【正文】 3．交換機的 VTP 工作模式 交換機可以工作在服務(wù)器模式、客戶機模式、透明模式或關(guān)閉模式。 (1) 服務(wù)器 (Server)模式 VTP 服務(wù)器維護著 VTP 域內(nèi)所有 VLAN的完整列表。在 VTP服務(wù)器模式下，可以創(chuàng)建、修改和刪除 VLAN，為整個 VTP 域指定其它的配置參數(shù) (如 VTP 版本和 VTP修剪等 )。 VTP 服務(wù)器會把自己的 VLAN 配置通告給相同 VTP 域內(nèi)的其它交換機，并利用從 Trunk 鏈路上收到的通告實現(xiàn)與其它交換機之間 VLAN 配置的同步。 VTP 信息存儲在 NVRAM(非易失隨機存取存儲器 )中。所有 Cisco交換機的缺省模式是服務(wù)器模式。 (2) 客戶機 (Client)模式 VTP 客戶機中也維持著 VTP 域內(nèi)所有 VLAN 的列表。但是，這些信息沒有存放在 NVRAM中。 VTP 客戶機與 VTP 服務(wù)器工作方式相同，但不支持創(chuàng)建、修改和刪除 VLAN；任何更改都是通過 VTP 服務(wù)器通告實現(xiàn)的。 (3) 透明 (Transparent)模式 透明模式的交換機不會加入 VTP，不會通告自己的 VLAN 配置， 也不會根據(jù)接收到的通告同步自己的 VLAN 配置。但是，透明模式的交換機會在 Trunk端口上轉(zhuǎn)發(fā)接收到的 VTP 通告。在透明模式的交換機上配置 VLAN，其配置信息只在本地有效 (保存在 NVRAM中 )。 (4) 關(guān)閉 (Off)模式 VTP Off模式與 VTP透明模式類似，但交換機不轉(zhuǎn)發(fā) VTP通告。 不同的 VTP 模式如何處理 VTP信息見下表。 功能 服務(wù)器 客戶機 透明 提供 VTP 信息 Yes Yes No 監(jiān)聽 VTP 信息 Yes Yes No 創(chuàng)建 VLAN Yes No Yes(僅本地有效 ) 記住 VLAN Yes No Yes(僅本地有效 ) 表中的“提供 VTP 信息”是指在所有的 Trunk 上發(fā)送 VTP 信息，“監(jiān)聽 VTP 信息”指監(jiān)聽MAC地址為 01000ccccccc的組播幀并處理 VTP更新。 服務(wù)器和客戶機在發(fā)送和監(jiān)聽 VTP 消息方面沒有差別，區(qū)別僅在于，不能在客戶機上直接配置 VLAN，并且在重新啟動后，客戶機不能記住 VLAN信息 (沒有寫入 NVRAM)。 透明模式的交換機不參加到 VTP中，此類交換機只通過所有的 Trunk轉(zhuǎn)發(fā)所有的 VTP 消息，而不做其它處理。 4． VTP通告 VTP 通告負責在 VTP域的各 成員之間傳送 VTP信息。 (1) VTP 通告 (Advertisements)的內(nèi)容 周期性的 VTP通告 (Advertisements)會使用組播地址 (01000ccccccc)通過 Trunk端口發(fā)送。該通告包含下列配置信息。 ? VLAN ID(ISL和 ) ? 仿真 LAN名稱 (ATM LANE) ? SAID值 (FDDI) ? VTP 域名 ? VTP 配置修改編號 ? VLAN配置，包括 MTU ? 幀格式 (2) 發(fā)送 VTP 消息時，以太網(wǎng)幀各字段的取值 VTP 消息封裝在 ISL 幀或者 IEEE 。發(fā)送 VTP 消息時，以太網(wǎng)幀各字段的取值如下： ? DA取組播地址： 01000ccccccc ? LLC中的 DSAP 和 SSAP 取值都為 0xAA ? 子網(wǎng)訪問協(xié)議 SNAP(Subwork Access Protocol) 頭部中的組織惟一標識OUI(Oaganizationnal Unique Identifier)取值為 00000c(表示是 Cisco) ? SNAP 頭部中的以太網(wǎng)類型為 2020 (3) ISL VTP 數(shù)據(jù)包 ISL和 VTP消息。下面給出的是 ISL封裝。 ISL 頭部 以太網(wǎng)頭部 LLC頭部 SNAP 頭部 VTP 頭部 VTP 消息 CRC 26B 14B 3B 3B 變長 VTP 頭部的格式取決于 VTP消息的類型，但是，所有數(shù)據(jù)包頭部都包含下列字段 ? VTP 協(xié)議版本： 1或 2 ? VTP 消息類型 ? 管理域長度 ? 管理域名稱 (4) VTP 消息類型 ? 匯總通告 (Summary Advertisements) 該消息用于向鄰接的交換機廣播目前的 VTP 域名和配置修改編號 (缺省時每 5 分鐘發(fā)送一次 )。匯總通告的格式如下。 VTP 版本 消息類型 后續(xù)通告數(shù) 管理域名長度 管理域名 (不 足 32字節(jié)用 0填充 ) 配置修改編號 更新者標識 更新時間戳 (12字節(jié) ) MD5摘要 (16字節(jié) ) VTP 版本： 1或 2 消息類型： 0x01，標識匯總通告 后續(xù)通告數(shù)：跟隨在匯總通告后的子網(wǎng)通告?zhèn)€數(shù)，取值范圍為 0~255(0表示沒有子網(wǎng)通告 ) 管理域名長度： VTP域名的長度 管理域名： VTP域名 更新者標識：最近發(fā)生配置修改編號變化的交換機的 IP地址 更新時間戳：最近發(fā)生配置修改編號變化的日期和時間 MD5摘要： VTP頭部和 VTP口令的哈希函數(shù)值 MD5原理 —— MD5是 1991年由 Ronald Rivest構(gòu)造的一種單向的哈希函數(shù)， RFC 1321給出了其詳細的算法。 哈希函數(shù)從文本中取出字節(jié)片，把其轉(zhuǎn)換為 128比特的數(shù)字串。這個數(shù)字串叫做哈希值或消息摘要 (Message Digest),可以用來標識特定的文本。哈希值是由文本串產(chǎn)生的數(shù)字，其數(shù)據(jù)量比文本自身要小的多。哈希函數(shù)的算法使得不同文本產(chǎn)生相同函數(shù)值的可能性非常少。 發(fā)送者使用單向哈希函數(shù)，根據(jù)數(shù)據(jù)文本和發(fā)送者的密碼產(chǎn)生 128比特的消息摘要，隨同數(shù)據(jù)一起發(fā)送。接收者根據(jù)同一數(shù)據(jù)文本和自己的密碼重新計算哈希值。如果幀中的消息摘要與接收者的計算得到的 消息摘要不一致，就認為收發(fā)雙方的密碼不匹配，數(shù)據(jù)面臨安全威脅。 ? 子網(wǎng)通告 (Subset Advertisements) 在 VTP 服務(wù)器上增加、刪除或者修改了 VLAN，就會引起配置修改編號增加，導致交換機首先發(fā)送一個匯總通告，然后發(fā)送一個或多個子網(wǎng)通告。而掛起、激活某個 VLAN，改變 VLAN的名稱或者 MTU，會觸發(fā)子網(wǎng)通告。子網(wǎng)通告中包含 VLAN 列表和相應(yīng) VLAN 的信息。如果VLAN較多，可能需要發(fā)送多個子網(wǎng)通告。 子網(wǎng)通告的格式如下。 VTP 版本 消息類型 序號 管理域名長度 管理域名 (不足 32字節(jié)用 0填 充 ) 配置修改編號 VLAN信息 1 VLAN信息 2 ?? VLAN信息 n 消息類型： 0x02，標識子網(wǎng)通告 序號：該子網(wǎng)通告在本次子網(wǎng)通告序列中的編號，取值從 1開始 VLAN信息：子網(wǎng)通告列出了各個 VLAN(包括缺省 VLAN)的下列信息 VLAN活動狀態(tài) —— 活動 (Active)或者掛起 (Suspended) VLAN類型 —— 以太網(wǎng)，令牌環(huán)， FDDI或其它類型 VLAN名長度 ISL VLANID MTU —— SAID(通過 FDDI Trunk時使用 ) VLAN名稱 ? 通告請求 (Advertisement Requests) 在下列情況下，交換機會發(fā)出通告請求： 交換機重新啟動時 VTP 域名變更時 交換機收到了比自己的配置修改編號高的匯總通告時 收到通告請求， VTP設(shè)備就會發(fā)送匯總通告，然后發(fā)送一個或多個子網(wǎng)通告 通告請求的格式如下： VTP 版本 消息類型 Rsvd 管理域名長度 管理域名 (不足 32字節(jié)用 0填充 ) 起始值 消息類型： 0x03，標識通告請求 Rsvd：保留，通常為 0 起始值：當該值為 n時，是要求重傳從 n開始的子網(wǎng)通告 ? VTP 加入消息 (VTP Join Messages)—— 資料缺 5． VTP修剪 VTP 確保了 VTP域內(nèi)的交換機可以了解所有的 VLAN配置，但 VLAN中的所有組播、廣播和目的地址未知的單播會在此廣播域內(nèi)的所有端口 (包括 Trunk 端口 )進行洪泛。 VTP 修剪功能可以動態(tài)地去除這些不必要的 VLAN通信 —— 未知地址單播和廣播洪泛。 生成樹協(xié)議 STP(Spanning Tree Protocol) STP協(xié)議是 2層協(xié)議，其作用是通過一種專用的算法發(fā)現(xiàn)網(wǎng)絡(luò)中交換機之間的物理環(huán)路，并構(gòu)建一個邏輯的樹形拓撲結(jié)構(gòu)。 通過環(huán)路可以提供冗余，提高可靠性，但如果配置 不當，就會引起網(wǎng)絡(luò)災(zāi)難。 STP 機制的引入 一、廣播環(huán)路 網(wǎng)絡(luò)中存在物理環(huán)路 (網(wǎng)橋 /交換機之間的環(huán)路 )， 2層廣播幀 (MAC地址為 FFFFFFFFFFFF)會在物理環(huán)路上形成廣播環(huán)路，形成廣播風暴。 網(wǎng)橋環(huán)路比路由環(huán)路的危害更嚴重。因為 IP 分組中存在一個 TTL字段，路由器轉(zhuǎn)發(fā)分組時將使 TTL值逐步減小，最終會丟棄 TTL=0的分組。而以太網(wǎng)幀中并沒有 TTL字段，使得廣播幀無法撤消。 二、網(wǎng)橋表受損 目的站點不存在 (可能關(guān)閉、故障或根本就不存在 )的單播幀會引起網(wǎng)橋表受損，從而導致洪泛轉(zhuǎn)發(fā)。 生成樹算法 STP中的生成樹算法要用到網(wǎng)橋 ID(BID— Bridge ID)、路徑開銷 (Path Cost)和端口 ID(Port ID)3個參數(shù)。 一、生成樹算法鎖使用的參數(shù) 1. 網(wǎng)橋 ID BID 是由網(wǎng)橋優(yōu)先級和 MAC 地址字段構(gòu)成的一個序偶。網(wǎng)橋優(yōu)先級 (Bridge Priority)用于衡量網(wǎng)橋在生成樹算法中的優(yōu)先權(quán) (值越小，優(yōu)先級越高 )。 BID中的 MAC地址是網(wǎng)橋中的 MAC地址中的一個。生成樹算法會對 BID進行比較： BID越小，優(yōu)先級越高。 設(shè) (s,t)和 (u,v)是兩個 BID，其中 s、 u是網(wǎng)橋優(yōu)先級， t、 v是 MAC地址。在對 BID進行比較時，遵循下列原則： 僅當 su或 (s=u并且 tv)時，有 (s,t)(u,v)。 字段 網(wǎng)橋優(yōu)先級 MAC地址 長度 2B 6B 缺省值 32768(取值范圍 0~65535) 2．路徑開銷 路徑開銷是對網(wǎng)橋之間接近程度的度量，其值是兩個網(wǎng)橋之間的路徑上的所有鏈路開銷的總和。路徑開銷使用的不是跳數(shù) (Hop Count)。 IEEE 1000 Mbps除以鏈路的帶寬。例如， 10 BASE T鏈路的開銷是 100(1000/10)，快速以太鏈路的開銷是 10(1000/100)。 因為開銷是用整形數(shù)存放的，而 10 Gbps鏈路開銷但是 (1000/10000)，是一個無效值。因此， IEEE對路徑開銷重新進行了定義，如下表所示。 帶寬 STP 開銷 4 Mbps 250 10 Mbps 100 16 Mbps 62 45 Mbps 39 100 Mbps 19 155 Mbps 14 622 Mbps 6 1 Gbps 4 10 Gbps 2 Catalyst 4000和 6000系列交換機支持大于等于 10 Gbp帶寬，對鏈路開銷進行了重新定義，可以進行配置。 3．端口 ID 端口 ID 是由端口優(yōu)先級和端口編號兩部分構(gòu)成的一個序偶。其中，要求一個模塊上的端口編號必須是連續(xù)的，不同模塊之間則無此要求；而且，端口編號不一定從 0開始。生成樹算法會對端口 ID進行比較：端口 ID 越小，優(yōu)先級越高。比較方法與 BID的比較方法是一樣的。 字段 端口優(yōu)先級 (Port Priority) 端口編號 (Port Number) 長度 8 bits(CatOS為 6 bits) 8 bits(CatOS為 10 bits) 缺省值 128(CatOS為 32) 端口可達 256個 (CatOS為 1024個 ) 二、 STP原理 網(wǎng)橋使用網(wǎng)橋協(xié)議數(shù)據(jù)單元 BPDU(Bridge Protocol Data Unit)傳遞生成樹信息。網(wǎng)絡(luò)初始化時，所有網(wǎng)橋都向網(wǎng)絡(luò)中泛洪 BPDU。網(wǎng)橋啟動后，所有端口都會每隔 2 秒 (缺省的 Hello Time)發(fā)送一個 BPDU。如果端口收到其它網(wǎng)橋的 BPDU 比自己保存的 BPDU 更好，就會停止發(fā)送BPDU。如果連續(xù) 20秒 (缺省的 Max Age值 )沒有收到其它網(wǎng)橋的更好的 BPDU，本地端口就會繼續(xù)發(fā)送 BPDU。 通過 STP信息 交換，經(jīng)歷選舉根橋、選舉根端口和選舉指定端口幾個步驟，會在存在物理環(huán)路的整個網(wǎng)絡(luò)或 VLAN中生成一個無環(huán)的樹形拓撲結(jié)構(gòu)。在網(wǎng)絡(luò)運行過程中，如果拓撲發(fā)生變化，會經(jīng)歷相同的步驟生成新的無環(huán)的樹形拓撲結(jié)構(gòu)，保證網(wǎng)絡(luò)正常工作。 在此過程中，需要選舉一個網(wǎng)橋成為根橋 (Root Bridge)，作為網(wǎng)絡(luò)的中心。其它網(wǎng)橋則根據(jù)到根橋的路徑開銷選舉根端口 (Root Port)，確定一組指定端口 (Designated Port)。最后構(gòu)建一個邏輯上無環(huán)的樹形拓撲，根橋是樹干，無環(huán)的活動路徑作為向外輻射的樹枝。在穩(wěn)定狀態(tài)的網(wǎng)絡(luò) 中，BPDU從根橋出發(fā)，沿著樹枝鏈路向各個網(wǎng)段傳輸。 1．選舉根橋 根橋由網(wǎng)絡(luò)中 BID最小的交換機擔任。各個網(wǎng)橋是通過交換 BPDU獲知 BID的 (BPDU不傳輸用戶數(shù)據(jù) )。該幀在網(wǎng)橋之間傳播，包括所有的交換機和用作橋接的路由器。 ?? Root BID Root Cost