4.增强的生成树协议/生成树的保护/etherchannel/交换机密码恢复

伴随着三层交换的出现，原有的802.1D在一分钟内完成收敛恢复连接已经不合时宜，因为一些动态路由协议往往在1S内就能够完成收敛。如何减少生成树的收敛时间？思科提出了三个FAST，IEEE借鉴后开发了RSTP。
另外一个问题便是：802.1D只针对物理设备选举生成树，不考虑VLAN，也就是说这种情况下所有用户流量都只会走一个根，这在冗余的链路环境中势必造成设备资源的巨大浪费，这是不允许的。如何解决这个问题？每个VLAN一棵生成树，通过为不同的VLAN指定不同的根，从而实现负载分担。
然而如果遇上大规模的网络，VLAN数目很多的情况下，这种每个VLAN一棵生成树的方案也变得不可取，因为尽管每VLAN一棵树可以让设备资源不至于闲置，但在VLAN数目很多时会占用很大的设备资源。因为交换机不得不为每个VLAN维持保存一棵树。这种问题如何解决？于是MST多生成树出来了。何谓多生成树，说白了就是多个VLAN对应一棵树。至此，生成树自身已经很完善了。
接下来将会是如何保护生成树不频繁的翻转，保护树根。思科提出了几个增强的方案，具体看下面。
以上这些都只是单条物理链路上的生成树的情况，而在园区网中常常会因各种原因存在多条物理链路以增加带宽，但是一旦启用生成树，这些链路将只会有一条起作用，也就是说增加带宽的目的将不会达到。如何解决？EtherChannel

问题:（1）uplink fast发送伪多播帧抑制TCN是怎么实现的？是怎么一个过程？不明白，请老师指教！
（2）RSTP拓扑变更中的TC while计时器是做什么用的？
（3）RSTP中链路类型是作什么用的？为什么要区别点对点链路和共享链路？
一、思科的三个fast
1、Port Fast
(1)本质：让access接口不参与生成树，不发不收BPDU，在接口启用之后直接变为转发状态;
(2)作用：节省了生成树的收敛时间，提高了效率。
(3)用处：接主机的接入层交换机接口
(4)配置：方法一：全局启用，然后在非access接口改；
方法二：在access接口配置：SW1(config-if)#spanning-tree portfast
方法三：在基于IOS的CatLyst交换机上SW1(config-if)#switchport host 将端口置为接入模式并启用Portfast特性禁用channel.
(5)好处：防止工作站引导时的DHCP超时，Novell登录问题，Apple-talk地址发现等问题
2、Uplink Fast
(1)本质：根端口的备份；
(2)作用：从而节省了生成树收敛时间
(3)实现：在根端口失效时立即变为根端口，而不用等待max-age超时再从blocking状态直到切换为转发状态，该过程在5s之内完成。同时，交换机代理主机发送伪多播帧以抑制TCN拓扑变更通告，进而便于上游交换机将MAC地址表从发生故障的链路立即移动到新的端口。
(4)用处：VLAN数目较少的接入层交换机
(5)配置：SW2(config)#spanning-tree uplinkfast 全局模式下配置。配置完之后该交换机的优先级会增加到49152，并且所有接口的cost值会加上3000，使得该交换机不能成为根桥，当然这只在默认优先级和默认端口开销的交换机上有效.
3、Backbone Fast
(1)本质：指定端口的备份。
(2)实现：当非直连上行链路down掉之后，上游交换机会发送一个次级BPDU，本地交换机收到这个次级BPDU后，先检查有没有到达根桥的替代路径，如果没有则在Max-age过期后发送自己的BPDU开始新的STP选举，如果有则向替代路径发送一个RLQ根链路查询，如果返回的响应是原先的根桥，则说明原来的根桥还活着。这时将把接收到次级BPDU的端口立即变为监听状态。
(3)作用：用于非直连检测。能节省20秒的收敛时间，不用等待最大寿命超时。
(4)用处：所有交换机上
(5)条件：点到点链路。如是共享链路，收到次级BPDU会正常的进行STP的选举。
(6)配置：SW2(config)#spanning-tree backbonefast
二、RSTP
1、端口状态：
(1)Discarding:学习BPDU。由于用到了提议和协定，这个时间通常会在1S内完成。这是RSTP之所以快的主要原因。
(2)Leaning：学习MAC地址
(3)Forwarding：转发用户数据
2、端口角色：
(1)根端口
(2)指定端口
(3)代替端口:相当于cisco的uplink fast,是根端口的备份，在根端口失效后立即变为根端口
(4)备份端口:是指定端口的备份口，一般和指定端口位于同一个交换机上
(5)边缘端口:相当于cisco的port fast,接主机，不发送BPDU，也不发送拓扑变化通告TC，在接收到BPDU时变为普通RSTP端口
3、选举步骤：先选根桥，再选根端口，接着选指定端口、代替端口、备份端口
4、选举原则：交换机角色选举原则为先看优先级再看基MAC；端口角色选举原则为：开销－－sender ID--port ID
5、报文格式：76543210
其中:7代表top change;
0代表top change的ack;
6代表提议proposal;
5和4两个bit位表示端口角色。00为未知端口角色，01为代替口或者是备份口(区别在于是否在同一个交换机上)，10代表根端口，11代表指定端口
3代表端口为学习状态；
2代表转发状态；
1代表协定aggrement.
6、快的因素：端口状态和端口角色的变化
(1)端口状态的变化:其实现是靠提议和协定
(2)边缘端口可直接过渡到转发状态
(3)多了一个根端口的备份口
(4)多了一个指定端口的备份口
(5)拓扑变更时直接由第一跳交换机向外发送TC位置位的BPDU
7、提议和协定
非边缘端口一旦被打开，将会从对方交换机收到一个prosal的提议，同时自己也向对方以送一个提议，接下来会有应答协定。根桥根口会在这一提一答之间完成竞选，时间通常会少于1秒。不同于802.1D总共35秒的生成树选举时间，少了漫长的被动的等待。这是RSTP之所以快的主要原因。
8、拓扑变更
(1)条件：非边缘端口、进入转发状态！
(2)实现：第一步：检测到拓扑变更，交换机立即启动一个TC while计时器，清除非边缘端口的MAC地址，并在这个时间内向其他交换机发送一个TC位置位的BPDU；
第二步：接收到TC位置位的BPDU，交换机立即清除其他所有接口的MAC地址，并同时启动一个TC while计时器，将TC位置位的BPDU向其他交换机扩散.
(3)特点：一步完成，检测到拓扑变更立即扩散，不需要等待根桥的通知；根桥在未收到TC位置位的BPDU时还可转发数据。
9、配置：
Switch(config)#spanning-tree mode rapid-pvst
三、PVST和PVST+
(1)作用：能实现负载分担，充分利用设备资源
(2)做法：一个VLAN一棵生成树
(3)后者是前者的增强
(4)不足：在VLAN数目极多的情况下将会有很大的资源占用
(5)配置：思科交换机上默认为pvst+,Switch(config)#spanning-tree mode pvst
四、多生树MST
1、优势：在有效实现负载分担的同时，又能减少资源的占用，适合多VLAN的场合；
2、实现：多个VLAN对应一个生成树实例，将生成树实例的数目控制在一个合理的范围之内，与逻辑拓扑的个数一致；
3、属性：区域名称(32个字节)、配置版本号(2个字节)、1个包含4096个要素的表(映射用)。这三个属性一致表明属性同一区域；
4、BPDU：包含VLAN到实例映射的摘要、配置版本号、区域名称；
5、特点：可和802.1D、802.1s互操作。一个MST可被看作是一个普通的交换机，参与其他生成树的选举；
6、配置：Switch(config)#spanning-tree mode mst 设置STP模式为MST
Switch(config)#spanning-tree mst configuration 进入MST配置模式
Switch(config-mst)#show current 查看当前MST配置
Switch(config-mst)#name cisco MST域
Switch(config-mst)#revision 1 配置版本号，不会自动递增
Switch(config-mst)#instance 1 vlan 1 -500 实例与VLAN的映射
Switch(config-mst)#show pending 显示未提交的MST配置
Switch(config-mst)#end 保存配置
Switch(config)#spanning-tree mst 1 root primary 将这个交换机作为实例1的主根
Switch(config)#spanning-tree mst 2 root secondery 将这个交换机作为实例2的备份根
五、生成树的保护
1、根防护
(1)作用：保护根
(2)原理：将端口强行置为指定端口，并在接收到更好的BPDU时将接口disbale掉
(3)用处：根桥的所有接口，其他交换机的所有接入接口。在冗余链路上怎么启用？没法启用！
(4)配置：Switch(config-if)#spanning-tree guard root
2、BPDU防护
(1)本质：不接收BPDU
(2)目的：控制生成树，减少不安全因素；
(3)实现：将不该收到BPDU的端口在收到时disable掉，直到收不到时再打开；
(4)位置：接入接口；
(5)配置：方法一：SW1(config-if)#spanning-tree bpduguard enable 在接口配置
方法二：SW1(config)#spanning-tree portfast bpduguard 在全局模式下配置
3、BPDU过滤
(1)本质：不发送BPDU.优先级高于BPDU防护
(2)原理：在接口下配置的话为不发送也不接收所有BPDU，全局配置的话为不发送BPDU，但在接收到BPDU时变为普通的STP端口
(3)配置：Switch(config)#spanning-tree portfast bpdufilter default
Switch(config)#spanning-tree bpdufilter
4、UDLD
(1)本质：就是一个协议，自动协商也可以直到单向链路检测的作用
(2)作用：单向链路检测，防止环路
(3)模式：标准与积极，区别在于前者只通知，后者还可以主动err-disable端口
(4)配置：SW(config-if)#udld port aggressive
六、EtherChannel
1、本质：将多条物理链路捆绑成一条逻辑链路
2、作用：增加带宽，提供冗余
3、种类：二层EtherChannel和三层EtherChannel
4、条件：快速以太网或吉比特以太网，不支持10M端口的通道处理
5、限定：8个端口(catlyst交换机)，不必连续，也不必位于同一个模块中
双工和速率必须相同
一个端口只能属于一个通道组
所有通道接口都必须位于同一个VLAN或相同本地VLAN的trunk链路中
trunk模式必须相同（推荐）
相同的VLAN开销配置
6、模式：
(1)on/off模式：手工配置，不启用协议
(2)Pagp模式：
思科私有
auto 被动协商，默认模式
desirable 主动协商，catlyst交换机推荐模式
两种状态都可跟silent/non-silent关键字，silent用于连接不支持Pagp的设备，后者希望接收到对方的pagp的帧，用于单向链路检测
能否形成channel取决于接口速度、trunk状态和VLAN的配置
(3)LACP模式：
工业标准
模式：passive/active主动与被动，catlyst上推荐后者
一旦启用，lacp将尝试在一个通道内配置最大数目的兼容端口，多余的接口将置为备用状态。
配置参数：系统优先级：用来与MAC地址形成系统ID进而与其他系统进行协商
端口优先级：用来确定哪些端口被置于备用模式
管理密钥：LACP要求通道内的每个端口都拥有一个密钥值
能否形成channel取决于端口的物理特征（如数据速率、双工兼容性、点到点或共享介质）和其他所配置的额外限制
7、负载均衡：
(1)依据：源或目标MAC、源或目标IP、第四层端口
(2)配置：set port channel distribution .... Catos交换机
port-channel load-balance ......IOS交换机

再加上两个，不成系统：
交换机密码恢复
思路：想办法将config.txt文件改名，从而达到交换机启动时不加载这个配置的目的
1、断电重启
2、重启时按住mode键一直到LCD灯熄灭不闪，过一两秒钟后松开手
3、当交换机在进入switch:状态时键入flash_init初始化flash文件系统
4、装载并初始化helper辅助image，进行灾难性恢复switch:load_helper
5、查看flash中所有文件列表switch:dir flash:
6、将配置文件改成交换机不可识别的文件类：rename flash:config.txt flash:config.old 思科建议改成old的文件名
7、重启switch:boot
8、将原来的配置文件改成交换机能识别的文件switch:rename flash:config.old flash:config.text
9、将以前的配置拷回来switch#copy startup-config running-config/copy flash:config.text running-config
10、show run 看密码或者直接改掉啦
11、保存
清空交换机配置
1、delete vlan.dat/delete flash:vlan.dat
2、delete config.text
3、reload 最好同时重启
更换交换机文件系统
SW1(config)#boot system 文件系统名
SW1#show boot 查看加载的文件系统名