交換機(Switch)是一種用於電信號轉發的網絡設備，它可以為接入交換機的任意兩個網絡節點提供獨享的電信號通路，最常見的交換機是以太網交換機，其他常見的還有電話語音交換機、光纖交換機等，交換機是集線器的升級替代產品，理論上講交換機就是按照通信兩端傳輸信息的需求，將需要的信息發送到目標設備上的網絡組件.

文字描述，摘抄自《網絡設備配置與管理》精簡內容，部分內容來自華為《HCIP 安全認證》課程筆記，適合學習面試，其中的架構圖，與搭建流程為自己規劃並實驗的。

• STP 技術簡介
  • 冗餘技術概述
  • STP生成樹協議
  • RSTP 快速生成樹
• 生成樹的配置
• 配置端口聚合
• 配置端口安全

1.STP 技術簡介

冗餘技術概述

冗餘技術又稱為儲備技術，是利用並聯模型來提高網絡可靠性的一種手段，它通過向網絡中增加備用的鏈路，當一條通信信道出現故障時，自動切換到備用的通信信道，從而提高網絡的穩定性和可靠性.

冗餘技術雖然可以提高網絡的穩定性和可靠性，但是也會產生許多的問題，如果兩個交換機相連的話會造成交換機環路，出現的問題就是隨機出現網絡不通的現象，嚴重的話還會導致網絡廣播風暴，重複拷貝幀，MAC地址表不穩地等情況，但如果是智能交換機的話則不會出現此種情況，以下將分別介紹這幾種環路的基本原理.

廣播風暴: 在物理網絡中出現環路現象，且沒有採取解決措施的情況下，一旦域內有某個主機發送了廣播幀，則當域內的交換機接收到數據後，就會不停地發送和轉發廣播幀，從而形成網絡廣播風暴，網絡廣播風暴會長時間佔用網絡帶寬，和交換機CPU資源，影響網絡性能，甚至引起整個網絡癱瘓.

重複拷貝幀: 重複拷貝幀也稱多幀複製，是指單播幀可能被多次複製傳送到目標主機上去，此時數據幀的多個副本會保存在目標主機上，從而造成主機資源的浪費，甚至會造成目的主機無法選擇其他來源的數據幀而導致數據丟失，簡單的來講就是數據分別從兩個口進入了目的主機，導致目的主機MAC地址表中存在多個數據幀，有時還會導致數據的多次覆蓋，從而無法接收到準確的數據.

MAC地址表不穩定: 一般情況下交換機接收到數據時，會將接收數據幀的端口與發送主機MAC地址的對應關係添加到本機的MAC地址表中，那麼如果交換機在不同的端口接收到同一個數據幀的多份副本，將造成MAC地址表在短時間內被多次修改，和循環重複的覆蓋，從而影響MAC地址表的穩定性.

以上幾種情況是冗餘技術的技術瓶頸所在，在實際的應用中網絡的結構往往會很複雜，有更多的冗餘鏈路，從而會產生更多的交換機環路，因此所帶來的網絡廣播風暴，多幀複製會更加的嚴重，就因為這種需求，STP就由此誕生了.

STP生成樹協議

為了解決網絡冗餘鏈路所產生的問題，IEEE定義了802.1D協議，即生成樹協議STP，利用生成樹協議可以避免幀在環路中的增生和無限循環，生成樹的主要思想是，當兩個交換機之間存在多條鏈路時，通過一定的算法只激活其中最主要的一條鏈路，而將其他冗餘鏈路阻塞掉變為備用鏈路，當主鏈路出現問題時，生成樹協議將自動啟用備用鏈路，整個過程不需要認為干預.

STP協議中定義了，根橋(RootBridge)，根端口(Root Port)，指定端口(Designated Port)，路徑開銷(Path Cost)等概念，目的在於通過構建一棵自然樹的方法阻塞冗餘鏈路，同時實現鏈路備份和鏈路最優化.

STP協議的通信，是通過橋協議數據單元(BPDU)進行通信的，它是運行STP的交換機之間交流消息幀，所有的支持STP協議的交換機都能接收並處理BPDU報文.

STP工作過程: 選舉根橋->選舉根端口->選舉指定端口->STP阻塞非根

1. 選舉根橋:交換機假定自己是根，然後發送BPDU報文給其他交換機，最終選出ID號最小的交換機作為根橋.
2. 選舉根端口:每台非根交換機都會選舉出一個根端口，並且僅有一個根端口，並按照優先級選擇一個根端口.
3. 選舉指定端口:選擇一條網橋到根橋的路徑成本最小的路徑，或者發送方的網橋ID最大的作為指定端口.
4. 選擇阻塞端口:至此，就會根據STP算法，從多個鏈路中選擇性的阻塞掉一些端口的數據通信.

STP端口狀態:

1. 阻塞(Blocking):端口只接受BPDU，不能接收或發送數據，也不能把學習到的MAC地址添加到MAC地址表中.
2. 轉發(Forwarding):端口能夠接收並轉發數據，也能夠學習MAC地址，並添加到MAC地址表中.
3. 偵聽(Listening):該狀態是從阻塞到轉髮狀態過程中的臨時狀態，該狀態只能發送和接受BPDU數據.
4. 學習(Learning):該狀態是從阻塞到轉髮狀態過程中的臨時狀態，該狀態不能夠發送或接收數據.
5. 關閉(Disable):該狀態端口只提供網絡管理服務，不能接受發送任何數據，也就是停止服務的狀態.

RSTP 快速生成樹

STP協議雖然解決了鏈路閉合引起的死循環問題，但是在端口從阻塞狀態到轉髮狀態間經過了一個只學習MAC地址但不參與轉發的過程，產生了轉發延時(默認15秒)，從而使得生成樹的收斂過程需要較長的時間，一般是轉發延時的兩倍.

為了解決STP收斂時間過長的缺點，IEEE又推出了802.1w標準，定義了RSTP(快速生成樹)協議.RSTP協議在網絡配置參數發生變化時，能夠顯着地減少網絡的收斂時間，由於RSTP是從STP發展而來的，其與STP協議保持高度的兼容性，RSTP協議規定，在某些情況下，處於阻塞狀態的端口不必經歷阻塞->偵聽->學習->轉發這一個過程，就可以直接進入轉髮狀態.

RSTP協議只有以下三種:

1. 丟棄(Discarding):RSTP將STP中的阻塞，禁用，和偵聽統稱為丟棄模式.
2. 學習(Learning):拓撲有所變動情況下，端口處於學習狀態並學習MAC地址，將其添加到MAC地址表.
3. 轉發(Forwarding):在網絡拓撲穩定後，端口處於轉髮狀態，並開始轉發數據包.

以上就是生成樹協議的常用內容，對比後會發現，RSTP的收斂時間明顯低於STP，解決了數據同步過慢的問題所在.

2.生成樹的配置

接下來通過一個具體的實例，來完成生成樹的配置命令和配置流程的實踐，以下實驗我們將把Switch1(三層交換)配置成根橋，將Switch2(二層交換)配置為備份根橋，實驗拓撲結構如下圖:

判斷根橋: 首先我們需要判斷當前的根橋是哪一個設備，我們分別在四台交換機上執行show spanning-tree 命令，來查詢默認哪一台是根橋設備，以下實驗顯示結果為Switch4是根橋設備.

Switch1# show spanning-tree           // 查詢switch1是否為根橋
Switch2# show spanning-tree           // 查詢switch2是否為根橋
Switch3# show spanning-tree           // 查詢switch3是否為根橋
Switch4# show spanning-tree           // 查詢switch4是否為根橋
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769            // 根橋ID的優先級
             Address     0003.E41C.0B2C   // 根橋的MAC地址
             This bridge is the root      // 出現這條語句，則說明這台是交換機根橋
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769            // 網橋ID優先級
             Address     0003.E41C.0B2C   // 網橋的MAC地址
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/1            Desg FWD 19        128.1    P2p

指定根橋: 我們想讓Switch1(三層交換)作為根橋設備，此時可在三層交換機上，直接通過以下命令，更換根橋設備.

Switch1> enable
Switch1# configure terminal
Switch1(config)# spanning-tree vlan 1 root primary     // 將本設備配置成根橋
Switch1(config)# exit
Switch1# show spanning-tree                            // 查詢是否配置成功
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    24577
             Address     0004.9A4C.052D
             This bridge is the root                   // 看到這裡，說明配置成功了
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    24577  (priority 24576 sys-id-ext 1)
             Address     0004.9A4C.052D
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1            Desg FWD 19        128.1    P2p
Fa0/2            Desg FWD 19        128.2    P2p

指定備份根橋: 接下來將Switch2(二層交換)指定為備份根橋，當Switch1出現故障後，Switch2將被選舉為根橋設備，從而保證網絡的正常運轉，修改方式通過以下命令即可實現.

Switch2> enable
Switch2# configure terminal
Switch2(config)#spanning-tree vlan 1 root secondary     // 將本設備配置成根橋
Switch2(config)#exit
Switch2#show spanning-tree
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    24577
             Address     0004.9A4C.052D
             Cost        19
             Port        1(FastEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    28673  (priority 28672 sys-id-ext 1)
             Address     00E0.8FAC.DC89
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/2            Desg FWD 19        128.2    P2p
Fa0/1            Root FWD 19        128.1    P2p

此時配置到這裡，我們可以手動關閉Switch1(三層交換)，然後去查看Switch2(二層交換)，通過show spanning-tree命令，你會發現當三層交換機關機的時候，二層交換機默認變成了根橋，頂替了Switch1的工作，當Switch1啟動後，默認會將Switch1再次恢復成根橋.

3.配置端口聚合

在我們的實際生產環境中，常常將交換機之間用多條鏈路連接起來，以獲得更高的傳輸能力和網絡性能，但根據之前的生成樹協議，當交換機之間有冗餘鏈路時，實際工作的鏈路只有一條，也就是說生成樹協議阻礙了網絡傳輸能力的提高.

為了解決生成樹協議的傳輸能力的不足，出現了一種名為端口聚合的技術，它將多條物理鏈路組合成一條邏輯線路，實現鏈路帶寬的增加，且還具有冗餘作用，當其中部分鏈路出現故障時，其他鏈路還可以繼續傳輸數據.

但是並不是所有的端口都可以任意聚合，端口聚合需要滿足以下條件.

1. 聚合的端口配置需要相同，包括端口速率和傳輸介質等.
2. 聚合的端口必須屬於同一個VLAN，也就是不許在一個虛擬局域網中.
3. 聚合的端口類型必須相同，二層端口只能二層聚合，三層端口只能三層聚合.

端口聚合形成的邏輯端口稱為聚合端口，端口聚合後原來端口的屬性就會被聚合端口的屬性所覆蓋，也不能在源端口上做任何配置，實現端口聚合後，即使網絡鏈路出現故障，只要不是所有鏈路都故障，網絡還是可以繼續運行的，只不過網絡傳輸速度會降低而已.

下面將用一個具體的實例講解端口聚合的配置方法和配置過程，包括創建聚合端口，配置聚合端口的工作方式和配置負載平衡，首先分別創建兩個三層交換機，並通過網線fa0/1-4相連，拓撲圖如下:

創建聚合端口: 在兩台交換機上分別創建聚合端口，且兩台交換機端口要一致.

#----在Switch1上操作-------------------------
Switch1(config)#interface port-channel 1          // 創建端口號為1的聚合端口(Switch1)
Switch1(config-if)#exit
#----在Switch2上操作-------------------------
Switch2(config)#interface port-channel 1
Switch2(config-if)#exit

添加聚合端口: 將圖中的fa0/1-4端口加入到聚合端口中，且兩台交換機都需要配置.

#----在Switch1上操作-------------------------
Switch1(config)# interface range fa0/1-4            // 選擇配置聚合的端口範圍
Switch1(config-if-range)# channel-group 1 mode on   // 將所選端口加入到1號聚合，並啟動
#----在Switch2上操作-------------------------
Switch2(config)# interface range fa0/1-4
Switch2(config-if-range)# channel-group 1 mode on

配置負載平衡: 接下來分別在，交換機Switch1和交換機Switch2上配置根據源MAC地址的負載平衡.

#----在Switch1上操作-------------------------
Switch1(config)# port-channel load-balance src-mac   // 配置負載平衡模式為src-mac
#----在Switch2上操作-------------------------
Switch2(config)# port-channel load-balance src-mac

配置聚合端口: 繼續配置聚合端口屬性，在交換機Switch2上配置聚合的屬性.

#----在Switch2上操作-------------------------
Switch2(config)# interface port-channel 1      // 選擇聚合端口
Switch2(config-if)# switchport mode trunk      // 配置聚合端口工作模式為Trunk

查詢是否生效: 最後通過使用show etherchannel summary命令，查詢聚合情況，兩台交換機都可查詢到.

Switch1# show etherchannel summary

Flags:  D - down        P - in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port


Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports // 四個端口都加入了聚合鏈路中
------+-------------+-----------+----------------------------------------------
1      Po1(SU)           -      Fa0/1(P) Fa0/2(P) Fa0/3(P) Fa0/4(P)    // 這裡顯示

根據上面的返回信息可以看到，fa0/1，fa0/2，fa0/3，fa0/4都加入到了聚合端口1，使用相同的命令也可以查詢到二號交換機的配置情況.

4.配置端口安全

在實際的生產環境中，對於有較高安全要求的設備，可以使用端口安全技術(Port Security)來提高網絡的安全性，端口安全技術可在接入層驗證接入設備，防止未經允許的設備接入到網絡中，還可以限制端口接入的設備數量，防止過多設備接入網絡，影響網絡速率.

配置端口安全有兩種，動態綁定和靜態綁定

• 動態綁定:該方法是配置端口安全最簡單的方法，在一個已經啟用的端口上配置動態綁定後，可以讓交換機自動綁定最先接入的規定數量的設備，該方法也是最常用的一種綁定方式.
• 靜態綁定:動態綁定時，一旦交換機重啟，首先接入交換機的設備可用會發生變化，為保證安全性，可以根據MAC地址或IP地址指定可接入網絡的設備.

接下來看一個具體的實例，來實現端口安全的配置，包括端口綁定端口違規的處理等，實驗拓撲圖參數如下:

啟用端口安全: 配置交換機Switch0啟用fa0/1端口，配置端口時應先關閉端口，否則會報錯誤.

Switch0(config)# interface fa0/1               // 選擇1號端口
Switch0(config-if)# shutdown                   // 先關閉端口，防止衝突
Switch0(config-if)# switchport mode access     // 配置端口工作模式為Trunk
Switch0(config-if)# switchport port-security   // 啟用端口安全
Switch0(config-if)# no shutdown                // 開啟端口

配置靜態地址: 靜態指定允許接入的設備的MAC地址，首先要知道MAC地址是多少.

C:>arp -a                           // 首先查詢到兩台機器MAC地址是多少
PC0   0001.4272.5EE7
PC1   00D0.589B.0C35

#----綁定MAC地址列表-----------------------------
Switch0(config)# interface fa0/1                                           // 選擇配置端口 
Switch0(config-if)# switchport port-security maximum 2                     // 配置最大允許2台設備接入
Switch0(config-if)# switchport port-security mac-address 0001.4272.5EE7    // 綁定MAC地址
Switch0(config-if)# switchport port-security mac-address 00D0.589B.0C35
Switch0(config-if)# switchport port-security violation shutdown            // 配置違規後關閉指定端口
Switch0(config-if)# no shutdown                                            // 啟動這些端口
Switch0(config-if)# exit

#----查詢綁定MAC地址列表-------------------------
Switch0# show port-security address                                        // 查詢綁定的MAC地址列表
      Secure Mac Address Table
-------------------------------------------------------------------------------
Vlan  Mac Address Type      Ports   Remaining Age
                (mins)
----  ----------- ----      -----   -------------
1 00D0.589B.0C35  SecureConfigured  FastEthernet0/1   -         // 綁定的MAC地址
1 0001.4272.5EE7  SecureConfigured  FastEthernet0/1   -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 1
Max Addresses limit in System (excluding one mac per port) : 1024

配置動態地址: 動態分配接入設備的MAC地址，此配置無需綁定MAC地址，會接入最先訪問的主機MAC地址.

Switch0(config)# interface fa0/1                                    // 選擇指定端口
Switch0(config-if)# switchport port-security maximum 2              // 配置最大接入MAC地址為2
Switch0(config-if)# switchport port-security mac-address sticky     // 自動獲取接入設備
Switch0(config-if)# switchport port-security violation shutdown     // 對違規設備拒絕服務
Switch0(config-if)# no shutdown                                     // 啟動這些端口
Switch0(config-if)# exit

最後查詢結果: 查看配置結果以及分配情況，使用show port-security interface fa0/1命令，查看fa0/1端口的配置結果.

Switch0# show port-security interface fa0/1                         // 查看端口fa0/1的接入情況

Port Security              : Enabled                                // 端口安全是否啟用
Port Status                : Secure-up                              // 端口狀態
Violation Mode             : Shutdown                               // 違規端口的處理方式
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2                                      // 允許接入的最大設備
Total MAC Addresses        : 2                                      // 當前接入的設備數量
Configured MAC Addresses   : 2                                      // 靜態配置的MAC地址數量
Sticky MAC Addresses       : 0                                      // 動態配置的MAC地址數量
Last Source Address:Vlan   : 0000.0000.0000:0                       // 標註出違規設備的MAC地址
Security Violation Count   : 0                                      // 安全違規計數器

完成上方的配置後，手動在Switch0交換機上新添加一個PC2主機，則一切正常，而如果在Hub集線器上添加一個PC3主機，那麼鏈路將觸發違規動作，如果此時使用show port-security interface fa0/1 命令查詢會發現，Security Violation Count:1安全違規計數變成了1.

如果更換了主機設備，這裡通過更改PC1主機的MAC地址來模擬設備的更換，然後再測試會發現Last Source Address:Vlan這一個選項，會具體的標註出違規設備的MAC地址.