PVST每VLAN生成树协议

PVST充分利用带宽，个VLAN 对应一个生成树SW1(vlan)#vlan 2SW1#vlan dataSW1(config)#int fa0/1SW1(config-if)#switch mode trunkSW1(config)#int fa0/2SW1(config-if)#switch mode trunkSW1(config)#spanning-tree vlan 1 priority 4096 配置成VLAN 1为根桥SW1(config)#spanning-tree vlan 2 priority 4096 配置VLAN 2为根桥使得S1中的F0/1 F0/2端口处于指定端口状态就是转发状态=========================================================== SW2#vlan dataSW2(vlan)#vlan 2SW2(config)#int fa0/1SW2(config-if)#switch mode trunkSW2(config)#int fa0/2SW2(config-if)#switch mode trunk==================================================核心部分每个非跟网桥只能有一个跟端口（转发状态）另外一个端口为非指定端口（阻塞状态避免环路）原则：跟端口COST 值越小就是跟端口。

100Mbps 默认值是19 所以在VLAN 1更改一个端口的CONT 使得小于另外一个端口COST值成为跟端口转发则另外一个端口阻塞了这样有点浪费。

在VLAN 2做相反操作。

则2个端口都是转发状态SW2(config)#int f0/1SW2(config-if)#spanning-tree vlan 1 cost 10 修改VLAN1的COST 为10 成为VLAN 1跟端口SW2(config-if)#spanning-tree vlan 2 cost 20 修改COST 为20 成为VLAN 2的非指定端口SW2(config)#int f0/2SW2(config-if)#spanning-tree vlan 1 cost 20 修改VLAN1的COST 为20成为VLAN 1的非指定端口SW2(config-if)#spanning-tree vlan 2 cost 10 修改COST 为20 成为VLAN 2的跟端口SW2#sh spanning-tree bri 查看端口状态==================================================================== VLAN1Spanning tree enabled protocol ieeeRoot ID Priority 4096Address cc00.02f8.0000Cost 10Port 2 (FastEthernet0/1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32768Address cc00.08b0.0000Hello Time 2 sec Max Age 20 sec Forward Delay 15 secAging Time 300Interface DesignatedName Port ID Prio Cost Sts Cost Bridge ID Port ID-------------------- ------- ---- ----- --- ----- -------------------- -------FastEthernet0/1 128.2 128 10 FWD 0 4096 cc00.02f8.0000 128.2 FastEthernet0/2 128.3 128 20 BLK 0 4096 cc00.02f8.0000 128.3在VLAN 1中fa0/1是处于转发状态的。

pvst协议PVST协议。

PVST（Per-VLAN Spanning Tree）协议是思科公司开发的一种用于交换机网络中的VLAN间的环路防御协议。

它基于STP（Spanning Tree Protocol）协议的基础上，为每个VLAN创建一个独立的生成树，从而实现了对不同VLAN之间的环路进行隔离，提高了网络的可靠性和稳定性。

PVST协议的工作原理是通过在交换机网络中为每个VLAN维护一个独立的生成树，每个生成树都有自己的根桥和端口状态。

这样一来，即使在一个VLAN中发生了链路故障，也不会影响其他VLAN的正常通信，从而提高了网络的容错能力。

在PVST协议中，每个交换机都会发送BPDU（Bridge Protocol Data Unit）消息来交换生成树信息，以便计算出每个VLAN的最佳路径。

同时，每个交换机都会根据接收到的BPDU消息来选择最佳的根桥和端口状态，从而构建出每个VLAN的生成树。

这样一来，即使网络中存在多个VLAN，也能够保证每个VLAN都有自己的最佳路径，提高了网络的负载均衡能力。

PVST协议的优点之一是可以充分利用交换机网络中的带宽资源。

由于每个VLAN都有自己的生成树，因此可以同时利用多条链路进行通信，从而提高了网络的传输效率。

另外，PVST协议还可以有效地防止VLAN间的广播风暴，提高了网络的安全性。

在实际应用中，PVST协议通常会与其他协议结合使用，以实现更加灵活和可靠的网络环境。

例如，可以结合PVST协议和RSTP（Rapid Spanning Tree Protocol）协议来实现快速收敛，加快网络故障的恢复时间；也可以结合PVST协议和VTP （VLAN Trunking Protocol）协议来实现对VLAN的动态管理，简化了网络的配置和维护工作。

总的来说，PVST协议作为一种用于交换机网络中的VLAN间环路防御的协议，具有较高的可靠性、稳定性和灵活性。

它能够有效地隔离不同VLAN之间的环路，提高了网络的容错能力和传输效率，是企业网络中常用的一种重要协议。

PVST+(每个VLAN 的生成树PVST 加)实验拓扑：分别在SW1 和SW2 上show spanning-tree 查看结果：SW1#show spanning-treeVLAN0001Spanning tree enabled protocol ieeeRoot ID Priority 32769Address 0008.20ff.6400This bridge is the rootHello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0008.20ff.6400Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 15Interface Role Sts Cost Prio.Nbr Type---------------- ---- --- --------- -------- -------------------------------- Fa0/23 Desg FWD 19 128.23 P2pFa0/24 Desg FWD 19 128.24 P2pSW2#show spanning-treeVLAN0001Spanning tree enabled protocol ieeeRoot ID Priority 32769Address 0008.20ff.6400Cost 19Port 23 (FastEthernet0/23)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32769 (priority 32768 sys-id-ext 1)Address 000d.bce7.5940Hello Time 2 sec Max Age 20 sec Forward Delay 15 secAging Time 300Interface Role Sts Cost Prio.Nbr Type---------------- ---- --- --------- -------- --------------------------------Fa0/23 Root FWD 19 128.23 P2pFa0/24 Altn BLK 19 128.24 P2p注：以上拓扑中经过选举最终SW1 为根网桥，SW2 的F0/24 为blocking 端口，也是就线路2 成为了备份链路。

二层交换机生成树协议
二层交换机生成树协议是一种用于生成和维护网络中的生成树的协议。

生成树是网络中的一种拓扑结构，能够避免发生环路，并确保只有一条最短路径连接每两个交换机。

常见的二层交换机生成树协议包括以下几种：
1. Spanning Tree Protocol (STP): 最常见的生成树协议，定义了
交换机之间进行协商和选择根交换机的方法。

STP通过计算每条路径的代价，并选择一条最佳路径作为生成树的主干。

2. Rapid Spanning Tree Protocol (RSTP): RSTP是STP的改进版本，能够更快地收敛生成树，并支持快速链接恢复。

RSTP通
过改进BPDU（Bridge Protocol Data Units）的处理方式，实现
更高效的生成树计算和更新。

3. Multiple Spanning Tree Protocol (MSTP): MSTP是一种支持
多个VLAN的生成树协议。

它将交换机划分为多个区域，每
个区域拥有自己的生成树组，从而能够提高网络的容错性和性能。

这些生成树协议通过在交换机之间交换特定的控制帧（如BPDU）来计算生成树，并根据生成树的计算结果转发数据帧。

生成树协议的主要目标是避免环路，确保网络中只有唯一的一条最短路径连接相邻的交换机，从而提高网络的可靠性和性能。

⽣成树协议详解⽣成树协议详解⽣成树协议是由Sun微系统公司著名⼯程师拉迪亚?珀尔曼博⼠(Radia Perlman)发明的。

⽹桥使⽤珀尔曼博⼠发明的这种⽅法能够达到2层路由的理想境界:冗余和⽆环路运⾏。

你可以把⽣成树协议设想为⼀个各⽹桥设备记在⼼⾥的⽤于进⾏优化和容错发送数据的过程的树型结构。

我们要介绍的这个问题在图1中进⾏了描述。

图1.如果这些交换机不采⽤⽣成树协议并且以这种⽅式连接，每⼀台交换机将⽆限地复制它们收到的第⼀个数据包，直到内存耗尽和系统崩溃为⽌。

在2层，没有任何东西能够阻⽌这种环路的事情发⽣。

在图1中，管理员必须要⼿⼯关闭这个红⾊连接线路才能让这个以太⽹⽹络运⾏。

⽣成树协议在当前可⽤连接有效时关闭⼀个或者更多其它冗余连接，⽽在当前连接出现故障后，再启⽤这些被关闭的冗余连接。

⽣成树协议决定使⽤哪⼀个连接完全取决于⽹络的拓扑结构。

⽣成树协议拓扑结构的思路是，⽹桥能够⾃动发现⼀个没有环路的拓扑结构的⼦⽹，也就是⼀个⽣成树。

⽣成树协议还能够确定有⾜够的连接通向这个⽹络的每⼀个部分。

它将建⽴整个局域⽹的⽣成树。

当⾸次连接⽹桥或者发⽣拓扑结构变化时，⽹桥都将进⾏⽣成树拓扑的重新计算。

当⼀个⽹桥收到某种类型的“设置信息”(⼀种特殊类型的桥接协议数据单元，BPDU)时，⽹桥就开始从头实施⽣成树算法。

这种算法从根⽹桥的选择开始的。

根⽹桥(root bridge)是整个拓扑结构的核⼼，所有的数据实际上都要通过根⽹桥。

顺便提⽰⼀下，有⼿⼯设置根⽹桥时要特别注意。

对于思科设备来⾔其根⽹桥的选择过程暴露出⼀些问题，就是过分简单化。

思科硬件通常使⽤最低的MAC地址，具备这些地址的设备通常是⽹络中最古⽼的设备，因⽽其交换速度常是最慢的，⽽从根⽹桥在⽹络中的位置看，它负荷却最重。

⽣成树构建的下⼀步是让每⼀个⽹桥决定通向根桥的最短路径，这样，各⽹桥就可以知道如何到达这个“中⼼”。

这⼀步会在每个局域⽹进⾏，它选择指定的⽹桥，或者与根桥最接近的⽹桥。

配置PVST在实际的网络环境中，物理环路可以提高网络的可靠性，当一条线路断掉的时候，另外一条链路仍然可以传输数据，但是，在交换的网络中，当交换机接受到一个未知目的地的数据帧时，交换机的操作是将这个数据帧广播出去，这样，在物理环路的交换网络中，就会产生一个双向的广播环，甚至产生广播风暴，导致交换机死机STP(Spanning Tree Protoc ol生成树协议)就是用来解决这个环路上的广播风暴的，STP协议在逻辑上断开网络的环路，防止广播风暴的产生，而一但正在使用的线路出现故障，被逻辑上断开的线路又被连通，继续传输数据生成树协议运行生成树算法（STA），生成树算法很复杂，但大体可以分为以下三个步骤：(1) 选择根网桥(root bridge)选择根网桥的依据是网桥ID，网桥ID是一个8字节的字段网桥优先级是用于衡量网桥在生成树算法中优先级的十进制数，取值范围为0---65535，默认为32768，一般的配置都是4096的倍数，网桥ID中的MAC地址是交换机的MAC地址之一，当使用密令show mac-address-table查看交换机的MAC地址表的时候，显示在最前面的MAC地址是STP计算用的交换机的MAC地址。

按照生成树算法中的定义，当比较某个STP参数的两个取值时，值小的优先级高，因此，选择根网桥的时候，比较的方法是看那台交换机的网桥ID的值最小，优先级小的被选择为根网桥，在优先级相同的情况下，MAC地址小的为根网桥(2) 选择根端口(root ports)选出了根网桥后，网络中的每台交换机必须和根网桥建立某种关联，因此，STP将进行选择根端口的过程，跟端口存在于非根网桥上，每个非根网桥上选择一个根端口。

选择根端口的依据一次是：到根网桥最低的根路径成本：根路径成本是两个网桥间的路径上所有链路的成本之和，也就是某个网桥到达根网桥的中间所有链路的路径成本和，路经成本用来代表一条链路带宽的高低，一条链路的带宽越大，他传输数据的成本也就越低直连的网桥ID最小前面有介绍端口ID最小：端口ID是一个2字节的STP参数，有一个字节的端口优先级和一个字节的端口编号组成，端口优先级是一个可配置的STP参数，在基于IOS的交换机上，端口优先级的十进制取值范围是0——255，默认值是128，端口编号是Catalyst用于列举各个端口的数字标识符，在基于IOS的交换机上，可以支持256个端口，断口编号不是端口号，但是端口号低的端口，端口编号也较小在STP选择根端口的时候，首先比较交换机端口的根路径成本，跟路径成本低的为根端口，当根路径成本相同时，比较连接的交换机的网桥ID值，选择网桥ID值小的作为根端口，当网桥ID相同的时候，比较端口ID值，选择较小的作为根端口。

Cisco stp生成树协议1.实验目的1)PVSTP勺作用。

2)PVSTPM理及配置。

2.实验设备两台3560,两台2960,两台PC3.实验拓扑如图1,实验原理如图24.实验步骤1) Pvstp 配置⑴3560交换机S1S1#conf tS1(config)#vlan 2S1(config-vlan)#exS1(config)#ip routingS1(config)#int vlan 2S1(config-if)#ip add 192.168.1.1 255.255.255.0S1(config-if)#no shS1(config)#int range f0/23-24S1(config-if-range)#channel-group 1 mode on (是手动开启channel )S1(config)#int range f0/1-2S1(config-if-range)#switchport trunk encapsulation dot1qS1(config-if-range)#switchport mode trunkS1(config-if-range)#exitS1(config)#spanning-tree vlan 2 启动生成树协议S1(config)#spanning-tree vlan 2 priority 4096 改优先级( 2)3560 交换机S2S2#conf tS2(config)#vlan 2S2(config-vlan)#exS2(config)#ip routingS2(config)#int vlan 2S2(config-if)#ip add 192.168.2.1 255.255.255.0S2(config-if)#no shS2(config)#int range f0/23-24S2(config-if-range)#channel-group 1 mode onS2(config)#int range f0/1-2S2(config-if-range)#switchport trunk encapsulation dot1qS2(config-if-range)#switchport mode trunkS2(config-if-range)#exitS2(config)#spanning-tree vlan 2 启动生成树协议S2(config)#spanning-tree vlan 2 priority 4096 改优先级( 3)2960 交换机SW1Sw1(config)#int range f0/1-2Sw1(config-if-range)#switchport mode trunkSw1(config-if-range)#exitSw1(config)#vlan 2Sw1(config-vlan)#exSw1(config)#int range f0/3-24Sw1(config-if-range)#switchport access vlan 2Sw1(config)#spanning-tree vlan 2 启动生成树协议Sw1(config)#spanning-tree vlan 2 priority 4096 改优先级( 4)2960 交换机SW2Sw2(config)#int range f0/1-2Sw2(config-if-range)#switchport mode trunkSw2(config-if-range)#exitSw2(config)#vlan 2Sw2(config-vlan)#exSw2(config)#int range f0/3-24Sw2(config-if-range)#switchport access vlan 2Sw2(config)#spanning-tree vlan 2 启动生成树协议Sw2(config)#spanning-tree vlan 2 priority 4096 改优先级5. 实验调试：1)查看三层交换机S2的STP树Switch#show spanning-treeVLAN0001Spanning tree enabled protocol ieeeRoot ID Priority 32769Address 000C.CFAC.C83B( S1 是桥根，因其物理地址较低)Cost 38Port 1(FastEthernet0/1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32769 (priority 32768 sys-id-ext 1)Address 00E0.A395.C98DHello Time 2 sec Max Age 20 sec Forward Delay 15 secAging Time 20Interface Role Sts Cost Prio.Nbr TypeFa0/1 Root FWD 19 128.1 P2p (对于vlan1,f0/1 为根口，f0/2 处于阻断状态) Fa0/2 Altn BLK 19 128.2 P2pVLAN0002Spanning tree enabled protocol ieeeRoot ID Priority 4098Address 000C.CFAC.C83BCost 38Port 1(FastEthernet0/1)Hello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 4098 (priority 4096 sys-id-ext 2)Address 00E0.A395.C98DAging Time 20Interface Role Sts Cost Prio.Nbr TypeFa0/1 Root FWD 19 128.1 P2pFa0/2 Altn BLK 19 128.2 P2p2)查看三层交换机S1的STP树Switch#show spanning-treeVLAN0001Spanning tree enabled protocol ieeeRoot ID Priority 32769Address 000C.CFAC.C83BThis bridge is the rootHello Time 2 sec Max Age 20 sec Forward Delay 15 secBridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 000C.CFAC.C83BHello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20Interface Role Sts Cost Prio.Nbr TypeFa0/1 Desg FWD 19 128.1 P2p (可以进行数据传输)Fa0/2 Desg FWD 19 128.2 P2pVLAN0002Spanning tree enabled protocol ieeeRoot ID Priority 4098Address 000C.CFAC.C83BThis bridge is the rootHello Time 2 sec Max Age 20 sec Forward Delay 15 sec Interface Role Sts Cost Prio.Nbr TypeBridge ID Priority 4098 (priority 4096 sys-id-ext 2) Address 000C.CFAC.C83BAging Time 20Fa0/1 Desg FWD 19 128.1 P2p （f0/1 和f0/2 都处于转发状态）Fa0/2 Desg FWD 19 128.2 P2p3）查看数据包的流动4）在3560交换机S1上修改优先级并查看数据包的流动（修改后要等待半分钟左右）：Switch（config）#spanning-tree vlan 2 priority 81% Bridge Priority must be in increments of 4096.% Allowed values are:0 4096 8192 12288 16384 20480 24576 2867232768 36864 40960 45056 49152 53248 57344 61440 （优先级为0 不参与选举）Switch（config）#spanning-tree vlan 2 priority 81925）在3560交换机S2上修改优先级并查看数据包的流动（修改后要等待半分钟左右）：Switch（config）#spanning-tree vlan 2 priority 12288。

生成树协议（H3C ）CISCO 交换机上运行的生成树协议是PVST+（Per VLAN Spanning Tree Plus ，增强的每VLAN 生成树），该协议是CISCO 的私有协议，在H3C 交换机上并不提供对其的支持。

在H3C 及其他厂家的交换机上用来实现生成树的是IEEE 定义的STP/RSTP/MSTP 协议。

具体关于IEEE802.1D 标准定义的STP 协议的实现原理在《计算机网络集成技术》一书中已经进行了详细的介绍。

H3C 交换机运行STP 与国际标准唯一的区别是关于路径开销的计算。

具体如表5-1所示。

表5-1路径开销CISCO交换机默认使用802.1D-1998标准的路径开销值进行生成树的计算，而H3C 交换机默认使用其私有标准定义的路径开销值来进行生成树的计算。

5.1RSTPSTP 协议在实现上存在明显的不足：一旦网络拓扑发生变化，端口从阻塞状态转换到转发状态需要50秒或30秒的时间。

这也就意味着网络发生变化时，至少需要几十秒的时间来恢复网络的连通性。

如果网络中的拓扑结构变化频繁，则网络将经常性的无法连通，这显然无法让用户接受。

为了解决该问题，IEEE802.1W 定义了RSTP （Rapid Spanning Tree Protocol ，快速生成树协议）。

RSTP 是STP 的升级版本，它在原理上与STP 基本相同，但它具有更快的网络收敛速度，当一个端口被选为根端口和指定端口后，其进入转发状态的延时在某种条件下大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。

RSTP 缩短延时存在以下三种情况：（1）端口被选举为根端口如果交换机上原来存在两个端口能够到达根网桥，则其中一个端口是根端口，处于转发状态；另外一个端口备用端口，处于阻塞状态。

一旦根端口因为某种情况与根网桥之间的链接断开，则备用端口可以马上进入转发状态，无需传递BPDU ，延时时间只是交换机CPU 的处理延时，仅仅几毫秒即可。

生成树协议（STP PVST CST RSTP MSTP）笔记和其他协议一样，生成树协议也是随着网络的不断发展而不断更新换代的。

本文按照技术发展的主线，介绍了生成树协议的发展历程、近期热点和未来的发展方向。

生成树协议是一种二层管理协议，它通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能。

由于生成树协议本身比较小，所以并不像路由协议那样广为人知。

但是它却掌管着端口的转发大权—“小树枝抖一抖，上层协议就得另谋生路”。

真实情况也确实如此，特别是在和别的协议一起运行的时候，生成树就有可能断了其他协议的报文通路，造成种种奇怪的现象。

生成树协议和其他协议一样，是随着网络的不断发展而不断更新换代的。

本文标题中的“生成树协议”是一个广义的概念，并不是特指IEEE 802.1D中定义的STP协议，而是包括STP以及各种在STP基础上经过改进了的生成树协议。

在生成树协议发展过程中，老的缺陷不断被克服，新的特性不断被开发出来。

按照大功能点的改进情况，我们可以粗略地把生成树协议的发展过程划分成三代，下面一一道来。

开天辟地的第一代生成树协议：STP/RSTP在网络发展初期，透明网桥是一个不得不提的重要角色。

它比只会放大和广播信号的集线器聪明得多。

它会悄悄把发向它的数据帧的源MAC地址和端口号记录下来，下次碰到这个目的MAC 地址的报文就只从记录中的端口号发送出去，除非目的MAC地址没有记录在案或者目的MAC地址本身就是多播地址才会向所有端口发送。

通过透明网桥，不同的局域网之间可以实现互通，网络可操作的范围得以扩大，而且由于透明网桥具备MAC地址学习功能而不会像Hub那样造成网络报文冲撞泛滥。

但是，金无足赤，透明网桥也有它的缺陷，它的缺陷就在于它的透明传输。

透明网桥并不能像路由器那样知道报文可以经过多少次转发，一旦网络存在环路就会造成报文在环路内不断循环和增生，甚至造成恐怖的“广播风暴”。

实验四生成树协议和VLAN技术实验目的：通过本次实验掌握生成树协议、快速生成树协议、聚合端口的应用及的配置。

理解他们之间的区别并结合实验加以检证。

熟悉VLAN技术的配置命令，掌握端口隔离及跨VLAN间通信的相关技术。

能够在复杂的交换网络中开启VTP服务。

1．生成树配置实验名称：生成树协议STP。

实验目的：理解生成树协议STP的配置及原理。

实现功能：使网络在有冗余链路的情况下避免环路的产生，避免广播风暴等。

实验拓朴：实验步骤：步骤1.在每台交换机上开启生成树协议。

例如对SwitchA做如下配置：SwitchA# configure terminalSwithchA(config)# spanning-tree ！开启生成树协议（思科默认开启STP）SwithchA(config)# end验证测试：验证生成树协议已经开启SwitchA# show spanning-tree ！显示交换机生成树的状态步骤2.设置生成树模式。

SwitchA(config)# spanning-tree mode stp ！设置生成树模式为STP（802.1D）验证测试：验证生成树协议模式为802.1DSwitchA# show spanning-tree注：cisco的stp协议默认是开启的。

因此SwitchB和SwitchC可以不用配置。

步骤3.设置交换机的优先级.SwitchA(config)# spanning-tree vlan 1 priority 4096 ！设置交换机SwitchA的优先级为4096，数值最小的交换机为根交换机（也称根桥），交换机SwichB和SwichC的优先级采用默认优先级（32768），因此SwitchA将成为根交换机。

步骤4.综合验证测试。

观察根端口的变化。

用PCC去ping PCB，使用连续ping命令，然后将SA和SC的接线断开，观察连通性变化。

步骤5。

将生成树协议换成rstp使用快速生成树协议，然后同样用PCC去ping PCB，使用连续ping命令，然后将SA 和SC的接线断开，观察连通性变化。

生成树协议的功能生成树协议的主要功能有两个：一是在利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。

二是在以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。

生成树协议发明者[1]生成树协议是由Sun微系统公司著名工程师拉迪亚·珀尔曼博士(Radia Perlman)发明的。

1988 年, 珀尔曼在MIT完成了她的计算机博士科学学位。

珀尔曼在1993年离开了DEC去了Novell工作, 1997她又加入Sun Microsystems 公司。

珀尔曼博士拥有80多个技术发明专利, 其中40多个是在Sun Microsystems 公司发明的。

珀尔曼博士被哈佛大学和华盛顿大学聘请为客座教授。

珀尔曼博士在数据通信领域的经典著作有:《Interconnections: Bridges, Routers, Switches,and Internetworking Protocols》《Network Security: Private Communication in a Public World》珀尔曼博士被授予了许多杰出工程师奖,她被评为20个数据通信领域最有影响力的人之一。

生成树协议特点网桥使用珀尔曼博士发明的这种方法能够达到2层路由的理想境界:冗余和无环路运行。

你可以把生成树协议设想为一个各网桥设备记在心里的用于进行优化和容错发送数据的过程的树型结构. 生成树协议（Spanning Tree）定义在 IEEE 802.1D 中，是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。

为使以太网更好地工作，两个工作站之间只能有一条活动路径。

网络环路的发生有多种原因，最常见的一种是有意生成的冗余－万一一个链路或交换机失败，会有另一个链路或交换机替代。

生成树协议拓扑结构的思路生成树协议拓扑结构的思路是: 不论网桥(交换机)之间采用怎样物理联接,网桥(交换机)能够自动发现一个没有环路的拓扑结构的网路，这个逻辑拓扑结构的网路必须是树型的。

生成树协议是一种二层管理协议,选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能.第一代生成树协议:Stp/rstp 不带二层负载均衡Stp—其中IEEE的802.1d版本最为流行Stp协议中定义了根桥（rootbridge）、根端口（rootport）、指定端口（designatedport）、路径开销（pathcost）等概念..生成树算法SPA，信息交流单元就称为配置消息BPDU（bridgeprotocoldata unit）。

Stp bpdu是一种二层报文，目的mac是多播地址01-80-c2-00-00-00 ，当拓扑发生变化，时延称为forward delay，协议默认值是15秒Rstp—快速生成树协议rstp 802.1w标准,向下兼容stp协议第一点改进：为根端口和指定端口设置了快速切换用的替换端口（alternate port）和备份端口（backup port）两种角色第二点改进：在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态第三点改进：直接与终端相连而不是把其他网桥相连的端口定义为边缘端口（edge port第二代生成树协议:Pvst/pvst+Pvst/pvst+ 每个vlan都生成一棵树 Pvst不兼容stp/rstp协议二层负载均衡Pvst/pvst+ 发送的目的地址也改成了cisco保留地址01-00-0c-cc-cc-cd，而且在vlan trunk的情况下pvst bpdu被打上了802.1q vlan标签Pvst＋协议，并成为了交换机产品的默认生成树协议。

经过改进的pvst＋协议在vlan 1上运行的是普通stp协议，在其他vlan上运行pvst协议。

pvst ＋协议可以与stp/rstp互通，在vlan 1上生成树状态按照stp协议计算。

在其他vlan上，普通交换机只会把pvst bpdu当作多播报文按照vlan号进行转发Pvst/Pvst＋问题第一点缺陷：由于每个vlan都需要生成一棵树，pvst bpdu的通信量将正比于trunk的vlan个数第二点缺陷：在vlan个数比较多的时候，维护多棵生成树的计算量和资源占用量将急剧增长第三点缺陷：由于协议的私有性第三代生成树协议：Mistp/MstpMistp多实例生成树协议，不能兼容stp/rstp协议，甚至不能向下兼容pvst/pvst＋协议Mirstp是基于端口的，pvst/pvst＋是基于vlan的，而mistp就是基于实例的。

PVST协议1. 概述PVST（Per VLAN Spanning Tree）是一种用于构建虚拟局域网（VLAN）的生成树协议。

它是Cisco公司专门为解决VLAN环境下的网络环路问题而设计的一种协议。

PVST协议通过在交换机上运行多个生成树实例，为每个VLAN都创建独立的生成树，从而确保在VLAN环境中的数据传输的可靠性和高效性。

2. PVST协议的原理PVST协议的原理基于经典的生成树协议（STP），但在STP的基础上进行了一些改进和扩展。

PVST协议在每个交换机上都运行多个生成树实例，每个实例对应一个VLAN。

这些实例之间相互独立，互不影响。

每个交换机都维护着一张全局的VLAN数据库，记录了所有的VLAN信息。

当交换机收到一帧数据时，它会根据帧的VLAN标记将其转发到对应的生成树实例上。

交换机通过交换机间的BPDU（Bridge Protocol Data Unit）交换信息，相互通告各自所维护的生成树的状态，以实现生成树的构建和维护。

PVST协议通过交换BPDUs来确保网络中的每个交换机维护着相同的生成树拓扑信息，从而避免了环路的产生。

3. PVST协议的特点•支持多个VLAN：PVST协议可以为每个VLAN创建独立的生成树实例，从而在VLAN环境中提供更好的性能和可靠性。

•快速收敛：PVST协议使用RSTP（Rapid Spanning Tree Protocol）作为底层协议，可以快速收敛生成树，降低网络的恢复时间。

•动态调整生成树：PVST协议能够根据网络的拓扑变化，动态调整生成树的路径，以适应网络的变化。

•负载均衡：PVST协议允许在多个端口之间进行负载均衡，提高网络吞吐量和利用率。

•管理简单：PVST协议的配置和管理相对简单，管理员只需关注VLAN的划分和端口的设置。

4. PVST协议的应用场景PVST协议广泛应用于VLAN环境下的企业网络、数据中心等场景。

它可以解决VLAN环境下的网络环路问题，提高网络的可靠性和性能。

ＶＬＡＮ与生成树和生成树的配置一ＶＬＡＮ与生成树在缺省的ＣＩＳＣＯＳＴＰ模式中，每个ＶＬＡＮ定义一个ＳＴＰ．ＩＥＥＥ８０２．１Ｑ标准是在整个交换ＶＬＡＮ网络中使用一个ＳＴＰ，但并不排除在每个ＶＬＡＮ中实现ＳＴＰ．１ＶＬＡＮ与生成树的关系＞ＩＥＥＥ通用生成树（ＣＳＴ）＞ＣＩＳＣＯＰＥＲＶＬＡＮ生成树（ＰＶＳＴ）＞带ＣＳＴ的ＣＩＳＣＯＰＥＲＶＬＡＮ生成树（ＰＶＳＴ＋）ＣＳＴ是ＩＥＥＥ解决运行虚拟局域网ＶＬＡＮ生成树的方法．ＣＳＴ定义，整个第２层交换网络所有实现了的ＶＬＡＮ，仅使用一个生成树实例．这个生成树实例运行在整个交换局域网上．ＰＶＳＴ是解决在虚拟局域网上处理生成树的ＣＩＳＣＯ特有解决方案．ＰＶＳＴ为每个虚拟局域网运行单独的生成树实例．一般情况下ＰＶＳＴ要求在交换机之间的中继链路上运行ＣＩＳＣＯ的ＩＳＬ．ＰＶＳＴ＋是ＣＩＳＣＯ解决在虚拟局域网上处理生成树问题的另一个方案．ＰＶＳＴ＋允许ＣＳＴ信息传给ＰＶＳＴ，以便与其他厂商在ＶＬＡＮ上运行生成树的实现方法进行操作．２按ＶＬＡＮ生成树（ＰＶＳＴ）为每个ＶＬＡＮ建立一个独立的生成树实例（ＰＶＳＴ）．生成树算法计算整个交换型网络的最佳无环路径．ＰＶＳＴ的优点：＞生成树拓扑结构的总体规模减少．＞改进了生成树的扩展性，并减少了收敛时间．＞提供更快的收敛恢复能力和更高的可靠性．ＰＶＳＴ的缺点：＞为了维护针对每个ＶＬＡＮ而生成的生树，交换机的利用率会更高＞为了支持各个ＶＬＡＮ的ＢＰＤＵ，需要占用更多的ＴＲＵＮＫ链路带宽生成树仅可运行在６４个ＶＬＡＮ上．３公共生成树（ＣＳＴ）ＣＳＴ是ＩＥＥＥ在虚拟局域网上处理生成树的特有方法，这是一种ＶＬＡＮ解决方案，称为单一或者公共生成树．生成树协议运行在ＶＬＡＮ１即缺省的ＶＬＡＮ上．所有的交换机都举出同一个根网桥，并建立与该根网桥的关系．公共生成树不能针对每个ＶＬＡＮ来优化根网桥的位置．公共生成树优点：＞最小数量的ＢＰＤＵ通信，带宽占用少．＞交换机负载保持最小．公共生成树的缺点如下：＞只用一个根网桥，这不能为所有的ＶＬＡＮ做到网桥的优化放置，导致对某些设备来说可能存在次优化路径．＞为包括交换架构中的所有端口，生成树的拓扑结构较大，这就会导致较长的收敛时间和更频繁的重新配置．４增强型的按ＶＬＡＮ生成树（ＰＶＳＴ＋）ＰＶＳＴ＋有以下特征：＞它是ＣＩＳＣＯ发展的，可以与８０２．１Ｑ公共生成树（ＣＳＴ）互操作．＞通过ＩＳＬ中继，ＰＶＳＴ＋与现存的ＣＩＳＣＯ交换机ＰＶＳＴ协议向后兼容，同时，ＰＶＳＴ＋也通过８０２．１Ｑ中继与ＣＳＴ连接互操作．＞如果ＰＶＳＴ区域和ＣＳＴ区域之间要互操作，一定要通过ＰＶＳＴ＋区域．二生成树配置生成树配置涉及下面一些任务：＞选举和维护一个根网桥．＞通过配置一些生成树的参数来优化生成树．（如端口优先级端口成本）＞通过配置上行链路来减少生成树的收敛时间．２９５０交换机上生成树的缺省配置：＞ＳＴＰ启用：缺省情况下ＶＬＡＮ１启用＞ＳＴＰ模式：ＰＶＳＴ＋＞交换机优先级：３２７６８＞ＳＴＰ端口优先级：１２８＞ＳＴＰ路径成本：１０００Ｍ：４１００Ｍ：１９１０Ｍ：１００＞ＳＴＰＶＬＡＮ端口成本：（同上）＞ＳＴＰ计时器：ＨＥＬＬＯ时间：２秒转发延迟：１５秒最大老化时间：２０秒１启用生成树：switch(config)#spanning-tree vlan vlan-list步骤：switch#config tswitch(config)# spanning-tree vlan 10switch(config)#endswitch#show spanning-tree summary(detial)summary摘要detial详细Bridge Identifier has priority 8912,address 0006.eb06.1741 (本地交换机网桥ＩＤ）desigated root has priority 8912,address 0006.eb06.1741 (根网桥ＩＤ）designated port is 7,path cost 0 (路径成本）times: hold1, topology change 35, notification 2hello 2, max age 20, forward delay 15 （根计时器）２人为建立根网桥在生成树网络中，最重要的事情就是决定根网桥的位置．可以让交换机自己根据一定的原则来选择根网桥以及备份或从（secondary）根网桥，也可使用命令人为指定根网桥．ＰＳ：不要将接入层的交换机配置为根网桥．ＳＴＰ根网桥通常是汇聚层或者核心层的交换机．通过命令直接建立根网桥：spanning-tree vlan vlan-id root primary步骤：switch#config terminalswitch(config)#spanning-tree vlan vlan-id root primary dianmeternet-diameter hello-time sec为ＶＬＡＮ配置根网桥网络半径以及ＨＥＬＬＯ时间ＲＯＯＴ关键字：指定这台交换机为根网桥diameter netdianmeter：该关键字指定在末端口主机任意两点之间的网段的最大数量．net-diameter的值是２－７．这个直径应该从根网桥开始计算，根网桥是１switch(config)#endswitch#show spanning-tree vlan vlan-id detail让交换机返回缺省的配置，可以使用如下命令：no spanstree vlan vlan-id root２＞修改网桥的优先级别：多数情况下做如下配置：spanning -tree vlan vlan-id root primary （主ＲＯＯＴ）spanning-tree vlan vlan-id root secondary（备份ＲＯＯＴ）修改网桥优先级：spanning-tree vlan vlan-id priority bridge-priority３确定到根网桥的路径生成树协议依次用ＢＰＤＵ中这些不同域来确定根网桥的最佳路径：＞根路径成本（ＲＯＯＴＰＡＴＨＣＯＳＴ）＞网桥ＩＤ（ＢＲＩＤＧＥＩＤ）＞端口优先级（ＰＯＲＴＰＲＯＩＲＩＴＹ）从端口发出ＢＰＤＵ时，它会被施加一个端口成本，所有端口成本的总和就是路径成本．生成树首先查看路径成本，以确定哪些端口应该转发，哪些端口应该阻塞．报告最低路径成本的端口被选为转发端口．如果对多个端口来说，其中路径成本相同，那么，生成树将查看网桥ＩＤ．报告有最低网桥ＩＤ的ＢＰＤＵ端口被允许进行转发，而其他所有端口被阻断．如果路径成本和网桥ＩＤ都相同（如在平行链路中），生成树将查看端口ＩＤ．端口ＩＤ低的优先级高，将作为转发端口．４修改端口成本如果想要改变某台交换机和根之间的数据所走的路径，就要仔细计算当前的路径成本，然后，改变所希望路径的端口成本．我们可以更改交换机端口的成本，端口成本更低的端口更容易被选为转发帧的端口．spanning-tree vlan vlan-id cost costno spanning-tree vlan vlan-id cost(删除)配置步骤：＞１config terminal 进入配置状态＞２interface interface-id 进入端口配置界面＞３spanning-tree vlan vlan-id cost cost值为某个ＶＬＡＮ配置端口成本＞４end＞５show spanning-tree interface interface-id detail查看配置＞６write５修改端口优先级在路径成本和网桥ＩＤ都相同的情况下，有最低优先级的端口将为vlan转发数据帧．对应基于ＣＬＩ的命令的交换机，可能的端口优先级别范围为０～６３，缺省为３２．基于ＩＯＳ的交换机端口的优先级别范围是０～２５５，缺省为１２８．spanning-tree vlan vlan-id port-priority priority值no spanning-tree vlan vlan－id port-priority１＞config terminal 进入配置状态２＞interface interface-id 进入端口配置界面３＞spanning-tree vlan vlan-id port-priority４＞end５＞show spanning-tree interface interface-id detail６＞write６修改生成树计时器使用缺省的ＳＴＰ计时器配置，从一条链路失效到另一条接替，需要花费５０秒．这可能使网络存取被耽误，从而引起超时，不能阻止桥接回路的产生，还会对某些协议的应用产生不良影响，会引起连接、会话或数据的丢失。

实验报告实验人：XXX实验名称：pvst（每vlan生成树）的配置实验目的：掌握1.STP的工作原理2.STP树的控制3.利用PVST 进行负载平衡的方法实验过程：实验拓扑:如图所示,S1和S2模拟核心层的交换机,而S3为接入层的交换机,本试验不使用R1,3台交换机实际上是三层交换机,这里我们并不利用其三层功能,所以采用二层交换机的图标.Cisco 交换机默认是运行PVST+的,因此每个VLAN有一棵STP树.实验步骤：1、在S1上配置trunk、vtp域名wnt 、vlan 2（以上图为例，在S1的f0/13、f0/14上及S2的f0/12、f0/13、f0/14还有S3的f0/1、f0/2上执行相同的步骤）2、查看S2、S3上vlan的学习情况，及trunk的形成情况3、查看默认的生成树的情况，即vlan 1 的RB（根桥），vlan 2的根桥，f0/12 、f0/13的状态4、由上面查看的情况得出f0/2是阻塞的，那么无论vlan 1还是vlan 2都走S3—S1—S2这条路径，显然不好，不能负载均衡，为了实验实现负载，将f0/2定置为vlan 2上的指定端口5、又因上面查看情况可以看出S1是vlan 1和vlan 2的RB，所以对于vlan 1来说S1上的所有端口都是转发状态，vlan 2也一样，但是vlan1和vlan2的RB都在一台交换机上显然不科学，在此我们将S2修改为vlan2的RB，命令为：(全局)spanning-tree vlan2 root primary6、用show spanning-tree brief 查看S2是否成为vlan2的RB了，在vlan2中f0/1是转发端口，而f0/2成为阻塞端口;在vlan1中，f0/1处于转发而f0/2处于阻塞状态，将其修改为vlan2中f0/2转发，f0/1阻塞，以实现负载均衡（以上是当f0/14处于关闭状态时，只分析了S1—S2—S3—S1该环路中的问题）修改：7、打开f0/14,并用命令show spanning-tree brief在S1、S2上查看接口的状态8、由步骤6可知，传输vlan1时，S2上的f0/14端口处于阻塞状态；当传输vlan2时，S1上的f0/14端口处于阻塞状态，但是由此看来无论是传vlan1，还是传vlan2出现阻塞的总是在f0/14—f0/14这条链路上，为了避免这种无冗余的情况的发生，我们将在S2上配置：当传输vlan2时，让S2上vlan1的f0/14处于转发状态，而f0/13处于阻塞状态（方法是修改S1上vlan1的f0/14端口的优先级）9、查看配置完之后，接口f0/13和f0/14在vlan1和vlan2中的状态。

详述思科2960系列交换机的四大安全特性张春明2011年5月24日前言思科2960系列交换机是可配置的接入层交换机，具有良好的安全特性，除了使用比较多的划分VLAN外，还有较少使用的ACL功能。

本篇以思科2960系列交换机为主，介绍思科二层交换机比较重要的四大安全特性：生成树协议（STP）、风暴控制（Storm Control）、端口安全（Port Security）和DHCP Snooping。

本篇不同于一般教程以理论讲解为主，而是以真实环境下的实例贯穿全文，基础知识的提及仅为更好地理解实例而服务。

目录第一章生成树协议（STP） (3)1.1 生成树协议（STP） (3)1.1.1 STP的一些基本概念 (3)1.1.2 生成树协议的演变 (4)1.1.2.1 第一代生成树协议 (4)1.1.2.2 第二代生成树协议 (5)1.1.2.3 第三代生成树协议 (5)1.2 实例 (5)1.2.1 思科交换机所支持的生成树协议 (5)1.2.2 查看思科交换机所使用的生成树协议 (6)1.2.3 更改并验证思科交换机所使用的生成树协议 (8)1.2.4 查看每个VLAN的根桥 (9)1.2.5 VLAN Bridge ID的计算 (10)1.2.6 为根桥的VLAN的Root ID与Bridge ID相同 (11)1.2.7 不为根桥的VLAN的Root ID与为根桥的VLAN的Root ID相同 (13)1.2.8 不是根桥的VLAN的Root ID的优先级与其Bridge ID的优先级，可以相同，也可以不相同，取决于Bridge ID的优先级 (15)1.2.9 同一交换机不同VLAN的Bridge ID的MAC地址均相同 (16)1.2.10 Bridge ID 使用Extended System ID的情况时的优先级为4096的倍数 (17)1.3 交换机的五种端口状态 (18)1.3.1 禁用（Down或Disabled） (18)1.3.2 阻塞（Blocking） (18)1.3.3 侦听（Listening） (18)1.3.4 学习（Learning） (18)1.3.5 转发（Forwarding） (18)1.4 快速端口（PortFast） (19)1.4.1 快速端口及其启用条件 (19)1.4.2 配置 (19)1.4.3 查询 (20)第二章风暴控制 (20)2.1 广播风暴 (20)2.2 配置 (20)2.2.1 配置命令 (20)2.2.2 可选配置命令 (21)2.3 实例 (21)2.4 对广播流量的测试 (22)2.4.1 广播流量为何为零 (22)2.4.2 测试出广播流量百分比不为零的情况 (24)第三章端口安全（Port Security） (28)3.1 MAC Flooding攻击 (28)3.2 防范方法 (29)3.2.1 限制端口可以学习到的MAC地址的数量 (29)3.2.1.1 配置命令 (29)3.2.1.2 实例 (29)3.2.1.3 为何不能少switchport port-security这条命令 (30)3.2.1.4 删除时注意事项 (30)3.2.2 绑定端口的MAC地址 (32)3.2.2.1 手动绑定端口的MAC地址 (32)3.2.2.2 Sticky自动绑定端口的MAC地址 (33)3.2.3 违反端口安全规则后交换机的处理方式 (34)3.2.3.1 shutdown (34)3.2.3.2 restrict (36)3.2.3.3 protect (37)3.3 对四种情况的总结 (38)3.3.1 插入maximum为1且绑定了MAC地址的端口，违反端口安全 (38)3.3.2 插入maximum大于1且绑定了MAC地址的端口，不违反端口安全 3.3.3 对于已做过MAC地址绑定的客户端，其插入设置了端口安全的另一端口，违反端口安全 (39)3.3.4 对于已做过MAC地址绑定的客户端，其插入未设置端口安全的另一端口，不违反端口安全 (39)第四章DHCP snooping (40)4.1 概述 (40)4.1.1 冒充DHCP服务器分配IP地址 (40)4.1.2 DHCP Server的DoS（拒绝服务）攻击 (40)4.1.3 用户非法私自绑定IP地址 (41)4.2 DHCP Snooping (41)4.2.1 基本概念 (41)4.2.2 基本配置命令 (41)4.3 实例 (42)4.3.1 实例一 (42)4.3.2 实例二 (45)4.4 验证 (48)4.5 DAI技术简介 (51)第一章生成树协议（STP）1.1 生成树协议（STP）1.1.1 STP的一些基本概念生成树协议，即Spanning Tree Protocol，简称STP，是用来防止网络环路的一种协议。