H3CSE笔记-构建H3C高性能园区网络 - 图文

*层级化网络模型：

接入层：1、为用户提供网络的访问接口；2、丰富大量的接口；3、接入安全控制；4、接入速率控制、基于策略的分类、数

据包标记等；5、较少考虑冗余性。

汇聚层：1、将接入层数据汇集起来，依据策略对数据、信息等实施控制；2、必要的冗余设计；3、复杂的策略配置。

核心层：1、对来自汇聚层的数据进行尽可能快速的交换；2、强大的数据交换能力；3、稳定、可靠的高冗余设计；4、不配

置复杂策略。

*层级化网络模型的优点：1、网络结构清晰；2、便于规划和维护；3、增强网络稳定性；4、增强网络可扩展性。 *模块化网络架构的益处：

1、确定网络，边界清晰，流量类型清楚；2、便于规划，增加伸缩性；3、模块方便增删，降低复杂性；4、设计的完整性。 *小型局域网：1、网络主机数量少，但都在同一广播域内；2、甚至还存在多个主机在同一冲突域内。 *中型局域网：虚拟局域网的应用（隔离广播域）、三层交换的应用（解决路由转发的性能瓶颈）。 *大型局域网：多个中型或小型网的组合，具有三层结构。

核心层的结构：1、双机主备互连；2、多机环网互连；3、多机Full-Mesh。 汇聚层的结构：1、双上行；2、路由备份。

接入层的结构：1、单上行；2、双上行；3、交叉互连。

*典型三级网络结构：1、核心汇聚路由备份；2、双核心；3、汇聚、接入双上行。 *网络的单点故障：星形拓扑和树形拓扑的单点故障可能带来全网性故障。

网状网络：1、多冗余链路避免单点故障带来的高风险；2、STP阻塞冗余链路避免环路的形成。

以太环网：1、多核心环形链接提供核心链路的备份；2、接入双上行避免单点故障带来的风险；3、RRPP实现高效倒换。 双归属网络：1、双核心双上行提供冗余备份；2、SmartLink阻断冗余链路，实现链路的毫秒级切换。 三层路由网络：1、路由协议实现最短路径转发，冗余链路提供备份选择；2、ECMP提供负载分担。 网关冗余备份：1、边缘网关运行VRRP提供网关的主备备份；2、多备份组+MSTP提供负载分担。 IRF设备级备份：1、IRF堆叠实现设备级的N+1冗余备份；2、分布式链路聚合实现链路负载分担。

*网络管理和维护：1、统一网管：拓扑发现、设备管理、Trap告警；2、日志集中管理；3、集群、堆叠应用简化管理；4、流量 镜像，针对性监控，问题定位；5、NTP服务统一时间，日志、Trap有序管理。 *MAC地址表：[MACAddress]---[VLANID]---[Port]

*VLAN跨交换机转发的处理流程：（主机发出的帧不带vlan标记，进入交换机被打上端口vlan标记，出去时被去掉）

*802.1Q帧格式：（Tag一共4字节；TPID：以太网类型(0x8100)代表802.1Q协议；Priority：优先级，主要做QOS用；

CFI：老式TokenRing标识位。）

*当数据帧经过Access端口PVID值与Trunk链路端口PVID值不同时，在trunk链路上带上原来PVID值Tag标签，当相同时可以 不带Tag标签。（PVID：PortVlanID。PVID可以给帧打标记、去标记，它解读VID。）

*Hybrid链路：（untag：局域网中无标记的。）

1、允许多个VLAN通过，可以接收和发送多个VLAN的数据帧：

2、Hybrid端口和Trunk端口的不同之处在于：1.Hybrid端口允许多个VLAN的以太网帧不带标签；2.Trunk端口只允许缺省VLAN

-1-

的以太网帧不带标签。

*VLAN的划分方式：1、基于端口的VLAN（静态VLAN）；2、基于MAC地址的VLAN（动）；3、基于协议的VLAN（动）；4、基于IP 子网的VLAN（动）。 ·VLAN的匹配顺序：

*VLAN动态注册的背景：

*GARP（GenericAttributeRegistrationProtocal）通用属性注册协议。GARP提供了一种通用机制供桥接局域网设备相互之间

（如终端站和交换机等）注册或注销属性值，如VLAN标识符。这样，属性信息在整个桥接局域网设备中传播开来，并且这些设备 形成活动拓朴结构的一个子集－“可达性”树。GARP定义了结构、操作规则、状态机制以及变量来声明注册或注销属性值。

交换机或终端站中的GARP参与者主要由连接端口或交换机的GARP应用程序和GARP信息声明（GID）两部分构成。具有相 同网桥应用程序的GARP参与者之间的信息传播是由GARP信息传播部分（GIP）完成的。参与者之间通过LLC服务类型1实现 协议交换过程，其中采用的是MAC地址组和GARP应用程序定义的PDU格式。

GARP是针对IEEE802.1D（生成数协议）规范的IEEE802.1P扩展的一部分。

GARP协议主要包括：1、GARP信息声明（GID）：GARP生成数据部分。2、GARP信息传播（GIP）：GARP数据分配部分。3、 GARP组播注册协议（GMRP）：为参与者动态注册和注销连接相同局域网的MAC桥信息。

·

-2-

*802.1QNativeVlan：为了提高转发速度，802.1Q使交换机对Vlan1的帧默认不打Tag。

*对从企业A或B出来的帧打上双层Tag，一个是企业内部的Tag，一个是划出的TunnelPortVlan的Tag（用于云中的区别）。

*GARP消息：为了高效控制属性的声明和注册，GARP提供了五种类型的消息：Empty、JoinIn、JoinEmpty、Leave、LeaveAll。 GVRP端口注册模式：

1、Normal模式：1.允许该端口动态注册或注销VLAN；2.传播动态VLAN以及静态VLAN信息。

2、Fixed模式：1.禁止该端口动态注册或注销VLAN；2.只传播静态VLAN，不传播动态VLAN信息。 3、Forbidden模式：1.禁止该端口动态注册或注销VLAN；2.不传播除VLAN1以外的任何VLAN信息。

*GARP定时器：1、Hold定时器；2、Join定时器；3、Leave定时器；4、LeaveAll定时器。

*Trunk端口配置命令：

·配置端口的链路类型为Trunk类型：[Switch-Ethernet1/0/1]portlink-typetrunk ·允许指定的VLAN通过当前Trunk端口：[Switch-Ethernet1/0/1]porttrunkpermitvlan{vlan-id-list|all} ·设置Trunk端口的缺省VLAN：[Switch-Ethernet1/0/1]porttrunkpvidvlanvlan-id *Hybrid端口配置命令：

·配置端口的链路类型为Hybrid类型：[Switch-Ethernet1/0/1]portlink-typehybrid ·允许指定的VLAN通过当前Hybrid端口：[Switch-Ethernet1/0/1]porthybridvlanvlan-id-list{tagged|untagged} ·设置Hybrid端口的缺省VLAN：[Switch-Ethernet1/0/1]porthybridpvidvlanvlan-id *基于MAC地址的VLAN配置命令：

·配置MAC地址所对应的VLAN及优先级：

[Switch]mac-vlanmac-addressmac-address[maskmac-mask]vlanvlan-id[prioritypri]

·开启端口的MACVLAN功能：[Switch-Ethernet1/0/1]mac-vlanenable ·设置端口VLAN的匹配优先级：[Switch-Ethernet1/0/1]vlanprecedence{mac-vlan|ip-subnet-vlan} 基于MAC地址的VLAN配置示例：

-3-

*基于协议的VLAN配置命令：

·配置基于协议的VLAN，并指定协议模板：

[Switch-vlan10]protocol-vlan[protocol-index]{at|ipv4|ipv6|ipx{ethernetii|llc|raw|snap}|mode{ethernetiietype

etype-id|llc{dsapdsap-id[ssapssap-id]|ssapssap-id}|snapetypeetype-id}}

·配置Hybrid端口与基于协议的VLAN关联：

[Switch-Ethernet1/0/1]porthybridprotocol-vlanvlanvlan-id{protocol-index[toprotocol-end]|all} 基于协议的VLAN配置示例：

*基于IP子网的VLAN配置命令：

·配置当前VLAN与指定的IP子网关联：[Switch-vlan10]ip-subnet-vlan[ip-subnet-index]ipip-address[mask] ·配置当前端口与基于IP子网的VLAN关联：[Switch-Ethernet1/0/1]porthybridip-subnet-vlanvlanvlan-id 基于IP子网的VLAN配置示例：

*配置GVRP：

·开启全局GVRP功能：[Switch]gvrp ·开启端口的GVRP功能：[Switch-Ethernet1/0/1]gvrp ·配置GVRP注册模式：[Switch-Ethernet1/0/1]gvrpregistration{fixed|forbidden|normal} 配置GARP定时器：

·设置GARP的LeaveAll定时器的值：[Switch]garptimerleavealltimer-value ·配置Hold定时器、Join定时器和Leave定时器：[Switch-Ethernet1/0/1]garptimer{hold|join|leave}timer-value GVRP配置示例一：

-4-

GVRP配置示例二：

GVRP配置示例三：

*（1）Isolate-user-vlan技术产生背景：（Isolate：隔离）

（2）Isolate-user-vlan技术基本原理：

1、·Hybrid端口技术的应用所有端口都为Hybrid上行端口允许所有VLAN通过；·下行端口允许Isolate-user-vlan和自己的 SecondaryVLAN； 2、·MAC地址同步技术：各SecondaryVLAN学习的MAC地址同步到Isolate-user-vlan；·Isolate-user-vlan学习的MAC地 址同步到各SecondaryVLAN。

Isolate-user-vlan：上行设备感知的用户VLAN，它并不是用户的真正VLAN。SecondaryVLAN：用户真正属于的VLAN。

-5-

（3）Isolate-user-vlan技术功能：Isolate-user-vlan技术基本原理：

*在园区网中，基于用户安全和管理计费等方面的考虑，运营商一般要求接入用户互相二层隔离。VLAN是天然的隔离手段，于是 很自然的想法是每个用户一个VLAN。

根据IEEE802.1Q协议规定，设备最大可使用VLAN资源为4094个。对于核心层设备来说，如果每个用户一个VLAN，4094个 VLAN远远不够。为解决VLAN资源紧缺的问题，Isolate-user-vlan应运而生。

支持Isolate-user-vlan功能后，可以将图1中的用户所在的VLAN（VLAN10～15）配置为SecondaryVLAN，将VLAN2和VLAN 3配置为Isolate-user-vlan（如图2）。这样，DeviceA上只需配置VLAN2和VLAN3，节省了四个VLAN资源。 ·图1扁平的网络组网图：·图2Isolate-user-vlan功能示意图：

·Isolate-user-vlan采用分层结构：上行的Isolate-user-vlan和下行的SecondaryVLAN。对上行设备来说只需识别

Isolate-user-vlan，而不必关心Isolate-user-vlan中的SecondaryVLAN，从而节省了上行设备的VLAN资源。同时，将接入用 户划入不同的SecondaryVLAN，可以实现用户之间二层报文的隔离。

*（1）Isolate-user-vlan技术是如何屏蔽SecondaryVLAN信息、节省VLAN资源的呢？实现这个功能，要求：

1、来自不同SecondaryVLAN的报文，能够通过上行端口发送给上行设备，而且不能携带SecondaryVLAN信息。 2、来自Isolate-user-vlan的报文，能够通过下行端口发送给用户，而且不能携带Isolate-user-vlan信息。

（2）我们知道，Isolate-user-vlan和SecondaryVLAN采用不同的VLAN编号，各自包含了不同的端口，通常不同VLAN之间的

报文是二层互相隔离的，要达到以上要求，需要两方面的配合： 1、在本设备上需要进行配置同步和MAC地址同步处理。 2、上行设备需要进行必须的配置：

·创建VLAN：VLANID等于Isolate-user-vlan的VLANID。 ·配置入端口参数：将端口类型设置为Hybrid，将端口缺省VLAN值设置为Isolate-user-vlanID，配置端口允许缺省 VLAN的报文以untagged方式通过。

*Isolate-user-vlan配置同步：

配置Isolate-user-vlan功能后，系统会自动对Isolate-user-vlan和SecondaryVLAN所包含的端口进行配置同步：

1、对于上行端口，会将端口类型修改为Hybrid，并允许来自SecondaryVLAN的报文以untagged方式通过。而上行设

备的入端口通过手工配置已经将端口的缺省VLAN值设置为Isolate-user-vlanID，所以，当上行设备收到这样的报 文后，均认为这些报文来自Isolate-user-vlan，并给它们添加tag，tag中的VLANID等于Isolate-user-vlanID。 从而，屏蔽了SecondaryVLAN信息。

2、对于下行端口，会将端口类型修改为Hybrid，并允许来自Isolate-user-vlan的报文以untagged方式通过。

·图3Isolate-user-vlan配置同步组网图：

-6-

·表2配置同步后端口的相关属性：

·通过MAC地址学习，如上图3所示的组网中Switch会生成并维护一张MAC地址表（如表3所示）。如果Device给Host2发送报

文（源MAC为mac_a，目的MAC为mac_2）；Switch会给报文添加tag，VLANID为5（即端口的缺省VLANID）；然后以“mac_2+VLAN 5”为条件去查询MAC地址表。由于找不到相应的表项，该报文会在VLAN5内广播，并最终从Eth1/2、Eth1/3发送出去。

同理，每次上行和下行的报文都需要广播才能到达目的地。当SecondaryVLAN和Isolate-user-vlan包含的端口较多时，这 样的处理方式会占用大量的带宽资源，也不安全（广播报文容易被截获和侦听）。通过MAC地址同步机制可以解决这个问题。 *Isolate-user-vlan的MAC地址同步机制为：

1、SecondaryVLAN到Isolate-user-vlan的同步，即下行端口在SecondaryVLAN内学习到的动态MAC地址都同步至 Isolate-user-vlan内。

2、Isolate-user-vlan到SecondaryVLAN的同步，即上行端口在Isolate-uservlan学习到的动态MAC地址同步到所有的 SecondaryVLAN内。

当Isolate-user-vlan下面配置了很多SecondaryVLAN，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发 性能。同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播，所以，SecondaryVLAN 到Isolate-user-vlan的同步所有产品均支持，而Isolate-user-vlan到SecondaryVLAN的同步部分产品不支持。 ·表4由图三同步后的MAC地址转发表：

·通过上图3中Host2的报文流程来阐述Isolate-user-vlan的实现机制。

(1)Host2第一次发出单播上行报文，报文为untagged报文，源MAC地址为mac_2，目的MAC地址为mac_a。

(2)Switch通过下行端口Ethernet1/2收到报文，给报文打上端口缺省VLAN的标签2，并学习MAC地址，记录MAC地址表项

（mac_2+VLAN2+Eth1/2）（表示目的MAC地址为mac_2，VLAN标签为2的报文，出接为Ethernet1/2）。

(3)根据MAC地址同步原则，该MAC地址同时同步学习到VLAN5内，设备同时记录MAC地址表项（mac_2+VLAN5+Eth1/2）。 (4)由于Switch当前没有mac_a的MAC表项，因此设备在VLAN2内广播该报文。

(5)由于配置同步，Ethernet1/5端口允许VLAN2的报文以untagged方式通过，所以报文去掉tag后通过Ethernet1/5发送出去。 (6)DeviceA收到报文后进行响应。

(7)Switch通过上行端口Ethernet1/5收到报文，给报文打上端口缺省VLAN的标签5，并学习MAC地址，记录MAC地址表

项（mac_a+VLAN5+Eth1/5）。通过MAC地址同步，又生成两条MAC地址表项（mac_a+VLAN2+Eth1/5）和（mac_a+VLAN3+Eth1/5）。 (8)Switch以“mac_2+VLAN5”为条件去查询MAC地址表，找到出接口Ethernet1/2，并将报文去掉tag后发送给Host2。

*小区内有大量用户且用户支持不同的业务（如视频、语音、数据等），为了保证用户安全以及区分不同业务流，使用VLAN技术对 用户的二层报文进行隔离。但因为设备VLAN资源有限，因而可以在接入交换机上配置Isolate-user-vlan功能，以节省Device的 VLAN资源。同时将多个端口配置为Isolate-user-vlan的上行端口，并结合ACL和QoS配置，以便让不同的上行端口传输不同的 业务，简化网络管理。

*GARP（GenericAttributeRegistrationProtocol）通用属性注册协议；GMRP（GARPMulticastRegistrationProtocol）组 播属性注册协议；GVRP（GARPVLANRegistrationProtocol）VLAN属性注册协议。

*GARP协议主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。GARP作为一个属性注册协议的载体， 可以用来传播属性。将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。例如，GMRP和GVRP：

1、GMRP是GARP的一种应用，用于注册和注销组播属性； 2、GVRP是GARP的一种应用，用于注册和注销VLAN属性。

GARP协议通过目的MAC地址区分不同的应用。在IEEEStd802.1D中将01-80-C2-00-00-20分配给组播应用，即GMRP。在 IEEEStd802.1Q中将01-80-C2-00-00-21分配给VLAN应用，即GVRP。

*如果需要为网络中的所有设备都配置某些VLAN，就需要网络管理员在每台设备上分别进行手工添加。如图1所示，DeviceA上 有VLAN2，DeviceB和DeviceC上只有VLAN1，三台设备通过Trunk链路连接在一起。为了使DeviceA上VLAN2的报文可以 传到DeviceC，网络管理员必须在DeviceB和DeviceC上分别手工添加VLAN2。

对于上面的组网情况，手工添加VLAN很简单，但是当实际组网复杂到网络管理员无法短时间内完全了解网络的拓扑结构，或 者是整个网络的VLAN太多时，工作量会非常大，而且非常容易配置错误。在这种情况下，用户可以通过GVRP的VLAN自动注册功 能完成VLAN的配置。

GVRP基于GARP机制，主要用于维护设备动态VLAN属性。通过GVRP协议，一台设备上的VLAN信息会迅速传播到整个交换网。 GVRP实现动态分发、注册和传播VLAN属性，从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。

在设备上，每一个参与协议的端口可以视为一个应用实体。当GVRP在设备上启动的时候，每个启动GVRP的端口对应一个GVRP 应用实体。GVRP协议的属性注册和注销仅仅是对于接收到GVRP协议报文的端口而言的。 *GVRP协议可以实现VLAN属性的自动注册和注销：

1、VLAN的注册：指的是将端口加入VLAN。 2、VLAN的注销：指的是将端口退出VLAN。

GVRP协议通过声明和回收声明实现VLAN属性的注册和注销。

1、当端口接收到一个VLAN属性声明时，该端口将注册该声明中包含的VLAN信息（端口加入VLAN）。

2、当端口接收到一个VLAN属性的回收声明时，该端口将注销该声明中包含的VLAN信息（端口退出VLAN）。

*GARP应用实体之间的信息交换借助于消息的传递来完成,主要有三类消息起作用,分别为Join消息、Leave消息和LeaveAll消息：

-7-

1、Join消息：当一个GARP应用实体希望其它设备注册自己的属性信息时，它将对外发送Join消息；当收到其它实体的Join消

息或本设备静态配置了某些属性，需要其它GARP应用实体进行注册时，它也会向外发送Join消息。 ·Join消息分为JoinEmpty和JoinIn两种，区别如下：

1.JoinEmpty：声明一个本身没有注册的属性。 2.JoinIn：声明一个本身已经注册的属性。

2、Leave消息：当一个GARP应用实体希望其它设备注销自己的属性信息时，它将对外发送Leave消息；当收到其它实体的Leave

消息注销某些属性或静态注销了某些属性后，它也会向外发送Leave消息。 ·Leave消息分为LeaveEmpty和LeaveIn两种，区别如下：

1.LeaveEmpty：注销一个本身没有注册的属性。 2.LeaveIn：注销一个本身已经注册的属性。

3、LeaveAll消息：每个应用实体启动后，将同时启动LeaveAll定时器，当该定时器超时后应用实体将对外发送LeaveAll消息。

LeaveAll消息用来注销所有的属性，以使其它应用实体重新注册本实体上所有的属性信息，以此来周期性地清除网络中的垃圾 属性（例如某个属性已经被删除，但由于设备突然断电，并没有发送Leave消息来通知其他实体注销此属性）。 *GARP协议中用到了四个定时器，下面分别介绍一下它们的作用：

1、Join定时器：Join定时器是用来控制Join消息（包括JoinIn和JoinEmpty）的发送的。为了保证Join消息能够可靠的传输

到其它应用实体，发送第一个Join消息后将等待一个Join定时器的时间间隔，如果在一个Join定时器时间内收到JoinIn消 息，则不发送第二个Join消息；如果没收到，则再发送一个Join消息。每个端口维护独立的Join定时器。

2、Hold定时器：Hold定时器是用来控制Join消息（包括JoinIn和JoinEmpty）和Leave消息（包括LeaveIn和LeaveEmpty）的

发送的。当在应用实体上配置属性或应用实体接收到消息时不会立刻将该消息传播到其它设备，而是在等待一个Hold定时器后 再发送消息，设备将此Hold定时器时间段内接收到的消息尽可能封装成最少数量的报文，这样可以减少报文的发送量。如果没 有Hold定时器的话，每来一个消息就发送一个，造成网络上报文量太大，既不利于网络的稳定，也不利于充分利用每个报文的 数据容量。每个端口维护独立的Hold定时器。Hold定时器的值要小于等于Join定时器值的一半。

3、Leave定时器：Leave定时器是用来控制属性注销的。每个应用实体接收到Leave或LeaveAll消息后会启动Leave定时器，如

果在Leave定时器超时之前没有接收到该属性的Join消息，属性才会被注销。这是因为网络中如果有一个实体因为不存在某个 属性而发送了Leave消息，并不代表所有的实体都不存在该属性了，因此不能立刻注销属性，而是要等待其他实体的消息。例 如，某个属性在网络中有两个源，分别在应用实体A和B上，其他应用实体通过协议注册了该属性。当把此属性从应用实体A 上删除的时候，实体A发送Leave消息，由于实体B上还存在该属性源，在接收到Leave消息之后，会发送Join消息，以表示 它还有该属性。其他应用实体如果收到了应用实体B发送的Join消息，则该属性仍然被保留，不会被注销。只有当其它应用实 体等待两个Join定时器以上仍没有收到该属性的Join消息时，才能认为网络中确实没有该属性了，所以这就要求Leave定时 器的值大于2倍Join定时器的值。每个端口维护独立的Leave定时器。

4、LeaveAll定时器：每个GARP应用实体启动后，将同时启动LeaveAll定时器，当该定时器超时后GARP应用实体将对外发送LeaveAll

消息，随后再启动LeaveAll定时器，开始新的一轮循环。

接收到LeaveAll消息的实体将重新启动所有的定时器，包括LeaveAll定时器。在自己的LeaveAll定时器重新超时之后才 会再次发送LeaveAll消息，这样就避免了短时间内发送多个LeaveAll消息。如果不同设备的LeaveAll定时器同时超时，就会 同时发送多个LeaveAll消息，增加不必要的报文数量，为了避免不同设备同时发生LeaveAll定时器超时，实际定时器运行的 值是大于LeaveAll定时器的值，小于1.5倍LeaveAll定时器值的一个随机值。一次LeaveAll事件相当于全网所有属性的一次 Leave。由于LeaveAll影响范围很广，所以建议LeaveAll定时器的值不能太小，至少应该大于Leave定时器的值。每个设备只 在全局维护一个LeaveAll定时器。 *GVRP注册模式：

手工配置的VLAN称为静态VLAN，通过GVRP协议创建的VLAN称为动态VLAN。GVRP有三种注册模式，不同的模式对静态VLAN和动

态VLAN的处理方式也不同。

GVRP的三种注册模式分别定义如下：

1、Normal模式：允许动态VLAN在端口上进行注册，同时会发送静态VLAN和动态VLAN的声明消息。 2、Fixed模式：不允许动态VLAN在端口上注册，只发送静态VLAN的声明消息。

3、Forbidden模式：不允许动态VLAN在端口上进行注册，同时删除端口上除VLAN1外的所有VLAN，只发送VLAN1的声明消息。 *GARP协议报文采用IEEE802.3Ethernet封装形式，报文结构：

-8-

*Isolate-user-vlan技术配置命令： ·设置VLAN的类型为Isolate-user-vlan：[Switch-vlan10]isolate-user-vlanenable ·建立Isolate-user-vlan和SecondaryVLAN间的映射关系：

[Switch]isolate-user-vlanisolate-user-vlan-idsecondarysecondary-vlan-id[tosecondary-vlan-id]

Isolate-user-vlan技术配置示例：

*SuperVLAN技术中的概念：

1、SuperVLAN：1.只建立三层接口而不包含物理端口；2.若干SubVLAN的集合，并为SubVLAN提供三层转发服务。

2、SubVLAN：1.只映射若干物理端口，负责保留各自独立的广播域；2.不能建立三层VLAN接口；3.与外部的三层交换是靠

SuperVLAN的三层接口来实现的。

*SuperVLAN技术的实现：

1、SuperVLAN与SubVLAN形成映射； 2、不同SubVLAN主机在不同的广播域；

3、各SubVLAN借用SuperVLAN的VLAN接口进行三

层通信；

4、SubVLAN间的通信依靠SuperVLAN接口的本地代

理ARP完成。

（用本地代理ARP实现不同SubVLAN间的三层互通） *普通代理ARP原理：

*当SubVLAN内的用户需要进行三层通信时，将使用SuperVLAN三层接口的IP地址作为网关地址，这样多个SubVLAN共用一个 IP网段，从而节省了IP地址资源。

同时，为了实现不同SubVLAN间的三层互通及SubVLAN与其他网络的互通，需要利用ARP代理功能。通过ARP代理可以进行 ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

supervlan是节省IP地址的.可以让不同VLAN的网关使用同一个IP.而这个IP就是SUPERVLAN的IP,它是逻辑上的VLAN,

它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的. 只要有一个子VLAN是激活的,那么SUPERVLAN就是激活的。 *SuperVLAN技术配置命令：

·设置当前VLAN的类型为SuperVLAN：[Switch-vlan10]supervlan ·建立SuperVLAN和SubVLAN的映射关系：[Switch-vlan10]subvlanvlan-list ·开启本地代理ARP功能：[Switch-Vlan-interface10]local-proxy-arpenable

-9-

*1、SubVLAN与外部的二层通信：Trunk链路自动禁止SuperVLAN通过。 2、SubVLAN与外部的三层通信：等同于SuperVLAN到外部的三层通信。

*SuperVLAN技术配置示例：

*VLANVPN技术的原理及转发流程：（局域网远程搭建）Nested：嵌套的

*BPDUTunnel工作原理：

-10-

*BPDUTunnel是一种二层隧道技术，它使不同地域私网用户的二层协议报文，可以通过运营商网络内的指定通道进行透明传输。 *为避免环路，用户需要在私网中启用STP功能，当一侧私网发生拓扑变化时，会发送BPDU报文给另一侧私网，否则将无法完 成在整个用户私网内的生成树计算。但由于BPDU报文是二层组播报文，所有开启STP功能的设备都会接收并处理该报文，因此若 用户私网和运营商网络的生成树一起计算将导致每个网络都无法生成正确的生成树。BPDUTunnel功能可以解决上述问题，它可使 运行STP功能的用户私网和运营商网络拥有各自的生成树，互不干扰。

*利用BPDUTunnel功能，可以在运营商网络中透传用户网络的二层协议报文：

(1)运营商网络一端的PE1对从用户A的网络1收到的二层协议报文进行封装，将其目的MAC地址替换成一个特定的组

播MAC地址，然后在运营商网络中进行转发；

(2)封装好的二层协议报文（称为BPDUTunnel报文）被转发至运营商网络另一端的PE2，解封装后被还原为原始的目的

MAC地址，并发送给用户A的网络2。

*VLANVPN和BPDUTunnel配置命令：

·开启以太网端口的QinQ功能：[Switch-Ethernet1/0/1]qinqenable ·开启端口STP协议的BPDUTunnel功能：[Switch-Ethernet1/0/1]bpdu-tunneldot1qstp ·配置BPDUTunnel帧采用的组播目的MAC地址：[Switch]bpdu-tunneltunnel-dmacmac-address BPDUTunnel配置示例：

*（1）路由器实现VLAN间通信：（路由器与每个VLAN建立一条物理连接，浪费大量的端口）

（2）用802.1Q和子接口实现VLAN间路由：

*用三层交换机实现VLAN间路由：三层交换机以内置的三层路由转发引擎执行VLAN间路由功能。

-11-

*（1）最长匹配转发模型：

1、用报文目的地址与路由表项的子网掩码进行“与”操作；

2、如果“与”操作的结果和路由表项中网络地址相同，则认为路由匹配；

3、所有匹配项中子网掩码位数最长的为最佳匹配项报文从该表项对应接口发送。

（2）交换机精确匹配转发模型： 1、CPU维护路由表；

2、ASIC芯片完成主要的转发功能；

3、对数据包进行一次路由后，生成具体目的地址的转发表项，后续直接根据此表项进行精确匹配转发。

（3）交换机精确匹配转发表：（ForwardInformationBase：转发信息库）

当一个数据包到了交换机，需要3层转发的时候，如果IPFDB里没有记录，会先查路由表，再找ARP表，这样转发后会把记 录生成在IPFDB里，下次转发就不用再查路由表了。这个IPFDB是默认不会老化的，就是里面的记录会一直存在。

*交换机最长匹配转发模型：1、基于硬件的最长匹配的三层交换技术；2、所有报文的转发都通过硬件快速匹配完成转发。

交换机最长匹配转发表：

*直连VLAN间流量转发：

创建VLAN接口配置命令：

·创建VLAN接口：[Switch]interfacevlan-interfacevlan-interface-id ·配置VLAN接口的IP地址：[Switch-Vlan-interface10]ipaddressip-address{mask|mask-length}[sub]

-12-

*跨设备VLAN间流量转发：

*交换机静态路由配置：

交换机RIP协议配置：

·查看VLAN接口相关信息：[SWA]displayinterfaceVlan-interface40（VLAN接口的MAC地址：HardwareAddress：） ·查看ARP表相关信息：[SWB]displayarpallcount ·查看路由表相关信息：[SWA]displayiprouting-table

*STP消除环路的思想：将网络拓扑修剪为树形1.选择树根节点ROOT；2.确定最短路径；3.阻塞冗余链路。

*桥ID用于在STP中唯一的标识一个桥，桥ID由两部分组成，长度为8个字节：1.桥优先级：高16位；2.MAC地址：低48位。 桥ID：【桥优先级：2字节】【桥MAC地址：6字节】

*路径开销（PathCost）：1、路径开销用于衡量桥与桥之间路径的优劣；2、STP中每条链路都具有开销值；3、路径开销等于路 径上全部链路开销之和。 *链路开销标准：

-13-

*配置BPDU：1、网桥通过交互配置BPDU获取STP计算所需要的参数；2、配置BPDU基于二层组播方式发送，目的地址为 01-80-C2-00-00-00；3、配置BPDU由根桥周期发出，发送周期为HelloTime；4、配置BPDU老化时间为MaxAge。 *配置BPDU格式：（网桥协议数据单元(BridgeProtocolDataUnit)）

*STP计算方法： 1、配置BPDU处理：

·网桥将各个端口收到的配置BPDU和自己的配置BPDU做比较，得出优先级最高的配置BPDU； ·网桥用优先级最高的配置BPDU更新本身的配置BPDU，用于选举根桥和确定端口角色； ·网桥从指定端口发送新的配置BPDU。

2、配置BPDU比较原则——优先级向量最小者最优：

首先比较RootBridgeID--->其次比较RootPathCost--->再次比较DesignateBridgeID--->再其次比较DesignatePortID---> 最后比较BridgePortID。

*根桥选择：起始各个交换机都认为自己是根桥，然后进行互发帧进行根桥PK，最终根桥ID最小者胜出。

*确定端口角色的标准：1、根端口：网桥上到根桥最近的端口；2、指定端口：端口的配置BPDU在其所属链路上是最优的；3、Alternate 端口：端口的配置BPDU在其所属链路上不是最优的，且端口不是根端口。

Alternate端口：端口既非根端口也非指定端口；根端口：该端口到根桥的开销最小；指定端口：端口拥有该链路上最优的配 置消息。（根桥发送的BPDU消息，其中BPC=0） *端口角色确定过程：

当路径开销相等时，则根据顺序比较DesignateBridgeID，越不优者相连或与之相连的端口为Alternate端口。而对于链路 聚合的模型，两条链路开销相等时，则要比较DesignatePortID，端口越不优者为Alternate端口。

*临时环路问题：当拓扑结构发生变化，新的配置BPDU要经过一定的时延才能传播到整个网络，在所有网桥收到这个变化的消息 之前可能会存在临时环路。 *通过中间状态避免临时环路：

1、STP为端口定义了五种状态：Disabled、Blocking、Listening、Learning、Forwarding。 2、各端口状态对配置BPDU收发、MAC地址学习以及数据收发的处理有所不同。

-14-

STP端口状态是否发送配置BPDU是否进行MAC地址学习是否收发数据 Disabled否否否

Blocking否否否 Listening是否否 Learning是是否 Forwarding是是是 *ForwardDelay延时：

1、从中间状态Listening经过一个延时进入另一个中间状态Learning； 2、从Learning状态再经过一个延时进入Forwarding状态； 3、延时长度为ForwardDelay。 *STP端口状态机：

*STP拓扑改变处理过程：（从中断到恢复需要等待MAC地址老化，将近5分钟的时间！）

TCNBPDU：（TopologyChangeAcknowledgment：拓扑改变消息）

1、网桥发送TCNBPDU的条件为：1.有端口转变为Forwarding状态，且该网桥至少包含一个指定端口；2.有端口从Forwarding状

态或Learning状态转变为Blocking状态。

TCA以及TC置位的配置BPDU：

*当根桥故障后，指定根桥等待MaxAgeTimer后没收到消息，则判断为根桥down掉了。

*STP协议的不足：1、收敛时间长：缺省情况下一个端口从Blocking状态过渡到Forwarding状态至少需要30秒钟（两倍的Forward Delay）。对于一个拓扑不稳定网络，会导致网络的长时间中断。（两倍：Listening--->Learning--->Forwarding）

2、拓扑变化收敛机制不灵活：主机频繁上下线时，网络会产生大量TCN。 *RSTP：

1、RSTP是从STP发展而来，实现的基本思想一致；

-15-

2、RSTP具备STP的所有功能，可以兼容STP运行；

3、RSTP和STP有所不同：1.减少了端口状态；2.增加了端口角色；3.BPDU格式及发送方式不同；4.当交换网络拓扑结构发生 变化时，RSTP可以更快地恢复网络的连通性。

*RSTP将端口状态缩减为三个：Discarding、Learning、Forwarding。

RSTP将端口角色增加到四个：根端口、指定端口、Alternate端口、Backup端口。

*RSTBPDU报文和STP相比不同之处有：1.ProtocolVersionID变为2；2.BPDUType变为2；3.使用了Flags字段的全部8位； 4.增加Version1Length字段。

*RSTBPDU中的Flags字段：在RSTBPDU的Flags字段中，除TC以及TCA标志位，还包含P/A标志位、端口状态标志位以及端 口角色标志位。

*RSTP中BPDU的处理：

1、网桥自行从指定端口发送RSTBPDU，不需要等待来自根桥的RSTBPDU。发送周期为HelloTime； 2、RSTBPDU老化时间为3个连续的HelloTime时长。

*收到低优先级RSTBPDU的处理：阻塞状态的端口可以立即对收到的低优先级的RSTBPDU做出回应。

*RSTP快速收敛机制：STP中端口需要等待两个ForwardDelay时长才能进入转发状态，如果想缩短收敛时间只能手工配置Forward Delay为较小的值，但是这样可能会影响网络的稳定性； ·RSTP提出了快速收敛机制，包括：边缘端口机制；根端口快速切换机制；指定端口快速切换机制。 *边缘端口（EdgePort）：

1、边缘端口指网桥上直接和终端相连的端口（如：直接与主机相连的交换机）； 2、边缘端口可以直接进入转发状态，不需要延时，并且不会触发拓扑改变； 3、边缘端口收到BPDU后，会转变为非边缘端口。

*根端口快速切换：如果旧的根端口已经进入阻塞状态，而且新根端口连接的对端网桥的指定端口处于Forwarding状态，则在新 拓扑结构中的根端口可以立刻进入转发状态。

*指定端口快速切换：

1、指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态：1.握手请求报文：Proposal；2.握手回应报文：Agreement。 2、P/A机制条件：握手必须在点到点链路进行。 ·通过P/A机制实现快速收敛：

*RSTP拓扑改变处理机制

1、拓扑改变触发条件：只有非边缘端口转变为Forwarding状态时，产生拓扑改变； 2、拓扑改变处理： ·在两倍Hello时间内向所有其它指定端口和根端口发送TC置位BPDU报文； ·清除除接收到TC报文的端口之外的所有指定端口和根端口学习的MAC地址。

*RSTP拓扑改变处理：1、不再使用TCN；2、收敛更快速。 *RSTP和STP的兼容运行：

1、RSTP的端口连续三次接收到版本为STP的BPDU，则端口协议将切换到STP协议。 2、切换到STP协议的RSTP端口将丧失快速收敛特性。

3、出现STP与RSTP混用的情况，建议将STP设备放在网络边缘。

4、运行STP的网桥移除后，由RSTP模式切换到STP模式的端口仍将运行在STP模式。 *基本配置命令：

-16-

·生成树在交换机上缺省是关闭的，如果组网中可能存在路径回环，则要通过命令开启生成树功能：[H3C]stpenable ·如果确定某个端口连接的部分不存在回路，则可以通过命令关闭该端口的生成树功能：[H3C-Ethernet0/1]stpdisable ·可以根据需要配置交换机的生成树运行模式：[H3C]stpmode{stp|rstp|mstp} *RSTP可选参数：

*配置优先级和端口开销：

·通过命令配置可以更改BridgePriority：[H3C]stpprioritybridge-priority ·通过命令配置可以改变端口开销的值：[H3C-Ethernet0/1]stpcostcost ·通过命令配置可以改变设备支持的端口开销标准：[H3C]stppathcost-standard{dot1d-1998|dot1t|legacy} *配置端口的优先级：1.端口ID由两部分组成:PortPriority+PortIndex；2.通过命令配置可以改变端口优先级。

·[H3C-Ethernet0/1]stpportpriorityport-priority

*配置端口的HelloTime：

1、HelloTime的配置需要注意：1.较长的HelloTime可以降低生成树计算的消耗；2.过长的HelloTime会导致对链路故障的反

应迟缓；3.较短的HelloTime可以增强生成树的健壮性；4.过短的HelloTime会导致频繁发送配置消息，加重CPU和网络负担。 2、配置命令为：[H3C]stptimerhellocentiseconds *配置端口的MaxAge：

1、MaxAge的配置需要注意：1.过长的MaxAge会导致链路故障不能被及时发现；2.过短的MaxAge可能会在网络拥塞的时候使

交换机误认为链路故障，造成频繁的生成树重新计算。

2、配置命令为：[H3C]stptimermax-agecentiseconds *配置端口的ForwardDelay：

1、ForwardDelay的配置需要注意：1.过长的ForwardDelay会导致生成树的收敛太慢；2.过短的ForwardDelay可能会在拓扑

改变的时候，引入暂时的路径环路。

2、配置命令为：[H3C]stptimerforward-delaycentiseconds *配置网络直径：

1、网络直径：任意两台终端设备之间通过的交换机数目的最大值；

2、改变网络直径会间接影响到MaxAge和ForwardDelay这两个参数的值，这种方法比直接手工配置两个参数更为可靠。 3、所以当网络中加入交换机可以通过改变网络直径参数来达到适应网络状况的目的。 4、配置命令为：[H3C]stpbridge-diameterbridgenum（diameter：直径） *RSTP高级配置：

配置端口为边缘端口：

·端口视图配置：[H3C-Ethernet0/1]stpedged-portenable ·全局或端口视图执行mCheck操作：[H3C]stpmcheck[H3C-Ethernet0/1]stpmcheck

*RSTP维护调试命令：

·显示和STP统计和状态信息：[H3C]displaystp[interfaceinterface_list][brief] ·打开和STP调试开关：debugstppacket

*STP/RSTP的局限：1、所有VLAN共享一颗生成树；2、无法实现不同VLAN在多条Trunk链路上的负载分担。

*MSTP：（MultipleSpanningTree，多生成树协议），基于实例计算出多颗生成树，实例间实现负载分担。

*MST域（MSTRegion）：拥有相同MST配置标识的网桥构成的集合：域名、修订级别、VLAN映射关系。

*CST（CommonSpanningTree）公共生成树、IST（InternalSpanningTree）内部生成树、CIST（CommonandInternalSpanning Tree）公共和内部生成树、MSTI（MultipleSpanningTreeInstance）多生成树实例。 *STP：IEEE802.1D、RSTP：IEEE802.1W、MSTP：IEEE802.1S。

*要实现生成树功能，网桥之间必须要进行一些信息的交互，这些信息交互单元就称为配置消息BPDU（BridgeProtocolDataUnit）。 STPBPDU是一种二层报文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文。 *1、当根端口失效的情况下，替换端口就会快速转换为新的根端口并无时延地进入转发状态；当指定端口失效的情况下，备份端 口就会快速转换为新的指定端口并无时延地进入转发状态。

-17-

2、在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态。

3、直接与终端相连而不与其他网桥相连的端口定义为边缘端口（EdgePort）。边缘端口可以直接进入转发状态，不需要任何延时。 *MSTP的特点如下：

1、MSTP引入“域”的概念，把一个交换网络划分成多个域。每个域内形成多棵生成树，生成树之间彼此独立；在域间，MSTP 利用CIST保证全网络拓扑结构的无环路存在。

2、MSTP引入“实例（Instance）”的概念，将多个VLAN映射到一个实例中，以节省通信开销和资源占用率。MSTP各个实例 拓扑的计算是独立的（每个实例对应一棵单独的生成树），在这些实例上就可以实现VLAN数据的负载分担。 3、MSTP可以实现类似RSTP的端口状态快速迁移机制。MSTP兼容STP和RSTP。 *CST、IST、CIST、总根和域根：（Region：区域）

*1、MST域是由交换网络中的多台设备以及它们之间的网段所构成。这些设备具有下列特点：都启动了MSTP；具有相同的域名

（Region）；具有相同的VLAN到生成树实例映射配置；具有相同的MSTP修订级别配置；这些设备之间在物理上有链路连通。 2、VLAN映射表：VLAN映射表是MST域的一个属性，用来描述VLAN和生成树实例的映射关系。

3、IST：IST是域内实例上的生成树。IST和CST共同构成整个交换网络的CIST。IST是CIST在MST域内的片段。

4、CST：CST是连接交换网络内所有MST域的单生成树。如果把每个MST域看作是一个“设备”，CST就是这些“设备”通过STP

协议、RSTP协议计算生成的一棵生成树。

5、MSTI：一个MST域内可以通过MSTP生成多棵生成树，各棵生成树之间彼此独立。每棵生成树都称为一个MSTI。每个域内可

以存在多棵生成树，每棵生成树和相应的VLAN对应。这些生成树就被称为MSTI。

6、域边界端口：域边界端口是指位于MST域的边缘，用于连接不同MST域、MST域和运行STP的区域、MST域和运行RSTP的区

域的端口。

7、总根：总根是指CIST实例中桥ID最优的桥。

8、外部根路径开销：外部根路径开销指的是端口到总根的最短路径开销。 9、指定端口ID：由指定端口的优先级和端口号组成。

10、Master端口：连接MST域到总根的端口，位于整个域到总根的最短路径上。IST根桥在CIST上的根端口。

11、Backup端口：当开启了MSTP的同一台设备的两个端口互相连接时就存在一个环路，此时设备会阻塞端口ID较小的端口，

此阻塞端口称为Backup端口，而另外一个端口则处于转发状态，成为指定端口。

*MSTI和MSTI域根：

*MSTP的BPDU格式：

-18-

*CIST的优先级向量：

1、CIST优先级向量={RootID：ERPC：RRootID：IRPC：DesignateBridgeID：DesignatePortID：RcvPortID}

2、比较原则：最小最优：1.首先比较CIST总根ID--->2.其次比较CIST外部路径开销--->3.再次比较CIST域根ID--->4.再其次 比较CIST内部路径开销--->5.再其次比较CIST指定桥ID--->6.再其次比较CIST指定端口ID--->7.最后比较CIST接收端口ID。 *MSTI的优先级向量：

1、MSTI优先级向量={RRootID：IRPC：DesignateBridgeID：DesignatePortID：RcvPortID}

2、比较原则：最小最优：1.首先比较MSTI域根ID--->2.其次比较MSTI内部路径开销--->3.再其次比较MSTI指定桥ID--->4.再 其次比较MSTI指定端口ID--->5.最后比较MSTI接收端口ID。

*MSTP计算方法：1、CST/IST的计算和RSTP类似；2、MSTI的计算仅限于区域内；3、MSTI计算参数包含在ISTBPDU中，和IST 的计算同步完成。

*MSTI计算过程-Region1：

*MSTP和RSTP的互操作：RSTP桥将MSTP域看做一个桥ID为域根ID的RSTP桥。

*MSTP的P/A机制：（Proposal：建议）

1、上游桥发送的ProposalBPDU中，P标志位和A标志位都置位；

2、下游收到P标志位和A标志位都置位的ProposalBPDU，在将端口同步后会回应AgreementBPDU，使得上游的指定端口快

速进入转发状态。

*（1）MSTP基本配置：区域配置：

·由系统视图进入区域配置视图：[H3C]stpregion-configuration ·配置域名：[H3C-mst-region]region-namename ·配置修订级别：[H3C-mst-region]revision-levellevel ·配置VLAN和实例的映射：[H3C-mst-region]instanceinstance-idvlanvlan-list ·激活区域配置：[H3C-mst-region]activeregion-configuration （2）MSTP高级配置：

·配置交换机为首选根桥：[H3C]stpinstanceinstance-idrootprimary ·配置交换机为备份根桥：[H3C]stpinstanceinstance-idrootsecondary （3）MSTP兼容性配置：

·配置端口识别/发送MSTP报文格式：[H3C-GigabitEthernet1/0/1]stpcompliance{auto|dot1s|legacy} ·全局开启摘要侦听：[H3C]stpconfig-digest-snooping ·端口开启摘要侦听：[H3C-Ethernet1/0/1]stpconfig-digest-snooping

*MSTP兼容性配置：下游设备配置NoAgreementCheck特性。

*MSTP配置案例：

*边缘端口受到攻击：如果一个边缘端口接收到配置消息，将从边缘端口转换成非边缘端口，从而导致生成树重新计算。 BPDU保护机制：启动了BPDU保护功能后，如果边缘端口收到了配置消息，MSTP就将这些端口关闭。 BPDU保护命令：[H3C]stpbpdu-protection

可以在边缘设备上配置（边缘端口:Ethernet1/0/1）：[SWA]stpbpdu-protection·[SWA-Ethernet1/0/1]stpedged-portenable *根桥的错误切换：合法根桥收到优先级更高的（BPDU）配置消息，失去根桥的地位，引起网络拓扑结构的变动。

根桥保护机制：对于设置了根保护功能的端口，一旦该端口收到某实例优先级更高的配置消息，立即将该实例端口设置为侦听状

态，不再转发报文。

根桥保护命令：[H3C-Ethernet1/0/1]stproot-protection

-19-

*环路的产生：由于链路拥塞或者单向链路故障，端口会收不到上游设备的BPDU报文，此时下游设备重新选择端口角色，会导致 环路的产生。（网络拥塞导致BPDU丢失、光纤链路单通） 环路保护机制：

1、配置了环路保护的端口，当接收不到上游设备发送的BPDU报文时，环路保护生效。

2、如果该端口参与了STP计算，则不论其角色如何，该端口在所有实例都将处于Discarding状态。

环路保护命令：[H3C-Ethernet1/0/1]stploop-protection

*TC攻击：在有伪造的TC-BPDU报文恶意攻击设备时，设备短时间内会收到很多的TCBPDU报文，频繁的删除操作给设备带来很大 负担，给网络的稳定带来很大隐患。 TC保护机制：

1、设置设备在收到TC-BPDU报文后的10秒内，进行地址表项删除操作的最多次数； 2、监控在该时间段内收到的TC-BPDU报文数是否大于门限值。 ·使能防止TC-BPDU报文攻击的保护功能：[H3C]stptc-protectionenable ·配置门限值：[H3C]stptc-protectionthresholdnumber *可靠性：Availability，可靠性=MTBF/(MTBF+MTTR)

MTBF（MeanTimeBetweenFailure：平均无故障时间）：衡量稳定程度 MTTR（MeanTimetoRepair：故障平均修复时间）：衡量故障响应修复速度 *高可靠性在园区的应用：

1、网络高可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。1.可靠性达到5个9以上；2.可靠性99.999% 意味着每年故障时间不超过5分钟；3.可靠性99.9999%意味着每年故障时间不超过30秒。

2、园区网高可靠性技术：1.链路备份技术；2.设备备份技术：包含设备自身备份技术以及设备间备份技术；3.堆叠技术。

*链路备份技术：链路备份技术用于避免由于单链路故障导致的网络通信中断。当主链路中断后，备用链路会成为新的主用链路。： 链路聚合、RRPP、SmartLink。

*链路聚合：1、链路聚合是把多条物理链路聚合在一起，形成一条逻辑链路。2、采用链路聚合可以提供链路冗余性，又可以提

高链路的带宽。

*RRPP：

1、RRPP（RapidRingProtectionProtocol，快速环网保护协议）是一个专门应用于以太网环的链路层协议。 2、在以太网环上一条链路断开时，RRPP能迅速恢复环网上各个节点之间的通信通路，具备较高的收敛速度。 *SmartLink：SmartLink解决方案，实现了主备链路的冗余备份，具备快速收敛性能，收敛速度可达到亚秒级。

*设备备份技术：设备备份技术用于避免由于单设备故障导致的网络通信中断。当主设备中断后，备用板卡或备用设备会成为新的 主设备。：1.设备自身的备份技术；2.设备间的备份技术VRRP。 *设备自身的备份技术：

1、主备备份指备用主控板作为主用主控板的一个完全映象，除了不处理业务，不控制系统外，其它与主用主控板保持完全同步。 2、当主用板发生故障或者被拔出时，备用板将迅速自动取代主用板成为新的主用板，以保证设备的继续运行。 3、主备备份应用于分布式网络产品的主控板，提高网络设备的可靠性。

*设备间的备份技术VRRP：VRRP将可以承担网关功能的路由器加入到备份组中，形成一台虚拟路由器。

*IRF（IntelligentResilientFramework，智能弹性架构）是将多台设备通过堆叠口连接在一起形成一台“联合设备”。用户对 这台“联合设备”进行管理，可以实现对堆叠中的所有设备进行管理。 *IRF高可靠性：

1、堆叠系统由多台成员设备组成，Master设备负责堆叠的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。 2、一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N备份。 3、成员设备之间物理堆叠口支持聚合功能，堆叠系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提 高了堆叠系统的可靠性。

*链路聚合在IEEE802.3结构中的位置,是处于MACCLIENT和MAC之间,一个可选的子层。

*链路聚合的相关概念：

1、聚合接口是一个手工配置的逻辑接口，链路聚合组是随着聚合接口的创建而自动生成的。 2、操作Key是在链路聚合时，聚合控制根据成员端口的某些配置自动生成的一个配置组合。 *LACP（LinkAggregationControlProtocol）：LACP协议通过LACPDU与对端交互信息。

-20-

*RRPP配置命令： ·创建RRPP域：[Switch]rrppdomaindomain-id ·配置控制VLAN：[Switch-rrpp-domain1]control-vlanvlan-id ·配置保护VLAN：[Switch-rrpp-domain1]protected-vlanreference-instanceinstance-id-list ·配置主节点：[Switch-rrpp-domain1]ringring-idnode-modemaster[primary-portinterface-typeinterface-number]

[secondary-portinterface-typeinterface-number]levellevel-value

·配置传输节点：[Switch-rrpp-domain1]ringring-idnode-modetransit[primary-portinterface-typeinterface-number]

[secondary-portinterface-typeinterface-number]levellevel-value

·配置边缘节点：[Switch-rrpp-domain1]ringring-idnode-modeedge[edge-portinterface-typeinterface-number] ·配置辅助边缘节点：[Switch-rrpp-domain1]ringring-idnode-modeassistant-edge[edge-portinterface-type

interface-number]

·使能RRPP协议：[Switch]rrppenable ·使能RRPP环：[Switch-rrpp-domain1]ringring-idenable ·创建RRPP环组：[Switch]rrppring-groupring-group-id ·将子环加入RRPP环组：[Switch-rrpp-ring-group1]domaindomain-idringring-id-list *RRPP单环配置示例：

RRPP双归属环配置示例：

*VRRP主备备份：1、VRRP将可以将多个路由器加入到备份组中，形成一台虚拟路由器，承担网关功能；2、只要备份组中仍有一 台路由正常工作，虚拟路由器就仍然正常工作。

*VRRP负载分担：VRRP将多台路由器同时承担业务，形成多台虚拟路由器，分担内网与外网之间的流量。 *VRRP概述：

1、RFC3768定义的VRRPv2是一种容错协议，在提高可靠性的同时，简化了主机的配置。 2、VRRP协议报文使用固定的组播地址224.0.0.18进行发送。

3、虚拟路由器由LAN上唯一的VirtualRouterID标识。并具有虚MAC地址：00-00-5E-00-01-{vrid}。

*MASTER路由器处于VRRP备份组1，VRRP优先级为110，虚IP地址为10.100.10.1，为IP地址拥有者，默认VRRP抢占模式。 *适应性强。VRRP报文封装在IP报文中，支持各种上层协议。网络开销小。VRRP只定义了一种报文——VRRP通告报文，并且 只有处于Master状态的路由器可以发送VRRP报文。

*1、虚拟路由器：由一个Master路由器和多个Backup路由器组成。主机将虚拟路由器当作默认网关。 2、VRID：虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器。 3、Master路由器：虚拟路由器中承担报文转发任务的路由器。

-26-

本文来源：https://www.bwwdw.com/article/m6x7.html