第3部分交換機基礎第6章交換機工作原理 第7章交換機配置基礎實訓4交換機管理安全配置實訓5使用FTP方式備份配置文件和系統第6章交換機工作原理ABCD6.1共享式以太網和交換式以太網6.3交換機的主要性能指標6.2交換機工作原理和廣播域6.4交換機的分類第6章交換機工作原理6.1共享式以太網和交換式以太網1.共享式以太網和CSMA/CD在早期的以太網中，多站點共享同一信道，站點間通信采用廣播方式，易發生信號沖突。這種情況就如同在開圓桌會議一樣，只能一個人說話而其他人聽，如果很多人同時說話就會雜亂而產生沖突，因為大家是共享信道，另外相互對話的是某兩個人，相互說話都帶有地址信息，所有的人都會收到，只有對話雙方會進行相互回應，而其他人都會丟棄該信息，因為大家的通信方式是廣播式通信，如圖6-1所示。在這里需要強調的是信號、數據的區別，信號是數據在傳輸過程中的表現方式，而網絡中物理層的比特流就是這樣的信號，換句話說就是數據只有成為了信號之后才能進行網絡傳輸。6.1共享式以太網和交換式以太網1.共享式以太網和CSMA/CD這種共享信道、廣播式通信的以太網簡稱為共享式以太網。圖6-1共享信道廣播式通信6.1共享式以太網和交換式以太網1.共享式以太網和CSMA/CD共享式以太網用CSMA/CD技術（CarrierSenseMultipleAccess/CollisionDetect，載波監聽多路訪問/沖突檢測）來避免和減少信號沖突。CSMA/CD的工作過程如圖6-2所示。CSMA/CD的工作原理可以總結為“先聽后發、邊發邊聽、沖突停止、延時重發”。CSMA/CD工作過程6.1共享式以太網和交換式以太網2.沖突域的概念在早期的以太網中，由于傳輸距離的增加會造成傳輸的比特流信號衰減，早期以太網使用中繼器和集線器來對信號進行再生放大，從而延長傳輸信號的距離。這種只能對物理層的比特流信號進行再生放大的設備，我們稱之為物理層設備。比特流信號的再生放大6.1共享式以太網和交換式以太網2.沖突域的概念值得注意的是，通過中繼器、集線器雖然增強了比特流信號，網絡布線距離得到了延長，但是同樣還是不能有兩臺站點同時發送比特流信號，因為中繼器、集線器并不能隔離沖突信號，不能隔離沖突信號的原因如圖所示。物理層設備不能隔離沖突6.1共享式以太網和交換式以太網2.沖突域的概念圖6-5表明了使用物理層設備中繼器、集線器連接的物理網絡都屬于同一個沖突域，這樣沖突域的網絡中任何一個時間節點都只能是一個站點發送數據、一個站點接收數據，而不能同時多個站點進行數據傳輸，例如在圖6-5中A發數據給B的時候，只能是A發送、B接收，其他站點C、D都不能進行數據傳輸。沖突域的概念6.1共享式以太網和交換式以太網3.交換式以太網的產生共享式以太網存在的問題如下：（1）隨著網絡接入站點的增多，沖突增多，線路上數據有效傳輸嚴重下降，線路上充斥著大量無效無用的沖突信號，而嚴重影響網絡的性能。（2）網絡的擴大，數據流量應該本地化，也就是本地的兩臺站點之間的通信，不應該影響其他站點之間的數據通信。（3）由于共享信道廣播式通信，網絡傳輸中數據的安全性無法得到保證，容易被竊聽。6.1共享式以太網和交換式以太網3.交換式以太網的產生由于共享信道廣播式網絡存在以上的缺點，為了有效地隔離沖突域，即將一個大的沖突域減小為多個小的沖突域，從而減少沖突的發生，如圖6-6，在1993年局域網內可以隔離沖突域的交換設備應運而生，傳統共享式以太網也演變成為了交換式以太網。圖6-6隔離沖突域的思路6.1共享式以太網和交換式以太網3.交換式以太網的產生那么交換設備如何隔離沖突域的呢？沖突產生的根本原因在于共享信道，因此隔離沖突域的基本思路就是將共享式以太網的共享信道改變成為交換式以太網的獨享信道，如圖6-7所示，原來使用的中繼器、集線器也演變成了現在使用的交換機。6.2交換機工作原理和廣播域1.交換機的工作原理以太網交換機的英文名稱為“Switch”，工作在OSI/RM模型的數據鏈路層，屬于二層設備，這一點與中繼器和集線器完全不一樣，中繼器和集線器工作于物理層，處理的信息單元是比特流信號，而交換機處理的信息單元是數據鏈路層的以太網幀。6.2交換機工作原理和廣播域1.交換機的工作原理交換機關鍵的技術就是交換機可以識別連在網絡上站點的網卡MAC地址，并把它們放到交換機的MAC地址表中。交換機的MAC地址表如圖6-8所示。交換機的MAC地址表6.2交換機工作原理和廣播域1.交換機的工作原理交換機的工作原理示意圖如圖6-9所示。以太網交換機從物理層接收比特流信號，恢復出以太網數據幀提交給數據鏈路層，數據鏈路層對以太網數據幀進行幀校驗等檢查后，根據以太網數據幀目的MAC地址進行轉發。圖6-9以太網交換機工作原理示意圖6.2交換機工作原理和廣播域1.交換機的工作原理交換機工作原理就是五個工作特性，分別是學習源MAC地址、泛洪廣播幀、泛洪未知目的幀、轉發數據幀和過濾數據幀。當交換機接收到一個數據幀時，交換機將數據幀的源MAC地址和交換機的MAC地址表進行比較，如果源MAC地址不在MAC地址表中，交換機會將該數據幀的源MAC地址加入到MAC地址表中，同時加入的還有接收該數據幀的交換機端口號，如果源MAC地址在MAC地址表中，但MAC地址表中對應的端口和接收該數據幀的交換機端口不一致，則進行更新MAC地址表中該MAC地址對應的端口號為接收該數據幀的交換機端口號。這就是網橋的“學習源MAC地址”特性。如果交換機接收的一個數據幀，如果該數據幀的目的MAC地址為FF-FF-FF-FF-FF-FF（即該幀為廣播幀），則交換機向除接收該幀的端口以外的所有端口擴散該幀，也就是交換機不能隔離廣播幀，這就是交換機的“泛洪廣播幀”特性。如果交換機接收的一個數據幀，經過查MAC地址表，沒有查到該幀目的MAC地址所在端口，則交換機向除接收該幀的端口以外的所有端口擴散該幀，這就是交換機的“泛洪未知目的幀”特性。如果交換機接收的一個數據幀，經過查MAC地址表，發現數據幀中源MAC地址所處端口和目的MAC地址所處端口相同，則交換機丟棄該幀，這就是交換機的“過濾數據幀”特性。如果交換機接收的一個數據幀，經過查MAC地址表，發現數據幀中源MAC地址所處端口和目的MAC地址所處端口不相同，則交換機從相應端口轉發該幀，這就是交換機的“轉發數據幀”特性。在這樣五個特性的共同作用下，經過一段時間，交換機的MAC地址表中就收集齊了網絡中所有站點的MAC地址，就可以對數據幀進行有序、有目的性地轉發。6.2交換機工作原理和廣播域2.廣播域的概念如圖6-10，交換機可以隔離沖突，但交換機不能隔離廣播幀，也就是網絡中任意一個站點發送一個廣播幀，整個廣播域中的所有站點都會接收這個廣播幀，交換機的每個端口都為一個沖突域，而交換機的所有端口共同構成一個廣播域。圖6-10廣播域和沖突域6.2交換機工作原理和廣播域2.廣播域的概念以下通過表6-1來區分一下交換機、網橋、中繼器和集線器。表6.1交換機、網橋、中繼器、集線器區分6.3交換機的主要性能指標交換機的主要性能指標集中在端口參數、交換容量、包轉發率、轉發模式、支持特性等五個方面，以下表6-2羅列了H3CS5820V2-54QS-GE交換機的主要性能指標。表6-2交換機主要性能指標6.3交換機的主要性能指標1.端口參數一般情況下，對于網絡設備工作在OSI/RM數據鏈路層的連接適配口我們稱之為端口，對于工作在OSI/RM網絡層的連接適配口我們稱之為接口，換句話說，如果這個連接適配口不能配置IP地址，我們稱之為端口，如果這個連接適配口可以配置IP地址，我們稱之為接口。H3CS5820V2-54QS-GE為三層交換機，當連接適配口工作在二層的時候，我們稱之為端口，當連接適配口工作在三層的時候，我們稱之為接口。交換機可以提供大量的網絡連接端口，交換機上的端口主要分為三種，一種是用于交換機管理所用，一種是用于雙絞線連接，一種是用于光纖連接。6.3交換機的主要性能指標2.交換容量交換容量也叫背板帶寬、交換帶寬，是交換機接口處理器或接口卡和數據總線間所能吞吐的最大數據量。交換容量標志了交換機總的數據交換能力，單位為Gbps或Tbps。一臺交換機的交換容量越高，所能處理數據的能力就越強，bps即bit/秒。6.3交換機的主要性能指標3.包轉發率包轉發率標志了交換機轉發數據包能力的大小。單位一般位pps（包每秒），一般交換機的包轉發率在幾十Kpps到幾百Mpps不等。包轉發速率是指交換機每秒可以轉發多少百萬個數據包（Mpps），即交換機能同時轉發的數據包的數量。包轉發率以數據包為單位體現了交換機的交換能力。6.3交換機的主要性能指標4.轉發模式交換機的轉發模式主要有直通方式、存儲轉發方式、碎片隔離方式三種方式，現在大部分的交換機產品都為存儲轉發方式。直通方式：交換機只檢查數據幀的幀頭（通常只檢查14個字節），不進行幀校驗，不但正常幀，而且可能存在的殘幀、超長幀、錯誤幀都會被轉發。存儲轉發方式：交換機將收到的數據幀緩存起來，然后對幀校驗序列FCS進行幀校驗，只有正常幀被轉發，而殘幀、超長幀、錯誤幀都會被丟棄。碎片隔離方式：交換機只判斷收到的數據幀是否足夠64個字節，正常幀、超長幀、錯誤幀被轉發，而殘幀會被丟棄。殘幀為小于64字節的幀，超長幀為超過1518字節的幀。6.3交換機的主要性能指標5.支持特性交換機的支持特性非常多，主要是針對于交換機實際應用場景所符合的國際性標準和企業標準而定，如對生成樹技術、虛擬局域網VLAN技術、鏈路聚合技術等方面的支持。通常情況下，性能越優異的交換機設備支持特性也就越多，相關的一些支持特性我們在后續內容中進行介紹。6.4交換機的分類交換機的分類標準多種多樣：如根據傳輸速度劃分，可以分為百兆交換機、千兆交換機、萬兆交換機等。如根據規模應用劃分，可以分為企業級交換機、部門級交換機、工作組交換機等。如根據架構特點劃分，可以分為機架式、帶擴展槽固定配置式、不帶擴展槽固定配置式等。如根據OSI/RM工作層次劃分，可以分為二層交換機、三層交換機、四層交換機等。如根據是否可管理，可以分為可管理型交換機、不可管理型交換機等。6.4交換機的分類以下我們根據交換機最流行的分類方法——網絡整體規劃分層設計來劃分。按照網絡整體規劃分層設計，交換機可以分為接入層交換機、匯聚層交換機和核心層交換機，如圖所示。接入層、匯聚層、核心層交換機6.4交換機的分類以下以H3C公司產品為例，對于大型園區網絡而言，如S10500系列、S7600系列、S7500系列、S6500系列等均可作為核心層交換，如S5800系列、S5500系列、S5170系列、S5150系列、S5130系列、S5120系列、S5110系列、S5000系列等均可作為匯聚層交換，如S3600系列、S3100系列、S2600系列、S1800系列、S1600系列等均可作為接入層交換，當然如果網絡規模有限，那么匯聚層交換也可以作為核心層交換。如圖6-13為H3CS10500系列以太網核心交換機。圖6-13H3CS10500系列以太網核心交換機項目7交換機配置基礎7.1交換機外觀和端口命名方法1．交換機的外觀以下以HCL模擬器中的交換機S5820V2-54QS-GE為例進行介紹，S5820V2-54QS-GE是H3C公司的S5820V2系列中的一個型號，S5820V2系列交換機定位于下一代數據中心及云計算網絡中的高密接入，也可用于企業網、城域網的核心或匯聚。S5820V2-54QS-GE的外觀如圖7-1所示。圖7-1S5820V2-54QS-GE外觀7.1交換機外觀和端口命名方法1．交換機的外觀在介紹S5820V2-54QS-GE的端口之前，我們首先要了解一個評價網絡設備接口速度的單位bps（bitpersecond），1個bit就是一位二進制位，bps就是指每秒鐘傳輸的二進制位數。數量等級為1Kbps=1024bps，1Mbps=1024Kbps，1Gbps=1024Mbps，1Tbps=1024Gbps。7.1交換機外觀和端口命名方法1．交換機的外觀48個GE口為10M/100M/1000Mbps自適應的以太網雙絞線口，傳輸速度最高1Gbps。4個1/10GSFP+口可以通過加裝SFP+光模塊連接多模光纖和單模光纖，傳輸速度最高為10Gbps。2個QSFP+口可以加裝QSFP+光模塊連接多模光纖和單模光纖，傳輸速度最高為40Gbps。1個Console口，使用配置專用線連接Console口和計算機的COM串口，通過終端仿真程序，可以對設備進行配置。1個管理用以太網口，用于連接遠程的網管計算機，實現進行交換機設備的遠程管理。1個USB口主要用于備份交換機的操作系統和配置文件，也可以用于升級交換機的操作系統。通常情況下，交換機連接雙絞線的端口稱為電口，交換機連接光纖的端口稱為光口。7.1交換機外觀和端口命名方法2．交換機端口的命名交換機端口較多，為了較好地區分各個端口，需要對相應的端口命名。一般情況下，交換機端口的命名規范為：端口類型堆疊號/交換機模塊號/模塊上端口號（如交換機不支持堆疊，則沒有堆疊號）。如圖7-2為S5820V2-54QS-GE交換機端口的命名情況。7.1交換機外觀和端口命名方法2．交換機端口的命名如圖7-3為兩臺S5820V2-54QS-GE交換機通過H3C的IRF技術進行堆疊后端口命名情況。圖7-3兩臺S5820V2-54QS-GE堆疊后端口命名7.2交換機的管理方式1．帶外管理帶外管理（Out-BandManagement），就是不占用網絡帶寬的管理方式，即用戶通過交換機的Console端口對交換機進行配置管理。通常用戶會在首次配置交換機或者無法進行帶內管理時使用帶外管理方式。交換機的配置線纜一般隨交換機產品裝箱。圖7-4配置線連接7.2交換機的管理方式1．帶外管理配置線正確連接后，可以使用SecureCRT終端軟件來連接交換機，具體方法如圖7-5所示，打開SecureCRT終端軟件，菜單欄——文件——快速連接，設置協議為“Serial”，端口為計算機連接交換機的串口，波特率“9600”、數據位“8”、奇偶校驗“無”、停止位“1”，流控“無”，設置好屬性后，單擊連接即可進入交換機的配置界面。圖7-5超級終端連接交換機Console端口7.2交換機的管理方式2．帶內管理所謂帶內管理（In-BandManagement），就是需要占用網絡帶寬的管理方式，如圖7-6所示，即帶內管理通常為以下四種情況：通過TELNET客戶端軟件使用TELNET協議登錄到交換機進行管理；通過SSH客戶端軟件使用SSH協議登錄到交換機進行管理；通過Web瀏覽器使用HTTP協議登錄到交換機進行管理；通過網絡管理軟件（如CiscoWorks）使用SNMP協議對交換機進行管理。是否支持所有這些管理方式，需要根據不同產品而定。7.3交換機的命令視圖交換機的命令行接口（CommandLineInterface，CLI）界面由網絡設備操作系統提供，H3C網絡設備現在主要使用的是ComwareV7版本的操作系統，ComwareV7提供了豐富的功能，相應的也提供了多樣的配置和查詢的命令。為便于用戶使用這些命令，ComwareV7將命令按功能分類進行組織。7.3交換機的命令視圖H3C公司交換機產品的命令視圖如圖7-7所示。命令視圖采用分層結構。第一層為用戶視圖，第二層為系統視圖，第三層為各個功能視圖。7.3交換機的命令視圖1．用戶視圖用戶登錄設備后，即進入用戶視圖，在用戶視圖下可執行的操作主要包括查看操作、調試操作、文件管理操作、設置系統時間、重啟設備、FTP和Telnet操作等。用戶視圖的提示符為<系統名稱>，例如<H3C>，用戶可以自行配置系統名稱。7.3交換機的命令視圖2．系統視圖在用戶視圖下鍵入system-view命令，即進入系統視圖，系統視圖的提示符為[系統名稱]，例如[H3C]，如下所示。<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]在系統視圖下，能對設備運行參數以及部分功能進行配置，例如配置夏令時、配置歡迎信息、配置快捷鍵等。如下為把系統名稱H3C修改為MySwitch。<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]sysnameMySwitch[MySwitch]7.3交換機的命令視圖3．功能視圖在系統視圖下，輸入不同的命令，可以分別進入各個功能視圖。對交換機的管理，大部分都是在各個功能視圖下完成。例如以下為進入到GigabitEthernet1/0/1的接口視圖[MySwitch]interfaceGigabitEthernet1/0/1[MySwitch-GigabitEthernet1/0/1]例如以下為創建了一個VLAN，編號10，并進入到VLAN視圖。[MySwitch]vlan10[MySwitch-vlan10]例如以下為創建了一個本地用戶test，并進入到本地用戶視圖。[MySwitch]local-usertestNewlocaluseradded.[MySwitch-luser-manage-test]7.4交換機配置技巧1.交換機配置命令的格式交換機為用戶提供了各種各樣的配置命令，盡管這些配置命令的形式各不一樣，但它們都遵循交換機配置命令的語法。交換機提供的通用命令格式：命令關鍵字參數或變量如命令vlan10進入vlan10視圖，vlan為關鍵字，10為變量。如命令displaylocal-useruser-nametest查看本地用戶test，display為關鍵字，local-useruser-name為參數，test為變量。7.4交換機配置技巧2.交換機配置命令的快捷鍵交換機為方便用戶的配置，特別提供了多個快捷鍵，如上、下、左、右鍵及刪除鍵BackSpace等。表7-1列出了一些常用快捷鍵的功能。表7-1配置常用快捷鍵7.4交換機配置技巧3.交換機配置命令的幫助交換機的配置命令非常多，用戶可以通過輸入？獲取非常多的幫助信息。具體的？使用主要有以下三個方面。（1）在任意視圖下，鍵入?即可獲取該視圖下可以使用的所有命令及其簡單描述。例如圖7-8在用戶視圖下輸入？，可以查看用戶視圖下的所有命令及其簡單描述。7.4交換機配置技巧3.交換機配置命令的幫助（2）鍵入一條命令的關鍵字，后接以空格分隔的?，則列出全部關鍵字的簡單描述或有關的參數描述，例如圖7-9是display命令后可以輸入的關鍵字或參數。7.4交換機配置技巧3.交換機配置命令的幫助（3）鍵入命令的不完整關鍵字，其后緊接?，顯示以該字符串開頭的所有命令關鍵字，例如圖7-10是系統視圖下第一個字母為f的所有命令。7.4交換機配置技巧4.交換機配置命令的錯誤信息當輸入的命令，如果通過設備的語法檢查，則正確執行，否則會出現錯誤信息，常見的錯誤信息參見表7-2。表7-2常見的錯誤信息7.4交換機配置技巧5．交換機命令配置技巧（1）命令簡寫在輸入一個命令時，可以只輸入命令字符串的前面部分，只要長到系統能夠與其他命令區分就可以，而不用完整輸入。例如進入系統視圖的“system-view”命令，只需輸入“sys”即可。（2）命令完成如果在輸入一個命令字符串的部分字符后鍵入Tab鍵，系統會自動補全該命令的剩余字符，形成一個完整的命令。7.4交換機配置技巧（3）否定命令的作用對于許多配置命令，可以輸入前綴undo來取消一個命令的作用或者是將配置重新設置為默認值。例如在給交換機的管理VLAN1虛接口配置IP地址以后，可以使用undo命令取消所配置的IP地址。[H3C]interfaceVlan-interface1[H3C-Vlan-interface1]ipaddress[H3C-Vlan-interface1]undoipaddress[H3C-Vlan-interface1]7.5交換機的常用配置指令（1）displayversion，任意視圖，顯示設備系統版本信息。<H3C>displayversionH3CComwareSoftware,Version7.1.075,Alpha7571Copyright(c)2004-2017NewH3CTechnologiesCo.,Ltd.Allrightsreserved.H3CS5820V2-54QS-GEuptimeis0weeks,0days,0hours,0minutes……（2）Sysname，系統視圖，設置設備名稱。[H3C]sysnameMySwitch[MySwitch]7.5交換機的常用配置指令（3）displaycurrent-configuration，任意視圖可運行，顯示當前運行配置。[MySwitch]displaycurrent-configuration#version7.1.075,Alpha7571#sysnameMySwitch#……（4）Save，任意視圖，保存當前運行配置到設備存儲flash中（文件名startup.cfg）。

切記如果設備完成配置后，沒有進行保存，那么設備重新啟動后，原來的配置全部丟失。[MySwitch]saveThecurrentconfigurationwillbewrittentothedevice.Areyousure?[Y/N]:y……7.5交換機的常用配置指令（5）displaysaved-configuration，任意視圖，顯示交換機保存配置，即交換機下次加電啟動所用、保存在flash中的startup.cfg文件。<MySwitch>displaysaved-configuration#version7.1.075,Alpha7571#sysnameMySwitch#irfmac-addresspersistenttimer……7.5交換機的常用配置指令（6）reboot，用戶視圖，重啟設備。<MySwitch>rebootStarttocheckconfigurationwithnextstartupconfigurationfile,pleasewait.........DONE!Thiscommandwillrebootthedevice.Continue?[Y/N]:y……（7）resetsaved-configuration，用戶視圖，刪除設備存儲介質flash中保存的下次啟動配置文件startup.cfg，該命令即恢復設備出廠設置。<MySwitch>resetsaved-configurationThesavedconfigurationfilewillbeerased.Areyousure?[Y/N]:y……7.5交換機的常用配置指令（8）clockdatetime，用戶視圖，設置設備時間和日期，因H3C設備默認情況下啟用了NTP協議（networktimeprotocol），會與internet上的時間服務器自動校正時間，如要手工更改時間，必須在系統視圖clockprotocolnone關閉NTP協議。[H3C]displayclock15:22:20UTCSat03/13/2021[H3C]clockprotocolnone[H3C]quit<H3C>clockdatetime10:11:1207/08/20117.5交換機的常用配置指令（9）displayinterfaceGigabitEthernet1/0/1，任意視圖，顯示G1/0/1接口信息。[H3C]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]descriptionToBuildA\\因交換機端口非常多，可以添加描述信息，說明該端口連接到哪個地點。[H3C]displayinterfaceGigabitEthernet1/0/1GigabitEthernet1/0/1Currentstate:UPLineprotocolstate:UPIPpacketframetype:EthernetII,hardwareaddress:6ce5-4e98-0100Description:ToBuildABandwidth:1000000kbps……7.5交換機的常用配置指令（10）shutdown和undoshutdown，接口視圖，關閉接口或者啟動接口。[H3C]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]shutdown\\物理性關閉端口。[H3C-GigabitEthernet1/0/1]undoshutdown\\啟動端口。（11）displayinterfacebrief，任意視圖，顯示所有接口簡潔信息。[H3C]displayinterfacebrief……InterfaceLinkSpeedDuplexTypePVIDDescriptionFGE1/0/53DOWN40GAA1FGE1/0/54DOWN40GAA1GE1/0/1UP1G(a)F(a)A1GE1/0/2UP1G(a)F(a)A17.5交換機的常用配置指令（12）dirflash，用戶視圖，顯示設備flash存儲上的文件信息。startup.cfg為保存的下次啟動配置文件。Flash中的s5820v2_5830v2-cmw710-boot-a7514.bin為設備啟動的操作系統。<H3C>dirflash:/Directoryofflash:0drw--Mar13202114:52:16diagfile1-rw-1554Mar13202115:45:35ifindex.dat2-rw-21632Mar13202114:52:16licbackup3drw--Mar13202114:52:16license4-rw-21632Mar13202114:52:16licnormal5drw--Mar13202115:03:36logfile6-rw-0Mar13202114:52:16s5820v2_5830v2-cmw710-boot-a7514.bin7-rw-0Mar13202114:52:16s5820v2_5830v2-cmw710-system-a7514.bin8drw--Mar13202114:52:16seclog9-rw-6167Mar13202115:45:35startup.cfg10-rw-111076Mar13202115:45:35startup.mdb1046512KBtotal(1046284KBfree)7.5交換機的常用配置指令（13）ping，任意視圖可運行，測試與其他設備的連通性。在本設備與其他設備進行連通性測試之前，本設備必須具有一個IP地址，例如以下為配置本設備VLAN1虛接口IP地址為/24。[H3C]interfacevlan1[H3C-Vlan-interface1]ipaddress24[H3C-Vlan-interface1]quit[H3C]ping01Ping01(01):56databytes,pressCTRL_Ctobreak56bytesfrom01:icmp_seq=0ttl=255time=1.164ms56bytesfrom01:icmp_seq=1ttl=255time=0.670ms……7.5交換機的常用配置指令（14）displaythis，displaythis命令用來顯示當前視圖下生效的配置。當用戶在某一視圖下完成一組配置之后，需要驗證是否配置成功，則可以執行displaythis命令來查看當前生效的配置。[H3C]interfacevlan1[H3C-Vlan-interface1]displaythis#interfaceVlan-interface1ipaddress#return[H3C-Vlan-interface1]7.5交換機的常用配置指令（15）displaymac-address，任意視圖，顯示交換機的MAC地址表。<H3C>displaymac-addressMACAddressVLANIDStatePort/NicknameAging4c9b-d2f9-03061LearnedGE1/0/2Y4c9b-d6af-04061LearnedGE1/0/3Y（16）用于顯示交換機上當前ARP緩沖區的內容。[H3C]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressSVLAN/VSIInterface/LinkIDAgingType014c9b-d2f9-03061GE1/0/218D024c9b-d6af-04061GE1/0/320D實訓4交換機管理安全配置實訓4交換機管理安全配置實訓任務:交換機在網絡中作為一個中樞設備，它與許多工作站、服務器、路由器相連接。大量的業務數據也要通過交換機來進行傳送轉發。如果交換機的配置內容被攻擊者修改，很可能造成網絡的工作異常甚至整體癱瘓，從而失去網絡通信的能力。因此往往網絡管理員都要對交換機的管理安全進行配置，保證其運行的安全。通過本次實訓內容，主要完成兩個方面的管理安全配置第一個是帶外管理，即通過Console口進入交換機管理時，進行安全驗證，通過者才能進入交換機的CLI命令行。第二個是帶內管理，當管理員通過Telnet遠程登錄交換機對交換機進行管理時，進行安全驗證，通過者才能進入交換機的CLI命令行。實訓4交換機管理安全配置實訓拓撲:啟動HCL模擬器，添加一臺S5820V2-54QS-GE，添加一臺Host，按照實訓圖4-1連接設備，并進行標注后，啟動S5820V2-54QS-GE_1。啟動VMVirtualBox軟件，選擇Win7-01，鼠標右鍵設置網絡選項卡，選擇VirtualBoxHost-onlyEthernetAdapter，確定后啟動該虛擬機。進入Windows操作系統之后，設置Win7-01的IP地址為，子網掩碼。HCLHub云平臺實訓項目網址/project/13995/summary/master7.5交換機的常用配置指令實訓步驟:1.配置Console口進入交換機管理時，進行安全驗證。（1）雙擊S5820V2-54QS-GE_1進入設備的配置CLI，完成以下配置命令。<H3C>system-view[H3C]user-interfaceconsole0\\進入用戶接口console配置模式，console口只有一個，編號為0。[H3C-line-console0]authentication-modepassword\\配置認證模式為密碼。[H3C-line-console0]setauthenticationpassword?hashSpecifyahashtextpasswordsimpleSpecifyaplaintextpassword\\配置認證密碼有兩種，一種hash為密文密碼，一種為simple明文密碼。[H3C-line-console0]setauthenticationpasswordsimple654321[H3C-line-console0]\\配置認為密碼為simple明文密碼，密碼為654321。7.5交換機的常用配置指令實訓步驟:1.配置Console口進入交換機管理時，進行安全驗證。（2）結果驗證。[H3C-line-console0]end\\退出至用戶視圖。[H3C]quit\\退出console口配置，重新進入CLI命令行。PressENTERtogetstarted.Password:\\提示輸入密碼后進入console配置，輸入密碼654321，輸入密碼不回顯。<H3C>7.5交換機的常用配置指令實訓步驟:2.配置telnet遠程登錄進入交換機管理時，進行安全驗證。（1）進入接口視圖，配置接口IP地址。交換機出廠時，默認所有接口均屬于VLAN1，給VLAN1虛接口配置IP地址/24，用于交換機的管理IP地址，關于VLAN內容后續介紹。<H3C>system-view[H3C]interfaceVlan-interface1[H3C-Vlan-interface1]ipaddress24[H3C-Vlan-interface1]quit7.5交換機的常用配置指令實訓步驟:2.配置telnet遠程登錄進入交換機管理時，進行安全驗證。（2）創建用戶，配置密碼，設定用戶服務類型，配置用戶管理級別。[H3C]local-usergzeicclassmanage\\創建用戶名gzeic，為管理類型。[H3C-luser-manage-gzeictelnet]passwordsimple123456\\配置用戶名gzeic的明文密碼為123456。[H3C-luser-manage-gzeictelnet]service-typetelnet\\配置用戶名gzeic的服務類型為telnet，即該用戶只能使用telnet服務。[H3C-luser-manage-gzeictelnet]authorization-attributeuser-rolenetwork-admin\\配置用戶名gzeic的授權屬性用戶角色為network-admin。7.5交換機的常用配置指令ComwareV7網絡設備操作系統中，對于所有用戶設定了管理級別，數值越小，用戶管理級別越低。用戶角色名和對應的權限，具體對應關系如下：network-admin，可操作系統所有功能和資源。network-operator，可執行系統所有功能和資源的相關display命令。level-0：可執行命令ping、tracert、ssh2、telnet和super，且管理員可以為其配置權限。level-1：具有level-0用戶角色的權限，并且可執行系統所有功能和資源的相關display命令，以及管理員可以為其配置權限。level-2～level-8和level-10～level-14：無缺省權限，需要管理員為其配置權限。level-9：可操作系統中絕大多數的功能和所有的資源，且管理員可以為其配置權限。level-15：具有與network-admin角色相同的權限。[H3C-luser-manage-gzeictelnet]displaythis\\使用displaythis命令查看以上配置內容是否完成。7.5交換機的常用配置指令（3）配置對Telnet用戶使用計劃認證方式。[H3C-luser-manage-gzeic]quit[H3C]user-interfacevty04\\進入用戶接口虛擬終端0-4，即同時允許5個telnet用戶接入。[H3C-line-vty0-4]authentication-modescheme\\配置認證模式為AAA認證方式。（4）啟動Telnet服務。[H3C]telnetserverenable7.5交換機的常用配置指令（5）結果驗證。啟動OracleVMVirtualBox中win7-01虛擬機，正確配置IP地址/24，與交換機相互ping通之后，telnet登錄網絡設備。結果如實訓圖，輸入用戶名gzeic、密碼123456后可以正常登錄交換機。實訓5使用FTP方式備份配置文件和系統實訓4交換機管理安全配置實訓任務:對交換機做好相應的配置之后，網絡管理員會把正確的配置文件從交換機上下載并保存在穩妥的地方，防止日后如果交換機出了故障導致配置文件丟失的情況發生。有了保存的配置文件，直接上傳到交換機上，就會避免重新配置的麻煩。同時也需要將交換機的操作系統進行備份，以備交換機操作系統故障后可以進行恢復。通過本次實訓任務，采用FTP方式備份交換機的配置文件和操作系統。HCLHub云平臺實訓項目網址/project/13999/summary/master實訓4交換機管理安全配置實訓拓撲:啟動HCL模擬器，添加一臺S5820V2-54QS-GE，添加一臺Host，按照實訓圖連接設備，并進行標注后，啟動S5820V2-54QS-GE_1。啟動VMVirtualBox軟件，選擇Win7-01，鼠標右鍵設置網絡選項卡，選擇VirtualBoxHost-onlyEthernetAdapter，確定后啟動該虛擬機。進入Windows操作系統之后，設置Win7-01的IP地址為，子網掩碼。實訓4交換機管理安全配置實訓步驟:1.進入接口視圖，配置VLAN1虛接口接口IP地址。<H3C>system-view[H3C]interfaceVlan-interface1[H3C-Vlan-interface1]ipaddress24[H3C-Vlan-interface1]quit2.啟動交換機的FTP服務，即交換機作為一臺FTP服務器[H3C]ftpserverenable實訓4交換機管理安全配置實訓步驟:3.配置FTP用戶[H3C]local-usergzeicftpclassmanage[H3C-luser-manage-gzeicftp]passwordsimple654321[H3C-luser-manage-gzeicftp]service-typeftp[H3C-luser-manage-gzeicftp]authorization-attributeuser-rolenetwork-admin[H3C-luser-manage-gzeicftp]end<H3C>save\\保存配置為交換機flash存儲中的startup.cfg文件，然后使用dir命令查看交換機flash中存儲的文件和系統。其中s5820v2_5830v2-cmw710-boot-a7514.bin為交換機的操作系統，系統文件大小因在模擬器中所以為0，實際操作系統的大小都在幾十兆到幾百兆之間。<H3C>dir實訓4交換機管理安全配置實訓步驟:4.結果驗證。

啟動OracleVMVirtualBox中WinXP02虛擬機，正確配置IP地址/24后，FTP方式登錄交換機。使用get命令下載交換機的啟動配置文件和操作系統，如實訓圖5-2所示。第4部分交換機實用配置第8章交換機MAC地址表

實訓9MSTP的配置第9章虛擬局域網技術

實訓10鏈路聚合配置第10章生成樹技術

實訓11IRF配置第11章鏈路聚合技術和IRF技術實訓6交換機VLAN配置實訓7VLAN的PVID和Hybrid端口鏈路類型實訓8MVRP配置第8章交換機MAC地址表8.1交換機MAC地址表概述交換機的MAC地址表記錄了與交換機相連設備的MAC地址、與該設備相連的交換機端口號以及所屬的VLAN等信息。在轉發數據幀時，交換機根據以太網幀中的目的MAC地址查詢MAC地址表，快速定位交換機的出端口進行轉發，這方面的內容在第3部分交換機基礎的內容中已經進行了介紹。MAC地址表項的生成方式有兩種：自動學習、手工配置。8.1交換機MAC地址表概述設備在轉發數據幀時，根據MAC地址表項信息，會采取以下兩種轉發方式。（1）單播方式：當MAC地址表中包含與以太網幀目的MAC地址對應的表項時，設備直接將以太網幀從該表項中的端口發送。（2）廣播方式：當設備收到目的地址為全1的以太網幀，或MAC地址表中沒有包含對應以太網幀目的MAC地址的表項時，設備將采取廣播方式將以太網幀向除接收端口外的所有端口進行轉發。8.1交換機MAC地址表概述如圖8-1所示，在各臺主機相互通信之后（比如相互ping），使用displaymac-address可以查看交換機的MAC地址表，MAC地址表中包含了MACAddress、VLANID、State、Port、Aging等內容。[H3C]displaymac-addressMACAddressVLANIDStatePort/Nickname Aging68cf-5b57-02061LearnedGE1/0/1 Y68cf-5ea7-03061LearnedGE1/0/10Y68cf-6312-04061LearnedGE1/0/18Y8.2交換機MAC地址表管理針對于交換機的MAC地址表，如圖8-1，可以進行的管理操作有以下幾個方面。1.配置靜態MAC地址表項。[H3C]mac-addressstatic68cf-5b57-0206interfaceGigabitEthernet1/0/1vlan1\\MAC地址68cf-5b57-0206綁定在G1/0/1端口，VLAN編號為1。[H3C]displaymac-addressMACAddressVLANIDStatePort/NicknameAging68cf-5b57-02061StaticGE1/0/1N68cf-5ea7-03061LearnedGE1/0/10Y68cf-6312-04061LearnedGE1/0/18Y[H3C]\\再次查看MAC地址表時，68cf-5b57-0206與GE1/0/1的狀態為Static，而且不會老化。8.2交換機MAC地址表管理2.配置黑洞MAC地址表，如果需要丟棄指定源MAC地址或目的MAC地址的數據幀，可配置黑洞MAC地址表項。[H3C]mac-addressblackhole68cf-6312-0406vlan1\\配置68cf-6312-0406這個MAC地址為黑洞MAC地址。[H3C]displaymac-addressMACAddressVLANIDStatePort/NicknameAging68cf-5b57-02061StaticGE1/0/1N68cf-5ea7-03061LearnedGE1/0/10Y68cf-6312-04061BlackholeN/AN[H3C]\\再次查看MAC地址表時，68cf-5b57-0406這個MAC地址的狀態為黑洞，對應的Port為空（N/A），而且不會老化，則具有68cf-5b57-0406的主機無法再與其他主機通信。8.2交換機MAC地址表管理3.配置動態MAC地址表項的老化時間，缺省情況下MAC地址老化時間為300秒。[H3C]mac-addresstimeraging600\\配置MAC地址老化時間為600秒。4.配置端口最多可以學習到的MAC地址數，缺省情況下端口學習MAC地址數不受限制。[H3C]undomac-addressmac-learningenable\\系統視圖下關閉MAC地址的學習功能。[H3C]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]undomac-addressmac-learningenable\\端口視圖下關閉MAC地址的學習功能。[H3C-GigabitEthernet1/0/1]第9章

虛擬局域網技術9.1VLAN技術簡介虛擬局域網VLAN（VirtualLocalAreaNetwork）是一種將局域網LAN從邏輯上劃分（注意不是從物理上劃分）成一個個網段（或者說是更小的局域網LAN），從而實現虛擬工作組的數據交換技術。現在交換機基本上都支持VLAN技術。9.1VLAN技術簡介之所以發展出來VLAN技術，主要是從以下3個方面考慮。（1）基于網絡性能考慮：VLAN技術的出現，主要為了解決交換機在進行局域網互連時無法限制廣播的問題。（2）基于安全性的考慮：一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，它們各自的廣播流量就不會相互轉發,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。（3）基于組織結構考慮：由于VLAN是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無需被放置在同一個地理區域里，即這些工作站不一定屬于同一個物理LAN網段。9.1VLAN技術簡介在圖中，財務部VLAN10之間的計算機可以相互通信，市場部VLAN20之間的計算機可以相互通信，管理部VLAN30之間的計算機可以相互通信，而各個VLAN之間不能進行通信。單交換機VLAN示意圖9.1VLAN技術簡介圖示為跨交換機的VLAN示意圖。值得注意的是，既然VLAN隔離了廣播幀，同時也隔離了各個不同的VLAN之間的通信，所以不同的VLAN之間的通信是需要有三層設備（如路由器、三層交換機）來完成的。9.2IEEE802.1qVLAN可以通過交換機進行擴展，這意味著不同交換機上可以定義相同的VLAN，可以將有相同VLAN的交換機通過Trunk鏈路互聯，處于不同交換機、但具有相同VLAN定義的主機將可以互相通信,Trunk鏈路的含義就是骨干鏈路或主干鏈路，該鏈路上可以運載多個VLAN信息。9.2IEEE802.1q如圖所示，交換機A在將以太網幀交付給交換機B的時候，必須對幀進行VLAN標記，說明這個幀是屬于哪一個VLAN的幀，這樣交換機B收到之后才能進行相應的處理，在數據幀中加入VLAN的標識，這項技術就稱之為幀標記法，現在幀標記方法的標準是IEEE802.1q，英文縮寫為dot1q。IEEE802.1q使用了4字節的標簽Tag來給數據幀加上VLAN標記，Tag的具體格式如下圖9-3所示。圖示IEEE802.1q幀格式在IEEE802.1q中VLAN編號范圍是0—4095，但其中VLAN0、1、4095被保留不能使用。9.3基于交換機端口劃分VLANVLAN在交換機上的劃分方法有很多種，其中基于交換機端口劃分VLAN是最常用的一種VLAN劃分方法，應用也最為廣泛、最有效。它按照設備端口來定義VLAN成員，將指定端口加入到指定VLAN中之后，端口就可以轉發指定VLAN的數據幀。交換機出廠時，VLAN1為系統缺省VLAN，即默認所有端口都屬于VLAN1，用戶不能手工創建和刪除VLAN1。9.4VLAN的端口鏈路類型在VLAN中存在著兩種幀，一種是沒有打Tag標簽（Untagged）的幀，一種是打了Tag標簽（Tagged）的幀，根據交換機端口在轉發數據幀時，對Tag標簽的不同處理方式，可將端口的鏈路類型分為三種，如圖所示。9.4VLAN的端口鏈路類型1.Access鏈路（訪問鏈路）Access鏈路的交換機端口發出去的數據幀不帶Tag標簽。一般用于與不能識別VLANTag標簽的計算機終端設備相連，或者不需要區分不同VLAN成員時使用。H3C交換機端口默認情況為Access端口。2.Trunk鏈路（骨干鏈路）Trunk鏈路的交換機端口發出去的數據幀，端口缺省VLAN內的數據幀不帶Tag，其它VLAN內的數據幀都必須帶Tag。通常用于交換機之間的互連。3.Hybird鏈路（混合鏈路）端口發出去的數據幀可根據需要設置某些VLAN內的數據幀帶Tag，某些VLAN內的數據幀不帶Tag。通常用于相連的設備是否支持VLANTag不確定的情況。9.5MVRP協議通用屬性VLAN注冊協議MVRP協議，又稱為GVRP（GenericAttributeVlanRegistrationProtocol），MVRP主要用于在以太網結構中傳遞VLAN的更新信息。當交換機啟動了MVRP之后，交換機將本地的VLAN配置信息向其它交換機傳播，同時還能夠接收來自其它交換機的VLAN配置信息，并動態更新本地的VLAN配置信息，從而使所有交換機的VLAN信息都達成一致，極大減輕了網絡管理員的VLAN配置工作。9.5MVRP協議MVRP協議運行時，交換機端口可以配置為下列三種模式之一：Normal模式：允許該端口動態注冊或注銷VLAN，傳播動態VLAN以及靜態VLAN信息（又學習又傳播的模式）。Fixed模式：禁止該端口動態注冊或注銷VLAN，只傳播靜態VLAN，不傳播動態VLAN信息（不學習只傳播靜態VLAN的模式）。Forbidden模式：禁止該端口動態注冊或注銷VLAN，不傳播除VLAN1以外的任何VLAN信息（不學習不傳播的模式）。第10章生成樹技術10.1冗余拓撲結構為了實現網絡設備之間的冗余配置，往往需要對網絡中關鍵的設備和關鍵的鏈路進行冗余設計，如圖10-1所示。采用冗余拓撲結構保證了當設備及鏈路故障時提供備份，從而不影響正常通信，但是，這些冗余設備及鏈路所構成的橋接環路（二層設備和鏈路構成的環路結構）將會引發很多問題，導致網絡無法工作甚至癱瘓。10.2橋接環路的危害橋接環路主要會產生廣播風暴、單幀多次遞交、MAC地址表失效三個方面的危害。如圖計算機A和服務器B之間為了實現冗余鏈路，由交換機A的G1/0/1號端口和交換機B的G1/0/2號端口之間形成了一條路徑，由交換機A的G1/0/13號端口和交換機B的G1/0/14端口之間形成一條路徑，從而形成冗余鏈路，分別是鏈路1和鏈路2。圖示

橋接環路的危害10.3IEEE802.1d的STP1．STP簡介生成樹協議STP(SpanningTreeProtocol)是一個二層數據鏈路層的管理協議，IEEE802委員會制定的生成樹協議規范為802.1d，其目標是將一個存在橋接環路的物理網絡變成一個沒有環路的邏輯樹形網絡。如圖所示，通過邏輯地將交換機B的G1/0/14端口阻塞來斷開環路，使得任何兩臺主機之間只有一條唯一的通路，既達到了冗余又實現了無環的目的。10.3IEEE802.1d的STP2．BPDU的結構在STP的工作過程中，交換機之間通過相互傳遞橋接協議數據單元（BridgeProtocolDataUnit，BPDU）獲取各臺交換機的參數信息，進而相互通信協商，將一個存在橋接環路的物理網絡形成一個樹形結構的邏輯網絡。BPDU是封裝在IEEE802.3幀中的一種特殊幀結構，其結構如下所示。目的MAC地址6字節源MAC地址6字節長度2字節LLC首部3字節BPDU35字節填充8字節幀校驗4字節10.3IEEE802.1d的STP3．STP的工作過程STP的工作要經過以下幾個步驟：(1）選擇根橋（根交換機）選擇根橋的原則是：所有交換機中橋ID（BridgeID）最小的交換機作為生成樹的根橋。橋ID是8字節長，包含了2字節的橋優先級和6字節的交換機MAC地址，橋優先級必須是4096的倍數，在默認情況下，橋優先級都是32768，BPDU每隔2秒發送一次，橋ID最小的交換機將被選舉為根橋。10.3IEEE802.1d的STP（2）選擇根端口確定了邏輯樹形結構的根橋之后，需要在每臺交換機上確定一個根端口。選擇根端口的原則是：每臺交換機的所有端口中，到達根橋所花費的路徑開銷值為最小的端口被確定為該交換機的根端口。常見的鏈路帶寬與路徑開銷值如表10-1所示。鏈路帶寬路徑開銷值10Mbps100100Mbps191000Mbps410Gbps210Gbps以上110.3IEEE802.1d的STP如圖10-4所示，假定此示例環境中的所有鏈路都是快速以太網100Mbps，交換機B從E3和E5分別接收到了來自相同根橋交換機A的BPDU后，它將會比較E3和E5到達根橋的路徑開銷，此時從E5收到的BPDU路徑開銷值為57，而從E3收到的BPDU路徑開銷值為19，說明從E5收到的BPDU經過了更多的交換機，因此確定E3成為非根橋交換機B的唯一的根端口，同樣，交換機C也會確認其E4成為它的唯一的根端口。10.3IEEE802.1d的STP（3）選擇指定端口確定根橋和根端口之后，STP繼續選擇指定端口。選擇指定端口的原則是：每個網段中的所有端口中，到達根橋所花費的路徑開銷值為最小的端口被確定為該網段的指定端口。網段1中包括了端口E1、E3，到達根橋交換機A所花費的路徑開銷值最小的端口為E1。網段2中包括了端口E2、E4，到達根橋交換機A所花費的路徑開銷值最小的端口為E2。網段3中包括了端口E5、E7，到達根橋交換機A所花費的路徑開銷值最小的端口為E5。網段4中包括了端口E6、E8，到達根橋交換機A所花費的路徑開銷值最小的端口為E6。因此，E1、E2、E5、E6被確定為指定端口，實際上根橋上的端口肯定為指定端口。10.3IEEE802.1d的STP（4）決定非指定端口既不是根端口，也不是指定端口的端口將成為非指定端口，在圖12-4中即E8成為非指定端口。非指定端口將處于阻塞狀態，不能收發任何用戶數據，即E8成為阻塞端口。至此為止，物理上環形拓撲結構經過生成樹協議工作后，形成了樹形的邏輯拓撲結構。從上述的內容中，可以理解到在STP中，交換機的端口具有3種角色，分別是根端口、指定端口和非指定端口。10.3IEEE802.1d的STP4．STP交換機端口的狀態當運行STP的交換機啟動后，其所有的端口都要經過一定的端口狀態變化過程。在這個過程中，STP要通過交換機間相互傳遞BPDU決定交換機的角色（根橋、非根橋）、端口的角色（根端口、指定端口、非指定端口）以及端口的狀態。交換機上的端口可能處于以下四種狀態之一：阻塞、偵聽、學習和轉發，如圖10-5所示。圖10-5交換機端口的狀態變化10.3IEEE802.1d的STP（1）阻塞狀態當交換機啟動時，其所有的端口都處于阻塞狀態以防止出現環路。處于阻塞狀態的端口可以發送和接受BPDU，但是不能發送任何用戶數據幀。此狀態持續20秒。（2）偵聽狀態在偵聽狀態下，交換機間繼續收發BPDU，仍不能發送任何用戶數據幀，在這個狀態下，交換機間交換BPDU來決定根橋、決定根端口和指定端口，此狀態會持續15秒。（3）學習狀態在學習狀態下，交換機開始接收用戶數據幀，并根據用戶數據幀里的源MAC地址建立交換機的MAC地址表，但仍然不能轉發用戶數據幀，此狀態會持續15秒。10.3IEEE802.1d的STP（4）轉發狀態在轉發狀態下，交換機不但能夠學習數據幀中的源MAC地址，同時端口開始正常轉發用戶的數據幀。（5）無效狀態無效狀態不是正常生成樹協議的狀態，當一個端口處于無外接鏈路或被管理性關閉（如shutdown）的情況下，它將處于無效狀態，無效狀態不參與STP的工作過程，處于無效狀態的端口也不接受BPDU。網絡重新由不穩定狀態進入到穩定狀態，這個過程稱之為生成樹的收斂，在STP中，這樣的收斂需要30—50秒的時間。10.4IEEE802.1w的RSTP由于STP的收斂過程需要30—50秒，為了適應現代網絡的需求，針對傳統的STP收斂慢這一弱點，IEEE制定了標準的802.1w協議，它使得收斂時間得以在1秒到10秒之中完成，所以IEEE802.1w又被稱為快速生成樹協議（RapidSpanningTreeProtocol，RSTP）。RSTP只是STP標準的一種改進和補充，而不是創新，RSTP保留了STP大部分的術語和參數，并未做任何修改，只是針對交換機的端口狀態和端口角色作出了一些修訂。10.4IEEE802.1w的RSTP1.RSTP交換機端口的角色相對于STP中交換機的端口只有三種角色（根端口、指定端口、非指定端口），在RSTP中交換機的端口有五種角色。根端口：非根橋到根橋路徑花費值最小的端