CCNPSwitch整版笔记详解.docx
《CCNPSwitch整版笔记详解.docx》由会员分享,可在线阅读,更多相关《CCNPSwitch整版笔记详解.docx(22页珍藏版)》请在冰豆网上搜索。
CCNPSwitch整版笔记详解
CCNP-switch
背板带宽:
交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。
代表了交换机总的数据交换能力,单位是Gbps,也叫交换带宽。
一台交换机的背板带宽越高,所能处理的数据能力就越强,但同时设计的成本也就会越高。
计算性能:
1、线速的背板带宽
交换机上所有的总端口能够提供的总带宽。
公式=端口数量*相应的端口速率*2
如果总带宽<=标称的背板带宽,那么在背板带宽上是线速的
2、第二层包的转发线速
公式=千兆端口的数量*1.488M+百兆端口的数量*0.1488M+十兆端口数量*0.01488
如果计算出的值<=标称的二层包转发速率,那么交换机在二层是线速的。
3、第三层包的转发线速
公式=千兆端口的数量*1.488M+百兆端口的数量*0.1488M+十兆端口数量*0.01488
如果计算出的值<=标称的三层包转发速率,那么交换机在三层是线速的。
1.488的来历:
衡量线速标准的单位,单位时间内发送64byte数据包的个数作为标准
1000,000,000/8/(64+8+12)byte=1.488
8:
二层数据帧的头部
12:
帧的间隙
思科交换机的产品线
CE500
catalyst
295029602918(面向中国市场的产品,web配置界面为中文)2960G(千兆)
35503550G35603560G3560-E(有两个万兆口)3750(开始支持堆叠)3750G3750-E
494845004503E4506E4509E4513E
65006503E6504E6506E6509E6513E
园区网:
网络分层:
核心层、汇聚层、接入层
核心层:
数据的高速转发
汇聚层:
数据的高速转发+路由策略
接入层:
提供用户和终端的接入
园区网模型中的3类服务
1、本地服务:
本地数据留不进入网络主干或通过路由器
2、远程服务:
通过主干网络,对外提供服务的流量
3、企业级服务:
放在一个离骨干网络很近的独立子网上
园区网的两个基本要素
1、交换区块
2、核心区块(core)
园区网核心层的设计
1紧缩核心
汇聚层和核心层的功能由同一台设备执行
每台接入层交换机到汇聚层(核心层)都有一条冗余的链路
第三层的冗余是由运行HSRP的两台汇聚交换机提供
2、单核心:
只有一台核心设备
单核心单引擎
单核心双引擎
双核心单引擎
双核心双引擎
VLAN:
虚拟局域网
VLAN的种类
1、本地VLAN:
nativevlan
2、端到端的VLAN:
可以跨越多个交换或核心
VLAN的分类
静态VLAN和动态VLAN
静态:
先定义一个VLAN,然后手工的把端口划到VLAN里去
动态:
基于MAC或子网或用户的方式设置VLAN,当用户接入到交换机后,交换机查询
VMPS(VLAN管理策略服务器),根据策略动态的把接口划分到相应的VLAN中
MAC地址表:
目标MAC地址,出口,VLAN-ID
MAC表的学习:
当数据帧的发送经过交换机时,交换机会记录下数据帧的源MAC及对应的出口,同时会向该数据帧中VID相同的接口泛洪。
MAC的转发:
当数据帧到达交换机后,交换机会查找自己MAC地址表,若有匹配,则从出口转发,若无匹配,则向相同VID的接口泛洪。
VLAN的基本配置:
静态
第一步创建VLAN:
1、在全局模式下:
vlanID
2、在vlandatabase下:
vlanID
两种配置的区别:
全局模式下,每创建一个VLAN,配置版本号加1,而vlandatabase只是进入一次,配置版本号加1
第二步:
把端口划入VLAN中:
switchportaccessvlanID
动态:
一、创建VMPS(在server端)
二、指定server:
vmpsserverX.X.X.X
设置接口vlan为动态:
switchportaccessvlandynamic
配置trunk链路
switchporttrunkencapsulationdot1q/isl
switchportmodetrunk
switchporttrunkallowedvlan/add/all/except/remove
/none---交换机trunk链路能够通过的vlan是配置允许通过的vlan与本地交换机上所拥有的vlan的交集
在dot1q打标签的方式中,可以支持nativevlan
switchporttrunknativevlan
如果数据帧所属的vlanid与nativevlanid相同,则数据帧不打标签直接传递-节约性能,兼容不支持划分trunk链路的设备。
shinterfacetrunk-查看交换机激活trunk的接口
shinterfaceswitchport-查看交换机每个接口的配置
DTP协议:
动态trunk链路协商协议
switchportmodedynamicauto:
DA
-接口不会主动发送DTP消息,但是当收到对方发送的dtp消息,可以返回DTP消息。
可接口接收到DTP消息,该接口可以成为trunk。
switchportmodedynamicdesirable:
DD
-接口可以主动发送dtp消息,但是必须接收到对方发送过来的DTP消息,才可以形成trunk链路
switchportmodetrunk-该接口激活就强制为trunk链路,并且可以发送DTP消息
switchportmodeaccess-该接口激活就强制为access口,不发送dtp消息
switchportnonegotiate-当接口配置为trunk链路时,抑制trunk接口发送dtp消息,但是该命令不可以与switchportmodedynamic命令同时使用。
switchporttrunkencapsulationnegotiate-使用trunk链路自协商封装类型为802.1q或者isl,但是该命令不能与switchportmodetrunk同时使用
3550-dynamicdesirable3560-dynamicauto
Trunk
Access
DD
DA
Trunknone
Trunk
Trunking
\
Trunking
Trunking
Trunking
Access
\
Access
Access
Access
\
DD
Trunking
Access
Access
Access
\
DA
Trunking
Access
Trunking
Trunking
\
Trunknone
Trunking
\
\
\
Trunking
trunk模式
on//强制配置接口模式为trunk
off//强制配置接口模式为access
DD//动态主动协商
DA//动态被动协商
增强的VLAN
端口隔离
switchportprotected
配置了protected端口之间不可以直接通信,(即两个端口都配置了protected,则这两个端口上连接的主机无法通信)
配置了protected端口可以和非protected端口通信
配置了protected端口之间通信需要经过网关设备实现arp代理
1、主机发送arp请求,请求目标IP地址为另外一个protected端口下主机的IP地址,但是广播arp消息无法传递到另一个主机上,而是路由器或三层交换的网关接口接收到arp请求
2、网关接口开启arp代理
3、网关将自己的mac代理返回到请求方
4、主机发送信息,首先将数据帧发送到路由器上,然后路由器在转发到其他protected端口下的主机
这种情况,路由器(网关)接口的带宽和处理性能将成为网络中主机之间通信的瓶颈。
网关开启ARP代理
ipproxy-arp-激活arp代理功能(默认)
iplocal-proxy-arp-激活本地网段的arp代理功能
当arp请求到达路由器或三层设备,只要路由器有去往这个目标地址的路由表,就返回arp代理消息。
私有vlan(Pvlan)
主vlan
辅助vlan
-隔离vlan
-团体vlan
每个PVLAN包括2种VLAN:
主VLAN和辅助VLAN
主VLAN:
主PVLAN是PVLAN中的高级VLAN.主VLAN由很多个辅助VLAN组成,且辅助VLAN属于主VLAN的相同子网.
辅助VLAN:
辅助VLAN是主VLAN的子代,并且映射到一个主VLAN。
每台设备连接到辅助PVLAN
隔离vlan
配置属于隔离vlan的端口只能和混杂模式的端口通信,即使属于相同的辅助vlna,在隔离vlan中的各个端口之间也是无法通信的。
团体vlan
配置属于相同团体vlan之间的端口可以通信,也可以和混杂模式的端口通信。
但是属于一个主vlan中的不同团体vlan的端口之间无法通信。
PVLAN的配置:
*配置PVLAN必须是VTP的透明模式
步骤1:
在开始配置PVLAN之前,首先将交换机VTP模式为透明模式.
Switch(config-vlan)#vtpmodetransparent
步骤2:
在交换机AS1,创建主Pvlan100,团体Pvlan101和隔离Pvlan102。
此外,建立辅助Pvlan和主pvlan的关联.
Switch(config-vlan)#vlan100
Switch(config-vlan)#private-vlanprimary//将VLAN100配置为主pVLAN
Switch(config-vlan)#private-vlanassociation101-102//建立辅助pVLAN与主pVLAN的关联
Switch(config-vlan)#vlan101
Switch(config-vlan)#private-vlancommunity//将VLAN101配置为团体pVLAN
Switch(config-vlan)#vlan102
Switch(config-vlan)#private-vlanisolated//将VLAN102配置为隔离pVLAN
步骤3:
将VLAN100配置为主PVLAN,并且将其映射到辅助PVLAN101和102.
Switch(config)#interfacevlan100
Switch(config-if)#noshut
Switch(config-if)#private-vlanmapping101,102//将辅助pVLAN映射到第3层VLAN接口以实现路由功能
步骤4:
在交换机AS1上,将主机A的接口配置为Pvlan101的成员,将主机B的接口配置为Pvlan102的成员.
Switch(config)#interfacefastEthernet2/3
Switch(config-if)#descriptionHost_A
Switch(config-if)#swithport
Switch(config-if)#swithportmodeprivate-vlanhost//将端口配置为主机端口
Switch(config-if)#swithportprivate-vlanhost-association100101//建立第2层接口与pVLAN的关联
Switch(config-if)#noshutdown
Switch(config-if)#interfacefastethernet2/4
Switch(config-if)#descriptionHost_B
Switch(config-if)#swithport
Switch(config-if)#swithportmodeprivate-vlanhost//将端口配置为主机端口
Switch(config-if)#swithportprivate-vlanhost-association100102//建立第2层接口与pVLAN的关联
Switch(config-if)#noshutdown
步骤5:
验证私用VLAN配置,并且确认主机A不能成功ping通主机B
Private-vlan:
Vlan100
Nameprimary
Private-vlanprimary
Vlan200
Namesubvlan-1
private-vlancommunity
Vlan300
Namesubvlan-2
private-vlanisolated
Intvlan100
private-vlanassociation200,300
Intf0/1
swmoprivate-vlanhost
swprivate-vlanhost-association100200
Intf0/2
swmoprivate-vlanhost
swprivate-vlanhost-association100300
以太网链路聚合
-增大带宽
-简化操作
-增加一个逻辑端口,所有配置聚合的物理端口全部以一个逻辑端口显示
-多个聚合链路可以实现负载均衡和链路备份
-既可以支持二层链路聚合,也可以支持三层链路聚合
cisco设备可以支持的聚合模式
on//强制聚合,不需要其他协议协商
动态协议协商
pagp-Cisco私有
1、desirable//主动协商
2、auto//被动协商
3、silen不用周期收到pagp的帧,channel也能存活
4、nosilent需要周期收到pagp的帧,才认为channel存活
lacp-
1、active//主动协商
2、passive//被动协商
配置:
1、创建聚合组
interfaceport-channel1
2、进入物理接口配置聚合,将物理接口添加到聚合组中
interfacef0/1
channel-group1modeon
配置on模式,可能会造成短暂环路
端口需要配置trunk模式
配置链路聚合注意事项:
1、查看交换机是否支持链路聚合
2、所有的接口都要配置相同的速率和双工模式
3、配置为聚合组中的端口,不可以作为流量分析的目标端口
4、如果是三层聚合,则IP地址必须定义在聚合端口上
5、所有属于同一个聚合组的端口必须配置相同的vlan或者相同的trunk配置
6、所有接口必须支持配置相同cost
7、配置聚合以后在port-channel下的配置对该聚合组中的所有物理接口都有效特性失效
8、配置聚合以后在物理接口配置,只会对该物理接口生效
9、最大支持8条聚合
当物理接口都配置为trunk或其他相同配置,则聚合端口会直接继承配置;
物理接口的noswitchport或switchport参数都相同时,聚合口会自动继承物理口的特性
聚合链路的负载均衡
port-channelload-balancedst-mac/src-mac/dst-ip/src-ip
STP:
生成树协议
1、提出的原因
-冗余的网络(链路)
为了保证LAN的链路或者业务的可靠性,通常部署两台或者多台交换机,实现链路或业务的备份
-冗余链路导致的一些问题
1、广播风暴:
--交换对广播帧的处理机制
--没有TTL字段
2、重复帧:
--交换机对未知帧的处理机制
3、MAC表的震荡
--交换机MAC地址学习机制
本质问题:
交换机之间出现环路
通过STP解决环路
STP的功能:
--防止环路:
通过阻塞一条备用链路,实现目标网络单路径
--链路的备份:
当已经UP的链路失效时,STP会自动启用block的端口,实现链路的备份
STP的工作机制:
STP通过在环路的拓扑中,选择一个交换机为根,并以根交换机为中心,扩枝散叶,构建一棵没有环路的树型拓扑,构建好之后进行维护,有故障则激活阻断的端口实现备份。
STP的基本概念
1、bridge-id桥ID
功能:
唯一标识运行STP的交换机,相当于OSPFroute-id
2、bridge-priority:
桥优先级
默认值32768(0~65535)
3、bridge-mac:
桥MAC地址
每台交换机唯一
*思科交换机有一个桥MAC,另外每个接口一个MAC
4、cost:
花费,接口到达根所花的代价
rootcost:
switch到达根的cost
linkcost:
接口所在链路的cost(与root直连的链路为0)
5、portid
唯一标识每个参与STP运算的端口
1、root-bridge根交换机
功能:
负责整个拓扑的数据交换
2、designated-bridge指定交换机
功能:
负责本地物理网段的数据交换
3、root-port:
根端口(RP)
功能:
接收来自根交换机的数据,并把本地数据通过该端口去往根交换机
4、designatedport:
指定端口(DP)
功能:
负责本地物理网段上数据报文的转发
5、BPDU消息:
网桥协议配置消息
功能:
STP通过交换机之间交互BPDU消息,实现构建和维护无环拓扑。
STP的选举:
桥ID的选举:
桥ID=桥priority+MAC(以小为优)桥的priority默认32768(0~65535)
端口ID的选举:
端口ID=priority+NO.(以小为优)priority默认128(1~255)
根桥的选举:
root=priority+MAC(以小为优)
RP的选举:
1、cost:
到达根路径开销最小的端口
2、比较发送方的桥ID,以小为优
3、比较发送方的端口ID,以小为优
DP的选举:
1、cost:
到达根路径开销最小的端口
2、比较端口所在交换机的桥ID
3、比较端口ID
BPDU:
35个字节,每2S发送一次,由根桥send,非根桥forward
转发的多播地址为0180.c200.0000
BPDU:
2字节:
protocolid用0来填充
1字节:
version0(802.1D)
1字节:
messagetype0x00正常的BPDU0x80发送TCN
1字节:
flags(标记)00普通的BPDU01TC80TCA
LSB:
最低有效位MSB:
最高有效位
LSB=0TCMSB=0TCA
STP:
8字节:
rootid第一次发送rootid为bridgeid
4字节:
costrootcost(DP)
8字节:
bridgeID2字节priority+6字节的MAC
2字节:
portid1字节的priority+1字节的portNO
PortNO越大,MAC越大*CISCO特性
times:
2字节:
messageage相当于TTL,从根每经过一台switch,age加1
2字节:
meximuintimeblock状态默认20S6~40S
2字节:
hellotimeBUDU发送周期,默认2S1~10
2字节:
forwarddelaylistening(监听):
侦听BPDUSTP学习
learning(学习):
侦听BPDUMAC学习
默认15S4~30S
补充:
TCN:
拓扑改变通告
当交换机监测到拓扑改变时产生
CST
802.1Q通用生成树
所有VLAN共用一个STP实例,可简化交换机的配置,降低计算STP时的CPU负载。
所有CSTBPDU被视为本征VLAN数据流,不打标记在中继链路上传输。
中继链路封装为dot1q
缺点:
所有冗余被阻断,无法负载均衡;
PVST:
pervlanstp(每个vlan一个STP)
PVST:
每增加一个VLAN就会增加一个MAC
MAC地址缩减,PVST+解决
PVST:
优先级相同,MAC不同
PVST+:
优先级不相同,MAC相同(vlan使用的是桥的MAC)
PVST+:
桥ID=priority+MAC
priority:
4位优先级+12位系统扩展ID
priority=优先级+VLAN号
4位12位(4095个VLAN)
100000000000000032768+0
0001/4096
0010/4096*2
1111/4096*8
对VLAN10进行PVST+操作priority=32768+10=32778
对VLAN100进行PVST+操作priority=32768+100=32868
兼容性:
兼容PVST、PVST+、以及支持通过802.1Q运行CST的交换机
STP的端口状态
disable:
未运行STP或者未激活接口
blocking:
运行STP,但是处于阻塞状态。
20S未收到BPDU进入下一状态
listening:
block超时或者链路建立最初进入的瞬间状态,15S,选举端口角色
learning:
刷新MAC地址表,MAC地址的学习。
15S后进入下一状态。
forwording:
正常的转发状态,收发bpdu,收发数据,MAC地址的学习。
STP选举的时间为:
30S~50S之间
STP(802.1D):
cisco增强的特性
portfast:
端口加速
接终端开启,blocking---->flrwarding减少了30S
不发送BPDU,只接收BPDU,当收到BUDP时,portfast特性失效
uplinkfast:
上行链路加速
检测上行链路故障,如果网络发生故障,交换机可以立即开启另一个阻断端口作为根端口
blocking---->flrwarding减少了30S
backbonefast:
骨干链路加速
交换机主动判断是否有去往根网桥的替代路径。
使用RLQ的请求和应答机制将根路径的稳定性告知交换机。
blocking----->listening减少20S
BPDUguard(BPDU防护)-----portfast扩展
当接口开启portfast时,不希望接口收到BPDU,这时可以对端口开启bpduguard,当接口收到bpdu时,端口的状态会变成err-disable,需要先shutdown在noshut
configure:
接口下:
spanning-treeportfast
Switchporthost/等同于access+portfast+channelgroupdisable
spanning-treebpduguardenable
全局下:
spanning-treeportfastdefault
spanning-treeportfastbpduguarddefault
RSTP
升级会员 