TCPIP基本知識(shí)總結(jié)

技術(shù)總結(jié)

一.IP網(wǎng)絡(luò)互聯(lián)基礎(chǔ)

1.IP地址：配置在主機(jī)，設(shè)備接口上的邏輯地址；

由32位二進(jìn)制組成，用點(diǎn)分十進(jìn)制表示。

IP地址分成網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)兩個(gè)部分：網(wǎng)絡(luò)號(hào)表示某個(gè)IP子網(wǎng)，主機(jī)號(hào)

表示本子網(wǎng)的某臺(tái)主機(jī)。

2.子網(wǎng)掩碼：用來區(qū)分網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)。

用連續(xù)的“1”表示IP地址的網(wǎng)絡(luò)號(hào)，用連續(xù)的“0”表示主機(jī)號(hào)。

3.網(wǎng)絡(luò)地址：主機(jī)號(hào)全為。的IP地址

定向廣播地址：主機(jī)號(hào)全為1的IP地址

4.數(shù)據(jù)包的封裝與解封裝

5.同一網(wǎng)段主機(jī)互訪分析：同一網(wǎng)段的主機(jī)互訪，直接進(jìn)行MAC封

裝，就可到達(dá)。

不同網(wǎng)段的主機(jī)互訪分析：不同網(wǎng)段的主機(jī)互訪，要經(jīng)過網(wǎng)關(guān)中轉(zhuǎn)后

才能到達(dá)。

二.層次化與數(shù)據(jù)流分析

1.層次化配置：

a.基本信息配置：密碼(console/Telnet/enable)主機(jī)名，時(shí)區(qū)等。

民接口配置與鏈路測試：局域網(wǎng)接口配置(物理層——鏈路層——網(wǎng)絡(luò)

層——打開接口)局域網(wǎng)鏈路測試，廣域網(wǎng)接口配置與鏈路測試。

c.路由配置與測試：路由配置(IGP/BGP)全網(wǎng)連通性測試，路徑跟

蹤測試。

d.上層業(yè)務(wù)配置與測試

2.層次化排錯(cuò)：

a.5兩個(gè)路由器之間的鏈路是否通？

b.兩個(gè)路由器之間的路由是否通？

1/26

C.上層是否配置了控制策略？

3.層次化方法：先分析高層網(wǎng)絡(luò)，分析時(shí)，把底層網(wǎng)絡(luò)當(dāng)做云圖來看

待。再逐個(gè)打開底層網(wǎng)絡(luò)云圖，進(jìn)行底層網(wǎng)絡(luò)分析。

4.層次化數(shù)據(jù)流分析

三.IP地址分配

11P地址分類

分用前綴網(wǎng)絡(luò)主機(jī)地址范圍默認(rèn)掩碼簡

類途位位寫

A單08241.0.0.0-255.0.0.0/8

類播126.255.255.255

B單101616138.0.0.0-255.255.0.0/16

播191.255.255.255

C單110248192.0.0.0-255.255.255.0/24

播223.255.255.255

D組1110224.0.0.0-

播239.255.255.255

E保1111240.0.0.0-

留255.255.255.254

2.私有地址:

A類1個(gè)10.0.0.0/8

B16個(gè)172.16.0.0/16-17

2.31.0.0/16

C256個(gè)192.168.0.0/24-19

2.168.255.0/24

本地鏈路私有地址169.254.0.0/16

2/26

3.IP子網(wǎng)劃分：

a.定長子網(wǎng)掩碼劃分

b.變長子網(wǎng)掩碼劃分

四.TCP/IP協(xié)議基礎(chǔ)

1.OSI參考模型

應(yīng)用層提供應(yīng)用程序間通信

表示層處理數(shù)據(jù)格式，數(shù)據(jù)加密等

會(huì)話層建立，維護(hù)和管理會(huì)話

傳輸層端到端連接

網(wǎng)絡(luò)層尋址和路由選擇

數(shù)據(jù)鏈路層提供介質(zhì)訪問，鏈路管理等

物理層比特流傳輸

2.TCP/IP協(xié)議棧

應(yīng)用層：DHCP、DNS、Telnet、HTTP、FTP、TF

TP、

SMTP.......

傳輸層：TCP、UDP

網(wǎng)絡(luò)層：ARP,IP,ICMP

數(shù)據(jù)鏈路層：PPP,HDLC,ATM.........

物理層：V.35.......

3.IP特點(diǎn)

IP是無連接的，無序的，不可靠的，提供盡力而為的服務(wù)。

4.TCP的特點(diǎn)

3/26

TCP是面向連接的，有序的，可靠的，提供高質(zhì)量的服務(wù)。

5.TCP的工作機(jī)制

TCP連接建立——三次握手

TCP連接斷開——四次握手

6.常見的一些協(xié)議號(hào)，以太網(wǎng)類型號(hào)，IP協(xié)議號(hào)

五.TCP/IP的協(xié)設(shè)

1.ARP:地址解析協(xié)議，在同一廣播域內(nèi)將ip地址解析成MAC地址

2.ICMP工作在網(wǎng)絡(luò)層，封裝于IP,協(xié)議號(hào)1,用于發(fā)送錯(cuò)誤消息和控制

消息

3.DHCP動(dòng)態(tài)主機(jī)配置協(xié)議，用來自動(dòng)獲取配置信息

六.VLAN技術(shù)

1.vlan

VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯

分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一

個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用

戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)

行分組。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、

帶寬問題。

傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣

播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對(duì)廣播風(fēng)暴的

控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)。

VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在

一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消

耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的

4/26

VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實(shí)現(xiàn)的，因此

使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠

的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)

絡(luò)資源的訪問，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)

提供較好的安全措施。

另外，VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，

這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中

有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。

2.VLAN的應(yīng)用

近來參加了不少醫(yī)院網(wǎng)絡(luò)方案的討論和評(píng)標(biāo)活動(dòng)，在幾乎所有醫(yī)院的方

案中都或多或少地采用了虛擬局域網(wǎng)（VLAN）技術(shù)，但筆者發(fā)現(xiàn)大多數(shù)

方案中的VLAN設(shè)計(jì)都存在一個(gè)共同且致命的缺陷，那就是VLAN跨越

網(wǎng)絡(luò)的核心。本文就這個(gè)問題談一談自己的看法，供同行們參考。

VLAN相互受影響

根據(jù)VLAN的定義和技術(shù)規(guī)范，VLAN不是由獨(dú)享的物理設(shè)備和物理鏈

路搭建的物理子網(wǎng)或網(wǎng)段，VLAN與實(shí)實(shí)在在的物理子網(wǎng)的本質(zhì)區(qū)別在

于，VLAN之間要共享物理設(shè)備和物理鏈路，因此，VLAN間就會(huì)通過所

共享的設(shè)備和鏈路相互影響。這種影響是如何產(chǎn)生的呢？VLAN是通過將

一個(gè)物理拓?fù)渲械膬蓚€(gè)或多個(gè)節(jié)點(diǎn)通過邏輯組合而形成的，要想實(shí)現(xiàn)這

種邏輯的組合就必須使用支持VLAN的交換設(shè)備，但真正提供VLAN功

能的是這些設(shè)備內(nèi)部的軟件。也就是說，VLAN所構(gòu)造的子網(wǎng)（廣播

域）是軟件實(shí)現(xiàn)的，而不是由網(wǎng)絡(luò)拓?fù)渌鶝Q定的。網(wǎng)絡(luò)拓?fù)鋬H對(duì)由軟件

所建立的VLAN有所限制。

知道了VLAN的工作原理，就不難解釋VLAN間的影響了，同一交換機(jī)

上的不同VLAN要共享交換機(jī)、要爭奪交換機(jī)的CPU和背板資源。

VLAN對(duì)交換機(jī)和鏈路的共享可分為兩種類型：一種是“廣播共享”，

即VLAN劃定的廣播域貫穿共享設(shè)備和鏈路（如圖1所示），換句話說

廣播共享是二層的共享。另一種我們稱之為“路由共享”，也可以說是

三層共享，在這種類型的共享中，不同VLAN的數(shù)據(jù)包是以路由（三層

交換）方式穿過交換機(jī)的（如圖2中虛線所示），通過的包基本上不含

有一般的廣播包（DHCP和特殊協(xié)議的廣播除外）。VLAN在“廣播共

享”網(wǎng)絡(luò)資源時(shí)的相互影響要比“路由共享''時(shí)更大。

5/26

從圖1可清楚地看出所共享的網(wǎng)絡(luò)資源（交換機(jī)和鏈路）。在正常情況

下，VLAN間的這種影響不被我們所注意，原因是共享的交換機(jī)有足夠

的交換能力，鏈路不是很擁擠，但在某一VLAN出現(xiàn)異常時(shí)（如感染病

毒或出現(xiàn)環(huán)路）情況就不同了。這時(shí)被感染VLAN（如VLAN1）中的大

量數(shù)據(jù)幀將擠占該VLAN所與的所有交換機(jī)的CPU資源、背板帶寬，并

長時(shí)間占用物理鏈路，其他VLAN（如VLAN2）中的設(shè)備盡管“看”不

到出現(xiàn)異常VLAN中的數(shù)據(jù)幀，但其所依賴的網(wǎng)絡(luò)資源已被用盡，因

此，VLAN1所覆蓋的網(wǎng)絡(luò)區(qū)域就會(huì)出現(xiàn)異常。如果故障點(diǎn)發(fā)生在核心交

換機(jī)附近，那么整個(gè)網(wǎng)絡(luò)就有可能癱瘓。這在各網(wǎng)絡(luò)拓?fù)鋵咏粨Q機(jī)的性

能相差不多的情況下尤為嚴(yán)重。

三層共享有作用

由VLAN的性質(zhì)所決定，完全消除VLAN間的鏈路和設(shè)備的共享在理論

上是不可能的。我們所做的努力只能盡量減少相互影響的范圍、降低相

互影響的程度。如何做到這一點(diǎn)呢?在實(shí)踐中我們總結(jié)出如下原則：1）

應(yīng)盡量避免在同一交換機(jī)中配置多個(gè)VLAN;2）不同物理位置上的交換機(jī)

上的端口盡量不要?jiǎng)潥w到同一個(gè)VLAN。前者較好理解，也容易實(shí)現(xiàn)，

我們重點(diǎn)討論后者，即如何做到VLAN不跨越核心交換機(jī)和拓?fù)浣Y(jié)構(gòu)的

“層”。從圖1可以看出，由于VLAN1（VLAN2也是這樣）的范圍跨越

了整個(gè)網(wǎng)絡(luò)，如果把所有VLAN的覆蓋面都限定在核心交換機(jī)的同一

側(cè)，這些資源被共享的程度不就減輕了嗎？按此想法我們可以將圖1所示

的網(wǎng)絡(luò)改變?yōu)閳D2所示的結(jié)構(gòu)。

由于在這種結(jié)構(gòu)中不存在跨越核心交換機(jī)的虛網(wǎng)，因此各VLAN的廣播

包就不會(huì)穿過核心交換機(jī)，但這些廣播包卻均能到達(dá)核心交換機(jī)，同時(shí)

核心交換機(jī)上還會(huì)有ACL允許的VLAN間的正常數(shù)據(jù)流（如圖2中的虛

線所示）通過。很顯然，這時(shí)的核心交換機(jī)既阻擋了各VLAN的廣播

包，又轉(zhuǎn)發(fā)了VLAN間的正常數(shù)據(jù)流，其被共享的形式由“廣播式”變

成了“路由式”，受VLAN影響的程度變小。

有人可能會(huì)說，把核心交換機(jī)從二層提到了三層，性能會(huì)下降。這種說

法無疑是正確的，但這點(diǎn)性能的降低對(duì)于當(dāng)今的三層交換機(jī)所能提供的

性能來說已經(jīng)算不得什么了。從圖2還可以看出，盡管受單個(gè)VLAN影

響的程度和范圍均變小，但共享鏈路的長度和強(qiáng)度并沒有本質(zhì)的變化。

三層結(jié)構(gòu)最有效

6/26

細(xì)心的讀者可能還會(huì)發(fā)現(xiàn)，圖2所示網(wǎng)絡(luò)中的VLAN沒有體現(xiàn)VLAN技

術(shù)的原始目的—不同物理位置上的計(jì)算機(jī)能像在同一物理網(wǎng)中一樣相

互訪問。這個(gè)問題正是本文涉與的核心問題，也是針對(duì)規(guī)劃、部署

VLAN提出的新觀點(diǎn)：在網(wǎng)絡(luò)中，特別是較大型網(wǎng)絡(luò)，不要企圖利用

VLAN去實(shí)現(xiàn)不同物理位置上計(jì)算機(jī)的互聯(lián)互通，互通性要由路由策略

去實(shí)現(xiàn)。這在以往會(huì)有些問題，但網(wǎng)絡(luò)技術(shù)發(fā)展到今天，交換機(jī)與路由

器間的差別變得越來越小，原來用二層實(shí)現(xiàn)的方法很多都能夠用三層技

術(shù)所代替。用三層技術(shù)代替二層的功能有很多優(yōu)點(diǎn)，主要表現(xiàn)在：結(jié)構(gòu)

更加清晰、控制更加豐富、擴(kuò)展更加靈活、網(wǎng)絡(luò)更加穩(wěn)定、

實(shí)現(xiàn)更加容易。

繼續(xù)分析圖2中所存在的問題不難看出，盡管核心交換機(jī)被共享的形式

改變了，但仍存在受到各VLAN出現(xiàn)異常情況的影響。要想避免核心交

換機(jī)受到各個(gè)VLAN的影響、減小影響范圍、避免全網(wǎng)癱瘓的發(fā)生，很

容易想到在核心交換機(jī)和劃有VLAN的交換機(jī)之間加上一層，以隔離核

心交換機(jī)和各個(gè)VLANo這時(shí)就形成了目前較為流行的三層拓?fù)浣Y(jié)構(gòu)的

網(wǎng)絡(luò)，如圖3所示。

在三層網(wǎng)絡(luò)結(jié)構(gòu)中，匯聚層與核心層之間的區(qū)域不再有VLAN,匯聚層

交換機(jī)的VLAN也僅限于部分端口，這時(shí)匯聚層交換機(jī)成為被“路由共

享”的交換機(jī)，而且這種“路由共享''比圖2的情況更弱。

如果使匯聚層交換機(jī)的性能遠(yuǎn)高于接入層的交換機(jī)，那么由VLAN的廣

播（多由病毒引起）所引起的整網(wǎng)癱瘓問題就基本解決了。

任何方案都具有利的一面和不利的一面，三層拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)也會(huì)帶來

一些問題：1）利用一般的手段較難實(shí)現(xiàn)對(duì)各個(gè)VLAN進(jìn)行集中式的遠(yuǎn)程

管理，對(duì)于這個(gè)問題的解決方案可充分利用網(wǎng)管軟件。2）由于VLAN數(shù)

量的增多、路由協(xié)議等技術(shù)的引入，此時(shí)的網(wǎng)絡(luò)會(huì)比二層平面交換網(wǎng)絡(luò)

要復(fù)雜，對(duì)網(wǎng)絡(luò)技術(shù)人員的要求更高，管理維護(hù)成本會(huì)有所增加。

這兩點(diǎn)是大型網(wǎng)絡(luò)管理本身的要求，大型網(wǎng)絡(luò)的管理不可能不使用網(wǎng)絡(luò)

管理工具，技術(shù)人員的缺乏更是各個(gè)企業(yè)都面臨的問題，對(duì)此有的專家

提出了“IT物業(yè)”的理念，也許這就是將來解決這個(gè)問題的最終方案。

3.VLAN的特點(diǎn)

7/26

控制網(wǎng)絡(luò)的廣播風(fēng)暴

采用VLAN技術(shù)，可將某個(gè)交換端口劃到某個(gè)VLAN中,而一個(gè)

VLAN的廣播風(fēng)暴不會(huì)影響其它VLAN的性能。

確保網(wǎng)絡(luò)安全

共享式局域網(wǎng)之所以很難保證網(wǎng)絡(luò)的安全性，是因?yàn)橹灰脩舨迦?/p>

一個(gè)活動(dòng)端口，就能訪問網(wǎng)絡(luò)。而VLAN能限制個(gè)別用戶的訪問，控制

廣播組的大小和位置，甚至能鎖定某臺(tái)設(shè)備的MAC地址，因此VLAN

能確保網(wǎng)絡(luò)的安全性。

簡化網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理員能借助于VLAN技術(shù)輕松管理整個(gè)網(wǎng)絡(luò)。例如需要為完

成某個(gè)項(xiàng)目建立一個(gè)工作組網(wǎng)絡(luò)，其成員可能遍與全國或全世界，此

時(shí)，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令，就能在幾分鐘內(nèi)建立該項(xiàng)目的

VLAN網(wǎng)絡(luò)，其成員使用VLAN網(wǎng)絡(luò)，就像在本地使用局域網(wǎng)一樣。

七.STP生成樹

STP（SpanningTreeProtocol,生成樹協(xié)議）是根據(jù)

IEEE802.ID標(biāo)準(zhǔn)建立的，用于在局域網(wǎng)中消除數(shù)據(jù)鏈路層物理環(huán)路的

協(xié)議。運(yùn)行該協(xié)議的設(shè)備通過彼此交互信息發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并有選

擇的對(duì)某些端口進(jìn)行阻塞，最終將環(huán)路網(wǎng)絡(luò)結(jié)構(gòu)修剪成無環(huán)路的樹型網(wǎng)

絡(luò)結(jié)構(gòu)，從而防止報(bào)文在環(huán)路網(wǎng)絡(luò)中不斷增生和無限循環(huán)，避免設(shè)備由

于重復(fù)接收相同的報(bào)文所造成的報(bào)文處理能力下降的問題發(fā)生。STP采

用的協(xié)議報(bào)文是BPDU（BridgeProtocolDataUnit,橋協(xié)議數(shù)據(jù)單

元），也稱為配置消息，BPDU中包含了足夠的信息來保證設(shè)備完成生

成樹的

STP（生成樹協(xié)議）是一個(gè)二層管理協(xié)議。在一個(gè)擴(kuò)展的局域網(wǎng)中參與

STP的所有交換機(jī)之間通過交換橋協(xié)議數(shù)據(jù)單元bpdu

（bridgeprotocoldataunit）來實(shí)現(xiàn)；為穩(wěn)定的生成樹拓?fù)浣Y(jié)構(gòu)選擇

一個(gè)根橋；為每個(gè)交換網(wǎng)段選擇一臺(tái)指定交換機(jī)；將冗余路徑上的交換

機(jī)置為blocking,來消除網(wǎng)絡(luò)中的環(huán)路。

IEEE802.Id是最早關(guān)于STP的標(biāo)準(zhǔn)，它提供了網(wǎng)絡(luò)的動(dòng)態(tài)冗余切換

機(jī)制。STP使您能在網(wǎng)絡(luò)設(shè)計(jì)中部署備份線路，并且保證：

*在主線路正常工作時(shí)，備份線路是關(guān)閉的。

8/26

當(dāng)主線路出現(xiàn)故障時(shí)自動(dòng)使能備份線路，切換數(shù)據(jù)流。

rSTP(rapidspanningtreeprotocol)是STP的擴(kuò)展，其主要特點(diǎn)

是增加了端口狀態(tài)快速切換的機(jī)制，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)拓?fù)涞目焖俎D(zhuǎn)換。

1.1設(shè)置STP模式

使用命令configspanning-treemode可以設(shè)置STP模式為

802.IdSTP或者802.1wrSTP.

1.2配置STP

交換機(jī)中默認(rèn)存在一個(gè)defaultSTP域。多域STP是擴(kuò)展的802.Id,

它允許在同一臺(tái)交換設(shè)備上同時(shí)存在多個(gè)STP域，各個(gè)STP域都按照

802.Id運(yùn)行，各域之間互不影響。它提供了一種能夠更為靈活和穩(wěn)定網(wǎng)

絡(luò)環(huán)境，基本實(shí)現(xiàn)在vlan中計(jì)算生成樹。

1.2.1創(chuàng)建或刪除STP

利用命令createSTPd和deleteSTPd可以創(chuàng)建或刪除STP.缺省的

defaultSTP域不能手工創(chuàng)建和刪除。

1.2.2使能或關(guān)閉STP

交換機(jī)中STP缺省狀態(tài)是關(guān)閉的。利用命令configSTPd可以使能或

關(guān)閉STP.

1.2.3使能或關(guān)閉指定STP的端口

交換機(jī)中所有端口默認(rèn)都是參與STP計(jì)算的。使用命令

configSTPdport可以使能或關(guān)閉指定的STP端口。

1.2.4配置STP的參數(shù)

運(yùn)行某個(gè)指定STP的STP協(xié)議后，可以根據(jù)具體的網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整該

STP的一些參數(shù)。交換機(jī)中可以調(diào)整以下的STP協(xié)議參數(shù)：

*bridgepriority

*hellotime

*forwarddelay

*maxage

9/26

另外每個(gè)端口上可以調(diào)整以下參數(shù)：

*pathcost

*portpriority

表1-1配置STP參數(shù)的常用命令

1.2.5顯示STP狀態(tài)

利用命令showSTPd可以查看STP的狀態(tài)，包

括：*bridgeid*rootbridgeid

*STP的各種配置的參數(shù)

利用命令showSTPdport可以顯示端口的STP狀態(tài)，包括：

*端口狀態(tài)

*designatedport

*端口的各種配置參數(shù)

在缺省的CISCOSTP模式中，每個(gè)VLAN定義一個(gè)STP.

IEEE802.1Q標(biāo)準(zhǔn)是在整個(gè)交換VLAN網(wǎng)絡(luò)中使用一個(gè)STP,但并不

排除在每個(gè)VLAN中實(shí)現(xiàn)STP.

1VLAN與生成樹的關(guān)系

>IEEE通用生成樹（CST）

>CISCOPERVLAN生成樹（PVST）

>帶CST的CISCOPERVLAN生成樹（PVST+）

CST是IEEE解決運(yùn)行虛擬局域網(wǎng)VLAN生成樹的方法。CST定義，

整個(gè)第2層交換網(wǎng)絡(luò)所有實(shí)現(xiàn)了的VLAN,僅使用一個(gè)生成樹實(shí)例。這

個(gè)生成樹實(shí)例運(yùn)行在整個(gè)交換局域網(wǎng)上。

PVST是解決在虛擬局域網(wǎng)上處理生成樹的CISCO特有解決方案。

PVST為每個(gè)虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹實(shí)例。一般情況下PVST要

求在交換機(jī)之間的中繼鏈路上運(yùn)行CISCO的ISL.

10/26

PVST+是CISCO解決在虛擬局域網(wǎng)上處理生成樹問題的另一個(gè)方

案。PVST+允許CST信息傳給PVST,以便與其他廠商在VLAN上運(yùn)

行生成樹的實(shí)現(xiàn)方法進(jìn)行操作。

2按VLAN生成樹(PVST)

為每個(gè)VLAN建立一個(gè)獨(dú)立的生成樹實(shí)例(PVST)o生成樹算法計(jì)

算整個(gè)交換型網(wǎng)絡(luò)的最佳無環(huán)路徑。PVST的優(yōu)點(diǎn)：

＞生成樹拓?fù)浣Y(jié)構(gòu)的總體規(guī)模減少。

＞改進(jìn)了生成樹的擴(kuò)展性，并減少了收斂時(shí)間。

＞提供更快的收斂恢復(fù)能力和更高的可靠性。

PVST的缺點(diǎn)：

＞為了維護(hù)針對(duì)每個(gè)VLAN而生成的生樹，交換機(jī)的利用率會(huì)更高

＞為了支持各個(gè)VLAN的BPDU,需要占用更多的TRUNK鏈路帶

寬生成樹僅可運(yùn)行在64個(gè)VLAN上。

3公共生成樹(CST)

CST是IEEE在虛擬局域網(wǎng)上處理生成樹的特有方法，這是一種VLAN

解決方案，稱為單一或者公共生成樹。生成樹協(xié)議運(yùn)行在VLAN1即缺省

的VLAN上。所有的交換機(jī)都舉出同一個(gè)根網(wǎng)橋，并建立與該根網(wǎng)橋的

關(guān)系。

公共生成樹不能針對(duì)每個(gè)VLAN來優(yōu)化根網(wǎng)橋的位置。公共生成樹優(yōu)

點(diǎn)：

＞最小數(shù)量的BPDU通信，帶寬占用少。

＞交換機(jī)負(fù)載保持最小。

公共生成樹的缺點(diǎn)如下：

＞只用一個(gè)根網(wǎng)橋，這不能為所有的VLAN做到網(wǎng)橋的優(yōu)化放置，導(dǎo)致

對(duì)某些設(shè)備來說可能存在次優(yōu)化路徑。

＞為包括交換架構(gòu)中的所有端口，生成樹的拓?fù)浣Y(jié)構(gòu)較大，這就會(huì)導(dǎo)致

較長的收斂時(shí)間和更頻繁的重新配置。

11/26

4增強(qiáng)型的按VLAN生成樹(PVST+)PVST+有以下特征：

＞它是CISC。發(fā)展的，可以與802.1Q公共生成樹(CST)互操作。

＞通過ISL中繼，PVST+與現(xiàn)存的CISCO交換機(jī)PVST協(xié)議向后兼

容，同時(shí)，PVST+也通過802.1Q中繼與CST連接互操作。

＞如果PVST區(qū)域和CST區(qū)域之間要互操作，一定要通過PVST+區(qū)

域。

二生成樹配置

生成樹配置涉與下面一些任務(wù)：

＞選舉和維護(hù)一個(gè)根網(wǎng)橋。

＞通過配置一些生成樹的參數(shù)來優(yōu)化生成樹。(如端口優(yōu)先級(jí)端口成

本)

＞通過配置上行鏈路來減少生成樹的收斂時(shí)間。2950交換機(jī)上生成

樹的缺省配置：

＞STP啟用：缺省情況下VLAN1啟用

＞STP模式：PVST+

＞交換機(jī)優(yōu)先級(jí)：32768

＞STP端口優(yōu)先級(jí)：128

＞STP路徑成本：1000M:4100M:1910M:100

＞STPVLAN端口成本：(同上)

＞STP計(jì)時(shí)器：HELLO時(shí)間：2秒轉(zhuǎn)發(fā)延遲：15秒最大老化時(shí)間：

20秒

1啟用生成樹：

switch(config)#spanning-treevlanvlan-list

步驟：switch#configt

switch(config)#spanning-treevlan10

12/26

switch（config）#end

switch#showspanning-treesummary/detail

summary摘要detail詳細(xì)

BridgeIdentifierhaspriority8912,address0006.eb06.1741（本地

交換機(jī)網(wǎng)橋ID）

desigatedroothaspriority8912,address0006.eb06.1741（根網(wǎng)橋

ID）

designatedportis7,pathcost0（路徑成

本）times:hold1,topologychange35,notification2hello2,max

age20,forwarddelay15（根計(jì)時(shí)器）

2人為建立根網(wǎng)橋

在生成樹網(wǎng)絡(luò)中，最重要的事情就是決定根網(wǎng)橋的位置。

可以讓交換機(jī)自己根據(jù)一定的原則來選擇根網(wǎng)橋以與備份或從

（secondary）根網(wǎng)橋，也可使用命令人為指定根網(wǎng)橋。

PS：不要將接入層的交換機(jī)配置為根網(wǎng)橋。STP根網(wǎng)橋通常是匯聚層

或者核心層的交換機(jī)。

通過命令直接建立根網(wǎng)橋：

spanning-treevlanvlan-idrootprimary（網(wǎng)橋優(yōu)先級(jí)被置為

24576）

步驟：

switch#configterminal

switch（config）#spanning-treevlanvlan-

idrootprimarydianmeternet-diameterhello-timesec

為VLAN配置根網(wǎng)橋、網(wǎng)絡(luò)半徑以與HELLO間隔ROOT關(guān)鍵字：

指定這臺(tái)交換機(jī)為根網(wǎng)橋

13/26

diameternetdianmeter：該關(guān)鍵字指定在末端口主機(jī)任意兩點(diǎn)之間的

網(wǎng)段的最大數(shù)量。net-diameter的值是2—7.這個(gè)直徑應(yīng)該從根網(wǎng)橋開

始計(jì)算，根網(wǎng)橋是

1switch(config)#end

switch#showspanning-treevlanvlan-iddetail讓交換機(jī)返回缺

省的配置，可以使用如下命令：

nospanstreevlanvlan-idroot

2＞修改網(wǎng)橋的優(yōu)先級(jí)別：多數(shù)情況下做如下配置：

spanning-treevlanvlan-idrootprimary(主ROOT網(wǎng)橋優(yōu)先級(jí)

被置為24576)spanning-treevlanvlan-idrootsecondary(備份

ROOT網(wǎng)橋優(yōu)先級(jí)被置為28672)修改網(wǎng)橋優(yōu)先級(jí)：

spanning-treevlanvlan-idprioritybridge-priority

3確定到根網(wǎng)橋的路徑

生成樹協(xié)議依次用BPDU中這些不同域來確定根網(wǎng)橋的最佳路徑：

〉根路徑成本(ROOTPATHCOST)

＞發(fā)送網(wǎng)橋ID(BRIDGEID)

＞發(fā)送端口ID(PORTID)

從端口發(fā)出BPDU時(shí)，它會(huì)被施加一個(gè)端口成本，所有端口成本的總

和就是根路徑成本。生成樹首先查看根路徑成本，以確定哪些端口應(yīng)該

轉(zhuǎn)發(fā)，哪些端口應(yīng)該阻塞。報(bào)告最低路徑成本的端口被選為轉(zhuǎn)發(fā)端口。

如果對(duì)多個(gè)端口來說，其中根路徑成本相同，那么，生成樹將查看網(wǎng)橋

ID.報(bào)告有最低網(wǎng)橋ID的BPDU端口被允許進(jìn)行轉(zhuǎn)發(fā)，而其他所有端口

被阻斷。

如果路徑成本和發(fā)送網(wǎng)橋ID都相同(如在平行鏈路中)，生成樹將查

看發(fā)送端口ID.端口ID值小的優(yōu)先級(jí)高，將作為轉(zhuǎn)發(fā)端口。

4修改端口成本

14/26

如果想要改變某臺(tái)交換機(jī)和根網(wǎng)橋之間的數(shù)據(jù)通路，就要仔細(xì)計(jì)算當(dāng)前

的路徑成本，然后，改變所希望路徑的端口成本。

我們可以更改交換機(jī)端口的成本，端口成本更低的端口更容易被選為轉(zhuǎn)

發(fā)幀的端口。

spanning-treevlanvlan-idcostcost

nospanning-treevlanvlan-idcost（恢復(fù)默認(rèn)成本）配置步驟：

>1configterminal進(jìn)入配置狀態(tài)

>2interfaceinterface-id進(jìn)入端口配置界面

本資料由-大學(xué)生創(chuàng)業(yè)I創(chuàng)業(yè)I創(chuàng)業(yè)網(wǎng)/提供資料

在線代理I網(wǎng)頁代理I代理網(wǎng)頁I

減肥藥排行榜I淘寶最好的減肥藥I什么減肥藥效果最好I減肥瘦身藥I

>3spanning-treevlanvlan-idcostcost值為某個(gè)VLAN配置端口

成本

>4end

>5showspanning-treeinterfaceinterface-iddetail查看配置

>6write

5修改端口優(yōu)先級(jí)

在根路徑成本和發(fā)送網(wǎng)橋ID都相同的情況下，有最低優(yōu)先級(jí)的端口將

為vlan轉(zhuǎn)發(fā)數(shù)據(jù)幀。

對(duì)應(yīng)基于CLI的命令的交換機(jī)，可能的端口優(yōu)先級(jí)別范圍為。?63,缺

省為32.基于IOS的交換機(jī)端口的優(yōu)先級(jí)別范圍是。?255,缺省為

128.

spanning-treevlanvlan-idport-prioritypriority值

nospanning-treevlanvlan—idport-priority

1>configterminal（進(jìn)入配置模式）

15/26

2>interfaceinterface-id(進(jìn)入端口配置模式)

3>spanning-treevlanvlan-idport-priority值

4>end

5>showspanning-treeinterfaceinterface-iddetail

6>write

6修改生成樹計(jì)時(shí)器

使用缺省的STP計(jì)時(shí)器配置，從一條鏈路失效到另一條接替，需要花

費(fèi)5。秒。這可能使網(wǎng)絡(luò)存取被耽誤，從而引起超時(shí)，不能阻止橋接回路

的產(chǎn)生，還會(huì)對(duì)某些協(xié)議的應(yīng)用產(chǎn)生不良影響，會(huì)引起連接、會(huì)話或數(shù)

據(jù)的丟失。

還有一種情況就是使用熱備份路由選擇協(xié)議(HSRP),將兩臺(tái)路由器連

接到一臺(tái)交換機(jī)上。某些情況下，缺省的STP的計(jì)時(shí)器值對(duì)于HSRP而

言過長，會(huì)引起“活動(dòng)”路由器的選擇的錯(cuò)誤。

1修改HELLO時(shí)間

spanning-treevlanvlan-idhello-timeseconds

可以修改每一個(gè)VLAN的Hello間隔(HELLOTIME),它的取值范

圍是1?10秒

2修改轉(zhuǎn)發(fā)延遲計(jì)時(shí)器

轉(zhuǎn)發(fā)延遲計(jì)時(shí)器(forwarddelaytimer)確定一個(gè)端口在轉(zhuǎn)換到學(xué)習(xí)

狀態(tài)之前處于偵聽狀態(tài)的時(shí)間，以與在學(xué)習(xí)狀態(tài)轉(zhuǎn)換到轉(zhuǎn)發(fā)狀態(tài)之前處

于學(xué)習(xí)狀態(tài)的時(shí)間。

spanning-treevlanvlan-idforward-timeseconds

PS:轉(zhuǎn)發(fā)時(shí)間過長，會(huì)導(dǎo)致生成樹的收斂過慢

轉(zhuǎn)發(fā)時(shí)間過短，可能會(huì)在拓?fù)涓淖兊臅r(shí)候，引入暫時(shí)的路徑回環(huán)。

3修改最大老化時(shí)間

最大老化時(shí)間(MAX—AGETIMER)規(guī)定了從一個(gè)具有指定端口的鄰

接交換機(jī)上所收到的BPDU報(bào)文的生存時(shí)間。

16/26

如果非指定端口在最大老化時(shí)間內(nèi)沒有收到BPDU報(bào)文，該端口將進(jìn)

入listening狀態(tài)，并接收交換機(jī)產(chǎn)生配置BPDU報(bào)文。修改命令：

spanning-treevlanvlan-idmax-ageseconds

nospanning-treevlanvlan-idmax-age?；謴?fù)默認(rèn)值)

7速端口的配置

通過速端口，可以大大減少處于偵聽和學(xué)習(xí)狀態(tài)的時(shí)間，速端口幾乎立

刻進(jìn)入轉(zhuǎn)發(fā)狀態(tài)。速端口將工作站或者服務(wù)器連接到網(wǎng)絡(luò)的時(shí)間減至最

短。

PS:確定一個(gè)端口下面接的是終端的時(shí)候，方可啟用速端口設(shè)置

switch(config-if)#spanning-treeportfast

switch(config-if)#nospanning-treeportfast(關(guān)閉速端口)

查看端口的速端口狀態(tài)：

showspanning-treeinterfaceinterface-iddetail(最后一行)

8上行速鏈路的配置

當(dāng)檢測到轉(zhuǎn)發(fā)鏈路發(fā)生失效時(shí)，上行鏈路可使交換機(jī)上一個(gè)阻斷的端口

幾乎立刻馬上開始進(jìn)行轉(zhuǎn)發(fā)。

1＞上行速鏈路在企業(yè)網(wǎng)中的應(yīng)用交換機(jī)可以分為3級(jí)：

＞核心層交換機(jī)

＞匯聚層交換機(jī)

＞接入層交換機(jī)

匯聚層和接入層的交換機(jī)上各自都至少有一條冗作鏈路被STP阻塞，

以避免環(huán)路。使用STP上行速鏈路，可以在鏈路或者交換機(jī)失效或者

STP重新配置時(shí)，加速新的根端口的選擇過程。被阻塞端口會(huì)立即轉(zhuǎn)換

到轉(zhuǎn)發(fā)狀態(tài)。

上行速鏈路還可以通過減少參數(shù)最大更新速率(max-update-rate,

IOS)來限制突發(fā)的組播通信。這些參數(shù)的缺省值是150包/秒。

17/26

在網(wǎng)絡(luò)邊緣的接入層上，上行速鏈路是一項(xiàng)最有用的功能，但它不適合

用在骨干設(shè)備上。上行速鏈路能在直連鏈路失效時(shí)實(shí)現(xiàn)快速收斂，并

能通過上行鏈路組（uplinkgroup）,在多個(gè)冗余鏈路之間實(shí)現(xiàn)負(fù)載平

衡。上行鏈路組是一組接口（屬于各個(gè)VLAN）上行鏈路組由一個(gè)根端

口（處于轉(zhuǎn)發(fā)狀態(tài)）和一組阻塞狀態(tài)的端口組成。

上行鏈路的配置：

要在配置了網(wǎng)橋優(yōu)先級(jí)的VLAN上啟動(dòng)上行速鏈路，必須首先將VLAN

上的交換機(jī)優(yōu)先級(jí)恢復(fù)到缺省值。使用：

nospanning-treevlanvlan-idpriority要配置上行速鏈路，需要使

用命令：

spanning-treeuplinkfast[max-uplink-ratepkts-per-second]

pkts-per-second的取值范圍是每秒0到32000個(gè)數(shù)據(jù)包。缺省值是

150,通常這個(gè)值就足夠了。

要檢查上行速鏈路的配置，可以使用如下命令：

showspanning-treesummarynospanning-treeuplinkfast（關(guān)

閉）

八.PPP和HDLC

cisco中hdlc與其他廠商不兼容，原因在于其數(shù)據(jù)幀中多了以

Proprietary字段，該字段主要用于不同協(xié)議之間！

cisco設(shè)備上串口默認(rèn)為HDLC封裝格式。如果要與其他廠商設(shè)備想鏈

接應(yīng)該用PPP或frame封裝格式！ppp是廣域網(wǎng)封裝協(xié)議ppp協(xié)議

的作用：具有驗(yàn)證和回?fù)芄δ茉试S同時(shí)采用多種網(wǎng)絡(luò)層路由協(xié)議；能

夠控制數(shù)據(jù)鏈路的建立；

能夠?qū)V域網(wǎng)的ip地址進(jìn)行分配和管理；能夠配置和測試數(shù)據(jù)鏈

路；

18/26

具有有效的錯(cuò)誤檢測；

PPP協(xié)議分為兩層：網(wǎng)絡(luò)控制協(xié)議（nep）:ppp通過NCP攜帶多個(gè)

協(xié)議的數(shù)據(jù)包。這就是之前提到的PPP

可以同時(shí)攜帶多種網(wǎng)絡(luò)層路由協(xié)議。

和鏈路控制協(xié)議（lep）:ppp通過LCP建立和控制連接。ppp驗(yàn)

證概念ppp回話的建立

1、鏈路建立

2、驗(yàn)證階段（可選）

3、網(wǎng)絡(luò)層協(xié)議連接ppp驗(yàn)證協(xié)議：

1、PAP（密碼驗(yàn)證協(xié)議）

2、CHAP（詢問握手協(xié)議Challenge-

HandshakeAuthenticationProtocol）PAP驗(yàn)證協(xié)議：稱為簡單的

驗(yàn)證協(xié)議，兩次握手、密碼明文傳輸、驗(yàn)證兩端是同等的。

PAP工作過程：遠(yuǎn)程路由器將自己的用戶名（用戶名為自己路由的

hostname）和公有的密碼（即雙方密碼相同）發(fā)送給核心路由

器，核心路由器將接受的用戶名和密碼與自己的local用戶列表

（改列表中要存在對(duì)方路由器和密碼的本地用戶）。如果匹配，則

accepto否則，rejectoppp總結(jié)：兩次握手，密碼在鏈路上是明文傳

輸?shù)?；建立連接后，許反復(fù)傳輸用戶名和密碼；遠(yuǎn)程節(jié)點(diǎn)受到登陸

嘗試的頻率和定時(shí)的限制。PAP認(rèn)證方式：單向、或雙向認(rèn)證。

CHAP驗(yàn)證協(xié)議：稱為詢問握手協(xié)議，三次握手、密碼加密傳輸。

CHAP工作過程分為：詢問、響應(yīng)、接受/拒絕。

詢問：core路由器向遠(yuǎn)程路由器提出詢問。

響應(yīng)：遠(yuǎn)程路由器回應(yīng)Core路由器。

接受/決絕：Core決定接受還是拒絕。

密碼驗(yàn)證協(xié)議：

19/26

RemoteuserAccessserver

JohnRunPPP,Cisco

Localuser

1UseCHAPdatabase

Name:johnRequestforchallengeusernamejohn

Password:urbizpasswordurbiz

Challenge

Response

單向CHAP認(rèn)證:

第一步拔號(hào)者發(fā)起CHAP呼叫

3640-1

pppauthenticationCHAP、

LCP協(xié)商CHAP認(rèn)證方式和MD5算法

第二步向撥號(hào)者發(fā)送挑戰(zhàn)信息

1磔。.挑戰(zhàn)數(shù)據(jù)包;隨機(jī)數(shù)，認(rèn)證名…

2用忤列'，；保存在訪問服務(wù)器中;

3,向呼叫方發(fā)送挑戰(zhàn)數(shù)據(jù)包;

第三步撥號(hào)者處理挑戰(zhàn)信息

20/26

3640-1

USHIpass

dpel01idrandom3640-1

拔號(hào)者處理CHAP挑戰(zhàn)系據(jù)包;

1,將序列號(hào)放入MD5散到大成器;

2,將隨機(jī)數(shù)放入MD5設(shè)列1：成器：

hash

3,用訪問服務(wù)怒的認(rèn)證幺比較II令

4.心片他放入MD5強(qiáng)列T成器

第四步撥號(hào)者向訪問服務(wù)器發(fā)送挑戰(zhàn)應(yīng)答

第五步訪問服務(wù)器檢查撥號(hào)者發(fā)過來的應(yīng)答包

21/26

第六步訪問服務(wù)器向撥號(hào)者發(fā)送通過/失敗的消息

CHAP配置步驟:

A路由器：Hostnameaccesshost

UsernamecorehostPassword123

注意：此處的用戶名為對(duì)端路由器的hostname,雙放密碼要相同。

InterfO/-

Ipadd192.168.1.1255.255.255.0

Clockrate9600

22/26

Encapsulastionppp

Pppauthenticationchap

B路由器：HostnamecorehostPasswor

UsernameaccesshostPassword123

注意：此處的用戶名為對(duì)端路由器的hostname,雙放密碼要相同。

InterfO/-

Ipadd192.168.1.2255.255.255.0

Encapsulastionppp

Pppauthenticationchap（經(jīng)驗(yàn)證：以上配置成功）

PAP雙向配置步驟：

A路由器：

Usernametestlpasswordtestl

Iners0/0

Ipadd192.168.1.1255.255.255.0

Clockrate9600

Encapsuppp

Pppauthenpap

Ppppapsent-usemametest2passwordtest2

Nosh

B路由器：

Usernametest2passwordtest2

Iners0/0

Ipadd192.168.1.2255.255.255.0

Encapsuppp

23/26

Pppauthenpap

Ppppapsent-usemametestlpasswordtestl

Nosh

注意：cisco兩臺(tái)路由器中配置雙向PAP時(shí)，兩臺(tái)路由器都要配

置相應(yīng)的用戶名和密碼