高级交换笔记.docx
《高级交换笔记.docx》由会员分享,可在线阅读,更多相关《高级交换笔记.docx(31页珍藏版)》请在冰豆网上搜索。
高级交换笔记
前言
某一天看到网上的同僚对cisco考证特别钟爱,自己一不小心也挤进了这支队伍。
在网站上交流的同时,自己获得网友的无私奉献。
虽然工作很忙,也发誓不甘心落伍,于是每天带着倦意的躯体回到居室,又啃起书本来,实在是现在的记性没有以前好,所以还是学学愚公精神,书籍上的一些知识点自然成了笔记中的主要内容。
看到现在网上还没有switch的笔记,就想把这份笔记share出来,一则感谢帮助我的很多朋友,二则非常支持很多讨论热烈的技术论坛,尤其是为上面投射出的互助精神所感动。
笔记的主要来源就是人邮的书籍,当然没有覆盖全部的考点,所以收集者注意自己补充。
之所以传给根本,因为有目共睹,网上根本的踪迹很多。
本人就欣赏过他的捕鱼札记,受益匪浅。
Smallbilly
第一章园区网概述
园区网特点
1.在一个固定地理区域内的一个公司或一个公司的一部分。
2.拥有该园区网的公司通常也拥有该园区内所用的物理线路。
传统园区网的主要问题
1.可用性
2.性能
在传统园区网中,通常用多端口网桥将一个局域网分段成隔离的碰撞域。
这样可解决两个问题:
1.碰撞域(CollisionDomain)
2.距离限制
网络中通信的三种形式:
单播(Unitcast)、组播(Multicast)、广播(Broadcast)。
1.多点广播实例:
CiscoIP/TV分发多媒体数据、定位IP服务上的Novell5。
2.提出请求的广播:
IP的地址解析协议(ARP)、NetBIOS的名字请求、网间包交换协议(IPX)寻找最近服务器(GetNearestServer,GNS)请求。
3.发布通告的广播:
IPX服务通告协议(SAP)数据包、路由信息协议(RIP)、内部网关路由选择协议(IGRP)。
遏制广播的两种方法:
1.使用路由器生成多个子网;
2.利用交换机实施VLAN。
当前园区网由两部分组成:
1.局域网交换机
2.路由器
传统的80/20规则和新的20/80规则
1.80/20规则:
在设计恰当地网络环境中,一个给定网段上80%的流量是本地的,不超过20%的网络流量需要通过主干。
2.20/80规则:
只有20%的流量是到本地工作组局域网的,而80%的流量需要流出本地网络。
导致流量模式的改变有两个因素:
1.基于Web应用的计算普遍,很多PC既是信息的接受者,也是信息的发布者;
2.企业部署集中式的服务器群(既降低成本、提高安全、便于管理)。
新的园区网模型中的3类服务
1.本地服务:
本地数据流不进入网络主干或通过路由器
2.远程服务:
远程服务数据流穿过广播域边界,但可能也可不通过网络主干
3.企业级服务:
放在距离网络主干很近的一个独立的子网上
与OSI分层相应的PDU和设备类型
模型层
PDU类型
设备类型
数据链路层(第2层)
数据帧
交换机/网桥
网络层(第3层)
数据包
路由器
传输层(第4层)
TCP数据分段
TCP端口
多层交换机
多层交换基于单独的流,MLS-SE为MLS流维护一个缓存条目并为每个流存储统计信息。
流中的所有数据包都与缓存中的信息进行比较。
缺省情况下,256秒之后,如果没有任何流利用到一个MLS缓存项(CacheEntry),那么这个缓存项将从缓存中删除。
路由器的优势
决定转发路径
验证3层包头的完整性、有效期(onheaderonly)
修改TTL
处理并响应任何选项信息
MIB中更新转发统计数据
安全控制
第3层交换的优势(路由器没有)
低成本
低延时
交换机和网桥
第二层交换机由于采用ASIC(专用集成电路,Application-SpecifiedIntegratedCircuits)硬件处理技术,所以交换机可比以太网桥低得多的成本提供高达Gbit速率的可扩展性和低时延。
第三层交换机主要有两种产品
多层交换
Cisco快速转发(CEF)
Cisco分层模型中各层使用的主要设备
层次
层次名
设备
第一层
访问层
Catalyst1900,2820,2900,4000,5000
第二层
分布层
Catalyst5000(支持多层交换,带路由模块),2926G(需要外部路由支持)6000(密集Fast或Gigabit以太网口,如120个Gigabit端口)
第三层
核心层
Catalyst6500,8500(multicastrouting,支持PIM协议)
接入层交换机应用
接入端口数
交换机
Lessthan50
19xx,2820,29xx(如CAD/CAM和IC设计环境),35xx
Lessthan100
4xxx(可提供多达36Gbit以太网端口,96个用户接入)
Morethan100
5xxx(Multigigabit10/100/1000Mbps)
园区两个基本元素:
1.交换区块(SwitchingBlock)
2.核心区块(CoreBlock)
影响交换区大小的主要因素:
1.数据类型和行为;
2.工作组的大小和数量(一般不超过2000个用户)
说明交换区过大:
1.分布层路由上出现流量瓶颈;
2.广播和Multicast降低了Switch和Router的处理速度。
分割交换区的原则
1.应基于网络上通过的流量(TrafficFlow),而不是Blocking中的节点数;
2.为了进行分割,需要定期进行流量采集。
有两种基本的核心层设计:
1.紧缩核心(Collapsed)
◎分布层和核心层功能由同一个设备执行;
◎每台接入层交换机到分布层交换机都有一条冗余链路;
◎第三层冗余是由运行HSRP的两台分布层交换机提供的。
2.双核心(Dual):
在核心层至少有两个设备提供冗余。
但他们之间没有连接,以防止生成树循环。
路由选择协议所支持Blocking的最大数量
协议
支持路由对等的最大数量
核心层子网数
Blocking数
OSPF
50
2
25
EIGRP
50
2
25
RIP
30
2
15
实施第三层核心的好处:
很多设计采用第二层――第三层――第二层的模型,取得了成功,但有些情况下需要使用第三层核心,主要好处:
1.快速收敛:
路由协议收敛时间5s~10s,而生成树收敛时间在50s;
2.自动负载均衡:
路由协议可在多条等成本路径间均衡负载;
3.消除对等问题:
可以支持更多的SwitchingBlocking,达100个。
坏处:
费用和性能。
传统路由器功能:
_Determinepathsbasedonlogicaladdressing
_Runlayer3checksums(onheaderonly)
_UseTimetoLive(TTL)
_Processandrespondstoanyoptioninformation
_CanupdateSimpleNetworkManagementProtocol(SNMP)managerswithManagementInformationBase(MIB)information
_ProvideSecurity
第三层交换机优点:
_Hardware-basedpacketforwarding
_High-performancepacketswitching
_High-speedscalability
_Lowlatency
_Lowerper-portcost
_Flowaccounting
_Security
_Qualityofservice(QoS)
QualityofService的含义
Messagesaregivenmoreresourcesiftheyneedit.例如电视会议应用比电子邮件可能会得到更多的带宽。
所以第四层的路由器或交换机可以根据第四层信息来控制流量。
一种方法是采用标准的或扩展的访问控制列表。
另一种方法是通过NetFlow交换来提供流的第四层统计。
第二章连接交换区块
快速以太网的距离限制
技术
线缆分类
线缆长度
100BaseTX
EIA/TIA类型5(UTP)
非屏蔽双绞线2对
100m
100BaseT4
EIA/TIA类型3,4,5(UTP)
非屏蔽双绞线4对
100m
100BaseFX
多模光纤MMF缆线62.5um光纤核心,125um外层包装(62.5/125)
400m
Gbit以太网距离限制
技术
线缆分类
线缆长度
1000BaseCX
铜质屏蔽双绞线
25m
1000BaseT
铜质EIA/TIA类型5(UTP)
非屏蔽双绞线4对
100m
1000BaseFX
多模光纤62.5um光纤核心和50um光纤芯,使用波长为780nm
260m
1000BaseLX
单模光纤9um光纤芯,使用波长为1300nm
3km(Cisco最长支持10km)
Catalyst两种OS
OS类型
交换机
CiscoIOS
Catalyst1900/2800,2900XL
Set命令集
Catalyst2926,2926G,1948G,4000,5000,6000
自动协商优先级识别
优先级次序
物理层技术
A
100BaseTX全双工
B
100BaseT4
C
100BaseTX半双工
D
10BaseT全双工
E
10BaseT半双工
TokenRing分段方法
Method
ForwardingDecision
FrameModification
RingNumbering
Transparentbridging
MACaddress
N/A
Source-routebridging
RIF
RIF
Ringnumbersmustbeuniqueamongbridgeports.
Source-routetransparentbridging
MACaddressorRIF
RIF
Ringnumbersmustbeuniqueamongbridgeports.
Source-routeswitching
Routedescripto
Ringnumberscanbesameacrossswitchports(singleringcanbesegmentedonseveralports).
IOS命令集标识一个端口(1900/2800,2900XL)
Switch(config-if)#descriptiondescription-string
如果在标识字串中有空格,必须用引号括起来。
Switch(config-if)#description“descriptionstring”
而基于set命令的交换机设置端口标识没有这个问题,命令不同,用Setportname命令。
UTP电缆遵守100m规则:
1.从交换机到配线架(PatchPanel)为5m;
2.从PatchPanel到办公室模块(Punch-downBlock)为90m;
3.从Punch-downBlock到Desktop为5m。
CDP协议
是Cisco的专有协议,用来发现邻居设备,Cisco设备每60s发送基于第二层的Multicast,目的MAC地址是0100.0ccc.cccc。
第三章通过VLAN定义共同工作组
设置VLANMembership两种常用方法:
1.静态VLAN――基于端口的成员身份,通过将端口指派给一个VLAN建立。
2.动态VLAN――通过管理软件,如Ciscoworks2000或CWSI建立,基于设备MAC地址。
CiscoIOS下配置静态VLAN
Switch#vlandatabase
Switch(vlan)#vlanvlan-numnamevlan-name
Switch(vlan)#exit
Switch#configureterminal
Switch(config)#interfaceinterfacemodule/number
Switch(config-if)#switchportmodeaccess
Switch(config-if)#switchportaccessvlanvlan-num
Switch(config-if)#end
Set-based下配置静态VLAN
Switch(enable)setvlanvlan-num[namename]
Switch(enable)setvlanvlan-nummod-num/port-list
交换环境中的两种link:
1.Accesslink(接入):
一单个VLAN的成员(Amemberofonlyonevlan)。
2.Trunklink(干道):
Capableofcarringmultiplevlans。
混合链路,即该链路既是Trunklink又是Accesslink,它可传输两种帧:
标记帧(带VLAN信息)和非标记帧
在交换Block中扩展VLAN时,有两种定义VLAN边界的基本方法:
1.端到端VLAN:
不管用户的位置,都可放在同一个VLAN中。
目的是维护80/20规则,即把80%数据流限制在本地;
2.本地VLAN:
根据用户的位置配置,不管用户是否是同一个项目组、部门等,数据流变成了20/80模式。
VTP协议优点:
1.即VLAN干道协议,Cisco创建。
在网络中维持VLAN配置的一致性。
2.通过混合介质主干将以太网VLAN映射到高速主干VLAN。
3.对VLAN的准确跟踪和监管。
4.动态报告网络中增加的VLAN。
5.当添加新的VLAN时,实现“即插即用”。
VTP管理域
1.同一个管理域中的所有交换机可以共享他们的VLAN信息,一个交换机只能参加到一个VTP管理域中。
2.不同域中的交换机不能共享VTP信息。
VTPVersionNumber
1.对维护VTP很关键,因为交换机根据VTP通告中的版本号来决定使用哪个VLAN数据库。
2.VTP服务器修改VTP数据库时,将配置VersionNumber增1。
3.如果VTP服务器删除了所有VLAN,并使用了更高的配置版本号,那么该管理域中的其他设备也将删除他们的VLAN。
4.配置版本号相同的两个VLAN数据库互不更新对方,因为它认为这两个数据库内容相同。
配置VTP和VLAN之前必须要考虑的事情:
1.确定在网络环境中运行的VTP版本号
2.决定交换机是否应成为一个已有管理域的成员,或者应该为其创建一个新的域
3.为交换机选择一个VTP模式
VLANTrunklink
1.Trunklink可以被配置来传输所有VLAN的数据帧,也可以被限制为只传输有限的VLAN;
2.Trunklink可以传输多个VLAN,但可以有一个NativeVLAN,当Trunklink失效时就使用;
3.Trunklink所携带的不同VLAN帧,必须被唯一标识,如ISL和IEEE802.1Q。
Cisco支持多种Trunk方式(即对VLAN帧标识):
1.ISL――Cisco专有封装协议,也是默认的。
前面加26字节,后面加4字节FCS。
2.IEEE802.1Q――IEEE标准方法,在帧头写入VLAN信息,后面只增加4字节FCS。
3.802.10――FDDI上传输VLAN信息的Cisco专有协议,把VLAN信息写入SAID安全关联标识符部分
4.LANE――基于ATM上传输VLAN信息的一种IEEE标准方法。
帧标记和封装方法
表示方法
封装
标记(插入帧内)
介质
帧长度
ISL
是
否
以太网
1518/1548
802.1Q
否
是
以太网
1518/1522
802.10
否
否
FDDI
LANE
否
否
ATM
BabyGiantFrame(小巨人帧)
原始以太网帧大小不超过1518字节,如果一个最大长度的帧是通过802.1Q来标记得,那么这个帧变成1522字节,这种帧被成为小巨人帧。
Catalyst监控引擎版本
干道协议
支持自动协商的Trunk协议
4.2及以后
DTP动态干道协议
ISL和IEEE802.1Q
4.1
DISL动态干道交换机间链路
ISL,手工配置802.1Q
4.1以前
同上
ISL,不支持手动配置802.1Q
DTP协议为Cisco专有,它只能用于交换机之间的Trunklink,不能用于交换机和路由器之间的Trunklink。
一般情况Trunklink状态的端口每隔30s发送DTP帧,以便高速其它交换机。
快速以太网和Gbit以太网Trunk模式
On:
永久设为Trunk模式。
Off:
永久设为非Trunk模式。
Desirable:
让端口主动试图将链路转变为Trunk。
如果相邻端口被设为On,Desirable,或Auto,该端口可以变为Trunk端口。
Auto:
让端口主动试图将链路转变为Trunk。
如果相邻端口被设为On,Desirable,该端口可以变为Trunk端口。
Nonegotiate:
端口永久设为Trunk模式,但不生成DTP帧,必须手工地把相邻端口配置为Trunk端口来建立一条Trunklink。
Trunk中的VLAN
VLAN1:
缺省
VLAN2:
第一个VLAN
VLAN1002:
FDDI-Default
VLAN1003:
Token-Ring-Default
VLAN1004:
FDDInet-Default
VLAN1005:
TRnet-default
VTP三种操作模式
1.服务器:
缺省模式,可建立、修改和删除VLAN,向同一域中的交换机通告它的VLAN配置,并接受从Trunk链路上收到的通告与其它交换机进行VLAN配置的同步。
2.客户机:
行为同服务器模式,但不能建立、改变或删除VLAN;倾听vlan信息,使得z自己的vlan配置信息保持与vtp服务器同步;也可以把vlan信息转发给其它交换机。
3.透明:
不参与VTP。
在vtpv2中,配置为透明模式的交换机将在Trunk端口上转发VTP信息以保证其他交换机接收到更新信息,但这些交换机将不修改自己的数据库,也不发送指示VLAN状态发生变化的更新信息。
Vtpv1中,透明模式的交换机也不转发vtp信息到其它交换机。
需要注意的是透明模式下的交换机可以在本地创建vlan,但这些vlan的变化信息不会扩散到其它交换机。
三种形式的vtp通告:
Summaryadvertisements—vtp服务器发送,每隔300s。
Subsetadvertisements—vtp服务器发送。
如vlan增删、vlan的激活和挂起。
Advertisementrequestsfromclients—vtp客户发送,vtp服务器回复Summaryadvertisements和Subsetadvertisements。
两种原因促使vtp客户要发送请求:
一种是从Subsetadvertisements了解到vtp状态发生变化;另一种是从Summaryadvertisements获悉有更高的vtpversionnumber,
Vtpv2有别于v1的一些特性:
1.Version-dependenttransparentmode(与版本相关的透明模式):
v1要先检查域名和版本,如果相同在转发;v2则不检查版本。
2.Consistencychecks(一致性检查)
3.TokenRingsupport(令牌环支持):
只有v2支持。
4.UnrecognizedType-Length-Value(TLV)support(不认识类型长度值的支持)
VerifyVTPstatus
CiscoIOS:
showvtpstatus
Ciscoset-based:
showvtpdomain
第四章管理冗余链路
网桥ID共8个字节,有两部分组成:
1.2个字节的优先级域:
优先级低的为根桥,缺省优先级为32768,即0x8000。
缺省地,所有Cisco交换机地优先级是相同的。
2.6个字节MAC地址域:
即交换机或网桥的MAC地址。
所以缺省情况下,具有最低MAC地址的交换机将成为根桥。
选择根桥(RootBridge)
1.自动选择:
STP自动选择具有最低网桥ID的交换机为根桥。
2.手工确定:
原则是靠近网络的中心。
所以一般根桥设在一台分布层的交换机而不是接入层交换机。
建议手工设置来确定根桥。
确定到根桥的最佳路径
STP协议利用BPDU中三个Field――路径开销、网桥ID、端口优先级/端口ID来确定到根桥的最佳路径顺序:
1.路径开销:
所有端口开销的综合为路径开销,路径开销低的端口为转发端口。
2.网桥ID:
同一个交换机上有两条链路达到根桥(如平行链路),那么最佳路径就由下面的端口优先级或端口ID决定了。
3.端口优先级/端口ID:
端口优先级范围0~63,缺省值32,具有低优先级的端口将转发数据。
如果端口优先级相同,端口ID则是决定因素,低端口ID将转发数据。
BPDU:
BridgeProtocolDataUnit
选择指定的RootPort
一个交换机侦听所有ActivePort的BPDU,如果收到不止一个BPDU,那么说明存在这台交换机到根桥之间的冗余链路,需要确定哪一个是RootPort。
交换机中某个端口到达根桥的路径开销最小,那么这个端口为RootPort。
如果路径开销相等,那么由端口优先级/端口ID决定。
RootPort就处于Forwarding状态,其它冗余端口处于Blocking状态。
EtherChannel
快速以太通道技术(FastEtherChannel)和吉比特以太通道(GigabitEtherChannel)使平行链路可以被生成树看成是一条物理链路。
以太通道技术为链路失效情况提供了冗余性,如果在通道中有一条链路失效,那么几毫秒内数据流被送到其它链路上,这种收敛变化对用户来说是透明的。
EtherChannel上可以实现负载平衡,以两条链路为例,如果源MAC和目的MAC最后一位异或后为0则从link0走,否则从link1走。
(也可以异或源和目的IP)
PAgP端口聚合协议(PortAggregationProtocol)
给EtherChannel增添了新的功能,有利于以太通道的自动建立。
但也有些限制:
1.PAgP不会在
升级会员 