 并 不 需要 IP地 址 ,在 交换机上设置 IP地 址 、 掩码和默认 网关的 唯 一理 由是 出于 管理 的需要 。

show mac address-table 我 可 寻 址 相













面 看













。 可



使





命 面

令 是

显 来





发 换

过 机

滤 S的 1



, 也 输

称 出 :



内 容

内 存

(otn ad∞ cnet dr

sb mmr,A) ak eoyCM表

。 下

自 交

S1#sh mac address-tab1e

Mac Address Tab1e

V'lan
A11 A11

Mac Address
o1oo.Occc.ccCC ffff.ffff,ffff

Type

Ports
CPu CPu

sTATIC sTATIC

[outρ ut cut]
1 1 0002.1762,b235 0009,b79f.cO8o

DYNAMIC DYNAMIC

Po1 Po1

1 1 1 1 1 △ 1 1

000d.29bd.4b87 000d,29bd.4b88 0016.4662,52b4 00△

DYNAMIC DYNAMIC DYNAMIC DYNAMIC

Po1 Po1 FaO/4 Po1 Po1 FaO/8 Po1 FaO/3

6,4677.5eab

001a.2f52.49d8 001a.2fe7.4170 001a.e2ce.ff40 0050.OfO2.642a

DYNAMIC DYNAMIC DYNAMIC DYNAMIC

TOta1 Mac Addre5ses for th1s cr1ter1on: 31

s1#

交换机使用分配给 CPU的

基本 MAC地

址 ,2960交 换机使用的是 ⒛ 。从上面的输 出

436

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

中 可

以 看



, 有

5 个

MC A地

址 动 态 地 分 配 给



Ehrhne端 teCanl



1 。





fo3 a/、

fo8 a/和

fa0/4只 分配了一个 MAC地 址 ,所有的端 口都被分配到了 VLAN1。 下面看看交换机 ⒏ 的 CAM表 中有些什么。记住 ,交换机 Ⅱ 并没有像交换机 Sl一 样 配置 EtllerChnnel,因 此 ,STP将 关闭一条到核心交换机的冗余链路。
s2#sh maC address-table

MaC Address Table

V'lan
A11 All A11 A11

M a cA d d r e s s
0008.205a.85co O100.OcCC.CCCC 0100,0cCC.CCCd 0△ 00.Ocdd.dddd

Type

Ports
CPV CPU CPU CPU

sTATIC sTATIC sTATIC sTATIC

[output cut] 1 1 1 1 △ 1 0002.1762.b235 000d.29bd,4b80 000d,29bd。 0016.4662.52b4 0016.4677.5eab 001b.2b55.7540 4b85

DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC
th1s cr1ter1on: 26

FaO/3 FaO/1 FaO/1 FaO/1 FaO/4 FaO/1

TOta1 Mac Addresses for S2#

址分配 给 了 fao/1。 当然 ,我 们还可 以看 出 , 每 台主机都连接到端 口 3和 端 口 4。 端 口 2在 哪里 呢?由 于端 口 2是 冗余链 路 ,sTP会 将 端 口 fao/2置 为阻塞模式 。下 面马上就会讨论这 一 点 。 分配静态 MAC地 址 在 MAC地 址表 中 ,可以设置静态 MAC地 这样做很 费事 。如果你想做 ,可 以这 样 :
s1#Conf讠 gt
bbbb。 cccc ˇ 1an 1 int faO/5

从上面的输 出中可 以看 出 ,有 4个 MAC地

址 。但 就像设置静 态 MAC端

口安全 一 样 ,

s1(conf1g)J+mac-address-tab1e static aaaa。 s1(confi g)#do show maC address-tab1e

Mac Address Tab1e

Vlan
A11

M a cA d d r e s s
o1oo.Occc.ccCC

Type
sTATIC CPU

Ports

[output cut1 1 0002,1762,b235

DYNAMIC

Po1

第 8章 第 2层 交换和生成树协议(sTPl
1 1 1 △ 1 1 1 1 1 1 0009,b79f.cO8o 000d,29bd.4b87 000d,29bd,4b88 0016,4662.52b4 0016.4677.5eab 001a,2f52,49d8 oo1a.2fe7.417o 001a.e2ce,ff4o 0050.OfO2,642a aaaa.bbbb.cccc DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC sTATIC Po1 Po1 Po1 FaO/4 Po1 Po1 FaO/8 Po1 FaO/3 FaO/5

Tota1 Mac Addresses for th1s cr1terion: 31

s1(conf1g)#

可以看出,静态 ˇ 地址现在被永久分配给了 口 勤 L℃ 接 吖5,同时也只分配到了 Ⅵ丿N1中
show spanniⅡ g-tree



现在大家已经知道命令 show spallnin⒏ tree的 重要性 了。有 了这 个命令 ,就 可以看出 根桥是谁 ,还 可以看 出每个 VLAN所 设置 的优先级。 要理解 Gs∞ 交换机运行的是每 Ⅵ盐N生 成树(Pe「 Ⅵ盐N ksp洫 ng Tree,n沼 D协 议 ,它 的 基本含义是,每个 ⅥAN都 运行它 自己的 ⒏ "协 议实例。如果我们输人命令 sllow叩 anmrlg “ ee,就可以为每个 ⅥAN接 收信息,从 Ⅵ丿 吣(1开 始。因此,我们有了多个 Ⅵ丿N,而 且我们想 吣J2中 发生了些什么,这时,可以 看看 Ⅵ丿 使用命令 山Ⅺ kspamurlg tree耐 al12。 以下是在交换机 Sl上 执行命令 曲ow叩 anⅡng tree之 后 的输 出。由于我们只使用 了 VI'AN1,就 不需要在命令中添加 VLAN号 :
s1#sh spann1ngˉ tree

VLANO001
spanning tree enabled protoco1 1eee

Root ID

Prior1ty

32769 Address Cost
POrt

O00d.29bd。 3012
56 (P。

4b80

rt-channe11)

He11o Time 2 sec Max Age 2o sec FOrward De1ay 15 sec

Bridge ID Pr1or1ty

49153 (pr1ori ty 49152 sys-1d-ext 1) O01b.2b55.75oo

Address

He11o T1me 2 sec Max Age 2o sec FOrward De1ay 15 sec

Aging T1me 15 Up11nkfast enab1ed

Interface
FaO/3 FaO/4 FaO/8 Po1

Role Sts Cost
D e D e D e R ο s s s ο 舢 F w D F w D F w D

Prio.NbrType
128,3 128.4 △ 28.8 Edge Edge P2p
s P r ρ

3100 3019 3019 3012

128,56 P2p

438

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

由于只配置 了 VLAN1,这 个 命 令 就 没 有 更 多 的输 出 了。 如 果 我 们 配 置 了更 多 的 VLAN,就 可 以在 交换机上得到每个 VLAN的 配置信 息 。默认 的优先级是 32768,还 有被 ID扩 展 (sys△d-ext)的 内容 ,它 其 实 就 是 VLAN标 称 为系统 识 符 。桥 ID优 先 级 是 以 递增 的 ,由 于 只有 VLAN1,就 从 1到 32769递 增 。大 家要 理解 的是 ,默 认 时 , Bat,kboneFast将 默认优先级提高到 49152,以 防止该桥变成根桥 。 最上面的输 出显示 了谁是根桥 :
VLANO001 Root ID Prior1ty 32769 O00d.29bd,4b80 3012
56 (POrt-channe11)

VLAN号

Address Cost
Port

He11o Time 2 sec Max Age 20 sec FOrward De1ay 15 sec

口 1是 根 端 口,这 说 明 它 是 选 出 的 到 根 桥 的路 径 ,它 的标 识 符 为 000d。29bd。4b⒛ 。它只 能是核心交换机或 ⒏ ,我们 马上就会看 出它到底是谁 。 命令 中的最后 一 项输 出显示 了端 口正在运 行 STP,而 且有 一 条 到其他设 各 的连接 。因 为这里正在运行 EtherChannel,所 以就没有端 口处 于阻塞状态 。确定 桥是否是根桥 的一 种 口(其 含义是端 口被交替阻塞 )。 在根桥上 ,不可 能有 方法是 :看看它们是否是 Altn BLK端 被阻塞 的接 口,由 于配置 了 Ethe£ hannel,S1~上 的所有端 口都显示为转发 (FWD)状 确定根桥 treeo让 我们看看其他两 台交换 机 ,看 看 哪台交换机是默认 的根桥 。要在脑海里记 住桥 ID MAC地 址及交换机 ⒊ 的优先级 。以下 是 ⒏ 的输 出 :
s2#sh sρ ann1ngˉ tree

EtherChannel端

态。

要确定根桥 ,显 然要使用命令 show spannin⒏

VLANO001
spann1ng tree enab1ed protoco1 1eee

Root ID

Pri or1ty

32769 O00d。 3019 2 (FastEthernetO/1) 29bd,4b80

Address Cost POrt

He11o Time 2 sec Max Age 20 sec Forward De1ay 15 seC

Bridge ID Pr1ori ty

49153 (pr1ority 49152 sys-1d-ext 1) O01a.e2ce.ffOo

Address

He11o T1me 2 sec Max Age 20 sec FOrward De1ay 15 sec

Ag1ng T1me 300 Vρ11nkfast enab1ed

Interface

Ro1e sts Cost

Pri o。

Nbr Type

第 8章 第 2层 交换和生成树协议(STP)

439

FaO/1 FaO/2 FaO/3 FaO/4 s2#

Root FWD 3o19 A1tn BLK 3o19 Desg FWD 31o0 Desg FWD 3o19

128,2 △ 128.4 128.5 28.3

P2p P2p Edge shr Edge P2p

Eu6ili,ffiE r'uo/z trl Etffi*ri!, ErrrLts^fr?,-.ffi+*. ffi.+ft+ N ,6+H+R[H.*F!ffi tr . E9ErBl-E,-Eq++fljif rDMAC ,Hff r&,r*.ffitftri*UTV&lb-rc+ftilt"ffifff,ti ,
Core#sh spann.i ng-tree VLANOOOl S p a n n i n gt r e e e n a b l e d p r o t o c o i r s t o Root ID Priority 32769 Address 000d.29bd.4b80 This bridge is the root H e l l o T i m e 2 s e c M a x A g e 2 0 s e c F o r w a r dD e l a y 15 sec Bridge ID 3 2 7 6 9 ( p r i o r i t y 3 2 7 6 gs y s _ i d _ e x t1 ) Address 000d.2gbd.4b80 H e l l o T i m e 2 s e c M a x A g e 2 0 s e c F o r w a r dD e l a y 1 5 s e c Aging Time 300 Role Sts Cost
Desg FWD 19
Desg FWD 19

priority

Interface
FaO/5
FaO/6

Prio.NbrType
128.5 128,6 128,66 P2p Peer(sTP) P2p Peer(sTP) P2p Peer(sTP)

Po1

Desg FWD 12

现在我们知道 :这个桥就是根桥。 考虑 一 下 ,为 什 么核心 交换机 的默认 优先 级为 32768,而
412因 95? 为 它 正 在 运 行 sP T的 821版 0,w 本 , 默 认 时 ,akoeat BcBnFs是

不 像其他 交换 机 那 样 为
启 用 的 。

下面看看每 台交换机 的桥 MAC地
? sl的 地 址 :O01b。 2b55.75OO ? ⒏ e2c⒍

址:







:O01a。

ffoo

?

















:000d。

29bd。

4bso

如果所有的交换机都设置为默认优先级 ,通过比较 MAC地 址 ,你会认为哪一 台交换机 是根交换机?在 上 面的 MAC地 址 中,从左边开始读 MAC地 址 ,慢 慢往右读 。显然 ,核 心 交换机的 MAC地 址最小 ,通 过查看命令 sllow spanningˉ tr∞ 的输出,我 们可以看 出,核心 交换机确实是根桥 (尽 管所有 的交换机有相同的优先级)。 通过 比较交换机 的 MAC地 址 , 就可以很快找到根桥 ,这一点很实用。 设置根桥 默认时,核心交换机就是根桥 ,这确实很方便 ,因 为我就 是这样来设置根 桥的。下面我

440

CCNA学

习指 南 (中 文 第 六版×640802)

们试图改变根桥 ,请看看下面的配置 :
s1#Conf1g t
s1(conf1g)#span"ingˉ tree ˇ 1an 1 priority ?

<0-61440) bridge pr1or1ty 1n 1ncrements of 4096 s1(confi g)#spanningˉ
s1(conf1g)#d° show sρ

tree ˇ 1an 1 pr讠
ann闸 ngˉ tree

ority 16384

VLANO001
spanning tree enab1ed protoCo1 1eee

Root ID

Pr1ori ty

16385 001b.2b55.7500

Address

Th1s br1dge 1s the root
He11o Time 2 sec Max Age 20 seC FOrWard De1ay 15 sec

Bridge ID Pr1ority

16385 (pr1or1ty 16384 sys-1d-ext 1) O01b,2b55,7500

Address

He11o T1me 2 sec Max Age 20 sec FOrward De1ay 15 sec

Aging Time 300

Interface

Ro1e sts Cost

Pr1o.Nbr Type

FaO/3

Desg 卩

WD 100

128,3

Edge shr

FaO/4
FaO/8

Desg FWD 19
Desg FWD 19 128,8 P2p

128.4
128,56 P2p

Edge P2p

Po1

Desg FWD 12

刻就会 变成 根桥 。可 以将优先级设 置 如果将交换机 S1的 优先级降低为 16384,S1立 为 0~61狃 0的 值 。如果为 0,就 表示那 台交换机将始终是根桥 ,如果 为 61狃 0,就 表示那 台 交换机永远不会成为根桥 。 证考试 ,就 别跳过所有这些验 证及根桥 的配置 。而且我还有最 如果你想通过 CCNA认 一 个命令要介绍 ,就是 将 一 台交换机直接设置为根桥 的命令 ,这个命令很简单 ,如下所示 : 后
s△ (conf1g)#spann1ngˉ pr1mary tree ˇ 1an 1 root ?

Conf1gure th1s switCh as pr1mary root for th1s spann1ng tree

secondary Conf1gure sw1tch as secondary root s1(conf1g)#spann讠 ngˉ tree ˇ 1an 1 root pr讠 mlary

要理解这个命令并不会覆盖低优先级的交换机—— 仅当所有的交换机都设置了相同或 更高的优先级时 ,这个命令才起作用 。我是不是提到过必须为每个 VI'AN进 行这样的配 置,而且还可以将主交换机和辅助交换机设 置为根交换机?是 的 ,可以这样 ,这 比我们在本 章前面所配置过的要容易得多。但最重要的是 ,我们 正在准备 CCNA考 试 ,你 一定希望通 过 CCNA考 试吧?所 以,尽管做起来不太容易 ,但就像我们在前面所做的那样去做吧。

αsco网 络助手
G∞ s 网 络 助 手 (s G∞ NtokA ewr 妯 satCA将 tn,N) 使 交 换 机 的 配 置 变 得 相 当 容 易 , 就

第 8章 第 2层 交换和生成树协议(STP)

441

像 SDM一 样 ,既是好事也是坏事。说它好 ,是 因为它使很难进行的配置变得容易多 了;说 它不好 ,是 因为它让每个人都可以比较容易地做这项工作了。但它还是需要一些技巧 的 ,因 此 ,先把 CNA下 载下来吧,然后尽可能地熟悉它。 一旦我们使用 CAN连 接到交换机 ,就会看到如下所示的屏幕。

图中清晰地显示 了所有相互 连接 的设备 的拓扑结构 。可 以看到 IP电 话 、 核心交换 机和
V'N IA之 itrV'N otrIR, 间 的 路 由 器 (ne-IA rue,V)这 台 路 由 器 的 主 机 名 正 巧 是 21路 81 由

器。大家要知道 ,在上 图中,我们只看到了直接相连的设各 ,这说明我们看不见在核心交换 机另一端的设备。 幕的左边 ,最有用的菜单选项可能就是 Smartports了 。一旦单击 了 smart ports,就 可以看到交换机的细节信息。 在 CAN屏

你所要做的就是高亮显示一个端 口或所有端 口,然后右击并选择那个端 口的设备类型, 或者选择将要连接到的一组端 口。这个特性很好 !然 而 ,Smartports有 趣 的一 面是 ,它 究 竟配置了些什么。例如 ,我使用 Smartports配 置交换机 ⒊ 的端 口 6,这 个端 口是连接到桌

CCNA学

习 指 南 (中 文 第 六 版 × 64∝ 802)

面的 (意 味着接 的是 PC)。 以下是通过它下载到交换机 中的命令 :
丨 ηnterface FastEthernetO/6 sW1tChport mode access sw1tChport port-securi ty

sw1tChport port-secur1ty aging t1me 2
switChport port-secur1ty v1o1at1on restr1ct

sw1tchport port-security ag1ng type inact1vity
mcodsrp1ncsodstp ar ec1to 1c-eko sannˉ pn1g sannˉ pn1g l te prfs re otat te bdgadea1 re puur nbe

大家可以检查一下 。我并不需要理解本章讨论过的任何特性 ,就可以配置交换机 。我 “ ” 只需要选择连接到接 口的设各类型 ,交换机就可 以 自动地根据端 口类型选择它 认为 是合 适的配置命令 ,这简直太奇妙了! 在我们继续讨论 CAN之 前 ,先来看看在接 口下设置的配置。我们 已经在本章讨论过 spanning tree portfast和 bpduguard,但 命令 macr。 和 port secuⅡty鸭 ing 了 port-seCuⅡty、 用来设置什么呢?macro是 存储在新型 Cis∞ 交换机 中的默认程序 ,当设置 了 Smartport 时 ,就会运行这些程序 。命令 port secu⒒ty a匪ng用 来设置端 口的老化率。对于 a匪ng命 ty。 absolute选 项将在给定 的时间之后 ,在 端 口 令 ,可以使用两个选项 :absoltlte和 inacti访 ty选 项意味着 ,当 上删除安全的地址 ,给定的时间为 0到 1440分 钟中的任何时间 。inacti访 端 口在给定的时间内为不活动状态时 ,端 口上的地址将被删除,给定的时间也设置为 0到
14⑾ cuⅡ 被 删 trap(陷 分 钟 ty a要 除 。 因 此 ng圩 。 不 阱 )被 仅 ,当 命 令 s诫 饣 令 一 tcllpoⅡ 起 使 用 port∞ 时 ,与 端 ctl⒒ ty a昏 ng time2与 的 所 有 MAC地 ct还 命 令 s诵 t山 pod port s⒏ 2分 ,将 钟 之 后 有 一 个 pe inacti访 如 发 送 此 到 ,命 口 相 关 联 址 都 将 在 意 味 着

switchport port secu⒒ 务 器 或 网 络 管 理 。

ty violation rest⒒ 站 (Network Management⒊

SNMP服 ,但

auon,NMs)。

虽 然 这 有 点 令 人 诧 异

我 还 是 认

为 它 很 酷

使用下面的命令 ,可以在接 口上查看端 口安全 :
s1#sh port-security 1nterface fO/6

Port Security Port Status V'iolation Mode Ag'ing Time Agi ng Type S e c u r e S t a t i c A d d r e s sA g i n g Addresses l'4AC Maximum Addresses Total tt{AC Addresses Confi gured [4AC A sticky MAC ddresses : L a s t S o u r c eA d d r e s s V l a n Security Violation Count

Enabl ed re-down Secu Restri ct 2 mins Inacti vi ty Di sabl ed
I

0 0 0 0000.0000.0000:0 0

第 8章 第 2层 交换和生成树协议(STP)

443

等一等 ,这里的 mⅡ ro命 令的作用是什么?不 用担`心 ,macro只 是一个让你创建及运行 宏的交换机命令 ,Gs∞ 的新型交换机有 6个 这样的预配置。 奇怪的是 ,不 能在运行时的配 置义件 中看到它们 ,而 只能用命令 show par∞ r来 查看它 们。以下是运行 在端 口 fO/6上 的宏 :
s1#sh parser macro Tota1 number of macros = 6

Macro name : c1sco-desktop Macro type : defau1t 1nterface # macro keywords $access~v1an

# Bas1c 1nterfaCe - Enab1e data VLAN On1y
# Recommended va1ue for access v1an shou1d not be 1 sw1tchport access v1an $access v1an sW1tChport mode access

# Enab1e port secur1ty 11miting port to a s1ng1e # MAC address -ˉ
sw1tchport port-security sW1tChport port-secur1ty max1mum 1

that of desktop

# Ensure port-secur1ty age 1s greater than one m1nute # and use inact1ˇ 1ty timer

sW1tchport port-security v1o1ation restrict

sw1tchport port-secur1ty ag1ng t1me 2 sw1tchport ρ ort-seCur1ty ag1ng type 1nactiv1ty

# Conf丬

gure port as an edge network port

spann1ng-tree p° spann1ngˉ [output cut]

rtfast tree bpduguard enab1e

这 ports下



就 ,每





。 现 备 都

在 有

,我 一 个

们 宏



少 ,如





所 令























交 显

换 示

机 的

上 :



,在

Smart-

台 设

同 命

sllow mⅡ

er macr。

brief所

s1#sh parser "acro br1ef

defau1t g1oba1

: c1sco~g1oba1

default 1nterface: cisco~desktop defau1t 1nterface: c15co~phone defau1t interface: c1sco~sⅡ defau1t 1nterfaCe: cisco-router defau1t 1nterface: cisco-wi re1ess itch





, 回



CA在 N,

Prs ot下

, 可

以 找



Pr⒌ ot

tig窗 tns





444

CCNA学

习 指 南 (中 文 第 六 版 × 64Cl802)

在这里 ,可以找到所有端 口的基本配置信息 ,可 以查看并修改它们 。在 Ports下 ,还可
以 找 到 Ehrhnes teCanl。

要将某些端 口捆绑在一起 ,使用这个窗 口要 比使用 CI'I更 容易些 。有了它 ,就可以在 一 交换机之间捆绑 8个 端 口。在单击 ⒌herChannels之 后 ,选择 组想要捆绑的端 口,并选择 想要使用的协议 ,这样就行了。

第 8章 第 2层 交换和生成树协议(STP)
鲜 ?珥 '蹿 Ⅱ ∵ 嗨 啷

445

∷ 枷,如 戚∷

谲攥:9`Ⅱ 鑫 ∮∷ 鳓 甯 该∷ 忄 衤:瑙∷ 砬∷∷ 鼙 冁 鼬 翳 〕

^∷ Ii∶ ∶ ∮ ∷ 舡 嬲 豇△


下面 这 一 点也 很 酷 :只 需 单击 De访 ce Properties,就 性 :IP地 址 、 名 、 主机 用户名及 口令 ,等 等 。

∶ 碎丨 鞠 甄∷ 御、

可 以 在 这 里 设 置交 换 机 的许 多 特



Tplg Ve屏 oooy iw



, 可





























, 但

D说 e

c Mngr e aae更

有趣 。

446

CCNA学

习 指 南 (中 文 第 六 版 × 640802)

览器 。现在 ,就 可 以开始从 HT打开默认 的 HTTP浏 TP浏 览器配置并验 证 交换 机 了。然 而 ,它 比 CNA的 响应 速 度慢 一 些 ,因 此 ,我 自己并 不 用它 。

一 旦选择 了 De访 ce Manager,将

关于 CNA,还 有其他更多的信息 ,我推荐大家花时间下载它 ,并尽可能地熟悉它。 尽管这一章的内容很多 ,但我得承认 ,你并没有学到太多 的东西,当然 ,学习的过程是很 有趣的!现 在 ,你已经配置并验证了各种交换机 ,设置了端 口安全 ,浏览了 STP扩 展并设置 了根桥 ,这说明大家现在 可以学习 VI'AN了 。我准各保存所有的交换机配置 ,然后从这里 开始讨论第 9章 。

第 8章 第 2层 交换和生成树协议(sTP)

447

小结 本章讨论了交换机和 网桥的不 同之处 ,它们都工作在第 2层 ,并 创建 MAC地 址转发/ 过滤表 ,以便对数据帧做出转发或扩散决定 。 本章还讨论了如果在网桥 (交换机 )之间有多条链路时会出现的 问题 ,以及怎样通过使 用生成树协议(STP)来 解决这些 问题 。 本章还详细讨论了 Cisco catal阝 换机的配置 ,包括验证配 t交 置、 设置 G℃ o STP扩 展 , 以及通过设置桥优先级来改变根桥。 最后,本章讨论了 Gsco网 络助手(m⑷ ,在配置交换机时,它可以极 大地帮助你进行配置。

考试要点
记住交换机的 3种 功能。地 址学 习 、 转发/过 滤决定 和避 免环路是 交换机 的 3种 功能 。 记 住命令 sh钾 mac addres⒊ tabk。 命令 show mac addr∞ ⒌ table将 显示 LAN交 换机上 使用 的转发/过 滤表 。 理 解生成树 协议在 交换 式 LAN中 的主要用 途。 STP的 的网络 中防止 出现交 换环路 。

主要用途是在有冗余交换路径

记住 sTP的 状态。阻塞状态的意图是 防止使用有环路的路径。 处于侦听状态 的端 口 在没有形成 MAC地 址表时就准 备转发数 据帧。处 于学习 状态 的端 口形成 了 MAC地 址 表 ,但不能转发数据帧。处于转发状态 的端 口在桥接的端 口上发 送并 接收所有数据帧。最 后 ,处 于禁用状态的端 口实质上是不工作的。
记 住 命 令 so sann-re hw pnigte。 必 须 熟 悉 命 令 so hw

sann te, pnig re以



根桥 。

怎 样

确 定





书面实验 8
写出下列问题 的答案 : 1.哪 一条命令用来显示

转发/过滤表? 2.如 果某个 目的 MAC地 址不在转发/过 滤表中,交 换机将如何处理帧? 3.工 作在第 2层 的交换机有哪 3种 功能? 4.如 果在交换机端 口上收到一个帧,但其源 MAC地 址不在转发/过 滤表 中,交换机将 如何处理? 5.在 第 2层 采用什么方式来防止交换环路?
682 .0。 l又 w 称 为 什 么 ?

7.什 么时 候 STP被 认 为是 收敛 的? 8.交 换机能 够分隔____域 。 9,在 有冗余交 换路径 的网络 中 ,采用什 么方 式来 防止 出现交 换环路 ?
10.哪 一 种 Cisco8o2.1d扩 展 能 够 阻 止 BPDU从 一 个 端 口 发 送 出 去 ?

CCNA学

习 指 南 (中 文 第 六 版 × 640802)

(书 面实验 8的 答案可在本章复 习题答案 的后 面找到 。 )

复习题
说明:下列问题用于测试你对本章 内容的掌握 情 况。要 了解更 多关于如何获得 附加题 的详细信息,请参阅本书的简介部分。
l。 Which of the folloⅥ `ing is a layer2protocol used to maintain a loopˉ free net、 vork?

A。 VTP B.STP C.RIP D。 CDP
2.What command will display the forward/filter table? A。 show rnac filter

B 。

swu hr on

C。 show mac address-table D。 3.What怎 A。 show mac Ⅱ the resdt of珥 It increases the number of coⅡ lte「 table mting a nemork诵 ision domains。 th a bHdge(s诫 tch)?(⒍ ∞ se钿 o∞ 屺 rls。 )



B。 It decreases the number of colhsion domains。 C。 It increases the number of broadcast domains. D。 It decreases the number of broadcast domains。

E。 It makes srnaller co11ision domains。 F. It makes larger co11ision domains。 4. Which statement describes a spanningˉ A。 All s、 vitch and bridge ports are in the forwarding state。 砬 tch and bridge ports are assigned as either root or designated ports。 tree network that has converged?

B。 丿-、 sⅥ dl

C。 All switch and bridge ports are in either the forwarding or blocking state。 D. All switch and bridge ports are either blocking or looping。 5. What is the purpose of Spanning Tree Protocol in a switched LAN? A。 To provide a1△ echanisrn for network monitoring in sv注 vith redundant paths vitched paths multiple swi仉 hes tched environments

B. To prevent routing loops in networks、 C。 To prevent switching loops in networks with redundant s、 D。 To manage the VLAN database acro∞

E。 To create colhsion domains 6. What are the three distinct functions of layer 2 switching that increase avaⅡ bandwidth on the network? (Choose three。
丿 `。 Address learning

able )

B。 Routing
C。 Forwarding and fⅡ tering

第 8章 第 2层 交换和生成树协议(sTP)
D. Creating network loops E. Loop avoidance F. IP addressing

449

7' Your switch has a port status LED that is alternating between green and amber. What could this indicate? A. The port is experiencing rrors. e B. The port is shut down. C. The port is in STP blocking mode. D. Nothing; this is normal. B. Which of the following statements is true! A. A switch creates a single collision domain and a single broadcast domain. A router createsa single collision domarn. B. A switch createsseparatecollision domains but one broadcast domain. A router providesa separate broadcast domain. C. A switch creates a single collision domain and separate broadcast domains. A router provides a separatebroadcast domain as well. D. A switch creates separatecollision domains and separatebroadcast domains. A router provides separatecollision domains. 9. You need to configure a Catalyst switch so it can be managed remoteiy. Which of the following would you use to accomplish this task? A. Switch(configs)#intfa0l1 s w i t c h ( c o n f i g s - i f ) # i pa d d r e s s1 9 2 . 1 6 . r o . z 5 z 2 5 5 . 2 5 5 . 2 5 5 . 0 8 S w it c h ( c o n f i g s - i f ) # n o s h u t B. Switch(configs)#intvlan 1 S w i t c h ( c o n f i g s - i f ) # i pa d d r e s s1 9 2 . 1 6 . I 0 . 2 5 2 2 5 5 . 2 5 5 . 2 5 5 . 0 8 s w it c h ( c o n f i 9 s - i f ) # i p d e f a u l t - g a t e w a y r - 9 2 r - 6 8 L o. z s 4 2 55 . 2 5 5. z 55 . 0 . . C . S w i t c h ( c o n f i g s ) # i pd e f a u l t - g a t e w a yi . 9 2 . 1 6 8 . 1 0 . 2 5 4 Switch(configs)#intvlan 1 s w i t c h ( c o n f i g s - i f ) # i pa d d r e s sr " 9 2 . 1 6 8 .0 . 2 5 22 5 5 . 2 5 5 . 2 5 5 . 0 1 S w it c h ( c o n f i g s - i f ) # n o s h u t D . S w i t c h ( c o n f i g s ) # i pd e f a u l t - n e t w o r k j . 9 2 . 1 6 8 . 1 0 . 2 5 4 Switch(configs)#intvlan 1 s w i t c h ( c o n f i g s - i f ) # i pa d d r e s s1 9 2 . " 6.8 0 . 2 5 22 5 5 . 2 5 5 . 2 5 5 . 0 J L S w it c h ( c o n f i g s - i f ) # n o s h u t 10' What does a switch do when a frame is received on an interface and the destination hardware address is unknown or not in the filter table? A. Forwards the switch to the first available link B. Drops the frame c. Floods the network with the frame looking for the device D. Sends back a message to the originating station asking for a name resolution

450

CCNA学

习 指 南 (中 文 第 六 版 × 64⒍ 802)

11. If a switch receives a frame and the source MAC address is not in the MAC address table but the destination addressis, what will the switch do with the frame? A. Discard it and send an error messageback to the originating host B. Flood the network with the frame C. Add the source address and port to the MAC address table and forward the {rame out the destination port D. Add the destination to the MAC address table and then forward the frame 12. You want to run the new 802. lw on your switches. Which of the following would enabie this protocolf A . S w i t c h ( c o n f i g ) # s p a n n i n g - t r em o d er a p i d - p v s t e B . S w i t c h # s p a n n i n g - t r e em o d er a p i d - p v s t e C . S w i t c h ( c o n f i g ) # s p a n n i n g - t r em o d e8 0 2 . l w D . S w t c h # s p a n n n g - t r e e m o d e8 0 2 . l w .i i 13. In which circumstance are multiple copies of the same unicast frame likely to be transmitted in a switched I-AN? A. During high-traffic periods B. After broken links are reestablished C. When upper-layer protocols require high reliability D. In an improperly implemented redundant topology 14. Which command was used to produce the {ollowing output: Vlan
1 △ 1 1 1 1
A so va . hw 1n

M a cA d d r e s s
0005.dCCb,d74b 000a.f467.9e80 000a.f467.9e8b 000a.f467,9e8c 0010.7b7f.c2bO 0030.80dC.460b DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC

Type
FaO/1 FaO/3 FaO/4 FaO/3 FaO/3 FaO/3

Ports

B. show ip route

C so mcadestbe . hw a drs-a1

D. show mac address-fi冂 15. If you 、 vould you use? 、

ter 1rnand

vant to disable sTP on a port connected to a server, which coΠ

A dsbesannˉ . ia1 pn1g

te re

B sann-reof . pn1gte f

C pn1gte scrt . ann-re eu1y

D sannˉ . pn1g

te prfs re otat

16. Refer to the Graphic. Why does the switch have two M/`C addresses assigned to the Fast Ethernet0/1port in the switch address table?

第 8章 第 2层 交换和生成树协议(STP)

451

{ ˉ } ⒈ 闩 蹰 魏 〓 蝴 涵

擗 s茗 泓 θ ◇ 盛 $ts MAG燕 ddre$s G◇ tls蜘 cll d7礴 ε b
oθ a扌 瘪 θ 磷 氵9e80

、p皓
D¥ 飚 AM奋G o¥瑙 AM9G Ll¥ 埯 AV丨G D¥ 弼 |… A^谓 F蔽 o/1 F器 o/1 Fa◇ /晦 dθ /3

0llOa节 6氵9θ 碡 8b ◇ a罾 毯 拥 碡 79抄 δ c

A. Data fron1HostC and HostI)have been received by the switch port FastEther—

net0/1,
B Dt fo too tedvcscnetdt tesic hv be fraddot . aa rm w f h eie once o h wth ae en owre u

to HostD,

C。 D,Ho哎

HostC and HostD had their NIC replaced.

C and HostD are on different VI'ANs.

I冫 ayer2switching provides which of the following? (c)hOose four,)

A.HardwaⅡ B。 Ⅵ1【 speed e
C , I ' o w l a t e n c y

-based bridging(ASIC)

D . I ' o Ⅵ

/ c O s t

E. Routing
F , W A N s e r 访 c e s

°

°

'c∵ γ type show mac address-table and receive the following Output:

sw1tch#sh mac address-tab1e

Vlan
1 1 △ 1 1 1

MacAddress
0005.dccb,d74b 000a,f467,9e80 000a.f467,9e8b 000a.f467.9e8C 00△ DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC

Type

Ports
FaO/1 FaO/3 FaO/4 Fa0/3 FaO/3 FaO/3

0.7b7f.c2bO

0030,80dc,460b

DYNAMIC

Suppose the above switch received a frame with the following MACI addresses, . S o u r c e M A C : 0 0 0 5 .d c c b .d 7 4 b . Destination MAC, 000a. f467. geSc What will it do? A. It will discard the frame. ts. It will forward the frame our port tra0/3 only. C. It will forward it out Fa0/1 only.

452

CCNA学

习指 南 (中 文 第 六版×640802)

D. It will send it out all porrs except Fa0/1. 19. You need to allow one host to be permitted to attach dynamically to each switch interface. Which two commands must you con{igure on your catalyst switch to meet this policyf (Choose two. ) A. Switchr config-if) fi ip access-group10 B. Switchr config if) # switchport port security maximum 1 C. Switch(config) # accesslist l0 permit ip host I D. Switch(config-if) fi switchport port-security violation shutdown E. Switch(config) f mac address-tablesecure 20. You have two switches connected together with two crossover cables for redun dancy, and STP is disabied. Which of the following will happen between the switches? A. The routing tables on the switches will not update. B. The MAC forward/filter table will not update on the switch. C. llroadcast storms wiil occur on the switched network. D. The switches will automaticaily load-balancebetween the two links.

复习题答案
1.B。 STP用 来在带冗余路径的交换式网络中防止出现交换环路。
2.C。 命 令 曲 ow mac耐 dr∞ ⒌ table用 来 显 示 交 换 机 上 的 转 发 /过 滤 表 。

3.A、 E。 网桥分隔冲突域 ,从而 增加 了网络 中冲突域 的数量 ,这也 使得 冲突域更小 。 4.C。 当网桥或交换机上 的所有端 口都转 变 到转发或 阻塞状 态 时 ,就 产生 了收敛 。在 收敛完成之前 ,交换机不能转发任何 数据 。在重新转发数据之前 ,所 有 的设 各都必 须更新 。 5,E。 生成树协议 (STP)被 设计用于阻止第 2层 网络环路 。默认 时 ,在所有 的 Gsco交 换机 L都 会 打开 STP。 6.A、 C、E。 第 2层 特性包括地址学 习 、 网络 中的转发/过 滤决定和避免环路 。 7.A。 当连接到交换机端 口时 ,链 路灯 首先是橙 色/琥 珀 色 的 ,然后 变成绿 的 ,表 示 操 作 正 常 了。如果链路灯在 闪烁 ,就 说 明有 问题 。 8.B。 交换机分 隔冲突域 ,路 由器分隔广播域 。 9.C。 要远程管理交换机 ,必须 在管理 VLAN下
是 VA1 LN。 然 后 , 在 全 局 配 置 模 式 下 , 可

设置 IP地 址 ,默 认 时 ,管理 VIAN就
以 用 命 令 i dfutgtwy p eal aea设 置 默 认

网关 。 10.Cc交 换机对所有不知道其 目的地址 的帧进行扩散 。如果 某 台设备应答 了此帧 ,交 换机就更新其 MAC地 址表 ,以反映 出该 设备 的位置 。 H.C。 由于源 MAC地 址 不在 MAC地 址表 中 ,交 换 机将在 MAC地 MAC地 12.A。 址及所连接 的端 口,然后将 帧转发到外 出的端 口。 称 为快速生成树协议 (RSTP)。 在 ⒍∝o交 换机上 ,默认 时并不启用 802.1w又 址表 中添加此源

第 8章 第 2层 交换和生成树协议(STP)
它 ,但 它 比 STP好 一 些 ,因 为它修正 了 802.1d提 供 的 Cisco扩 展 。 13.D。 如果在交换机上没 有运行 sTP,而 且在 这些 相互 连接 的交换 机之 间存 链路 ,就将产生广播风暴 和多帧 复制 。
1.。 4C 命 令 so mcadestbe hw a drs al将 显 示 转 发 / 过 滤 表 , 在 交 换 机 上 , 也

4

匚 0 υ 0

在冗 余





CAM表 15.D。



如果有 一 台服务器或 其他设 各连接 到交换机 ,而 且确信在禁用 STP之 后不会 产生交换环路 ,就可 以在这些 端 口上使用 portfast命 令 。使 用 portfast命 令后 ,意 味着 当 STP收 敛时 ,端 口不会花 费通常的 50秒 。 16.A。 交换机可 以有多个 MAC地 址与 一 个端 口相联 系 。在 图中 ,集线器连接 到端 口 faO/1,在 这个端 口上 ,连 接 了两 台主机 。 17.A、 B、 D。 交换机是 基 于硬件 的 ,这 跟 网桥不 一 样 。Gsco认 为交换 C、 机是线速 的 且延迟 低 ,我认 为跟 ⒛ 世纪 90年 代 的价格 比较起 来 ,它们 的价格低 了。 18,B。 由于 目的 MAC地 址在 MAC地 址表 (转 发/过 滤表)中 ,它将 只把它发送 到端 口 fa0/3。
1.、 9B D 。 s 诚 tlpⅡ clo pr-eut是 otscoy 一 条 重 要 的 命 令 , 在 CA N中 , 它 非 常 简 单 。 然

而 ,在 CLI中 ,可 以设置 允许进人 端 口的最大 MAC地

址数 ,然 后 ,再 设置如果最 大

数被超过 了 ,所 采取 的惩罚措施 。 ⒛,C。 如果在交换机上 禁用 了 STP,而 且存在 到其他交换机 的冗 余链 路 ,就 将 产生广 播风暴和其他 问题 。

书面实验 8答 案
1r .e ss hˉ o w l n a c d t a b l e

2.将 帧扩散到除了接收端 口之外的所有端 口上 3.地 址学习、 过滤/转发决定及避免环路 4.它 将在转发/过滤表中添加源 MAC地 址 ,并将它与收到此帧的端 口联系起 5.生 成树协议(STP) 6.快 速生成树协议(RsTP) 7.当 所有的端 口都处于阻塞或转发状态时 8.冲 突 9.生 成树协议 (STP)
1.otat 0PrFs





热文推荐
猜你喜欢
友情链接: 幼儿教育 小学教案 初中教案 高中教案 职业教育 成人教育