CCNP交換學習筆記

CCNP交換學習筆記

VLAN(VirtualLAN)

?VLAN可以隔離2層的廣播域。

,AVLAN=(一個)廣播域=(一個)邏輯子網(wǎng)

路由器是隔離廣播域的

?單個端口只能承載單個VLAN的流量。

?使用VLAN好處：

1.有效的帶寬利用

2.提高了安全性

3.隔離故障域

?本地VLAN:

在單個配線架之內(nèi)的單臺接入交換機上配置最少數(shù)目的VLAN,

而不是在單臺交換機上配置多個部門的VLAN。

?靜態(tài)VLAN(基于端口的VLAN)：

手工配置交換機端口，將其設為特定的VLAN。

只要接到這個端口的設備就屬于此VLAN。

Swl#showcdpneighborsdetai1

SW原理：

1.基于源MAC地址學習，基于目標MAC地址轉(zhuǎn)發(fā)。

2.對于沒有目標MAC地址表項的幀，向本VLAN的其他所有接口()轉(zhuǎn)發(fā)

3.收到廣/組播幀，向本VLAN的其他所有接口()轉(zhuǎn)發(fā)

4.同一個MAC地址被多個接口學習到，選擇后學習到的接口

5.同一接口可以學習到多個MAC地址

默認老化時間是300S,修改老化時間一可以針對單個VLAN來改動

Sw#showmac-address-tableaging-time老化時間

Swl(config)#mac-addresst-ableaging-time150vlan1有的版本沒有

Shmac-address-table查看MAC地址表

MAC地址表的三元組：VLAN、MAC地址、PORT號

注意MAC地址表與ARP表的不同

從本VLAN中轉(zhuǎn)發(fā)trunk幀；

?動態(tài)VLAN：

根據(jù)已經(jīng)輸入到VMPS(VLANManagementPolicyServer)中的嫄MAC地址來分

1

配VLAN。

Swl(config)#vmpsserver192.168.1.1

配管理地址一一SVI

Interfacevlan1

Ipaddress100.1.1.1255.255.255.0

在二層交換機中，可以對多個VLAN配IP地址，但在同一時間，只能有一個VLAN

SVI接口處于noshut狀態(tài)。

?VLAN的范圍：

根據(jù)平臺和軟件版本不同，Cisco交換機盤多支持奧|個VLAN。

0,4095：保留,僅限系統(tǒng)使用。用戶不能查看。

1002-1005：用于FDDI和令牌環(huán)的默認VLAN,不能刪除。

1006—1024：保留,僅限系統(tǒng)使用。用戶不能查看。

1025-4094：僅用于以太網(wǎng)的VLAN.擴展的VLAN

<創(chuàng)建VLAN>

-'、Swl(config)#vlan2

Swl(config-vlan)#nameWOLF

SwlWshowvlan

Swl#showvlanbrief

二、Sw3#vlandatabase(此命令在老版本中使用，新版本可直接寫vlan)此命

令在特權模式下用

Sw3(vlan)#vlan3nameCCIE

Sw3(vlan)#|xit

o

注意：

o

〈同一交換機VLAN內(nèi)通信》

1)在Swl上將RI&R2連到Sw的端口都劃入VLAN2

Swl(config)#intfO/6

Swl(config-if)#switchportmodeaccess(指定為接入端口)

Swl(config-if)#switchportaccessvlan2(將接口劃入VLAN2)

(假如沒有創(chuàng)建vlan直接打此命令會自動創(chuàng)建此vlan)

Swl(config-if)Sswitchporthost將端口配置為主機設備所使用，配置后

2

默認對端口啟用portfast和禁用ehterchannel特性

SwlSshowinterfacesfO/6switchport查看接口的的模式,封裝等信息,常

用命令。

3550默認是dynamicdesirable、3560默認是dynamicautoo

?將多個懷連續(xù)端口同時加入同一個VLAN：

Swl(config)SinterfacerangefastEthernet0/1,fastEthernet0/5

?將多個連續(xù)端口同時加入同一個VLAN：

Swl(config)SinterfacerangefastEthernet0/1-15

Swl(config)ttinterfacerangefastethernet0/1-15,fastethernet0/17-

22

SwlSshowmac-address-table

SwlSshowmac-address-1ab1eaging-time

默認每個VLAN中的MAC地址表老化時間是300S。

Swl(config)#mac-address-tableaging-time600(vlan2)

Swl(config)#macaddress-tableaging-time600

<VLANTrunk>

?Trunk：在單條物理鏈路上承載多個VLAN的流量。

一般用在交換機與交換機之間。

?Trunk運用的2種協(xié)議：

802.1Q：基本標準的IEEE協(xié)議，屬業(yè)界標準。

ISL(Inter-SwitchLink)：Cisco專有的Trunk封裝方式。

接口的五種模式：

Access,trunk,desirable,auto,(nonegotiate)

DTP(DynamicTrunkingProtocol)cisco專有

?在交換鏈路上發(fā)送此種報文，來協(xié)商雙方是否能形成Trunk。

SendReceive(DTP：DynamicTrunkProtol)

access--(此接口接設備)

desirableJV(收發(fā)DTP,愿意成為Trunk,)默認就是這

種類型

autoXV(僅收DTP,愿意成為Trunk)

3

trunk(on)JV（本端無條件Trunk.不管對端是否起

trunk)

nonegotiateXX（禁止DTP信息）通常和trunk聯(lián)用，即起

trunk,又不用發(fā)DTP幀

Swl(config-if)ttswitchportmodeaccess

Swl(config-if)#switchportmodedynamic

Swl(config-if)ttswitchportmodedynamicauto

Swl(config-if)#switchportmodetrunk

Swl(config-if)ttswitchportnonegotiate

(nonegotiate只能和access/trunk聯(lián)用)

Swl(config-if)ttswitchporttrunkencapsulationdotlq封裝格式

SwlSshowinterfacetrunk杳看trunk端口信息，驗證是否已經(jīng)起了trunk

ShowinterfacefO/24switchport查看端口的配置

?ISL(Inter-SwitchLink)：

26(報頭)+4(CRC)=30BytesVianID210=1024字節(jié)

(CRC：CyclicRedundancyCheck)

Sw2940/2950接口不支持ISL封裝,僅支持802.IQ

在SW3550中，接口強行起Trunk模式，必須先指定一種封裝模式

MTU：1548bytes

如果設備接收到?jīng)]有被封裝的幀，那么ISL將丟棄這些幀，而且所有幀都要封

?802.1Q：

DestSrcLen/EtypeDataFCS

DestSrcTag

在SM和Type字段之間插入4個字節(jié)的Tag字段，并將原有的FCS重寫。

（FCS：FrameCheckSequence）

MTU：1522bytes

?對比ISL,802.IQ有如下好處:

1.具有更低的弄銷,因此花巍率略高，（4/30bytes）

2.業(yè)界標準，有更廣泛的支持。

3.支持Qos的802.Ip字段。（就是Tag中的3bit的PRI位）

如果不支持802.1Q的設備接收到此幀，該設備將忽略帖中的Tag,當作標準的

以太網(wǎng)幀轉(zhuǎn)發(fā)。

,NativeVLANs

4

NativeVLANs默認情況下就是不打tag,本技術是dotlq中才有的。

802.1Q把Untag的幀定義為NativeVU1N。（默認是VLAN1）一個小的優(yōu)化方法，

指定的VLAN數(shù)據(jù)在傳輸過程中不用打上TAG來標識，系統(tǒng)默認就知道。每臺交換

機必須指定-一樣的，只能有一"1'VLAN成為NativeVian。

Swl（config-if）#switchporttrunknativevlan2

Swl#showintfO/6switchport

,802.IQ-in-Q：(802.IQTunneling)

802.IQ支持隧道特性，允許服癡證商在VLAN內(nèi)部傳輸VLAN,保留單獨客戶

的VLAN分配，而無需要求它們的VLAN分配是唯一的。

Swl(confit~if)#switchportaccessvlan30進入接口

Swl(confit-if)#switchportmodedotlq-tunnelQ-in-Q

Sw3(config-if)#switchportmodetrunk

Sw3(config-if)ftswitchporttrunkencapsulation[dotlq|isl]

Swl(config-if)#switchporttrunkallowedvlan1-100,111

（在此Trunk口上只允許VLANITOO,111的流量通過）

VTP(VLANTrunkProtocol)CISCO私有的協(xié)議

?VTP是一種2層消息協(xié)議，通過管理VTP域內(nèi)的VLAN增/刪/改，保持VLAN配置的

一致性。

交換機只能在802.1Q/ISL中傳送VTP信息。

影響VTP的因素：1.trunk必須在trunk上傳輸

2.domain域名（須取相同名稱）

3.password密碼

VTP模式：

ServerClientTransparent(透明模式)

增/刪/改VXV（僅在本地有效）

轉(zhuǎn)發(fā)VTP（vlan）信息VVV

同步vlan信息VVX

保存NVRAMVXV

?VLAN會同配置版本高的某臺交換機同步。低版本號的跟高版本號的學,

?VTP信息每鰲分解通告一次，或觸發(fā)更新（VLAN配置改變時通告）。

5

Swl(config)#vtpdomainWOLF

Swl(config)#vtpmode[Server|ClientiTransparent]

Sw3#vlandatabase

Sw3(vlan)#vtpdomainWOLF

Sw3(vlan)#vtp[Server|ClientTransparent]

Swl#showvtpstatus(查看VTP信息)

?Sw默認都是Server,而且沒有域名，一旦一臺SW配置了域名，其他SW都會學

習過去。

,VTP--個重要元素：ConfigurationRevision(配置修訂版本號)

每當修改VLAN信息一次，版本號就加1,版本低的SW跟版本高的SW學習VLAN信

息。

注意：VTP信息是包含在DTP包中，交換機與交換機之間用協(xié)商模式起Trunk的時

候，用的是DTP包，如果兩端VTP信息不匹配，也起不了Trunk,切記這一點。

所以，起TRUNK有三點關聯(lián)：

1、封裝類型

2、接口模式

3、兩端VTP信息是否匹配

<VTPPruning>

?VTP修剪能夠確定Trunk何時正在擴散|不必要的流量。并將其VLAN修剪掉。

Swl(config)#vtppruning

在Server端配置，其他SW會學習到。

?VTP版本：(V1/V2/V3)

默認是VI。Cisco建議一個域中版本一致。

Swl(config)#vtpversion2

Sw3#vlandatabase

Sw3(vlan)#vtpv2-mode

?VTP認證：

Sw2(config)#vtppasswordaaa

Sw3#vlandatabase

6

Sw3(vlan)#vtppasswordaaa

如何檢查密碼相同/不同：

1.Sw2#showvtppassword

SWITCH常用配置命令

SwlWshowcdpneighborsdetail查看鄰居設備

Showmac-address-table查看MAC地址

Showmac-address-tableaging-time看MAC地址老化時間

Swl(config)#mac-address-tableaging-time150vlan修改老化時間

創(chuàng)建VLAN

Swl(config)#vlan10

Sw1(config)#namesales

在2900等舊機型上要用數(shù)據(jù)庫模式來創(chuàng)建：

Swl#vlandatabase

Swl#vlan10namesales

SwlSexit這里一定要用exit,否則無法退出

Showvlan查看VLAN

Showvlanbrief查看VLAN摘要信息

Showinterfacesummary本命令可看到交換機上的所有端口，以及哪些接口上

連有設備

Showinterfacestatus本命令口J看到活動接口的雙工模式，trunk,以及接口

屬于哪個VLAN

將端口劃進VLAN

IntfO/12

Switchportmodeaccess指定為access(接入口)模式

Switchportaccessvain10劃分入VLAN

IntferfacerangefO/5,fO/7,fO/12同時劃分多個端口

Intferfacerangefastethernet0/5-8,fastethernet0/12-18

本臺交換機起Trunk

IntfO/24

Switchportmodetrunk強制起Trunk

Access強制為接入口

Dynamicdesirable協(xié)商(默認)

Dynamicauto被動接受

Switchporttrunkencapsulationisl(dotlq]negotiate)封裝模式,如果使用

negotiate參數(shù)表示協(xié)商

Swl(config-if)ttswitchportnonegotiate本接口不發(fā)送協(xié)商信息,通常和

trunk模式聯(lián)用

Switchporttrunknativevlan10設置一1個不用打TAG的VLAN,大家都知道,

在每臺交換機上都要一致，默認是VLAN1。

7

Switchporttrunkallowedvlan10允許trunk口通過哪些VLAN

Switchporttrunkallowedall允許所有VLAN通過

Showinterfacetrunk

ShowintfO/24switchport

配置VTP域

Swl(config)#vtpdomainchina

Swl(config)#vtpmodeserveridient/transparent

在舊機型上的配置方法：

Swl#vlandatabase

Swl#vtpdomainchina

Swl#vtpserver|client|transparent

Showvtpstatus查看VTP的各種配置信息

在VTP中還可設置密碼

在三層交換機中完成VLAN間的通信

Swl(config)#iprouting起用路由

Swl(config)#routerrip開啟路由進程，也可用靜態(tài)路由

Swl(config-router)#network100.1.1.0將VLAN網(wǎng)段宣告

Swl(config)#interfacevlan100

Swl(config-if)#ipaddress100.1.1.1指定VLAN的IP地址，也是VLAN網(wǎng)段

的網(wǎng)關

Swl(config-if)#noshutdown

在交換機中建立VLAN后，會在FLASH中生成一個VLAN文件，可用下列命令查看、

刪除。

Showflash

Deletevlan.dat

Deleteconfig.text刪除配置文件

STP(SpanningTreeProtocol)(IEEE802.ID)生成樹協(xié)議

?回顧SW的工作原理：

1.不能修改它所轉(zhuǎn)發(fā)的幀

2.基于源MAC的學習，建立MAC-PORT的映射表，基于目的MAC轉(zhuǎn)發(fā)

3.對有目標MAC映射表的幀,直接從對應端口轉(zhuǎn)發(fā)

4.對沒有目標MAC映射/目標廣(組)播的幀，SW會從所有端口轉(zhuǎn)發(fā)(除源端

口)

8

交換機從不同的接口學到不同的命令，它會選擇最新學到的命令。

?當2個Segment之間，只有一個物理設備連接時，就有可能“單點失效”。

Segment:

1.STP:一段網(wǎng)絡介質(zhì)（網(wǎng)線/光纖）。

2.數(shù)據(jù)封裝：攜帶4層報頭的用戶數(shù)據(jù)。

3.路由：一個邏輯子網(wǎng)。

?避免單點失效的方法就是構造冗余網(wǎng)絡。

?冗余網(wǎng)絡導致的問題：

1.多幀復制（浪費帶寬）在組播中是個大問題

2.MAC地址表的翻動

3.廣播風暴

阻止冗余網(wǎng)絡就是建立block

?STP是為克服冗余網(wǎng)絡中透明橋接的環(huán)路問題而創(chuàng)建的。

STP通過判斷網(wǎng)絡中存在環(huán)路的地方，并阻斷冗余鏈路來實現(xiàn)無環(huán)網(wǎng)絡。

,STP采用STA（SpanningTreeArithmetic）算法。

STA會在冗余鏈路中選擇一個參考點（生成樹的根），將選擇到達要的單條路

徑，同時阻斷其他冗余路徑。一旦已選路徑失效，將啟用其他路徑。

9

<STP的4大結(jié)論〉（STP里選舉參數(shù)都是越小越優(yōu)）

STP的各種選舉是通過交換BPDU報文來實現(xiàn)的，BPDU是直接封裝在以太網(wǎng)幀

中的。

?Onerootbridgepernetwork（每個網(wǎng)絡只有一個根橋）

?根橋的選舉：［owestBID（最小的BID）

?STP為每臺SW分配唯一的一個標識符,稱為BID（BridgeID）。

BID的組成:2（BridgePriority優(yōu)先級）+6（MAC）=8Bytes

默認Priority:32768（0x8000）2950以上的交換機會在這個值上再加上VLAN

號

每個交換機都有一個基準的MAC地址，用下面的命令可以看到

Sw2#showversion

BaseethernetMACAddres|:00:0D:28:61:35:00

交換機的每一個端口都有一個MAC地址，就是以Base（基準）MAC地址加

上端口號得到的。

ShowinterfacefO/1這一命令可以看到交換機端口的MAC地址

10

Sw2#showspanning-tree

Sw3#showspanning-treebrief（低版本用）2900以下的交換機用這一命令

■PVST(PerVlar)Stp)

CiscoSW默認為每個VLAN,一個STP,互不影響。

,一些低端交換機(2900)的Priority是不加上vlan號的。

?將性能最好的SW設成根橋

b

Sw1(config)#spanning-treevlan1-10rootprimary(24576=0x6000)(建立優(yōu)先

級，成為根橋)

Sw2(config)#spanning-treevlan1-10rootsecondary(28672=0x7000)(備份根

橋，防止優(yōu)先級根橋showdown了)

Sw1(config)#spanning-treevlan1-10priority4096

(設置必須是4096的倍數(shù))

?Onerootportpernonrootbridge(每個非根橋都有一個根端口)

?根端口(RP):^.owestpathcosttorootbridge每個非根橋有且只有一^Is-

根端口

非根橋到達根橋所需開銷最小的那個端口。（可轉(zhuǎn)發(fā)流量）

11

選舉RP/DP的方法：

1.LowestRID(最小的RID)是SW1(根橋)的BID

2.Lowestpathcosttorootbridge(到達根的最小路徑開銷)

3.lowestsenderBID(最小的發(fā)送BID)

4.LowestsenderportID當兩臺交換機之間有兩條線路直連時會用到這一項來

選

BPDU(BridgeProtocolDataUnit):由根橋每二秒發(fā)一次。

BPDU是直接封裝在二層的協(xié)議，其MAC地址最后封裝數(shù)為：00。

(01:80:c2:00:00:00)

?PathCost:根橋發(fā)出的COST值是0，在下一交換機的入口處才加上COST值，出

口處COST值不變。

10Mbps:100/100Mbps:19/1Gbps:4/10Gbps:2

Sw1#showinterfacesstatus

Sw1#showspanning-tree

duplexfull->P2p

duplexhalf->Share

Sw1(config-if)#spanning-tree(vlan1)cost22每個VLAN都能生成一^自已的

生成樹，通過改動每個VLAN的COST值可以達到讓每個VLAN選擇不同的根橋，

12

產(chǎn)生不同的生成樹，充分利用了鏈路

Sw1（config-if）#spanning-treecost22修改所有Vian的Cost值

PortID是由優(yōu)先級+端口號組成

修改端口優(yōu)先級：默認情況下是128

Sw1（config-if）#spanning-treeport-priority16

?Onedesignatedportpersegment（每個Segment只有一個指定端口）

TCP/UDP封裝

Segment路由中的網(wǎng)段

介質(zhì)

選舉RP/DP的方法：

1.LowestRID（最小的RID）是SW1（根橋）的BID

2.Lowestpathcosttorootbridge（到達根的最小路徑開銷）

3.lowestsenderBID（最小的發(fā)送BID）

4.LowestsenderportID

?根橋的所有端口都是指定端口（DP）。

■指定端口（DP）:Lowestpathcosttorootbridge（=）

LowestsenderBID

發(fā)送方BID小的那個端口（轉(zhuǎn)發(fā)流量）

13

?Nondesignatedportsareblocked（非指定端口將被堵塞）

BPDU（BridgeProtocolDataUnit

?對于參與STP的所有SW,它們都通過數(shù)據(jù)消息的交換來獲取網(wǎng)絡中其他SW的

信息，這種消息就被稱為BPDU。

?BPDU的功能:

1.選舉根橋

2.確定冗余路徑的位置

3.通過阻塞特定端口來避免環(huán)路

4.通告網(wǎng)絡的拓撲變更

5.監(jiān)控生成樹的狀態(tài)

?BPDU每2s由根橋發(fā)送一次。

最初的網(wǎng)絡，每個SW都認為自己是根橋，都會發(fā)送BPDU，比較LowestBID,

選舉出一個根橋，此時就只有根橋發(fā)送BPDU。非根橋只進行轉(zhuǎn)發(fā)。

-TCN(TopologyChangeNotification)BPDU

這種BPDU是SW檢測到拓撲變更時產(chǎn)生的。

14

-ProtocolID:0

Version:802.1D(0)

MessageType:(ConfigBPDU=0x00/TCNBPDU=0x80)

＜非根橋有多條冗余鏈路連接到根橋＞

?根端口(RP):Lowestpathcosttorootbridge(=)

LowestsenderBID(=)

LowestsenderportID

入口+851值=發(fā)出數(shù)值(如19口+8口=27口指交換機)

?端口ID(PID):

1(Pri)+1(PortNum)=2Bytes

128.24(默認priority=128)

Sw1(config-if)#spanning-tree(vlan1)port-priority16修改端口優(yōu)先級

(必須是16的倍數(shù))

要在發(fā)送方改。

〈STP端口選擇依據(jù)，依次比較〉

LowestRID

?Lowestpathcosttorootbridge

15

?LowestsenderBID

?LowestsenderportID

<BPDUTimer>

BPDU多播地址:01:80:c2:00:00:00

?MessageAge:最大存活時間(20S)

HelloTime:根橋連續(xù)發(fā)送BPDU的間隔(2s)

ForwardTime:SW在監(jiān)聽和學習狀態(tài)所停留的時間(15s)

spanning-treevlan1-10hello-time3改發(fā)送BPDU的時間間隔

spanning-treevlan1-10forward-time13修改forward時間

spanning-treevlan1-10max-age33修改最大存活時間

1.老化時間(blocking)(lossofBPDUdetected)maxage=20s

2.監(jiān)聽時間(listening)forwarddelay=15s

3.學習時間(learning)forwarddelay=15s

監(jiān)聽BPDU學習MAC幀轉(zhuǎn)發(fā)

BlockingVXX

ListeningJXX(選舉Root/RP/DP)

LearningJVX

ForwardingVJJ

16

<STPTopologyChange>

?當發(fā)生如下事件時，SW會發(fā)送TCN:

1.鏈路故障(FWD->BLK)

2.端口進入轉(zhuǎn)發(fā)狀態(tài)，并且SW已經(jīng)擁有DP

3.非根橋從它的DP接收到TCN,并將其轉(zhuǎn)發(fā)

TCNBPDU只包含三個字段：proid,version,message,也就是BPDU的前三個字

段

Flags:

TC(TopologyChange)TC置位的BPDU只會由Root產(chǎn)生

TCA(TopologyChangeAcknowledge)

根橋所做的工作：

1.收斂現(xiàn)在的網(wǎng)絡；

2.Aging-time:將MAC地址表的老化時間直接變成Forwardtime

vSTP和802.1Q>

?在采用802.1Q的Trunk中，SW為Trunk中所允許的每個VLAN維護一個STP。

(PVST)

17

?對于不支持802.1Q的SW,所有VLAN維護一個STP。(SSTP)

?在交換網(wǎng)絡中，STP是始終運行的，如果鏈路沒有Trunking.STP只維護VLAN1

的信息。

PerVLANSpanningTree

優(yōu)點：1.基于Vian的負載根端；

缺點：1.BPDU是基于Vian的基礎上運行的；

VSTP的一些增強特性〉

?802.IDSTP設計初衷：網(wǎng)絡中斷后能夠在1分鐘之內(nèi)(Max=50S)恢復。

伴隨著LAN出現(xiàn)3層交換，很多的路由協(xié)議(0SPF/EIGRP)都能在兒秒之內(nèi)收

斂。

?Cisco為加快收斂時間，提出了一些瞄(特性：

PortFast/UpLinkFast/BackboneFast

?PortFast：

能夠?qū)?層的循■端口(接host)跳過LIS/LRN立即進入FWD。30S->0S

基于接口，用于接非交換機接口，不要設置在接SW的端口。

SwlSshowspanning-tree

Type:Edge[Shr/P2p]

測試：把接到交換機的網(wǎng)線拔出，再插入，觀察狀態(tài)。

Swl(config)#spanning-treeportfastdefault(所有接口啟用)全局下用

一般用在接入層的交換機上。

Swl(config-if)#spanning-treeportfast接口下單獨啟用

Swl(config-if)#spanning-treeportfastdisable(某個口禁用，通常是連接

另一臺交換機的口)

?UplinkFast：

在接入層SW上配置，用于檢測直連到分布層SW的鏈路故障，并加速STP的收斂

速度。

18

30S->0S

Sw2(config)#spanning-treeuplinkfast

(Uplinkfast是一個全局命令，將影響SW上的所有VLAN)

Debugspanning-treeevents

測試：將有效鏈路口shut,原來BLK口立即轉(zhuǎn)發(fā)，

?Uplinkfast將網(wǎng)橋PRI憎加到49152,將端口Cost憎加3000

使SW不能成為Root。所以一般配置在接入層SW。

Sw2#showspanning-tree

...Uplinkfastenabled

Sw2#showspanning-treeuplinkfast可以看到哪些接口成為備份

Sw2(config)Sspanning-treeuplinkfastmax-update-rate200

(每秒所發(fā)包的數(shù)目，默認值150)

,BackboneFast：

當交換機丟失了root后會以自己發(fā)出次級BPDU收到這個BPDU后會向使用替代

路徑發(fā)送RLQBPDU

向root進行查詢

BackboneFast是對UplinkFast的一種補充。用于檢測主干SW間的鏈路故障。(50S

->30S)

,建議BackboneFast應用在所行SW上。

Swl(config)#spanning-treebackbonefast

Swl#showspanning-treebackbonefast可以查看RLQ消息和次級BPDU

RSTP(RapidSTP)802.Iw當前主流技術

?當網(wǎng)絡拓撲發(fā)生改變時，快速生成樹協(xié)議能夠明顯地加快重新計算生成樹的

速度。

Swl(config)#spanning-treemoderapid-pvst理論一大把，命令就一條

?RSTP定義了3種端口狀梆

Discarding/Learning/Forwarding

(Discarding<—>STP：Disabled/Blocking/Listening)

19

?RSTP端口角色:

RP：同STP

DP：同STP

AlternatePort(替代端口)：

從其他SW收到BPDU的那個端口。比不過人家的BID,就成為AP(BLK)

如果本SW的RP故障，AP就成為RP。

BackupPort(備份端口)：

從本SW收到BPDU的那個端口。比不過人家的PID,就成為DP(BLK)

如果本SW的DP故障，BP就成為DP。

EdgePort（邊緣端口）===CISCO的PORTFAST

RSTP的快速轉(zhuǎn)換只能在點到點的鏈路上使用

?RSTPBPDU的格式:

在Flag字段總共8bit,802.ID中只用到2bit,

RSTP用到其他6bit來完成端口狀態(tài)和角色的編碼。

Version:2

MessageType:2

?在802.1D中，只有當SW從RP收到BPDU時，非根橋才能轉(zhuǎn)發(fā)BPDU。

在802.lw中，每個SW會每隔2s就發(fā)送一次包含當前信息的BPDU。

?如果SW在3個連續(xù)的Hello時間(6S)內(nèi)沒收到BPDU,就快速老化，提高了收

斂速度。

默認集成backbonefast,uplinkfask功能

將portfast也集成了，改名為邊緣端口，要手工加載，加載的方法一樣。

Link-type鏈路類型：按雙工模式來分

半雙工是share類型

全雙工是point-to-point類型

可以手工改

Proposal和agreement消息用來做快速收斂

在RSTP中，每臺交換機都可以下發(fā)TC置位的configBPDU,這樣也實現(xiàn)了快速

收斂

<RSTP的快速轉(zhuǎn)發(fā)〉

20

?為實現(xiàn)端口的快速收斂，RSTP定義了2個新的變量：

1.Edge-Port(邊緣端口)

2.Link-Type(鏈路類型)

?RSTP的DP是能夠讓Edge-Port和P2P直接進入FWD模式。

MST(MultipleSpanningTree)802.Is

IEEE的802.IQ不僅定義了Trunk,還定義了CST(CommonSpanningTree)

CST

缺點：所有的V1an都是按照同一個STP來工作的。

優(yōu)點：開銷小。

PVST

優(yōu)點：可以為每個Vian配置一個STP。可以實現(xiàn)基于Vian.L2的負載分擔。

缺點：SW維護很多的STP,開銷大。Vian改變，波及大。

MST(對CST和PVST的折衷方案)

1.MST對vlan分組(Instance)

2.每個分組可以有獨立的STP,實現(xiàn)L2負載分擔。

Swl(config)#spanning-treemodemst(啟用MST)

Swl(config)#spanning-treemstconfiguration

Swl(config-mst)ttinstance1vlan1-5

Swl(config-mst)#instance2vlan6-10

Swl(config)#spanning-treemst1priority4096修改本交換機在這一大堆

VLAN中的優(yōu)先級

Swl(config-if)#spanning-treemst1cost19修改本接口在這一組中的開銷

Swl#showspanning-treemst

Swl#showspanning-treemstconfiguration

有一個默認組0,沒劃分的VLAN就在這里面

MST不能和PVST共存，可以和RSTP共存

<EtherChannel>

?通過多個端口綁定，能充分利用現(xiàn)在端口來增加帶寬。

Cisco最多允許綁定8個端口。

Swl(config)#intrangefO/8,fO/9

21

Swl(config-if-range)#channe1-group1modeon將這兩個接口綁定為一組并

指定模式

Swl#showetherchannelsummary可以看到綁定了多少接口

Showinterfaceetherchannel

On：強行起etherchannel不屬于以卜兩種協(xié)議中任一種，獨立的

PortAggregationProtocol(PAgP)

Cisco私用，默認是Aut。模式。

auto:被動只收不發(fā)

Desirable:主動會發(fā)也會收協(xié)商消息

LinkAggregationControlProtocol(LACP)鏈路聚合控制協(xié)議

802.3ad,業(yè)界標準

Passvie相當于PAgP的auto只發(fā)不收

Active相當于PAgA的desirable又發(fā)乂收協(xié)商消息

Swl(config-if)Schannel-protocol[pagpIlacp]

〈優(yōu)化STP>

?BPDU防護：________

對于設置了PortFast接口，卻收到了BPDU,如果設置了&PDU防護，就能將此

接口關閉，而不會進入生成樹狀態(tài)。且默認情況下是要手動才能恢復

Swl(config)#spanning-treeportfastbpduguard(全局開啟)

Swl(config-if)#spanning-treebpduguardenable(接口開啟)

Swl#showspanning-treesummary[totals]

Showerrdisablerecovery顯示可導致接口errdisable的選項

Swl(config)Werrdisablerecoverycausebpduguard設置300S(默認)后自

動修復bpduguard所導致的errdisab1e

Swl(config)Serrdisablerecoveryinterval30修改默認的修復時間

?BPDU過濾:不發(fā)也不收

通過使用BPDU過濾，能夠防止向host發(fā)送不必要的BPDU。

收到BPDU的話，不會禁掉端口，只是不理會

注意

如果在全局下配置,從端口收到的BPDU,不會禁掉端口，會轉(zhuǎn)為正常的STP

狀態(tài)

如果在接口下配置,從端口收到BPDU的話，會丟棄

如果在同一接口設置guard/filter,f優(yōu)于g

22

Swl(config)#spanning-treeportfastbpdufilterdefault(全局開啟)

Swl(config-if)Sspanning-treebpdufilterenable(接口開啟)

?根保護：

能夠?qū)⒔涌趶娭圃O為DP,進而防止周圍SW成為Root。

設置了根保護的端口如果收到了一個不同于原BPDU的新的BPDU,它將把本端

口設為blocking禁止狀態(tài)，過一段時間，如果沒再收到BPDU,它會恢復端口，這

一點不同于根防護。

建議在去往根橋的上行端口配置：

Swl(config-if)ttspanning-treeguardroot

測試：將其他SW變成根橋，看原來根橋的現(xiàn)象:

Swl#showspanning-treeinconsistentports

Showspanning-treeinterfacefO/2detail

Swl#showspanning-tree

FaO/2DesgBKN*19128.2P2p*R00T_Inc

?單向鏈路失效：］用于硬件故障，多用于光纖線路上

是比較常見的現(xiàn)象，以太網(wǎng)(光纖)的收發(fā)出現(xiàn)問題。

啟用UDLD能使得這種接口自動進入“err-disable”狀態(tài)。

單向鏈路失效檢測需要在鏈路上兩邊的交換機上同時配置

Swl(config)#udldenable也可在接口下配

Swl#showudld

只能在接口上

?環(huán)路保護：|用于軟件故障

當STP中的BLK端口錯誤的過渡到FWD狀態(tài)，有可能出現(xiàn)環(huán)路。

啟用Loopguard的接口，當出現(xiàn)以上問題，將自動轉(zhuǎn)為inconsistent狀態(tài)

只需要在本端啟用就可以.且可以對每個vlan上

建議做在所在RP和AP上。

Swl(config)#spanning-treeloopguarddefault(全局)

Swl(config-if)#spanning-treeguardloop(接口)

<MLS(MultiLayerSwitch)>

23

,CAM(ContentAddressableMemory)內(nèi)容可尋址存儲器

SW使用CAM表來存儲2層的交換表。查找時是完全匹配，如果找不到，就從其

他所有端口轉(zhuǎn)發(fā)。

對于需要精確|查找的表最有用。CAM表包括了vlan號，mac地址，port'

,TCAM(TernaryCAM)只存在于三層交換機中

TCAM以線速處理ACL查找。

完全匹配區(qū)域/最長匹配區(qū)域/第一個匹配區(qū)域

對于需要聶氏匹的查找的表最有用。

?軟件交換：通過CPU實現(xiàn)傳統(tǒng)幀的交換。

?硬件交換：通過專門的ASIC(Application-SpecificIntegratedCircuit)硬

件組件處理數(shù)據(jù)包。通常能夠達到線速的吞吐量。

?MLS：指的是SW能夠通過硬件來交換和路由選擇數(shù)據(jù)包，并可能通過硬件支持

4—7層的交換。

?SW要執(zhí)行硬件交換，路由處理器(第3層引擎)必須將有關路由選擇、交換、

ACL和QOS等信息下載以硬件中。

Vian的ACL(可以基于mac與ip)

基于IP的：

Config#access-list1permit192.168.1.00.0.0.255

ConfigSvlanaccess-mapwolf(10)不打就默認為10

Config-access-map#matchipaddress1

默認是轉(zhuǎn)發(fā)的showrun可以看到有actionforword

調(diào)用:vlanfilterwolfvlan-list100全局模式下調(diào)用,要指明用在哪個VLAN

中，也可對所有ALL

基于mac地址的（MAC地址列表）：

1、先寫MAC地址列表

Macaccess-listextendedA

Permitaaaa.bbbb.ccccany

Denyhost0030.80d3.7240any

源mac地址目標mac地址

2、再寫access-map

Vlanaccess-mapwolf20

MatchmacaddressA

action[forward|drop]默認會drop

3、調(diào)用：configSvlanfilterwolfvlan-list100

24

Access-map的名字vlan號

RI(config)ttvlanfilterwolfvlan-listall對所有VLAN

?過程交換:

最傳統(tǒng)的轉(zhuǎn)發(fā)方式，基于包的負載均衡

RI(config-if)#noiproute-cache在每個接口下關閉cache就啟用了進程交

換

?基于NelFlow的MLS：路由器的默認方式

基于網(wǎng)流的負載均衡

讓ASIC能夠?qū)Ρ宦酚傻臄?shù)據(jù)包執(zhí)行2層重寫(S/DMAC、CRC)0

?CentralizedForwarding(集中式轉(zhuǎn)發(fā))

在一個專用ASIC上做出轉(zhuǎn)發(fā)決策，是所有接口的樞紐。

Series：4000/6500

,DistributedForwarding(分布式轉(zhuǎn)發(fā))

在SW的接口和模塊上獨立地做出轉(zhuǎn)發(fā)決策。

Series：3550/6500(帶有分布卡)

?基于CEF的MLS：(CiscoExpressForwarding)

控制平面：路由處理器(第3層引擎)

數(shù)據(jù)平面：用來進行硬件轉(zhuǎn)發(fā)的硬件組件

CEF是一種基于拓撲的轉(zhuǎn)發(fā)模型，它預先將所有路由信息加入FIB(Forwarding

InformationBase),使SW能快速查找路由信息。

?FIB：類似于路由表，包含了路由轉(zhuǎn)發(fā)信息。

,Adjacency：存儲2層編址信息。

第3層引擎和硬件交換組件維護一個FIB/Adjacency。

解決了遞歸問題，并且可以使用ASIC來轉(zhuǎn)發(fā)，所以速度快

?ARPThrottling(ARP抑制)必須開啟CEF才能開啟這一?功能

SW1(config)#iprouting要開啟CEF,首先要開啟路由功能

SW1(config)#ipcef

SW1(config-if)#noiprouter-cachecef在接口下關閉CEF

showipcef

showcefinterfacesO

showadjacency[detail]

25

是基于CEF交換機的一項重要特性。當SW沒有目標地址的ARP條目時，SW會發(fā)

送一個ARP請求，而抑制其他ARP請求。

ARPThrottling（抑制）一如果交換機向主機發(fā)出…個ARP請求（廣播包），一

直沒得到回應，那么就不再發(fā)后續(xù)的ARP包，被抑制掉了。

默認情況下CEF是基于流的負載均衡，但可以修改為基于包的負載均衡：

ipload-sharingper-packet打開基于包的負載均衡

<VLAN間路由〉

?支持VLAN間路由的設備：

1.任意的3層SW

2.支持以太口起子接口的路由器（2600以上）

?路由接口：類似于路由器上的3層接口。

interfaceFastEthernetO/1將接口改為三層接口

noswitchport

ipaddress8.8.9.7255.255.255.0

SVI（SwitchVirtualInterface）：

也屬于3層接口，為完成VLAN間路由而配置的接口。

interfaceVlan20

ipaddress6.6.26.7255.255.255.0

?如果讓SW有路由功能,必須iprouting

V單臂路由(RouteronaStick)>

1)將R1/R2模擬成PC1/PC2,配IP,網(wǎng)關,noiprouting

2)在SW2上將PCl(r3)劃入VLAN3,PC2(r5)劃入VLAN5。

3)在SW1/2間做trunking：

Swl/2(config-if)#switchportmodetrunk

4)在SW1上起vlan3與vlan4

5)SW1的連接r6的端口上打switchmodetrunk

6)在R6上的F0/0起2個子接口：

注意：先把接口noshut再進入子接口

interfaceFastEthernetO/O

26

noshut

noipaddress

interfaceFastEthernetO/O.1

encapsulation[dotlQIisl]3這個|是VLANTD

ipaddress192.168.1.6255.255.255.0

interfaceFastEthernetO/O.2

encapsulation[dotlQ|isl]|

ipaddress192.168.2.6255.255.255.0

spanning-treeportfasttrunk在交換機與路由器相連的端口上用，這樣才能

快速收斂，這一命令主要用在單臂路由上

cleararp-cache清ARP表，因為在路由器中，ARP表的老化時間是4個小時，

如果不手工清，會等很久。

做實驗時會出現(xiàn)P不通的現(xiàn)象

起SVI的測試是?個常用的好辦法

〈端口安全〉

?SW端口安全是2層特性，提供3種保護：

1.基于主機MAC來允許流量

?可定義2個參數(shù)：授權的MAC地址/允許學習多少個MAC地址（默認=1）

?違背端口安全，采取的行為：

1.shutdown：將永久性或特定周期內(nèi)Err-Disable端口（默認行為）

2.restrict：將未授權主機的幀丟棄drop,并發(fā)送log

3.protect：當超過所允許學習的最大MAC數(shù)時，將未授權主機的幀丟棄

drop

Swl(config-if)Sswitchportmodeaccess

Swl(config-if)#switchportport-security這個命令必須先打上,才能打后

續(xù)命令

Swl(config-if)Sswitchportport-securitymac-addressaaaa.bbbb.cccc

switchportport-securityviolation[protect|restrict|shutdown]指定行

為

switchportport-securitymaximun5指定最大允許學多少個地址

SwlWshowport-security

Swlttshowport-securityaddress

SwlSshowport-securityinterfacefO/1

SwlitshowinterfacesfastEthernet0/1

27

FastEthernetO/1isdown,lineprotocolisdown（err-disabled）

通常做接口安全，要先把接口shutdown,這樣它就不會自動學習

讓err-disable接口自動恢復

errdisablerecoverycausepsecure-violation

showerrdisable

2.基「主機MAC來限制流量（3500上才可以做）

列表中定義的MAC將被限制流量

Swl（config）#mac-address-tablestatic0010.7b80.7b9bvlan1drop

3,阻塞未知單（組）播擴散（3500上才可以做）

對未知MAC地址，SW將從本VLAN的其他端口轉(zhuǎn)發(fā)出去，通常結(jié)合端口安全來做

但對于某些端口（端口安全只需要一個MAC/已到最大MAC）沒必要再轉(zhuǎn)發(fā)這些

單（組）播。

RackO8Swl（config-if）Sswitchportblock[unicastmulticast]

Rack08Swl#showintf0/1switchport

...Unknownunicastblocked:enabled

.