月度归档： 2020年9月

Combo接口是一个光电复用的逻辑接口，一个Combo接口对应设备面板上一个GE电接口和一个GE光接口。电接口与其对应的光接口是光电复用关系，两者不能同时工作（0当激活其中一个接口时，另一个接口就自动处于禁用状态），用户可根据组网需求选择使用电接口或者光接口。
电接口和光接口共用一个接口视图。当用户需要激活电接口或者光接口、配置电接口
或者光接口的属性（如速率、双工模式等）时，只需要在同一接口视图下配置即可。

配置注意事项
1、Combo接口中的电接口与光接口是光电复用关系，Combo光口不支持使用光
电模块。
2、Combo接口工作模式为自动选择模式时，只要Combo光口已插上光模块，则
设备重启后，Combo接口都将选择光口模式。
3、强制指定Combo接口的工作模式时，需要根据本端与对端设备连接的接口类
型进行配置。如果本端Combo电口与对端电口相连，则需要强制指定Combo
接口的工作模式为copper；如果本端Combo光口与对端光口相连，则需要强
制指定Combo接口的工作模式为fiber。若选择的模式与对端接口不一致，会
导致与对端接口对接失败。

组网需求
如图所示，用户主机PC1、PC2和PC3分别与Switch的接口GE1/0/1、GE1/0/2和
GE1/0/3相连，Switch通过Combo接口GE1/0/4上行接入Internet网络。用户可根据
Internet网络侧接口类型（本例中对端Internet网络侧接口为电接口）选择使用Combo
接口工作模式。

配置接口强制工作在电口模式，实现Combo接口工作模式稳定，不会随对外连接
介质变更（例如插上GE光模块）而改变其工作模式。

配置步骤

以图中所示的接入交换机ACC1（S2750），核心交换机CORE（S5700）和出口路由器Router（AR系列路由器）为例。

注：
1、在中小园区中，S2700&S3700通常部署在网络的接入层，S5700&S6700通常部署在网络的核心，出口路由器一般选用AR系列路由器。
2、核心交换机配置VRRP保证网络可靠性，配置负载分担有效利用资源。
3、每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer，为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能，防止内网用户私接小路由器分配IP地址；同时配置IP报文检查功能，防止内网用户私自更改IP地址。

数据规划

快速配置中小园区

配置管理IP和Telnet

配置网络互连互通

配置DHCP
a.配置DHCP服务器
网络管理员为每个终端配置固定的IP地址，当网络规模逐渐增大，为终端手工配置地址变得繁琐和难以管理。为减轻管理负担，管理员决定所有终端用户全部改为自动从DHCP服务器获取地址，除了个别必须固定地址的终端。
配置核心交换机作为DHCP Server，使所有部门的用户都能动态获取到正确的IP地址。以下以CORE1作为主用DHCP Server，以部门A为例，说明DHCP Server的配置步骤

b.配置DHCPsnooping和IPSG
配置了DHCP功能之后，部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能，导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网，还需要配置DHCPSnooping功能。
以下以部门A为例，说明DHCPSnooping的配置过程。

完成上述配置之后，部门A的用户就可以从合法的DHCP服务器获取IP地址，内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络，在接入交换机开启DHCPSnooping功能后，还需要开启IP报文检查功能，具体配置以ACC1为例。

这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配，放行匹配的报文，丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查，可以只在连接某个终端的接口上开启IP报文检查功能。

配置OSPF

由于内网互联使用的是静态路由，在链路出现故障之后需要管理员手动配置新的静态路由，造成网络长时间中断，影响业务。为了减少这种故障的发生，使用动态路由协议是一种不错的选择。动态路由有自己的算法，在链路出现故障之后动态路由根据自己的算法及时把流量切换到正常的链路，等到故障恢复之后流量又切过来。下面以动态路由协议OSPF为例进行配置：

配置可靠性和负载分担
a.配置VRRP联动接口检测链路
当CORE1到出口路由器的链路出现故障后，流量会通过CORE1到CORE2的互联链路经由CORE2到达出口路由器，此时就增加了互联链路负担，对互联链路的稳定性和带宽负载要求都很高。现网环境中我们往往希望主备设备的上行接口出现故障的时候可以实现主备的快速切换，通过配置VRRP与接口状态联动功能可以实现此快速切换。在VRRP备份组中配置对上行接口进行监听，当监听到接口down了，设备会通过降低优先级来实现主备切换。

b.配置负载分担
随着业务的增长，经由CORE1的链路带宽占用率太高，但是经过CORE2的链路是闲置的，这样不但可靠性不好而且浪费资源，有效利用左右两边两条链路显得尤为重要。把VRRP主备备份配置为负载分担，一些VLAN以CORE1为主设备，另一些VLAN以CORE2为主设备，不同VLAN的流量被分配到了左右两条链路上，有效的利用现网资源。此处CORE1继续作为VLAN10的主设备，修改CORE2的优先级使其成为VLAN20的主设备。

配置链路聚合
当CORE1或者CORE2的上行发生故障时，流量经过CORE1和CORE2互联的链路，但是单条链路有可能带宽不够，因而造成数据丢失。为了增加带宽，把多条物理链路捆绑为一条逻辑链路，增加带宽的同时提高了链路的可靠性，具体配置如下：

CORE2的配置同上，只是无需配置系统优先级，使用系统默认的优先级即可。

配置限速
a.基于IP地址限速
由于交换机配置每IP限速不是很方便而且需要消耗大量的硬件ACL资源，所以我们只能在AR路由器上配置每IP限速。
由于带宽有限，不能影响正常办公，需要限制内网每个IP地址上传和下载的网速不能超过512kbit/s，在出口路由器连接内网交换机的物理接口做每IP限速。

b.基于网段总流量限速
随着业务的增长，为了给部门A留有足够的带宽，需要对部门B进行网速限速，要求部门B访问互联网的网速不能超过2M，下载的网速不能超过4M。

接口GE0/0/2及其他网段做限速的方式同上。

配置映射内网服务器和公网多出口
a.配置映射内网服务器
随着业务的发展，内网的WWW服务器和FTP文件服务器不能仅限于内网用户访问，对外也要提供服务，公网和内网用户都要通过公网地址来访问服务器提供的服务

内网接口GE0/0/2的配置同上。

b.配置公网多出口
刚开始企业在运营商只申请了一条链路，随着业务的发展，一条链路不能满足企业的网络带宽，需要在原有链路的基础上再申请一条链路，由原来的单出口改为双出口，对内网不同的网段进行控制让其走指定的链路上网。

配置完策略路由之后，内网192.168.10.0网段的数据访问互联网走的是GE0/0/0接口，而192.168.20.0网段的数据访问互联网走的是GE1/0/0接口，通过PPPoE拨号上网。

业务验证和保存配置
a.业务验证

保存配置
通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。
以CORE1为例：

本文配置步骤以图中所示的接入交换机ACC1（S2750），核心交换机CORE（S5700）和出口路由器Router（AR系列路由器）为例。

说明：
1、在小型园区中，S2700&S3700通常部署在网络的接入层，S5700&S6700通常部署在网络的核心，出口路由器一般选用AR系列路由器。
2、接入交换机与核心交换机通过Eth-Trunk组网保证可靠性。
3、每个部门业务划分到一个VLAN中，部门间的业务在CORE上通过VLANIF三层互通。
4、核心交换机作为DHCPServer，为园区用户分配IP地址。
5、接入交换机上配置DHCPSnooping功能，防止内网用户私接小路由器分配IP地址；同时配置IPSG功能，防止内网用户私自更改IP地址。

数据规划，如下表：

配置方式：

配置管理IP和Telnet
配置设备管理IP地址后，可以通过管理IP远程登录设备，下面以交换机CORE为例说明配置管理IP和Telnet的方法。

1、配置管理IP地址。
<HUAWEI> system-view
[HUAWEI] vlan5//创建交换机管理VLAN 5
[HUAWEI-VLAN5] management-vlan
[HUAWEI-VLAN5] quit
[HUAWEI] interface vlanif5
[HUAWEI-vlanif5] ipaddress 10.10.1.1 24
[HUAWEI-vlanif5] quit

2、将管理接口加入到管理VLAN
[HUAWEI] interface GigabitEthernet0/0/8 //假设连接网管的接口为GigabitEthernet0/0/8
[HUAWEI-GigabitEthernet0/0/8] port link-type trunk
[HUAWEI-GigabitEthernet0/0/8] port trunk allow-pass vlan5
[HUAWEI-GigabitEthernet0/0/8] quit

3、配置Telnet
[HUAWEI] telnet server enable //Telnet出厂时是关闭的，需要打开
[HUAWEI] user-interface vty0 4 //Telnet常用于设备管理员登录，推荐使用AAA认证
[HUAWEI-ui-vty0-4] protocol inbound telnet
//V2R6及之前版本缺省支持telnet协议，但是V2R7及之后版本缺省的
是SSH协议，因此使用telnet登录之前，必须要先配置这条命令。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] idle-timeout 15
[HUAWEI-ui-vty0-4] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin password irreversible-cipher Helloworld@6789 //配置管理员Telnet登录交换机的用户名和密码。用户名不区分大小写，密码区分大小写
[HUAWEI-aaa] local-user admin privilege level 15
//将管理员的账号权限设置为15（最高）
[HUAWEI-aaa] local-user admin service-type telnet

4、在维护终端上Telnet到交换机。出现用户视图的命令行提示符表示登录成功。
C:\Documents and Settings\Administrator> telnet 10.10.1.1
//输入交换机管理IP，并回车
Login authentication
Username:admin//输入用户名和密码
Password:
Info: The max number of VTY users is 5, and the number
of current VTY users on line is 1.
The current login time is 2014-05-06 18:33:18+00:00.
//用户视图命令行提示符

配置接口与VLAN

一.配置接入层交换机
1、以接入交换机ACC1为例，创建ACC1的业务VLAN10。
<HUAWEI>system-view
[HUAWEI] sysname ACC1//修改设备名称为ACC1
[ACC1] vlanbatch 10//批量创建VLAN

2、配置ACC1连接CORE的Eth-Trunk1，透传部门A的VLAN。
[ACC1]interface eth-trunk 1
[ACC1-Eth-Trunk1] port link-type trunk //配置为trunk模式，用于透传VLAN。
[ACC1-Eth-Trunk1] port trunk allow-pass vlan10
//配置Eth-Trunk1透传ACC1上的业务VLAN
[ACC1-Eth-Trunk1] mode lacp //配置Eth-Trunk1为LACP模式
[ACC1-Eth-Trunk1] quit
[ACC1] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[ACC1-GigabitEthernet0/0/1] eth-Trunk 1
[ACC1-GigabitEthernet0/0/1] quit
[ACC1] interface GigabitEthernet0/0/2
[ACC1-GigabitEthernet0/0/2] eth-Trunk 1
[ACC1-GigabitEthernet0/0/2] quit

3、配置ACC1连接用户的接口，使用户加入VLAN，并将接口配置成边缘端口。
[ACC1] interfaceEthernet 0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] port link-type access
[ACC1-Ethernet0/0/2] port default vlan10
[ACC1-Ethernet0/0/2] stpedged-port enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceEthernet 0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] port link-type access
[ACC1-Ethernet0/0/3] port default vlan10
[ACC1-Ethernet0/0/3] stpedged-port enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interfaceEthernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] port link-type access
[ACC1-Ethernet0/0/4] port default vlan10
[ACC1-Ethernet0/0/4] stpedged-port enable
[ACC1-Ethernet0/0/4] quit

注：如果把ACC1下接入的用户都加入VLAN 10，为了配置简单，也可以ACC1上不配置VLAN，而是把CORE的Eth-Trunk1以access方式加入VLAN10，这样Eth-Trunk1接入的用户全部属于VLAN10。

4、配置BPDU保护功能，加强网络的稳定性。
[ACC1] stpbpdu-protection

二、配置核心层交换机
1、批量创建CORE与ACC1、ACC2以及园区出口路由器互通的VLAN。
<HUAWEI] system-view
[HUAWEI] sysname CORE //修改设备名称为CORE
[CORE] vlanbatch 10 20 100//批量创建VLAN

2、配置下行接口和VLANIF接口，VLANIF接口用于部门A与部门B之间互访。以CORE连接ACC1的Eth-Trunk1为例。
[CORE] interface eth-trunk 1
[CORE-Eth-Trunk1] port link-type trunk //配置为trunk模式，用于透传VLAN
[CORE-Eth-Trunk1] port trunk allow-pass vlan10
//配置Eth-Trunk1透传ACC1上的业务VLAN
[CORE-Eth-Trunk1] mode lacp //配置为LACP模式
[CORE-Eth-Trunk1] quit
[CORE] interface GigabitEthernet0/0/1 //将成员接口加入Eth-Trunk1
[CORE-GigabitEthernet0/0/1] eth-Trunk 1
[CORE-GigabitEthernet0/0/1] quit
[CORE] interface GigabitEthernet0/0/2
[CORE-GigabitEthernet0/0/2] eth-Trunk 1
[CORE-GigabitEthernet0/0/2] quit
[CORE] interface Vlanif10 //配置VLANIF，使部门A与部门B之间三层互通
[CORE-Vlanif10] ipaddress 10.10.10.1 24
[CORE-Vlanif10] quit
[CORE] interface Vlanif20 //配置VLANIF，使部门B与部门A之间三层互通
[CORE-Vlanif20] ipaddress 10.10.20.1 24
[CORE-Vlanif20] quit

3、配置上行接口和VLANIF接口，使园区网络与Internet互通。
[CORE] interfaceGigabitEthernet0/0/20
[CORE-GigabitEthernet0/0/20] port link-type access //配置为access模式
[CORE-GigabitEthernet0/0/20] port default vlan100
[CORE-GigabitEthernet0/0/20] quit
[CORE] interface Vlanif100 //配置VLANIF，使CORE与路由器之间三层互通
[CORE-Vlanif100] ipaddress 10.10.100.1 24
[CORE-Vlanif100] quit

4、完成接口和VLAN的配置后，可以通过以下命令查看配置结果
displayeth-trunk命令检查ACC1上的Eth-Trunk接口配置结果。
display vlan命令检查ACC1上的VLAN配置结果。
displayeth-trunk命令检查CORE上Eth-Trunk接口配置结果。
display vlan命令检查CORE上VLAN配置结果。

配置DHCP
在CORE上配置DHCP Server，使部门A（VLAN10）和部门B（VLAN20）的用户都能获取到正确的IP地址。
以下以部门A为例，说明DHCP Server的配置步骤。

1、创建全局地址池，配置出口网关、租期（采用缺省值1天，不需配置）并配置为打印机（MAC地址为a-b-c）分配固定的IP地址10.10.10.254。
<CORE> system-view
[CORE] dhcpenable
[CORE] ippool 10
[CORE-ip-pool-10] network 10.10.10.0 mask 24 //配置部门A的用户可分配的地址池
范围
[CORE-ip-pool-10] gateway-list 10.10.10.1 //配置部门A的用户的网关地址
[CORE-ip-pool-10] static-bind ip-address 10.10.10.254 mac-address a-b-c
//配置为打印机分配固定的IP地址
[CORE-ip-pool-10] quit

2、配置部门A的用户从全局地址池获取IP地址。[CORE] interface vlanif10
[CORE-Vlanif10] dhcpselect global //配置部门A的用户从全局地址池获取IP地址
[CORE-Vlanif10] quit

3、使用display ip pool命令，分别查看全局地址池10的配置和使用信息。

注：

配置完动态分配地址之后，刚开电脑获取地址的时间比较长，这是因为对于开启了生成树协议的交换机，每当有电脑接入之后导致生成树重新收敛，所以需要的时间比较长；通过关闭接口的生成树协议或者把连接终端的交换机接口配置为边缘端口即可解决。
下面以ACC1为例，说明配置步骤。

关闭接口的生成树协议
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stpdisable //undo stp enable命令也可完成该功能

配置连接终端设备的交换机接口为边缘端口
[ACC1] interface GigabitEthernet0/0/1
[ACC1-GigabitEthernet 0/0/1] stpedged-port enable

根据以上任意一种方法，终端电脑刚开机获取地址速度慢的问题就可以有效解决。

配置核心交换机路由
1、在CORE上配置一条到园区出口网关的缺省静态路由，使内网数据可以发到出口路由器。
[CORE] iproute-static 0.0.0.0 0 10.10.100.2

2、在CORE上使用display ip routing-table命令查看IP路由表。

在配置出口路由器之前需要准备如下数据：公网IP地址：1.1.1.2/30，公网网关地址：1.1.1.1，DNS地址：8.8.8.8，这些参数在申请宽带的时候由运营商提供，实际网络中请以运营商提供的数据为准。

1、配置出口路由器内网接口和公网接口的IP地址。
[Router] interface GigabitEthernet 0/0/1[Router-GigabitEthernet0/0/1] ip address 1.1.1.2 30[Router] interface GigabitEthernet 1/0/0[Router-GigabitEthernet1/0/0] ip address 10.10.100.2 24
2、配置允许上网的acl，将所有允许访问Internet的用户网段写入该acl。
[Router] acl 2000
[Router-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.20.0 0.0.0.255
[Router-acl-basic-2000] rule permit source 10.10.100.0 0.0.0.255
3、在连接公网的接口配置NAT转换实现内网用户访问Internet。
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 2000
4、配置到内网的明细路由和到公网的静态缺省路由。

[Router] ip route-static 10.10.10.0 255.255.255.0 10.10.100.1
[Router] ip route-static 10.10.20.0 255.255.255.0 10.10.100.1
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
5、配置DNS地址解析功能，DNS服务器地址为运营商给的。
[Router] dns resolve
[Router] dns server 8.8.8.8
[Router] dnsproxy enable

配置DHCPSnooping和IPSG
配置了DHCP功能之后，部门内用户主机可以自动获取地址。但是为了防止员工在内网私自接一个小路由器并开启DHCP自动分配地址的功能，导致内网合法用户获取到了私接的小路由器分配的地址而不能正常上网，还需要配置DHCPSnooping功能。
以下以部门A为例，说明DHCPSnooping的配置过程。
1、在接入交换机ACC1上开启DHCPSnooping功能。
<ACC1>system-view
[ACC1] dhcpenable //使能DHCP功能
[ACC1] dhcpsnooping enable //使能DHCPSnooping功能
2、在连接DHCP服务器的接口上使能DHCPSnooping功能，并将此接口配置为信任接口。
[ACC1] interface eth-trunk 1
[ACC1-Eth-Trunk1] dhcpsnooping enable //使能DHCPSnooping功能
[ACC1-Eth-Trunk1] dhcp snooping trusted //配置为信任接口
[ACC1-Eth-Trunk1] quit
3、在连接终端的接口上使能DHCPSnooping功能。
[ACC1] interfaceethernet0/0/2 //配置连接PC1的接口
[ACC1-Ethernet0/0/2] dhcpsnooping enable
[ACC1-Ethernet0/0/2] quit
[ACC1] interfaceethernet0/0/3 //配置连接PC2的接口
[ACC1-Ethernet0/0/3] dhcp snooping enable
[ACC1-Ethernet0/0/3] quit
[ACC1] interface ethernet 0/0/4 //配置连接打印机的接口
[ACC1-Ethernet0/0/4] dhcp snooping enable
[ACC1-Ethernet0/0/4] quit
完成上述配置之后，部门A的用户就可以从合法的DHCP服务器获取IP地址，内网私接的小路由器分配地址不会干扰到内网正常用户。
为了防止部门内用户私自更改IP地址后攻击网络，在接入交换机开启DHCPSnooping功能后，还需要开启IP报文检查功能，具体配置以ACC1为例。
4、在接入交换机ACC1上开启VLAN10的IP报文检查功能
[ACC1] vlan10
[ACC1-vlan10] ipsource check user-bind enable //使能IP报文检查功能
[ACC1-vlan10] quit

这样ACC1从VLAN10收到报文后会将报文与动态绑定表的表项进行匹配，放行匹配的报文，丢弃不匹配的报文。如果不想对整个VLAN收到的报文进行检查，可以只在连接某个终端的接口上开启IP报文检查功能。

业务验证
部门内部选两台PC进行ping测试，验证部门内部二层互通是否正常。
从两个部门内各选一台PC进行ping测试，验证部门之间通过VLANIF实现三层互通是否正常。
每个部门各选一台PC进行ping公网地址测试，验证公司内网用户访问Internet是否正常。

保存配置

通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。
如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。
<CORE>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.

一、Access端口
一个 Access端口，只能属于一个 端口，只能属于一个 VLAN，并且是通过手工设置指定 VLAN的。

二、Trunk端口
一个 Trunk端口，在缺省情况下是属于本设备所有 VLAN的，它能够转发所有 VLAN的帧 ， 也可 以通过设置许可VLAN列表 (Allowed-VLANs)来加以限制。

三、Uplink端口
一个 Uplink端口，在缺省情况下是属于本设备所有 VLAN的，它能够转发所有VLAN的帧 ， 并且以 tag方式转发 native-vlan的帧 。

四、Hybrid端口
一个 Hybrid端口，在缺省情况下是属于本设备所有 VLAN的，它能够转发所有VLAN的帧，并且允许以 untag方式转发多个 VLAN的帧，也可以通过设置许可VLAN列表 (Allowed-VLANs)来加以限制。

五、Servicechain端口
一个 Servicechain端口，不学习 MAC地址，且可以转发任何 VLAN的报文；同时，该端口不允许有其他配置。

当用户和网络设备管理界面建立一个新的会话连接时，首先处于用户模式（User EXEC 模式），在 此模式下，只可以使用少量命令，并且的功能也受到一些限制，例如像 show命令等。 用户模式的操作结果不会被保存。

要使用更多的命令，首先须进入特权模式（Privileged EXEC 模式）。通常，在进入特权模式时必须输入特权模式的口令。在进入特权模式下，用户可以使所有的特命令，并且能够由此进入全局配置模式。

使用配置模式（全局配置模式、接口配置模式等）的命令，会对当前运行的配置产生影响，如果用户保存了配置信息，这些命令将被 保存下来，并在系统重新启动时再次执行。要进入各种配置模式，首先必须进入全局配置模式。在全局配置模式下配置，可以进入接口配置模式等各种配置子模式。

各个命令模式概要如下（网络设备名称为缺省的“Ruijie”）:

交换机内部处理的数据帧一律都带有VLAN标签，而现网中交换机连接的设备有些只会收发Untagged帧，要与这些设备交互，就需要接口能够识别Untagged帧并在收发时给帧添加、剥除VLAN标签。同时，现网中属于同一个VLAN的用户可能会被连接在不同的交换机上，且跨越交换机的VLAN可能不止一个，如果需要用户间的互通，就需要交换机间的接口能够同时识别和发送多个VLAN的数据帧。

为了适应不同的连接和组网，华为定义了Access接口、Trunk接口、Hybrid接口和QinQ接口4种接口类型，以及接入链路（Access Link）和干道链路（Trunk Link）两种链路类型，其中Access接口、Trunk接口和Hybrid接口、QinQ接口。

链路类型

根据链路中需要承载的VLAN数目的不同，以太网链路分为：

接入链路

接入链路只可以承载1个VLAN的数据帧，用于连接交换机和用户终端（如用户主机、服务器、傻瓜交换机等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。

干道链路

干道链路可以承载多个不同VLAN的数据帧，用于交换机间互连或连接交换机与路由器。为了保证其它网络设备能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都打上Tag。

根据接口连接对象以及对收发数据帧处理的不同，交换机接口划分为四类：

Access接口

Access接口一般用于和不能识别Tag的用户终端（如用户主机、服务器等）相连，或者不需要区分不同VLAN成员时使用。Access接口大部分情况只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。但当Access接口收到带有Tag的帧，并且帧中VID与PVID相同时，Access接口也能接收并处理该帧。

Trunk接口

Trunk接口一般用于连接交换机、路由器、AP以及可同时收发Tagged帧和Untagged帧的语音终端。它可以允许多个VLAN的帧带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不带Tag（即剥除Tag）。

Hybrid接口

Hybrid接口既可以用于连接不能识别Tag的用户终端（如用户主机、服务器等）和网络设备（如Hub、傻瓜交换机），也可以用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的语音终端、AP。它可以允许多个VLAN的帧带Tag通过，且允许从该类接口发出的帧根据需要配置某些VLAN的帧带Tag（即不剥除Tag）、某些VLAN的帧不带Tag（即剥除Tag）。

Hybrid接口和Trunk接口在很多应用场景下可以通用，但在某些应用场景下，必须使用Hybrid接口。比如在灵活QinQ中，服务提供商网络的多个VLAN的报文在进入用户网络前，需要剥离外层VLAN Tag，此时Trunk接口不能实现该功能，因为Trunk接口只能使该接口缺省VLAN的报文不带VLAN Tag通过。有关灵活QinQ的详细介绍，请参见“QinQ配置”中的“配置灵活QinQ”。

QinQ接口

QinQ（802.1Q-in-802.1Q）接口是使用QinQ协议的接口，一般用于私网与公网之间的连接。它可以给帧加上双层Tag，即在原来Tag的基础上，给帧加上一个新的Tag，从而可以支持多达4094×4094个VLAN，满足网络对VLAN数量的需求。外层的Tag通常被称作公网Tag，用来标识公网的VLAN；内层Tag通常被称作私网Tag，用来标识私网的VLAN。

组播概述

在网络中，存在着三种发送报文的方式：单播、广播、组播。数据采用单播（Unicast）方式传输时，服务器会为每一个接收者单独传输一份信息，如果有多个接收者存在，网络上就会重复地传输多份相同内容的信息，这样将会大量占用网络资源。数据采用广播（Broadcast）方式传输时，系统会把信息一次性的传送给网络中的所有用户，不管他们是否需要，任何用户都会接收到广播来的信息。

当前，诸如视频会议和视频点播等单点发送、多点接收的多媒体业务正在成为信息传送的重要组成部分。在一点发送多点接收的前提下，单播方式适合用户较少的网络，而广播方式适合用户稠密的网络，当网络中需求某信息的用户量不确定时，单播和广播方式效率很低。这时组播（multicast）应运而生，它实现了网络中单点到多点的高效数据传送，能够节约大量网络带宽，降低网络负载。组播传输信息的方式如图所示。

组播的特点是：

服务对象不固定，通常是一对多的关系；

把服务对象看成一个组，发送端只需要发送一次数据到相关网络设备即可；

每个用户可以随时加入或退出组播组；

实时性要求较高，允许一定的丢帧现象发生。

组播地址

组播IP地址：

根据IANA（Internet Assigned Numbers Authority，因特网编号授权委员会）规定，组播报文的IP地址使用D类IP地址，组播IP地址范围是224.0.0.0～239.255.255.255。其中，几个特殊组播IP地址段的范围及说明如下：

组播MAC地址：

以太网传输单播IP报文的时候，目的MAC地址使用的是接收者的MAC地址。但是在传输组播报文时，传输目标不再是一个具体的接收者，而是一个成员不确定的组，所以需要使用组播MAC地址作为目的地址，组播MAC地址是一个逻辑的MAC地址。

IANA规定，组播MAC地址的高24bit位是以01-00-5E开头，低23bit为组播IP地址的低23bit，映射关系如图所示：

由于IP组播地址的高4bit是1110，标识了组播组，而低28bit中只有23bit被映射到组播MAC地址上，这样IP组播地址中就会有5bit没有使用，从而出现了32个IP组播地址映射到同一MAC地址上的结果。

组播地址表

交换机在转发组播数据时是根据组播地址表来进行的。由于组播数据不能跨越VLAN传输，因此组播地址表的第一部分是VLAN ID，当交换机收到组播数据包时，数据包只能在接收端口所在的VLAN内转发。组播地址表对应的出口端口不是一个，而是一组端口列表。转发数据时，交换机根据组播数据的目的组播地址查找组播地址表，如果在组播地址表中查不到相应的条目，则把该组播数据广播，即向接收端口所在VLAN内的所有端口上转发；如果能查找到对应的条目，则目的地址应该是一组端口列表，于是交换机把这个组播数据复制成多份，每份转发到一个端口，从而完成组播数据的交换。组播地址表一般格式如图所示。

IGMP侦听

网络中的主机通过发送IGMP（Internet Group Management Protocol，互联网组管理协议）报文向临近的路由器申请加入（或离开）组播组，当上层路由设备将组播数据转发下来后，交换机负责将组播数据转发给主机。IGMP侦听（IGMP Snooping）是组播约束机制，交换机用他来完成组播组的动态注册，运行IGMP侦听的交换机通过侦听和分析主机与组播路由器之间交互的IGMP报文来管理和控制组播组，从而可以有效抑制组播数据在网络中扩散。

IGMP侦听的工作过程

交换机侦听用户主机与路由器之间的交互IGMP报文，跟踪组播信息及其申请的端口。当交换机侦听到主机向路由器发出报告报文（IGMP Report）时，交换机便把该端口加入组播地址表中；当交换机侦听到主机发送的离开报文（IGMP Leave）时，路由器会发送该端口的特定组查询报文（Group-Specific Query），若还有其它主机需要该组播，则将回应报告报文，若路由器收不到任何主机的回应，交换机便把该端口从组播地址表中删除。路由器会定时发查询报文（IGMP Query），交换机收到查询报文后，如果在一定的时间段内没有收到主机的报告报文，便把该端口从组播表中删除。

集群是可以当作单一设备来管理的一组网络设备的集合，集群管理的主要目的是解决大量分散的网络设备的集中管理问题。网络管理者只需要在集群中的一个交换机上配置公网IP地址就可以实现对集群中其它交换机的管理和维护；配置公网IP地址并执行管理功能的交换机是命令交换机，其它被管理的交换机是成员交换机，命令交换机和成员交换机组成了一个“集群”。

典型拓扑图：

命令交换机：在集群中，唯一的可以配置和管理整个集群的交换机，也是在集群中唯一具有公网IP地址的交换机。命令交换机通过收集NDP（Neighbor Discovery Protocol，邻居发现协议）和NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）信息来发现和确定候选交换机。

成员交换机：集群中被管理的交换机。

候选交换机：具有加入集群能力，但还没有加入任何集群的交换机。

独立交换机：未启用集群功能的交换机。

集群工作原理

集群通过NDP（Neighbor Discovery Protocol，邻居发现协议）、NTDP（Neighbor Topology Discovery Protocol，邻居拓扑发现协议）、CMP（Cluster Management Protocol，集群管理协议）三个协议，对集群内部的交换机进行配置和管理。

集群的过程分为拓扑发现、拓扑收集和集群的建立维护，具体工作过程如下：

拓扑发现：所有交换机通过NDP 来获取邻居交换机的信息。
拓扑收集：命令交换机通过NTDP 来收集网络内指定跳数范围内的交换机信息以及各个交换机的连接信息，并从收集到的拓扑信息中确定集群的候选交换机。
集群建立维护：命令交换机根据NTDP 收集到的候选设备信息完成将候选交换机加入集群、成员交换机离开集群等集群管理操作。

拓扑发现

集群中的交换机使用NDP来获取与其直接相连的邻居交换机的信息。交换机周期性地向邻居发送NDP报文，同时也会接收但不转发邻居交换机发送的NDP报文。NDP报文中包含NDP信息（包括本交换机的名称、MAC地址、软件版本等信息）等。

交换机会存储和维护一个邻居信息表，邻居信息表里包含每个邻居交换机的NDP信息表项。如果交换机收到新邻居的NDP信息，则会在邻居信息表新增一个表项；如果从邻居交换机收到的NDP信息与旧的信息不同，则更新邻居信息表中的数据，如果相同，则只更新老化时间，如果超过老化时间还没有收到邻居发送的NDP信息，将自动删除相应的邻居表项。

拓扑收集

NTDP用于命令交换机收集整个网络指定跳数的拓扑信息。NTDP 根据NDP邻居信息表发送和转发NTDP 拓扑收集请求，收集指定跳数内的网络中每个交换机的NDP 信息及其连接信息。命令交换机可以定时在网络内进行拓扑收集，您也可以随时在命令交换机上手动启用拓扑收集。

命令交换机发送拓扑收集请求报文后，大量交换机会同时收到拓扑收集请求并同时发送拓扑收集响应报文，如此以来可能造成网络拥塞和命令交换机负担过重。为了避免上述现象的产生，设计两个时间参数来控制拓扑收集请求报文扩散速度：

请求跳数延迟时间：交换机收到拓扑收集请求，会等待该时间段之后，才开始在第一个启用NTDP的端口转发该拓扑收集请求报文。
端口跳数延迟时间：在同一个交换机上，除第一个端口外，每个启用NTDP 功能的端口在前一个端口发送拓扑收集请求报文后，都会等待该时间段，再进行拓扑收集请求报文的转发。

集群管理

命令交换机通过NDP 和NTDP 协议发现和确定候选交换机，并将候选交换机自动加入集群，也可以通过手动配置将候选交换机加入到集群中。候选交换机成功加入集群后，将获得由命令交换机为它分配的私有IP 地址。可以在命令交换机上直接访问成员交换机的Web页面，对成员交换机进行管理。

STP（Spanning Tree Protocol，生成树协议）是根据IEEE 802.1D 标准建立的，用于在局域网中消除数据链路层物理环路的协议。运行该协议的设备通过彼此交互信息发现网络中的环路，并有选择的对某些端口进行阻塞，最终将环路网络结构修剪成无环路的树型网络结构，从而防止报文在环路网络中不断增生和无限循环，避免设备由于重复接收相同的报文所造成的报文处理能力下降的问题发生。

STP采用的协议报文是BPDU（Bridge Protocol Data Unit，桥协议数据单元），也称为配置消息，BPDU中包含了足够的信息来保证设备完成生成树的计算过程。STP即是通过在设备之间传递BPDU来确定网络的拓扑结构。

BPDU格式及字段说明

要实现生成树的功能，交换机之间传递BPDU报文实现信息交互，所有支持STP协议的交换机都会接收并处理收到的报文。该报文在数据区里携带了用于生成树计算的所有有用信息。

标准生成树的BPDU帧格式及字段说明：

Protocol identifier： 协议标识

Version： 协议版本

Message type： BPDU类型

Flag： 标志位

Root ID： 根桥ID，由两字节的优先级和6字节MAC地址构成

Root path cost： 根路径开销

Bridge ID： 桥ID，表示发送BPDU的桥的ID，由2字节优先级和6字节MAC地址构成

Port ID： 端口ID，标识发出BPDU的端口

Message age： BPDU生存时间

Maximum age： 当前BPDU的老化时间，即端口保存BPDU的最长时间

Hello time： 根桥发送BPDU的周期

Forward delay： 表示在拓扑改变后，交换机在发送数据包前维持在监听和学习状态的时间

STP的基本概念

桥ID（Bridge Identifier）：桥ID是桥的优先级和其MAC地址的综合数值，其中桥优先级是一个可以设定的参数。桥ID越低，则桥的优先级越高，这样可以增加其成为根桥的可能性。

根桥（Root Bridge）：具有最小桥ID的交换机是根桥。请将环路中所有交换机当中最好的一台设置为根桥交换机，以保证能够提供最好的网络性能和可靠性。

指定桥（Designated Bridge）：在每个网段中，到根桥的路径开销最低的桥将成为指定桥，数据包将通过它转发到该网段。当所有的交换机具有相同的根路径开销时，具有最低的桥ID的交换机会被选为指定桥。

根路径开销（Root Path Cost）：一台交换机的根路径开销是根端口的路径开销与数据包经过的所有交换机的根路径开销之和。根桥的根路径开销是零。

桥优先级（Bridge Priority）：是一个用户可以设定的参数，数值范围从0到32768。设定的值越小，优先级越高。交换机的桥优先级越高，才越有可能成为根桥。

根端口（Root Port）：非根桥的交换机上离根桥最近的端口，负责与根桥进行通信，这个端口到根桥的路径开销最低。当多个端口具有相同的到根桥的路径开销时，具有最高端口优先级的端口会成为根端口。

指定端口（Designated Port）：指定桥上向本交换机转发数据的端口。

端口优先级（Port Priority）：数值范围从0到255，值越小，端口的优先级就越高。端口的优先级越高，才越有可能成为根端口。

路径开销（Path Cost）：STP协议用于选择链路的参考值。STP协议通过计算路径开销，选择较为“强壮”的链路，阻塞多余的链路，将网络修剪成无环路的树型网络结构。

生成树基本概念的组网示意图如图所示。交换机A、B、C三者顺次相连，经STP计算过后，交换机A被选为根桥，端口2和端口6之间的线路被阻塞。

桥：交换机A为整个网络的根桥；交换机B是交换机C的指定桥。

端口：端口3和端口5分别为交换机B和交换机C的根端口；端口1和端口4分别为交换机A和交换机B的指定端口；端口6为交换机C的阻塞端口。

STP定时器

联络时间（Hello Time）：

数值范围从1秒到10秒。是指根桥向其它所有交换机发出BPDU数据包的时间间隔，用于交换机检测链路是否存在故障。

老化时间（Max. Age）：

数值范围从6秒到40秒。如果在超出老化时间之后，还没有收到根桥发出的BPDU数据包，那么交换机将向其它所有的交换机发出BPDU数据包，重新计算生成树。

传输时延（Forward Delay）：

数值范围从4秒到30秒。是指交换机的端口状态迁移所用的时间。

当网络故障引发生成树重新计算时，生成树的结构将发生相应的变化。但是重新计算得到的新配置消息无法立刻传遍整个网络，如果端口状态立刻迁移的话，可能会产生暂时性的环路。为此，生成树协议采用了一种状态迁移的机制，新的根端口和指定端口开始数据转发之前要经过2倍的传输时延，这个延时保证了新的配置消息已经传遍整个网络。

STP模式的BPDU的优先级比较原则

假定有两条BPDU X和Y，则：

如果X的根桥ID小于Y的根桥 ID，则X优于Y

如果X和Y的根桥ID相同，但X的根路径开销小于Y，则X优于Y

如果X和Y的根桥ID和根路径开销相同，但X的桥ID小于Y，则X优于Y

如果X和Y的根桥ID、根路径开销和桥ID相同，但X的端口ID小于Y，则X优于Y

STP的计算过程

初始状态：每台交换机在初始时会生成以自己为根桥的BPDU，根路径开销为0，指定桥ID为自身设备ID，指定端口为本端口。

最优BPDU的选择：每台交换机都向外发送自己的BPDU，同时也会收到其它交换机发送的BPDU。比较过程如下表所述：

根桥的选择：通过交换配置消息，设备之间比较根桥ID，网络中根桥ID 最小的设备被选为根桥。

根端口、指定端口的选择过程如下表所述：

RSTP

RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是优化版的STP，他大大缩短了端口进入转发状态的延时，从而缩短了网络最终达到拓扑稳定所需要的时间。RSTP的端口状态实现快速迁移的前提如下：

根端口的端口状态快速迁移的条件是：本设备上旧的根端口已经停止转发数据，而且上游指定端口已经开始转发数据。

指定端口的端口状态快速迁移的条件是：指定端口是边缘端口或者指定端口与点对点链路相连。如果指定端口是边缘端口，则指定端口可以直接进入转发状态；如果指定端口连接着点对点链路，则设备可以通过与下游设备握手，得到响应后即刻进入转发状态。

RSTP的基本概念

边缘端口（Edge Port）：直接与终端相连而不是与其它交换机相连的端口。

点对点链路：是两台交换机之间直接连接的链路。

MSTP

MSTP（Multiple Spanning Tree Protocol，多生成树协议）是在STP和RSTP的基础上，根据IEEE协会制定的802.1S标准建立的，他既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。

MSTP的特点如下：

MSTP通过VLAN-实例映射表，把VLAN和生成树联系起来，将多个VLAN捆绑到一个实例中，并以实例为基础实现负载均衡。

MSTP把一个生成树网络划分成多个域，每个域内形成多棵内部生成树，各个生成树之间彼此独立。

MSTP在数据转发过程中实现VLAN 数据的负载分担。

MSTP 兼容STP 和RSTP。

MSTP的基本概念

MST域（Multiple Spanning Tree Region，多生成树域）：由具有相同域配置和相同Vlan-实例映射关系的交换机所构成。

IST（Internal Spanning Tree，内部生成树）：MST域内的一棵生成树。

CST（Common Spanning Tree，公共生成树）：连接网络内所有MST域的单生成树。

CIST（Common and Internal Spanning Tree，公共和内部生成树）：连接网络内所有设备的单生成树，由IST和CST共同构成。

MSTP基本概念的组网图如图所示。

MSTP的基本原理

MSTP将整个网络划分为多个MST域，各个域之间通过计算生成CST；域内则通过计算生成多棵生成树，每棵生成树都被称为是一个多生成树实例。MSTP同STP一样，使用BPDU进行生成树的计算，只是BPDU中携带的是MSTP的配置信息。

MSTP模式的BPDU优先级比较原则

假定有两条MSTP的BPDU X和Y，则：

如果X的总根ID小于Y的总根ID，则X优于Y

如果X和Y的总根ID相同，但X的外部路径开销小于Y，则X优于Y

如果X和Y的总根ID和外部路径开销相同，但X的域根ID小于Y的域根ID，则X优于Y

如果X和Y的总根ID、外部路径开销和域根ID相同，但X的内部路径开销小于Y，则X优于Y

如果X和Y的总根ID、外部路径开销、域根ID和内部路径开销相同，但X的桥ID小于Y，则X优于Y

如果X和Y的总根ID、外部路径开销、域根ID、内部路径开销和桥ID均相同，但X的端口ID小于Y，则X优于Y

端口状态

MSTP中，根据端口是否转发数据和如何处理BPDU报文，可将端口状态划分为以下四种：

转发：接收并转发数据，接收并发送BPDU报文，进行地址学习。

学习：不接收或转发数据，接收并发送BPDU报文，进行地址学习。

阻塞：不接收或转发数据，接收但不发送BPDU报文，不进行地址学习。

断开：物理链路断开。

端口角色

MSTP的端口角色分为以下几种：

根端口：到根桥的路径开销最低，负责向根桥方向转发数据的端口。

指定端口：负责向下游网段或设备转发数据的端口。

Master端口：连接MST域到总根的端口，位于整个域到总根的最短路径上。

替换端口：根端口和Master端口的备份端口。

备份端口：指定端口的备份端口。

禁用端口：物理链路断开的端口。

内网经常有人接入非法dhcp服务器，如无线路由器等，导致其它用户获取到错误的IP地址而上不了网或地址冲突，如图：

以锐捷交换机为例：
1、在接入交换机上开启dhcp snooping功能
2、上联口配置可信任口 

配置步骤：
配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以百兆接口为例
1、在接入交换机上开启dhcp snooping功能
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#ip dhcp snooping //开启DHCP snooping功能
2、连接合法DHCP服务器的接口配置为可信任口
Ruijie(config)#int FastEthernet0/24
Ruijie(config-FastEthernet 0/24)#ip dhcp snooping trust //开启DHCP snooping的交换机所有接口缺省为untrust口，交换机只转发从trust口收到的DHCP响应报文（offer、ACK、NAK）
3、保存配置
Ruijie(config-FastEthernet 0/24)#end
Ruijie#write   //确认配置正确，保存配置

注：连接DHCP服务器的端口一定要配置ip dhcp snoopint trust，否则会发现电脑都获取不到地址。