Extreme交换机快速配置手册

iSpirit68&48交换机快速配置手册
（Version 1.0）
第一章：介绍管理模块。

(3)
第二章：6800和4800交换机的基本配置： (5)
第三章创建基于端口的VLAN (6)
第四章启用VLAN之间路由的设置 (10)
第五章配置静态路由 (11)
第六章设置BLACKHOLE路由： (13)
第七章创建端口聚合TRUNK (15)
第八章端口镜像MIRRORING (16)
第九章EAPS的配置： (17)
第十章VRRP的配置： (28)
第十一章ESRP的配置： (33)
第十二章配置VLAN聚合 (39)
第十三章配置DHCP/BOOTP RELAY功能 (42)
第十四章访问控制列表的概念和配置 (44)
第十五章OSPF路由协议的配置 (48)
第十六章交换机安全管理控制 (50)
第十七章特殊情况下的操作 (52)
第十八章超级终端的配置 (53)
第十九章操作系统的升级方法 (55)
第二十章上传和下载交换机配置文件 (56)
第二十一章策略路由配置方法 (57)
第二十二章SNMP的设置 (58)
Extreme交换机快速配置手册
6808和4808、4804系列的配置操作、映像文件和bootrom文件是一样的。

下面所进行的配置案例操作对上面几款交换机都适用。

第一章：介绍管理模块。

1、6800系列的管理模块介绍：
一般常用的只有Console口和Management口。

Console口是通过串口连接pc机，设置超级终端后配置交换机使用，是最基本的配置方法。

出厂模式，交换机并没有任何的ipaddress，
必须首先通过Console口对交换机进行ipaddress的设定，然后才能通过telnet和web方式进行控制。

Management 端口是一个独立的RG-45端口，单独属于MGMT vlan，这个Vlan不能删除、添加其他端口，也不能做路由，默认情况下没有ipaddress，仅仅在管理模块中作为另一种控制交换机的方式存在。

Management端口和PC机相连接使用交叉线。

2、4800系列的管理模块介绍
它的管理模端口和配置跟6800的一样，在此就不多说了。

第二章：6800和4800交换机的基本配置：1、通过串口设置交换机
需要把PC机串口的波特率设置为9600，数据位为8，无奇偶效验位。

如下图所示：
正确连接之后，敲回车键，就会出现“login：”的登陆界面：
默认出厂情况下，登陆的用户名是“admin”，密码为空，直接回车就会进入交换机的特权配置模式。

用户名和密码是大小写敏感的，所以一定要注意用户名是小写的“admin”。

第三章创建基于端口的Vlan
默认出厂情况下，交换机已经存在三个Vlan：通过“show vlan”可以看到
“Default”、“Mgmt”、“Discover”
其中“Default”vlan是一个最基本的vlan，默认情况下所有的端口都属于这个vlan，并且所有的端口都是“untag”形式处于这个vlan内的。

换句话说，最简单的不用对交换机作任何的设置就可以当作一个普通二层交换机来使用。

“Mgmt”vlan是一个特别作为带外管理的vlan来使用的，只有且仅仅只能有一个Management端口属于这个vlan。

对这个vlan只能设置一个ipaddress外不能作任何其它的设置，默认情况下是没有配置任何ipaddress的。

如果设置了ipaddress，Pc机通过交叉线连接到Management端口可以ping通Mgmt vlan的ipaddress，可以通过telnet、web等方式对交换机进行管理。

另外，这个vlan也不能和其它任何vlan做路由通信。

“Discover”是在使用基于MAC地址划分vlan的时候使用的，现在基本上很少会采用这种方式。

在此不作多说。

这三个vlan是默认就存在的，不能被删除。

BD6808:1 # show vlan
Name VID Protocol Addr Flags Proto Ports
Default 1 0.0.0.0 /BP -----T-------- ANY 0/8
MacVlanDiscover 4095 ------------------ --------- ANY 0/0
Mgmt 4094 0.0.0.0 /BP -----T-------- ANY 1/1
1、创建一个vlan，使用命令“create vlan <name>”，vlan必须要起一个名字
例如：创建一个vlan，名字为test，交换机的第一个插槽的1-4端口要以untag方式属于这个vlan。

Create vlan test
通过“show vlan”可以看到新增加了一个vlan “test”
* BD6808:3 # show vlan
Name VID Protocol Addr Flags Proto Ports
Default 1 0.0.0.0 /BP -----T-------- ANY 0/8
MacVlanDiscover 4095 ------------------ -------- ANY 0/0
Mgmt 4094 172.20.1.1 /16 -------------- ANY 1/1
test 4093 ------------------ -------- ANY 0/0
下一步就是要把1：1-1：4端口添加到这个vlan内
因为默认情况下所有的端口都属于“Default”vlan，如果要把1：1-1：4端口以“untag”方式加入vlan “test”，就先要把这几个端口从“Default”中去掉。

Config vlan default delete port 1:1-1:4
然后把端口1：1-1：4加入vlan “test”
Config vlan test add port 1:1-1:4
然后通过“show vlan test”可以详细看到这个vlan内的详细信息
* BD6808:8 # show test
VLAN Interface[3-202] with name "test" created by user
Tagging: Untagged (Internal tag 4093)
Priority: 802.1P Priority 7
STPD: None
Protocol: Match all unfiltered protocols.
Loopback: Disable
RateShape: Disable
QosProfile:QP1
QosIngress:None
Ports: 4. (Number of active ports=0)
Flags: (*) Active, (!) Disabled
(B) BcastDisabled, (R) RateLimited, (L) Loopback
(g) Load Share Group, (c) Cross Module Trunk
Untag: 1:1 1:2 1:3 1:4
2、创建基于802.1Q的vlan
在iSpirit4808上有添加了两个vlan：test1和test2。

有两个扩展模块，分别是4Ti模块和16T3模块。

通过端口1：4和iSpirit6808交换机相连。

Vlan test1包含1：1-1：3端口，vlan test2包含2：1-2：16端口。

Test1的tag值为10，test2的tag值为20。

在iSpirit6808上也添加了两个vlan：test1和test2。

有一个扩展模块8Ti模块。

通过端口1：4和iSpirit4808交换机相连。

Vlan test1包含1：1-1：3端口，vlan test2包含1：5-1：8端口。

Test1的tag值为10，test2的tag值为20。

交换机
test1
tag=10
test2
tag=20
级联端口
iSpirit4808 1：1-1：3
untag
2：1-2：16 untag 1：4 tag
iSpirit6808 1：1-1：3
untag
1：5-1：8 untag 1：4 tag
配置命令：
iSpirit4808：
creat vlan test1
creat vlan test2
config vlan test1 tag 10
config vlan test2 tag 20
config vlan default delete port all config vlan test1 add port 1:1-1:3 untag config vlan test2 add port 2:1-2:16 untag config vlan test1 add port 1:4 tag config vlan test2 add port 1:4 tag
iSpirit6808：
creat vlan test1
creat vlan test2
config vlan test1 tag 10
config vlan test2 tag 20
config vlan default delete port all
config vlan test1 add port 1:1-1:3 untag
config vlan test2 add port 1:5-1:8 untag
config vlan test1 add port 1:4 tag
config vlan test2 add port 1:4 tag
在实际的配置过程中，两边vlan的名字不是必须相一致的，只是为了理解和维护方便，交换机之间只是通过tag值来相互判别vlan的。

第四章启用vlan之间路由的设置
交换机iSpirit6808有一个8Ti模块，创建了3个vlan，每个vlan所包含的端口和IPaddress如下表所示：
目的是配置每个vlan的IPaddress，并启用三层路由功能，使三个vlan之间相互能够连通。

creat vlan test1
creat vlan test2
creat vlan test3
config vlan default delete port all
config vlan test1 add port 1:1 untag
config vlan test2 add port 1:2 untag
config vlan test3 add port 1:3 untag
config vlan test1 ipaddress 192.168.1.1/24
config vlan test2 ipaddress 192.168.2.1/24
config vlan test3 ipaddress 192.168.3.1/24
enable ipforwarding
经常会遗漏最后一步，“enable ipforwarding”，打开三层的路由相互转发。

这个命令打开以前所有有三层ipaddress的vlan 的路由功能，如果后来再增加vlan的话，还需要再执行这个命令一次。

如果没有执行这个命令，你可以通过其中一个终端能够ping通另一个vlan的接口IPaddress，但是不能ping通另一个vlan的PC机。

检查的时候，可以通过“show vlan”进行查看路由功能是否起作用。

* BD6808:20 # show vlan
Name VID Protocol Addr Flags Proto Ports
Default 1 192.168.1.1 /24 -----T f------- ANY 1/8
MacVlanDiscover 4095 ------------------ -------- ANY 0/0
Mgmt 4094 172.20.1.1 /16 -------------- ANY 1/1
test 4093 192.168.2.1 /24 ------f------- ANY 0/8
通过查看flags的“f ”标志来查看，意思就是“ipforwarding”
第五章配置静态路由
在一个简单路由环境中，有时需要设置静态路由和默认路由。

比如
vlan test1 vlan test2 vlan test3 iSpirit4808 192.168.1.1/24 192.168.2.1/24
iSpirit6808 192.168.2.2/24 192.168.3.1/24 router 192.168.3.2/24
配置iSpirit4808交换机：
creat vlan test1
creat vlan test2
config vlan default delete port all
config vlan test1 add port 1:1 untag
config vlan test2 add port 1:2 untag
config vlan test1 ipaddress 192.168.1.1/24
config vlan test2 ipaddress 192.168.2.1/24
enable ipforwarding
路由配置
Config iproute add default 192.168.2.2
配置iSpirit6808交换机：
creat vlan test2
creat vlan test3
config vlan default delete port all
config vlan test2 add port 1:1 untag
config vlan test3 add port 1:2 untag
config vlan test2 ipaddress 192.168.2.2/24
config vlan test3 ipaddress 192.168.3.1/24
enable ipforwarding
路由配置
Config iproute add default 192.168.3.2
Config iproute add 192.168.1.0/24 192.168.2.1
<略>
查看路由表使用命令“show iproute”
注意：在路由表中查看路由的时候，你会发现在路由条目前面有的有一个“*”，而有的没有这个标记。

有了这个标记说明了这条路由条目正在起作用，如果没有“*”就表示目前这条路由没有起任何作用。

* BD6808:23 # show iproute
Ori Destination Gateway Mtr Flags VLAN Duration
*d 192.168.3.0/24 192.168.3.1 1 U------u--- Default 0d:0h:50m:36s
*d 192.168.2.0/24 192.168.2.1 1 -------u--- test 0d:0h:09m:12s
*d 127.0.0.1/8 127.0.0.1 0 U-H----um-- Default 0d:1h:03m:29s
*s 192.168.1.0/24 192.168.2.1 1 UG---S-um-- Default 0d:0h:00m:02s
*s Default Route 192.168.3.2 1 UG---S-um-- Default 0d:0h:00m:21s
第六章设置blackhole路由：
这在一些特殊的情况下比较有用，例如：
在核心设备iSpirit6808交换机上，连接局域网有9个vlan，ipaddress范围从192.168.2.0/24到192.168.10.0/24。

6808和路由器之间互联是单独的一个网段，ipaddress是192.168.1.1/24
路由器相应的ipaddress是192.168.1.2/24。

在iSpirit6808上的路由配置为，默认缺省路由是指向Internet，指向内部局域网的路由一般是配置为精确的路由指向，共需9条静态路由指向192.168.1.1。

而6808只需要配置一条默认的缺省路由指向192.168.1.2的路由器内网接口就可以了，这一般不会有什么问题发生，就是较为麻烦。

如果局域网的网段较多，还有一种方法，在路由器上配置一条静态的聚合路由指向6808，例如：目的为192.168.0.0/16，下一条网关为192.168.1.1。

但是这样做会引起一些问题。

如果局域网内有一个用户请求192.168.20.0/24网段的一个设备，在6808的直连路由肯定没有这个网段，就会把这个数据包通过默认路由发给路由器，但是路由器通过查找路由表发现下一条是6808,就会再把这个数据包转发回来，这样这个数据包就会在这个两台设备之间来回被转发，每次转发都会把数据包的TTL值减一，直到这个数据包TTL减到0就会把数据包丢弃。

这种情况极大地影响了交换机的性能和网络的带宽，而且如果有病毒攻击的情况下后果会更严重。

遇到这种情况可以使用黑洞路由，需要在iSpirit交换机上设置到192.168.0.0/16网段的数据包都丢掉。

命令configure iproute add blackhole <ip address> <mask>
Config iproute add blackhole 192.168.0.0/16
这样的话，那些到不存在直连的192.168.X..0/16网段的数据包会被丢掉。

* BD6808:29 # show iproute
Ori Destination Gateway Mtr Flags VLAN Duration
*b 192.168.0.0/16 0.0.0.0 1 U----SBum-- -------- 0d:0h:00m:02s
第七章创建端口聚合trunk
在两台交换机之间需要增加带宽，通常是做链路聚合。

iSpirit6808和iSpirit4808通常可以配置端口聚合。

一个端口聚合
组最多可以包含8个端口，而且这8个端口可以是不连续的。

对于6808和6804来说，如果需要配置跨模块的端口聚合，必须要有MSM-3引擎的支持。

但是对于6816，一组端口聚合只能在同一个模块上配置。

enable sharing <port> grouping <portlist> {dynamic | algorithm {port-based |
address-based | round-robin}}
例如：两台iSpirt6808相互之间通过多条链路进行聚合，需要如下配置：
6808-A：
Enable sharing 8:1 grouping 8:1-8:4
6808-B：
Enable sharing 1:1 grouping 1:1-1:4
可以通过show port sharing 命令进行查看
* BD6808:33 # show port sharing
Load Sharing Monitor
Config Current Ld Share Ld Share Link Link
Master Master Type Group Status Ups
==========================================================
2:1 p 1:1 R 0
p 1:2 R 0
p 1:3 R 0
p 1:4 R 0
第八章端口镜像mirroring
需要对网络中一个Vlan或者一组端口做流量的监控的时候，会使用到端口Mirroring 必须先启用端口mirroring功能，然后配置那些端口或Vlan的流量被镜像的监控端口enable mirroring to port [<port>] [tagged]
configure mirroring add ports [<portnumber>︱<vlan>]
注意：做镜像的端口不能属于任何vlan，要把这个vlan提前从其它vlan内划分出来。

* BD6808:39 # show mirroring
Mirror port: 3:1 is down
port number 3:2 in all vlans
第九章EAPS的配置：
EAPS提供一种在以太网环中快速的二层环路保护协议。

EAPS所提供的功能和STP很类似，但是要比STP更为先进，能够在环路发生故障的时候在1秒钟之内进行收敛，使网络继续正常运行。

EAPS是通过在环路上的EAPS Domain进行运行的。

在环路中受到保护的Vlan要被配置到环路上的每一个接口上，并且属于这个EAPS Domain。

而在环路中有一个节点交换机被配置为Master，其他交换机都属于Transit。

环路上Master的一个接口被设置为Master的Primary接口，Master的另一个接口就被配置为Secondary接口。

正常情况下，Master交换机会在Secondary接口上阻塞所有这个EAPS Domain内受保护Vlan的数据流量，从而避免形成环路。

注意：Transit 交换机和Master交换机一样，都会被配置一个Primary 接口和Secondary接口，但是在Transit交换机上这种Primary/Secondary的差别已经不存在了。

如果环路是完整的，Master交换机会在Secondary接口处阻塞受保护Vlan的数据流发送和接收，从而阻止环路情况的发生。

如果Master交换机诊测到在环路上有线路断开，它就会打开Secondary接口并允许受保护VLan的数据流发送和接收。

如果环路是完整的，Master交换机会在Secondary接口处阻塞受保护Vlan的数据流发送和接收，从而阻止环路情况的发生。

如果Master交换机诊测到在环路上有线路断开，它就会打开Secondary接口并允许受保护VLan的数据流发送和接收。

1、EAPS的一些概念：
EAPS Domian-------- 在一个网络中，组成一个单独环路的一些列的交换机或节点设备称之为EAPS Domain。

一个EAPS Domain细分为一个Master 交换机，其他都为Transit交换机。

在Master和Transit交
换机上又有Primary和Secondary接口。

EAPS Domain是在一个单独的环中运行的。

EDP --------- Extreme Discovery Protocol。

这个协议被用来对邻居Extreme交换机进行信息收集。

Extreme 交换机使用这个协议来了解网络拓扑信息。

Master Node ---------- 是个交换机或称为节点设备，在一个EAPS Domain中被设置为Master。

正常情况下它在环路中在Secondary接口阻止所有这个EAPS Domain中受保护Vlan的数据流，以避免环路的产
生。

Transit Node -----------是个交换机或称为节点设备，在一个EAPS Domain中没有被设置为Master的交换机。

Primary Port ----------- 在Master 交换机上被配置为Primary的接口。

而在Transit交换机上和Secondary接口没有什么差别
Secondary Port ---------在Master 交换机上被配置为Secondary的接口。

而在Transit交换机上和Primary接口没有什么差别
Control Vlan ----------- 这个VLan用来控制EAPS Domain的运行。

它负责发送和接收EAPS信息。

在一个EAPS Domain中必须要配置一个Control Vlan。

Protected Vlan --------- 在EAPS Domain中传输用户数据的Vlan。

这些Vlan属于正常情况下的数据传输的VLan。

在一个EAPS Domain中必须至少要有一个Protected Vlan。

Common Link --------- 一条物理的链路。

一端连接Controller，另一端连接Partner。

这条物理链路上跑有多个EAPS Domain。

Controller -------------- 在Common Link一端的交换机或设备，当Common Link断掉了，Controller会阻塞一个端口防治出现更大的环路
Partner --------------- 在Common Link的另一端的交换机或设备，并不负责任何的阻塞作用
2、EAPS Domain故障检测和恢复
在每一个EAPS Domain中Control Vlan负责进行故障检测和恢复。

Protected Vlan负责在EAPS Domain中传输用户的数据
Control Vlan会发送和接收EAPS信息包。

当环路是完整的情况下，Master交换机从
Primary接口发出EAPS信息包并且会在Secondary接口收到这个信息包。

Master并不会
在Secondary接口把Control Vlan给阻塞掉，因为它要检测环路的完整性。

另外需要注意，
在Control Vlan内不能配置IP地址，以避免有环路的可能。

一个Master交换机通过以下三种方法来诊侧环路是否有故障：
●Transit 交换机发送Link-down信息
●Ring port Down了
●EAPS 检测数据包接收超时
3、Transit 交换机发送Link-down信息
当任何的Transit 交换机发现它的环路上的接口的链路丢失，就会立即发送一个“link down”的信息通过control Vlan 传送到Master 交换机。

当Master交换机接收到“link down”信息会立即宣布“failed“状态，并且打开Secondary 接口，允许Protected Vlan在Secondary接口进行数据的接收和发送。

然后Master 交换机会刷新它的FDB表同时在Control Vlan内发出刷新FDB表的命令给环路上的所有其他交换机，使那些交换机及时更新FDB表进行正确的二层转发处理。

4、Ring port Down：
当Master交换机的在环路上的接口Down掉了，交换机物理底层会立即知道并且立刻进入到“Failed”的状态。

如果是Primary接口Down掉，Secondary接口会立即打开，交换机同时刷新FDB表，发送“Link Down”的信息到环上，以使其他交换机采取动作。

5、Polling：
正常情况下，Master交换机会在Control Vlan内从Primary接口按照一定的时间间隔（可配置）发送状态检测数据包，如果这个环路是完整的，经过环路后Master就会从Secondary接口收到这个数据包，Master就会重置failtimer，继续进行正常的检测。

如果Master的Secondary接口没有在Failtimer过期之前收到状态检测数据包，就会宣称“Failed”，然后执行和上面所述的过程一样，打开Secondary 接口，刷新FDB表，发出“flush FDB”的命令到其他所有的交换机。

6、恢复操作：
即使Master交换机处于Failed状态，也会持续从Primary接口发送状态检测数据包。

只要环路是断开的，Fail-perioad 总会超时，Master交换机就会一直处于Failed状态。

当链路被修复，环路闭合的时候，Master交换机就会从Secondary接口接收到状态检测数据包，交换机就会宣布环路是完整的，进入正常的状态，在Secondary接口阻塞被保护Vlan的数据流，刷新FDB表，并且发出命令“flush fdb”到所有其它交换机。

细节考虑：
当Transit交换机发现Failt链路又恢复使用的时候和Master交换机诊测到环路又完整的时候，这个有一个时间差，在这个短暂的时间内，Master的Secondary接口一直是打开的，正在进行数据的收发处理，而同时环路是完整的，这可能会引起短暂的环路的可能性。

为避免环路的发生，当Transit交换机发现Failed链路又可用的时候，它会执行以下几个步骤：
●当Failed链路恢复时，相应的Transit交换机端口会启用，这时交换机会把那个端口临时处于阻塞状态
●会记录哪个端口处于临时阻塞状态
●设置端口状态为Preforwarding 状态
当Master交换机发现环路是完整的时候，它会发送一个“Flush FDB”给所有Transit交换机，当Transit
交换机接收到这个消息的时候就会进行以下步骤：
●刷新所保护Vlan的FDB表
1.如果有端口处于Perforwarding状态，就会打开这个端口进行正常的数据转发处理
7、一个交换机存在多个EAPS Domain
如下例图：两个环路通过一台S5交换机相互连接起来，形成一个“8”字形的网络结构，这样形成了两个EAPS Domain。

每个EAPS Domain都有自己的受保护Vlan，并且有一个Vlan跨越了两个EAPS Domain而且在每个EAPS Domain内都是受保护VLan。

在S5上会同时运行两个EAPS的进程。

也可以为了充分利用网络带宽资源，EAPS也支持可以在一个单环上跑多个EAPS进程。

8、多个EAPS环共用一条公共链路（Common Links）
在上述例子中，交换机S5是一个单点故障。

如果S5发生故障，环1和环2就会相互隔离，跨越两个环的Vlan就会相互失去通信。

为了使网络有更好的冗余性，需要另外添加一个S10交换机。

在S5和S10交换机之间的链路就称之为公共链路（Common Link）。

在Common Link两端的交换机必须分别被配一个为Controller另一个被配为Partner。

9、在交换机上配置EAPS
创建EAPS Domain，每一个EAPS Domain都有独一无二的名字
creat eaps < name > 名字可以有32个字符
删除一个EAPS Domain
delete eaps < name >
设定交换机在EAPS Domain中的模式
config eaps < name > mode [master | transit ]
在一个EAPS Domain中必须要有一个Master交换机，其他都为Transit交换机
配置EAPS的Polling Timers
config eaps <name> hellotime <seconds>
config eaps <name> failtime [<seconds>]
如果环路断掉，配置Master交换机采取的动作
config eaps <name> failtime expiry-action [open-seconday-port | send-alert ]
默认的Hello时间是1秒钟。

默认的Failtime是3秒钟。

使用Failtime 用于Master交换机认为超时的时间
注意：设置一个更长Hello时间会使交换机的CPU负担小一些，但并不会影响环路的收敛速度。

因为当有环路断开产生的时候，会有Transit交换机及时发现并产生“Link Down”信息，使收敛时间保持在很短暂的时间内。

当网络非常繁忙和拥塞的时候，设置一个更长的Failtime时间会使网络保持稳定的状态，不会由于状态检测数据包没有及时传到而发生误操作。

配置交换机的Primary和Secondary端口
每一个交换机在环上都会有两个端口连接。

一个端口必须要被配置为Primary接口，另一个被配置为Secondary。

如果环路是完整的，Master交换机会把Secondary接口对于被保护VLan 是“Block”的。

如果环路中有中断，Master 交换机就会把Secondary接口打开。

Config eaps <eaps domain> [primary | secondary] port <port number>
配置EAPS的保护VLan
在一个EAPS Domain中必须有一个Control Vlan，仅仅发送和接收EAPS Messages
config eaps <name> add control vlan <vlan_name>
注意：Control Vlan 不能被配置IP地址而且这个VLan只能包含环路接口不允许其它任何端口，端口还要是以Tag 形式加入，否则可能会引起环路。

当你设置一个Vlan 为Control Vlan，必须还要配置这个VLan为QP8的优先级。

配置EAPS 被保护VLan：
在一个EAPS Domain中必须要有一个或多个被保护的Vlan（Protected Vlan）。

被保护是用户数据传输的VLan。

被保护VLan在环路接口上也要打上Tag标记。

Config eaps <eaps_name> add protect vlan <vlan_name>
启用EAPS：
对整个交换机启用enable eaps
对整个交换机关闭diable eaps
启用一个EAPS域enable eaps <eaps_domain>
关闭一个EAPS域disable eaps <eaps_domain>
10、配置EAPS Shared Ports：
在一个多EAPS Domain的网络中在两个节点之间同时承载多个EAPS的物理链路称之为共用链路（Common Link）。

Common Link两端的节点都要配置一个Shared端口已确定这个Common Link。

而且其中一个节点要被配置为Controller，另一个是Partner。

如果Common Link失效，Controller和Partner都会进入“Blocking”状态。

但是事实上Partner并不会Blocking任
何接口。

Controller会保持一个活动的端口和环路保持连接，这个接口被标为“Active-Open”，而其他接口会处于被阻塞状态。

当Common Link重新恢复正常，Controller会从“Blocking”状态进入到“Preforwarding”状态；它会继续临时保持那些“Blocked”的端口以防止形成临时的环路状态。

11、Steady State
稳定的状态是指Common Link是正常的，Controller和Partner处在一个“Ready”的状态。

EAPS已经收敛完成，EAPS Master阻塞它的Secondary端口，Controller的所有接口都处于“forwarding”，处于“Ready”状态。

●EAPS1包括S1,S3,S4,S5和S2
●EAPS2包括S1,S6,S7,S8和S2
●EAPS3包括S1,S9,S10,S11和S2
●S1上有端口P1,P2,P3和P4
●S2上有端口P5,P6,P7和P8
●S5,S8,S11是各自EAPS Domain的Master
●S3,S4,S6,S7,S10是各自EAPS Domain内的Transit
●S1和S2运行EAPSV2
●S1是Controller
●S2是Partner
●在S1上P1是shared port
●在S2上P5是shared port
当Common Link失败了，Controller和Partner会执行以下几个步骤阻止更大环路的形成
如图：
例如有一个数据VLan跨越了3个EAPS Domain，Controller会保持一个端口是开启的，而其他端口被阻塞掉。

在S1上P2是“Active-Open”，P3和P4是“Blocked”。

当Common Link恢复作用了，Controller就会进入到Preforwarding状态。

当Controller注意到Master交换机已经收敛完成，就会把其他“Blocked”的端口打开。

创建和删除Shared port
creat eaps shared-port <port>
Delete eaps shared-port <port>
一个交换机最多可以有两个Shared port
设定shared-port 的模式：
在Common Link的一端交换机必须要被设置为Controller，另一端必须被配置为Partner。

Config eaps shared-port <port> mode <controller | partner>
注意：Master交换机的Secondary接口不能被设置为Shared-port 。

如果Master交换机的Primary接口被设置为Shared-port ，在配置Controller之前必须先要配置Partner。

配置Shared-port 的Link ID
在EAPS Domain中的每一个Common Link必须要有一个独一无二Link ID。

Controller和Partner共同连接的一个Common Link的Shared-port 要有一个相应的Link ID。

Config eaps shared-port <port> link-id <id>
EAPS Shared-port 的配置规则：
●在一条Common Link链路两边的Shared-port 必须要和Common Link的Link ID一致,
●每一条Common Link必须要有独一无二的Link ID。

●在一条Common Link两边的交换机一个是Controller，另一边必须是Partner
●每个交换机上最多能有两个Shared-port
●一个交换机最多是一个Controller
●在Mater上的Secondary接口不能被配置为Shared-port
例如：
在一个核心环中，有两台6808和一台4808，注意4808如果要运行EAPS协议必须是FULL-License软件。

需要在
核心环上创建一个EAPS Domain，并且这个EAPS Domain包含两个Vlan，其中一个Vlan是做控制EAPS Domian的作用，也就是Control Vlan，这个Vlan需要设置一个QP8的高优先级，不能设置任何的IPaddress，并且只能把这个环上的端口加入到这个Vlan内。

另一个VLan是用户数据传输Vlan，也就是Protected Vlan。

iSpirit6808-A核心交换机作为EAPS-1的主控交换机：
creat vlan EAPS1-Pro
config vlan EAPS1-Pro tag 10
config vlan EAPS1-Pro add port 1:1,1:2 tag
config vlan EAPS1-Pro ipaddress 192.168.1.1/24
creat vlan EAPS1-Con
config vlan EAPS1-Con tag 20
config vlan EAPS1-Con add port 1:1,1:2 tag
config vlan EAPS1-Con qosprofile QP8
creat EAPS EAPS-1
configure eaps EAPS-1 mode Master
configure eaps EAPS-1 primary port 1:2
configure eaps EAPS-1 secondary port 1:1
configure eaps EAPS-1 add control vlan EAPS1-Con
configure eaps EAPS-1 add protect vlan EAPS1-Pro
enable eaps
enable eaps EAPS-1
iSpirit6808-B核心交换机EAPS-1：
creat vlan EAPS1-Pro
config vlan EAPS1-Pro tag 10
config vlan EAPS1-Pro add port 1:1,1:2 tag
config vlan EAPS1-Pro ipaddress 192.168.1.3/24
creat vlan EAPS1-Con
config vlan EAPS1-Con tag 20
config vlan EAPS1-Con add port 1:1,1:2 tag
config vlan EAPS1-Con qosprofile QP8
creat EAPS EAPS-1
configure eaps EAPS-1 mode Master
configure eaps EAPS-1 primary port 1:2
configure eaps EAPS-1 secondary port 1:1 configure eaps EAPS-1 add control vlan EAPS1-Con configure eaps EAPS-1 add protect vlan EAPS1-Pro enable eaps
enable eaps EAPS-1
iSpirit4808核心交换机EAPS-1：
creat vlan EAPS1-Pro
config vlan EAPS1-Pro tag 10
config vlan EAPS1-Pro add port 1:1,1:2 tag
config vlan EAPS1-Pro ipaddress 192.168.1.2/24
creat vlan EAPS1-Con
config vlan EAPS1-Con tag 20
config vlan EAPS1-Con add port 1:1,1:2 tag
config vlan EAPS1-Con qosprofile QP8
creat EAPS EAPS-1
configure eaps EAPS-1 mode Master
configure eaps EAPS-1 primary port 1:2
configure eaps EAPS-1 secondary port 1:1 configure eaps EAPS-1 add control vlan EAPS1-Con configure eaps EAPS-1 add protect vlan EAPS1-Pro enable eaps
enable eaps EAPS-1
按照这样EAPS已经配置完毕，正常运转后iSpirit6808-A和iSpirit6808-B之间的链路会处于Blocked状态。

可以通过show EAPS进行详细的查看。

默认情况下主控交换机从Control Vlan每1秒钟发出一个hello数据包，如果3秒钟没有收到从环路发回的这个hello数据包就会认为环路失效，把blocked的线路打开。

但是有时网络繁忙，可能会发生误判的可能，基于稳定的考虑，需要把failtime和hello时间调大，
configure eaps EAPS-1 failtime 9
configure eaps EAPS-1 hellotime 3
第十章VRRP的配置：
VRRP概念：VRRP 是一种标准的虚拟网关冗余协议，它允许多个交换机提供冗余的三层路由服务给用户。

VRRP 消除了网络路由的单点故障，并且免除了手工更改客户端的默认网关的麻烦。

在使用VRRP的时候，IGMP snooping 必须使用启用的。

VRRP的一些术语：
Virtual router ：一个虚拟路由器是一组物理路由设备组成，它是由一个VRID （虚拟路由标示符）Virtual Router Identifier 和一个IP地址组成
VRRP router ：任何运行VRRP路由协议的路由器，它能够参与一个或多个虚拟路由器
IPaddress Owner ：一个运行VRRP协议的路由器，它配置的IP地址和虚拟出来的IP地址是一样的。

IPaddress Owner 对那些指向虚拟IP地址的数据包做出处理。

这是一个可选项
Master router ：这是一个主路由设备，它负责处理那些发往虚拟路由器的数据包，回应Arp请求。

主路由设备定期向网络中的备份路由器广播它的存在。

当一个IPaddress Owner设定了，它总是Master router
Backup router ：任何的Vrrp Router 并没有被选为Master Router
VRID ：Virtual Router Identifier .所有的Virtual Router 被赋予一个独一无二VRID号，所有参与一个Virtual Router 的路由器都要被赋予相同的VRID号
Virtual router MAC address ：RFC 2338规定，对于虚拟路由器要被赋予一段特定的MAC地址，它的头5个8位组是00-00-5E-00-01，当你配置了VRID后，剩下的一个8位组被动态地取为VRID号
决定VRRP的Master 的因素：
1、IP address ：如果一个路由器被赋予虚拟的IP地址，就会变成Master
2、Vrrp Priority ：这是一个可以选择配置的参数，可选范围从1-254。

大一点的数字有高一点的优先级。

255这个优先
级被保留是属于IPaddress Owner 。

默认的优先级是100
3、Higher IP ：如果路由器配置了相同的Priority，拥有更高IP地址的路由器将变成Master Router.
VRRP Tracking
VRRP Tracking 主要的作用是使路由器跟踪一些网络变化来调整自身是否作为Master Router的功能。

可选的Tracking 有三项
1、VRRP Vlan Tracking
2、VRRP router table tracking
3、VRRP ping tracking
VRRP Vlan Tracking
路由器可以配置一个或多个特定VLan的Tracking 用以作为冗余切换的标准。

如果正在Tracking的VLan Down了，路由器就会放弃Master 状态转而保持Standby.
Config vlan <vlan name > [add | delete] track-vlan < vlan name >
VRRP router table tracking
路由器可以配置一个或多个特定路由条目的Tracking 用以作为冗余切换的标准。

如果正在Tracking的任意一条路由条目是无效的，路由器就会放弃Master 状态转而保持Standby.
Config vlan < vlan name > [add | delete ] track-route <ipaddress/mask_length>
VRRP ping tracking
路由器可以通过Ping进行连通性的测试，一但连续特定次Ping 超时，路由器就会放弃Master 状态转而保持Standby. Config vlan < vlan name > [add | delete ] track-ping <ipaddress> frequency miss < number >。