管理型交换机技术手册.doc

1、 联科通管理型交换机技术手册VER：1.0管理型交换机技术手册 版权声明是深圳市联科通网络技术有限公司注册商标。这里提及的其它产品和产品名称均是他们所属公司的商标或注册商标。本产品的所有部分（包括配件和软件） ，其版权属于深圳市联科通网络技术有限公司所有，在未经过深圳市联科通网络技术有限公司许可的情况下，不得任意拷贝、抄袭、仿制或翻译。本手册中的所有图片和产品规格参数仅供参考，随着软件或硬件的升级会略有差异，如有变更，恕不另行通知，如需了解更多产品信息，请浏览我们公司的网站：http:/www.ip-管理型交换机技术手册 前 言版本说明本手册对应产品为：IP-COM 管理型交换机。本书简介IP

2、-COM 管理型交换机技术手册是介绍 IP-COM 管理型交换机高级功能的手册。IP-COM 管理型交换机在原有的基础上添加了四大高级功能，分别是802.1X、 RSTP/STP、IGMP Snooping、SNMP。针对IP-COM 管理型交换机说明书对四大高级功能简要介绍的不足之处，本手册更深入细致地分别描述这四大高级功能的工作原理、配置方法、实例讲解，让用户能够充分学习掌握这四大高级功能，然后利用这四大高级功能，根据自己的需求实现轻松方便管理网络的目的。章节安排如下： 802.1X RSTP/STP IGMP Snooping SNMP管理型交换机技术手册 读者对象本书适合下列人员阅读：

3、 网络工程师 网络管理人员 具备网络基础知识的用户相关手册G1216T & G1224T全千兆管理型交换机说明书管理型交换机技术手册 目 录第一章 802.1X.11.1 802.1X 协议介绍 11.2 RADIUS 协议介绍 71.3 802.1X 认证配置 121.4 802.1X 认证实例 14第二章 RSTP/STP.182.1 RSTP/STP 介绍 .182.1.1 生成树工作过程 .182.1.2 生成树端口状态 .212.1.3 生成树相关参数 .212.1.4 RSTP 与 STP .232.2 RSTP/STP 配置 .252.2.1 RSTP 设置 252.2.2 RS

4、TP 端口 272.2.3 RSTP 状态 282.3 RSTP/STP 实例 .29第三章 IGMP SNOOPING 32管理型交换机技术手册 3.1 IGMP SNOOPING 介绍 .323.1.1 组播(Multicast)概述 .323.1.2 组播(Multicast)寻址 .343.1.3 IGMP Snooping 原理 373.1.4 IGMP Snooping 实现过程 .383.2 IGMP SNOOPING 设置 .413.2.1 Snooping 设置 413.2.2 Snooping 状态 423.3 IGMP SNOOPING 实例 .43第四章 SNMP454

5、.1 SNMP 介绍 454.1.2 SNMP 版本 .494.1.4 Trap(陷阱) 524.2 SNMP 设置 554.3 SNMP 实例 56附录 .59管理型交换机技术手册 1第一章 802.1X1.1 802.1X 协议介绍802.1x 协议起源于 802.11 协议， 802.11 协议是标准的无线局域网协议，802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN 的接入。在 802.1x 出现之前，有线 LAN 应用都没有直接控制到端口的方法。当时也不需要控制到端口。但是随着无线 LAN 的应用以及 LAN 接入在网络上大规模开

6、展，有必要对端口加以控制，以实现用户级的接入控制。802.1x 就是 IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。802.1x 协议是一个基于端口的访问控制和认证协议，是一种对用户进行认证的方法和策略。这里指的端口是逻辑端口，可以是物理端口、MAC 地址或 Vlan ID 等(对于无线局域网来说 “端口 ”就是一条信道)，IP-COM 管理型交换机实现的都是基于物理端口的 802.1x 协议。802.1x 是一个二层协议，认证的交换机和用户的 PC 机必须处于同一个子网中，协议包是不能跨越网段。802.1x 认证采用的是客户服务器的

7、模型，必须有一个服务器对所有的用户进行认证。802.1X 认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开” 这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许 802.1X 的认证报文 EAPOL(Extensible Authentication Protocol over LAN)通过，也就是说用户必须在认证通过后才能访问网络。管理型交换机技术手册 21.1.1 802.1X 认证体系的结构802.1x 设备是由三部分组成：客户端(Supplicant System)、认证系统(Authenticator System)和认证服

8、务器(Authentication Server System)。在客户端和认证系统之间使用 802.1x 协议进行通信，在认证系统和认证服务器之间使用RADIUS 协议进行通信。如图 1-1 所示。图1-1 Supplicant System (客户端)是需要接入 LAN，及享受交换机提供服务的设备(如 PC 机) ，客户端需要支持EAPOL 协议，客户端必须运行 802.1X 客户端软件，如：802.1X-complain（Microsoft Windows XP 操作系统自带802.1X 客户端）。 Authenticator System (认证系统，通常为边缘交换机或无线接入设备)是

9、根据客户的认证状态控制物理接入的设备，交换机在客户和认证服务器间充当代理角色。 交换管理型交换机技术手册 3机与客户端间通过 EAPOL 协议进行通讯，交换机与认证服务器间通过 EAPoRadius 或 EAP 承载在其他高层协议上，以便穿越复杂的网络到达 Authentication Server；交换机要求客户端提供自己的身份，接收到后将 EAP 报文承载在 Radius 格式的报文中，再发送到认证服务器，返回等同； 交换机根据认证结果控制端口是否可用； Authentication server (认证服务器)对客户进行实际认证，认证服务器核实客户的身份，通知交换机是否允许客户端访问 L

10、AN 和交换机提供的服务，认证服务器接受客户端传递过来的认证需求，认证完成后将认证结果下发给客户端，完成对端口的管理。由于 EAP 协议较为灵活，除了 IEEE 802.1x 定义的端口状态外，认证服务器实际上也可以用于认证和下发更多用户相关的信息，如VLAN、QOS、加密认证密钥、DHCP 响应等。1.1.2 802.1X 协议包简介802.1x 协议在网络上传输的认证数据流是 EAPOL 帧格式，所有的用户身份信息(包括用户名和口令 )封装在 EAP(扩展认证协议) 中，EAP 再封装在 EAPOL 帧中。用户名以明文的形式在 EAP 中存在，而口令则以 MD5 加密的形式在 EAP 中存

11、在。EAP 包格式如 1-2 图。Code 指的是 EAP 包的类型，管理型交换机技术手册 4包括 Request、Response、Success 和 Failure。Identifier指的是标识符，用于匹配 Response 和 Request。Length 指的是 EAP 包长度，包括包头。Data 指的是 EAP 包数据。EAP 包括以下四种类型： EAP-Request：Code 值为 1 ，EAP 请求包，从交换机发给客户端请求用户名和(或)口令。 EAP-Response：Code 值为 2 ，EAP 应答包，从客户端发给交换机，把用户名和( 或)口令送给交换机。 EAP-Su

12、ccess：Code 值为 3 ，EAP 成功包，从交换机发给客户端，告诉客户端用户认证成功。 EAP-Failure：Code 值为 4 ，EAP 失败包，从交换机发给客户端，告诉客户端用户认证失败。1.1.3 802.1X 实现的过程当交换机使能 802.1x 并且端口的状态是 Auto 时，该端口下的所有接入用户都必须通过认证后才能访问网络。认证过程见图 1-3：管理型交换机技术手册 5图 1-3当用户需要访问网络时，客户端首先发送报文向交换机请求认证，交换机收到认证请求后发送 EAP-Request 请求用户的用户名，客户端回送 EAP-Response，交换机把 EAP 信息提取出来

13、封装在 RADIUS 包中发给认证服务器，认证服务器请求用户的口令，交换机发送 EAP-Request 给客户端请求用户的口令，客户端回送 EAP-Response，交换机把 EAP 信息封装在 RADIUS 包中发送给认证服务器，认证服务器根据用户名和口令对用户进行认证。如果认证成功，认证服务器通知交换机，交换机发 EAP-Success 给客户端并把用户的逻辑端口处于授权状态。当客户端收到 EAP-Success 后表示认证成功，用户可以访问网络。当用户不再需要使用网络，客户端发送 EAPOL-Logoff 给交换机，交换机把用户的逻辑端口状态迁为非授权状态，此时用户不能访问网络。为了防止

14、客户端异常下线，IP-COM 管理型交换机提供了重新认证的机制，可以在交换机开启重新认证模式，当认证时间到达，交换机发起管理型交换机技术手册 6重新认证，如果认证成功，用户可以继续使用网络，如果认证失败，用户将不能使用网络。1.1.4 802.1X 端口状态这里指的端口状态是交换机的物理端口状态。交换机的物理端口存在四种状态：802.1x 关闭状态、自动状态、强制授权状态和强制非授权状态。当交换机没有打开 802.1x 时，所有的端口处于 802.1x 关闭状态。当交换机端口要设置成自动状态、强制授权状态或强制非授权状态时，必须先开启交换机的 802.1x 功能。 当交换机的端口处于 802.

15、1x 关闭状态时，端口下的所有用户不需要认证就可以访问网络。当交换机从该端口收到802.1 x 协议包时，丢弃这些协议包。 当交换机的端口处于强制授权状态时，端口下的所有用户不需要认证就可以访问网络。当交换机从该端口收到请求认证的包时，交换机回送 EAP-Success 包，当交换机从该端口收到其它的 802.1x 协议包时，丢弃这些协议包。 当交换机的端口处于强制非授权状态时，端口下的所有用户始终不能访问网络，认证请求永远通不过。当交换机从该端口收到 802.1x 协议包时，丢弃这些协议包。 当交换机的端口处于自动状态时，端口下的所有用户必须通过认证后才能访问网络。如果用户需要做认证，端口一

16、般要设置成自动状态。管理型交换机技术手册 71.2 RADIUS 协议介绍当用户进行认证时，交换机和认证服务器之间采用支持EAP 扩展的 RADIUS 协议进行交互。 RADIUS 协议采用客户/ 服务器模型，交换机需要实现 RADIUS 客户端，而认证服务器需要实现 RADIUS 服务端。为了保证交换机和认证服务器之间交互的安全性，防止非法的交换机或非法的认证服务器之间的交互，交换机和认证服务器之间要相互鉴权。交换机和认证服务器需要一个相同的密钥，当交换机或认证服务器发送 RADIUS 协议包时，所有的协议包要根据密钥采用 HMAC 算法生成消息摘要，当交换机和认证服务器收到 RADIUS

17、协议包时，所有的协议包的消息摘要要使用密钥进行验证，如果验证通过，认为是合法的 RADIUS 协议包，否则是非法的RADIUS 协议包，将丢弃非法的 RADIUS 协议包。1.2.1 RADIUS 协议包简介RADIUS 是建立在 UDP 之上的协议，RADIUS 可以封装认证信息和计费信息。早期的 RADIUS 认证端口是 1645，目前使用端口 1812，早期的 RADIUS 计费端口是 1646，目前使用端口 1813。IP-COM 管理型交换机暂时只支持RADIUS 认证功能，不支持 RADIUS 计费功能。因为 RADIUS 承载在 UDP 上， 所以 RADIUS 要有超管理型交换

18、机技术手册 8时重发机制。同时为了提高认证系统与 RADIUS 服务器通信的可靠性，可以采用两个 RADIUS 服务器方案，即采用备用服务器机制。RADIUS 报文格式如图 1-4。Code 指 RADIUS 协议报文类型。Identifier 指标识符，用于匹配请求和应答。 Length指整个报文( 包括报文头)的长度。Authenticator 是一个 16 字节的串，对于请求包是一个随机数，对于应答包是 MD5 生成的消息摘要。Attribute 指 RADIUS 协议包中的属性。RADIUS 报文包括以下六种类型： Access-Request：Code 值为 1，从认证系统发给认证服

19、务器的认证请求包，用户名和口令封装在此包上。 Access -Accept：Code 值为 2 ，从认证服务器发给认证系统的应答包，表示用户认证成功。 Access -Reject：Code 值为 3 ，从认证服务器发给认证系统的应答包，表示用户认证失败。 Access-Challenge：Code 值 11，从认证服务器发给认证系统的应答包,表示认证服务器需要用户的进一步的信息,如口令等。 Accounting-Request：Code 值为 4，从认证系统发给认证服务器的计费请求包，包括开始计费和结束计费包，计费信息封装在此包上。 Accounting-Response：Code 值为 5

20、，从认证服务器发给认证系统的计费应答包，表示计费信息已收到。管理型交换机技术手册 9图 1-41.2.2 RADIUS 实现的过程用户进行认证时，交换机把用户名封装在 Access-Request 报文中发给认证服务器，服务器应答 Access-Challenge 请求用户的口令，交换机请求客户端用户的口令，客户端把口令封装在 EAP 中，交换机获取到此 EAP 后封装在Access-Request 发给认证服务器，认证服务器对用户进行认证，如果认证成功，回送 Access-Accept 给交换机，交换机收到此报文后通知客户端认证成功。当交换机具有计费功能时，同时发送 Accounting-R

21、equest 通知认证服务器开始计费，认证服务器回送Accounting-Response。当用户不想使用网络时，通知交换机用户下线，交换机发 Accounting-Request 通知认证服务器结束计费，计费信息封装在此包中，认证服务器回送 Accounting-Response。过程见图 1-5：管理型交换机技术手册 10图1-51.2.3 RADIUS 用户验证方法RADIUS 有三种用户验证方法，如下：PAP(Password Authentication Protocol)。用户以明文的形式把用户名和他的密码传递给交换机。 交换机通过RADIUS 协议包把用户名和密码传递给 RADI

22、US 服务器，RADIUS 服务器查找数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。CHAP(Challenge Handshake Authentication Protocol)。当用户请求上网时，交换机产生一个 16 字节的随机码给用户。用户对随机码，密码以及其它各域加密生成一个 response，管理型交换机技术手册 11把用户名和 response 传给交换机。交换机把用户名，response 以及原来的 16 字节随机码传给 RADIUS 服务器。RADIU 根据用户名在交换机端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的 16 字节的随机

23、码进行加密，将其结果与传来的 response 作比较，如果相同表明验证通过，如果不相同表明验证失败。EAP(Extensible Authentication Protocol)。用此种验证方法，交换机并不真正参与验证，只起到用户和 RADIUS 服务器之间的转发作用。当用户请求上网时，交换机请求用户的用户名，并把用户名转送给 RADIUS 服务器，RADIUS 服务器产生一个 16 字节的随机码给用户并存储该随机码，用户对随机码，密码以及其它各域加密生成一个 response，把用户名和 response 传给交换机，交换机转发给 RADIUS 服务器。RADIU 根据用户名在交换机端查找

24、数据库，得到和用户端进行加密所用的一样的密码，然后根据存储的 16 字节的随机码进行加密，将其结果与传来的 response 作比较，如果相同表明验证通过，如果不相同表明验证失败。IP-COM 管理型交换机的认证采用的是 EAP 用户验证方法。管理型交换机技术手册 121.3 802.1X 认证配置1.3.1 802.1X 设置图1-6 802.1X 模式启用：设置是否开启 802.1X 认证功能 服务器 IP：设置认证服务器的 IP 地址 UDP 端口：设置交换机认证的 UDP 端口，默认为 1812 共享密匙：根据认证服务器端相对应的密匙进行设置。 重新认证模式：设置是否开启重新认证 重新

25、认证周期：设置重新认证的周期时间，默认值为3600 秒，即每隔一小时重新认证一次。 EAP 超时：设置 EAP 响应超时的时间，默认为 30 秒。管理型交换机技术手册 131.3.2 802.1X 端口设置图 1-7 端口控制方式：可以选择强制授权状态、强制非授权状态、自动状态。当端口为强制授权状态，此端口可以通过任何报文；当端口为强制非授权状态，此端口只能通过认证信息的报文；当端口为自动状态时，根据认证情况选择可以通过的报文。 端口认证状态：显示认证的状态可分为四种，802.1X 关闭、链路断开、授权状态、非授权状态。 强制端口重新认证：点击相应的端口进行强制重新认证。管理型交换机技术手册

26、141.4 802.1X 认证实例组网连接图见图 1-8。IP-COM 管理型交换机连接了 4台 PC 和 1 台认证服务器， PC 机的 IP 地址分别为192.168.0.11-192.168.0.14，认证服务器的 IP 地址为192.168.0.10，IP-COM 管理型交换机使用默认 IP 地址192.168.0.1。PC 机分别连接交换机端口 1-4，认证服务器连接端口 24。图 1-8首先在认证服务器上安装认证服务器软件(这里使用第三方软件 WinRadius)，做好相关的认证设置，认证端口我们采用默认的“1812”，认证密匙设置为： “1234”。添加认证帐号“test”，登陆

27、密码“test”。图 1-9管理型交换机技术手册 15然后在 IP-COM 管理型交换机进行 802.1x 设置，如 1-10 图。将 “802.1x 模式”设置“启用” ；设置“RADIUS 服务器 IP”为“192.168.0.10”(与认证服务器的 IP 地址保持一致)；设置“RADIUS UDP 端口”为“1812”(与认证服务器上的设置保持一致)；设置 “RADIUS 共享密匙”为“1234”(与认证服务器上的设置保持一致) 。 “重新认证模式 ”设置为“ 启用”；“重新认证周期” 设置为“10” 秒；“EAP 超时”使用默认值 “30”秒。图 1-10最后在 802.1x 端口设置

28、中将端口 1-4 都设置为自动状态，同时 PC1-5 在“本地连接属性设置 ”中将“IEEE 802.1x 验证” 开启， “EAP 类型”设置为“MD5-质询”。此处 PC1-4 以 Windows XP 为例， Windows XP 自带认证客户端软件，其他操作系统需自行安装认证客户端软件。管理型交换机技术手册 16图 1-11 图 1-12认证设置完成后，PC1-4 会出现需要验证身份的提示，点击提示后出现对话框进行身份验证，我们在 PC1 上输入帐号“test”，密码“test”，验证成功后 PC1 就可以进行通信。PC2-4 输入其他随意的认证帐号密码，认证不能通过，所以不能进行正常

29、的通信。图 1-13 图 1-14在交换机 802.1x 端口设置页面中可以查看到端口 1 为管理型交换机技术手册 17“授权状态” ，端口 2-4 为“非授权状态” 。在认证服务器上也可以查看到相应的认证情况。图 1-15图 1-16管理型交换机技术手册 18第二章 RSTP/STP2.1 RSTP/STP 介绍现在的大型网络设计一般都采用分层结构，即分为核心层，汇聚层和接入层三个层次。其中核心层使用核心的设备，比如高端以太网交换机，汇聚层采用一些中低端的交换机担当；而接入层则一般采用低端交换机来负责。这样，汇聚层完成接入层业务的汇聚，然后送到骨干层上传输。为了保证冗余特性，汇聚层交换机或接

30、入层交换机一般通过两条以上的链路跟上层连接，而骨干层各个设备之间也不是单一的链路，而是组成一个全网状结构或一个半网状结构。不论何种结构，核心层交换机之间的链路肯定多于一条。在这些冗余链路的环境中，就会产生很多问题，最典型的是广播风暴。在这种情况下，我们必须引入一种机制来避免这种危险，这种机制就是生成树协议。STP 是 Spanning Tree Protocol 的英文缩写。该协议可应用于环路网络，通过一定的算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。2.1.1 生成树工作过程交换机启动的时候，向各个端口发送 BPDU(桥接协议数管理型交换

31、机技术手册 19据单元 Bridge Protocol Data Unit)，该数据帧的目的 MAC 地址是一个保留的组播 MAC 地址，这样就保证了以太网上所有的交换机都可以接收到该数据帧。BPDU 包含下列内容：发送交换机的标识，发送端口的成本，根交换机的标识(初始化为自己)，到根交换机的成本等等。交换机接收到这个 BPDU后，便利用 STA(生成树算法 Spanning Tree Arithmetic)的数学公式进行计算。通过 STA 计算，网桥就可以知道网络上是否存在环路。如果存在环路，网桥就做出备份端口应该被阻塞的决定，最终除出环路。生成树协议运行过程分几个过程： 选择根桥：启动生成

32、树协议后，交换机之间通过传递BPDU 包来交换信息。BPDU 包中有一项重要信息，交换机 ID。它是由 8 个字节组成，两个字节的优先级和 6 个字节的交换机的 MAC 地址所组成。由于 MAC 地址的唯一性，同样能保证交换机 ID 的唯一性。IP-COM 管理型交换机的优先级出厂缺省值为 32768，这个数值可由网络管理员修改。因此，网路管理员可以通过控制优先级的大小来选择哪个设备为根桥。网络中交换机启动生成树协议，交换机通过比较网桥 ID 的大小选举根网桥。协议规定，交换机 ID 最小的为根桥，根桥只能有一个。如果是，则选择它为根交换机，这样长时间的选择，最终网络中的交换机会达成共识，选择

33、某个交换机为根交换机(该交换机的标识最低)。管理型交换机技术手册 20 选择根端口：根端口是指在每个非根桥上被选择的处于转发状态的端口。这个端口满足到根桥所花费的代价最小。交换机从接收到的 BPDU 中可以计算出自己哪个端口到根交换机路径开销最小，路径开销最小的端口被选定为根端口，并转换到转发状态。当路径开销一致时，比较其端口优先级，端口优先级小的端口将被选为根端口。 选择指定端口和指定交换机：选择出根端口之后，交换机会向所有其他未阻塞端口(所谓阻塞，是由于物理链路没有起来或手工关闭)发送从根端口接收到的 BPDU。不过发送的时候，把 BPDU 进行修改，把其中的发送交换机标识填写成自己的标识

34、，到根交换机的成本改为端口成本加上根端口到根交换机的成本，比如，根端口到根交换机的成本为 100，而某个端口的成本为 20，则从该端口把BPDU 发送出去后，相应的到根交换机的成本就转换为120。在发送的同时，也可能从其他交换机接收到BPDU，这时候就把自己刚才发送的 BPDU 同接收到的BPDU 比较，看哪个距离根比较近(路径开销小) ，如果自己的成本低，则该端口跳转到转发状态，也就是说，该端口成为相应冲突域的指定端口，而该交换机就是相应冲突域的指定交换机。而刚才发送 BPDU 的交换机因为发现自己到根的成本高，就会阻塞该端口。其实，阶段二和阶段三是确定到根桥的最佳通路的一个过程。并且由于三

35、个阶段的唯一性，这样生成树协议将去掉多台交换机形成的管理型交换机技术手册 21环路。管理型交换机技术手册 222.1.2 生成树端口状态端口状态共有五种端口状态： 阻塞状态(Blocking)-只侦听 BPDU 包，不进行数据帧转发。 侦听状态(Listening)-只侦听数据帧，不进行转发。 学习状态(Learning)-学习地址信息，不进行转发。 转发状态(Forwarding)-学习地址信息，并进行转发。 无效状态(Disabled)-不进行转发，不侦听 BPDU 包。因设备故障或者网络管理员的操作而导致。通常情况下，交换机端口的状态是按照如下顺序进行转换。阻塞状态侦听状态学习状态转发状

36、态。转发状态和阻塞状态可以处于维持状态，而侦听状态和学习状态是过渡状态，最终会转换为转发状态或阻塞状态。2.1.3 生成树相关参数 系统优先级(Bridge Priority)：交换机的优先权可选数值范围是 0 到 65535。0 表示最高的优先权。 老化时间(Max. Age)：最大时限的可选数值范围是 6 秒到40 秒。在最大时限将到时，如果还没有收到从根桥发出的 BPDU，那么，你的交换机将开始发送它自己的 BPDU到其他所有的交换机申请成为根桥。如果你的交换机的桥标识符确实是最低的，那么它将成为根桥。管理型交换机技术手册 23 呼叫时间(Hello Time)：呼叫时间的可选数值范围是

37、 1 秒到 10 秒。这是根桥发送两个 BPDU 的时间间隔，告知其他所有交换机它是根桥。如果你在你的交换机上设置了问候时间，而它又还未是根桥时，那么，没有任何影响。一旦你的交换机成为了根桥，该问候时间就会派上用处。 转发延时(Forward Delay Timer)：转发延迟时间的可选数值范围是 4 秒到 30 秒。这是交换机上的端口从阻塞状态转变为转发状态所需的时间。 路径开销(Port Cost)：端口路径开销的可选数值范围是 0至 200000000。数值越小，相应的端口越可能被选定为端口。 端口优先级(Port Priority)：当非根交换机路径开销一致时，端口优先级数值越小，相应

38、的端口将成为根端口。IP-COM 管理型交换机的端口优先级与端口 ID 相一致，不能进行修改。例如端口 1 的端口优先级为 1，端口 2 的端口优先级为 2，依次类推。注意：当你需要变动生成树参数时，请一定记住下述公式：最大的桥老化时间 2 x(桥转发时延 1 秒)即：Max. Age 2 x (Forward Delay - 1 second)最大的桥老化时间 2 x(问候时间 + 1 秒)即：Max. Age 2 x (Hello Time + 1 second)管理型交换机技术手册 242.1.4 RSTP 与 STPSTP 端口从阻塞状态进入转发状态必须经历两倍的转发延时，所以网络拓扑

39、结构改变之后需要至少两倍的转发延时，才能恢复连通性，如果网络中的拓扑结构变化频繁将导致网络频繁失去连通性，用户就会无法忍受。RSTP(快速生成树协议)是从 STP(生成树协议) 发展而来，实现的基本思想一致，快速生成树具备生成树的所有功能。快速生成树改进目的就是当网络拓扑结构发生变化时，尽可能快的恢复网络的连通性。快速生成树主要有三大改进： 第一种改进：如果旧的根端口已经进入阻塞状态，而且新根端口连接的对端交换机的指定端口处于转发状态，在新拓扑结构中的根端口可以立刻进入转发状态。效果：发现拓扑改变到恢复连通性的时间可达数毫秒，并且无需传递配置消息。 第二种改进：指定端口可以通过与相连的网桥进行一次握手，快速进入转发状态。效果：网络连通性可以在交换两个配置消息的时间内恢复，即握手的延时；最坏的情况下，握手从网络的一边开始，扩散到网络的另一边缘的网桥，网络连通性才能恢复。比如当网络直径为 7 的时候，要经过 6 次握手。