选举根桥.docx
《选举根桥.docx》由会员分享,可在线阅读,更多相关《选举根桥.docx(14页珍藏版)》请在冰豆网上搜索。
选举根桥
选举根桥:
如果优先级相同的情况下,MAC地址最小的那个成为根桥。
如何强制指定根桥:
Spanning-treevlan1rootprimary
一个环境中有两个根桥。
Spanning-treevlan1rootsecondary
降优先级成为根桥
Spanning-treevlan1priority
因为交换机本身有0~4094个vlan所以至少要4096的递增或递减。
因为优先级是vlan号+1,所有的vlan=4095个4095+1=4096所以必须是4096的递增或递减
portFast
当电脑连接在交换机上,一般要经过30S以后才用(listening(15s)--->learning(15s)),而电脑是数据终端,所以就不需要使用生成树,所以这里就不需要STP,所以我们可以将protfast打开。
这样就可以快速使用。
intfa0/8
spanning-treeportfast
而当如果打开了portfast以后,如果连一台交换机的话,交换机就会向这个端口发BSTU这样就会引起问题!
快速生成树
快速生成树的标准是:
IEEE802.1W
根桥:
只是为了传播BPTU
Spanning-treemoderapid-pvst将生成树改成快速生成树
Modepvst将快速生成树改成生成树
角色:
RP
DP
DP与RP的选举与生成树是一样的。
Alternativeport(替代端口)做RP的备份。
替代端口是做根端口的备份。
Backupport(备份端口)做指定端口的备份。
AP+BP=NDP
EdgeProt(EP):
边缘端口。
EP的配置方式:
端口下配置Spanning-treeportfast就成了EP了。
启用此功能就不需要进行生成树计算。
RSTP端口的状态。
Discardinglearningforwarding
快速生成树链路的分类:
P2P(点到点):
点到点的端口是不会引起环路。
Shared(共享模式):
共享模式会引起路由环路,所以需要使用快速生成树。
生成树是告几个计时器超时来检测拓扑的变化。
快速生成树里面没有计时器。
快速生成树的收敛速度一般在5s
CST:
一个交换机不管你有多个Vlan都使用一个生成树进程。
RPVST或PRVST:
一个交换机里面每一个vlan都有一个STP。
cisco为什么要一个vlan一个STP的原因?
答:
它可以做第二层的负载均衡。
当一个局域网中有多个VLAN,可以让不同的VLAN走不同的路径。
那如果一个交换机上面有1000个VLAN,而导至CPU占用率过高。
多生成树
工业标准:
IEEE802.1S
把计算出多个生成树接口相同的映射成一个。
这样就大大减小了CPU的占用率。
这里的区域就类似于AS号
一个交换网络应该在一个MST区域里面。
要在同一个区域里必须满足以下条件:
1、区域名字相同。
2、修证号一样
3、VLAN映射列表。
多生成树里面其实就是跑的快速生成树。
多生成树与快速生成树、生成树完全兼容。
语法:
#Conft
(config)#Spanning-treemstconfiguration
(config-mst)#namecisco
(config-mst)#Revision1
(config-mst)#Instance1vlan2,4将vlan2和4映射到实例1上面
(config-mst)#Instance2vlan3.5
(config-mst)#Exit
(config)#Spanning-treemodemst
(conifig)#Spanning-treemst1rootprimary将这个交换机针对实例1成为根桥
(config)#Spanning-treemstconfiguration
多层交换
交换机上的三层接口有三种:
1、可路由端口(routedport):
将二层接口转三层接口
SW1(config)#intfa0/1
SW1(config-if)#Noswitchport关闭2层功能
这就就可以对这个端口配置IP地址了。
2、交换式虚拟接口(SVI):
它是一个逻辑接口。
SW1(config)#Interfacevlan22
SW1(config-if)#Ipadd
SW1(config-if)#Exit
SW1(config)#Shipintvlan22
SVI做为vlan的网关,用于vlan间路由。
只需要在交换机上面输入一个IProuting启用路由功能。
这样不同的vlan就可以正常通信了。
3、3层EC(layer3EC)
CEF
CISCOIOSIPSWITHCHINGME思科IOS交换机制
1、process-switching:
进程交换。
每个数据包都会进行三层包头的检所。
2、fast-switching(快速交换):
一次路由多次交换(routeonce,switchmany)它有一个机制叫静态cache。
第一个包做完整的三层包头的路由查找,然后将这条静态路由添加到cache里面。
第二个包再进行切片,然后按照cache里面的路由进行转发。
这样提高了路由的转发效率。
缺点:
cache静态的不灵活。
3、ciscoexpressforearding思科快速转换(CEF):
预先建立cache,它的cache是动态的。
配置CEF
#Confit
(config)#Ipcefdistributed(分布式的CEF)
默认是打开了的,有可能是你打了这些命令,但是showrun里面看不见,因为已经做了硬件支持。
面板:
控制面板:
负责信息的采集与信息的执行。
数据面板:
负责数据的转发。
CAMtable就是类似于路由器中的路由表。
二层
TCAMtable还可以做三层表。
用做负责均衡。
三层
FIB转发信息库。
基于TCAM
Adjacencytable基于(DDRDRAM)
冗余备份(HSRP)
高可用性:
1.冗余与热备份:
提供冗错性。
它不能做负责均衡。
2.链路聚合:
提高吞吐量。
以太网信道(EtherChannel)
HSRP(热备份路由协议)Cisco私有协议
ActiveRouter:
承担起流量转发的主网关
StandbyRouter:
待机状态
HSRP组:
由ActiveRouter与StandbyRouter形成的一个虚拟组
虚拟网关:
由ActiveRouter与StandbyRouter的网关形成一个虚拟组的网关
MAC地址也是虚拟出来的。
主网关的选举:
1、修改优先级
2、比网关的IP地址,谁小谁优先
每隔3.3s主网关就会与从网关发送hello包。
如果超过10s那么就断定主网关断掉了。
HSRP的状态
Initial(初始化)
Learnlisten(监听)
Speak(宣告)
Standby(备份网关)
Active(主网关)
这个是推举出来的。
HSRP的配置:
Inte0/0
Standby1ip将这个接口加入到虚拟组,并给他分配一个虚拟网关的IP地址是
Shstandbybrief查看谁是主网关与备份网关
如当A的主网关出了问题以后,从B备份网关推举为主网关,但是当A路由器恢复正常以后,A发现这个虚拟网关中已经存在有主网关,所以就不去抢站网关。
如A是3640而B是2600,这时修我们想让A路由恢复以后B自动将主网关还给A为主网关,而自己为备份网关。
HSRP优化:
Inte0/0
Standby1preempt
配置抢站特性
设置谁成为主路由器
Inte0/0
Standby1priority200
抢站路由器在默认优先级相同的情况下是没有效的。
优化HSRP的计时器:
Inte0/0
Standby1timers13hello包1shottime是3s
HSRP的接口跟踪
在使用了HSRP虚拟组,自动去监测主网关的上行接口。
如果上行接口断掉了的话,那么自动修改主网关的优先级。
使之自己成为备份网关。
Inte0/1
Standby1tracke0/1110当自己的接口优先级出现问题以后就将自己的优先级-110
Debugstandypacket
实现HSRP的负载均衡
工业标准VRRP(虚拟冗余路由器)
所有东西都是与HSRP的原理都一样。
主路由器叫Master
备份路由器叫Backup
只需要将standby换成vrrp就行了。
基本的全部都是完全一样的。
GLBP(GatewayLoadBalancingProtocol):
网关负载均衡协议
活跃的虚拟网关:
(AVG)
活跃的虚拟转发者:
(AVF)
都是一个头衔,没有实质的意义。
正常情况下做一个负载均衡,而当AVG出现故障以后,AVF就承担起AVG的流量转发,这样就实现了一个备份功能。
链路聚合
Err-disable软件化的down类似于shutdown但是这个是人为关闭掉。
而err-disable是自己动down。
一但某个端口设置成了这种状态,就只接收BPDU和CDP数据,就不接收数据。
一般亮红灯。
解决办法
1、进入这个接口shutdown然后noshutdown这时这个接口就UP了,但是过不了多久又变成了err-disable
最多8个接口
1、接口方式必须一样
模式“
PagP:
端口聚合协议(Cisco私有协议)
Desirable:
Auto(只接收不主动)
LACP:
链路聚合协议
IEEE8023.3adstandard
Active=desirable
Passive=auto
配置:
二层EC
Conft
Intport-channel1对于二层来说这个命令已经创建
Intrangefa0/1–8
Switchportmodeaccess
Switchportaccvlan2
Channel-group1modedesirable
Noshut
Shetherchannelsummary
使用shrunintport1他不会继承物理接口下的属性。
一但物理口进入到信道以后都会成为down,当只有离开这个信道以后才会up
Port-channelload-balancedst-mac基于目标地址的负载均衡。
三层的配置:
Conft
Intport-channel2
Intrangefa0/13-16
Channel-group3modedesirable
Exit
在使用etherchannel这个,必须所有端口属性和配置都要完全一样才行
Intport4
Noswitchport
Ipadd
Noshut
Intrangefa0/18-19
Noswitchport
Noipadd
Channel-group4modedesirable
End
SU表示交换
RU表示三层
如果是RD表示对方没有配置
Intrangefa0/20–21
Channel-group5modeon
Exit
这个on模式最好不要使用
On模式:
静态强制设置成EC,可以节省流量。
一但使用了etherchannel这个信道的时候,一定不要接带有流量分析的终端。
所有的ec的端口都必须在一个vlan中。
如果为trunk。
Trunk的封装模式必须一致
物理端口的配置只影响物理端口。
对逻辑端口没有影。
无线局域网
DSSS:
直序展频
802.11b/g
工作在2.4GHz
只有1、6、11频段可以,一般都采用蜂窝式来设计
802.11a
OFDM:
正交频分复用
工作在5GHz
DFS:
动态选频
可聚合的园区网(convergedNetwork)
所有语音流量都是基于UDP的
语音VLAN(VoiceVLAN)
QualityofService(QoS)服务质量
ClassofService(CoS):
OSI第二层的标记方式
Cos分类
7Reserved
6Reserved
5ViceBearer
4Videoconferencing
3CallSignaling
2High-priorityData
1Medium-priorityData
0Best-EffortData
0-2一般用于数据流量
3-5用于语音
6-7做为保留用
它只做一个标记,而没有任何效果。
IPPrecedence:
IP做优先级。
用于第三层
最小000最大111
与二层完全对等,值越高越优先。
信任边界(TrustBoundaries):
执行分类与标记的。
VoIP的配置
交换机的配置:
Intfa0/4
Switchportvoicevlan110
如果vlan110不存在,他会自动给我们创建110
Conft
Mlsqos开启交换机的QoS功能
Intfa0/4
Mlsqostrustcos这个端口是根据cos值来做信任边界
Mlsqostrustdevicecisco-phone使用cisco做为信任边界,将边界之外的设置成0。
如果是软IP电话就需要将硬件电话移动到电脑上面
Mlsqosextendtrust现在都不支持这条命令了。
Switchportpriorityextendcos5将cos值5移动到PC上面。
这条命令只针对于语音流量起作用。
这条命令和
Mlsqostrustcos
Mlsqostrustdivicecisco-phone相互排
园区网交换机的安全
DMZ非军事化管理区域
端口安全:
Intfa0/1
Switchportport-security动态端口是不是进行端口安全
Switchportmodeaccess
Swithcportport-securitymac-address
Swport-securitymaximum100设置白名单MAC地址的上限
Switchportport-securityviolationshutdown如果收到白名单以外的MAC地址,那么就将这个接口shutdown
Exit
Showport-securityaddress查看白名单中的mac地址
Show
Shmac-address-tableaddress-table
Intfa0/2
Switchportport-securitymac-addresssticky启用粘滞特性
VLAN的跳跃攻击
VLAN访问控制列表
Vlanaccess-mapcisco
Matchipaddress1这个1表示访问控制列表1
Actiondrop只要是VLAN中的流量都应用drop
exit
Vlanfilterciscovlan-list1-105这个是不允许vlan1的流量不能进入1-1005的vlan中
私有vlan(PrivateVLAN)
设备必须要6500以上的交换机才能做。
可以将同一个vlan中的电脑禁止互相访问。
现在想记vlan2中的PC1和PC2不能相互通信。
Vlan3中的pc3和pc4可以进行通信
而VLAN2中的PC2能与VLAN3中的PC3进行通信
SecondaryVLAN二级VLAN
1、isolated:
隔离型即便在同一个VLAN中的PC不能相互通信
2、community:
公用型在同一个VLAN中的PC可以相互通信
3、promiscuous:
混合型端口就类似于以前的trunk
隔离型只能与混合型端口通信
公用型不能与隔离型不能相互通信。
PrimaryVLAN就是以前的VLAN
私有Vlan的配置:
一、创建主VLAN和次级VLAN,并绑定
Switch(config)vlan2(最原始的VLAN)
Swithc(config-vlan)#private-vlanprimary将VLAN2配置为主VLAN
Switch(config)#vlan200
Switch(config-vlan)#privata-vlanisolated定义二级VLAN类型为隔离型
Switch(config)#vlan100
Switch(config-vlan)#privata-vlancommunity定义二级VLAN类型为公用型
Switch(config)#vlan2
Switch(config-vlan)#privata-vlanassociation100,200透明模式才能做
Switch#Shvlanprivate-vlan验证
二、定义端口类型并和二级VLAN进行关联
Switch(config)#intfa0/1
Switch(config-if)#switchportmodeprivate-vlanhost表示接主机的
Switch(config-if)#switchportmodeprivate-vlanpromiscuous表示接交换机的
Switch(config-if)#switchportprivate-vlanhost-association2100
Switch(config-if)#exit
Switch(config)#interfacefa0/2
Switch(config-if)#Switchportmodeprivate-vlanpromiscuous
Switch(config-if)#switchportprivate-vlanmapping2100,200
三、将主VLAN的IP地址映射到二级VLAN上
Switch(config)#interfacevlan2
Switch(config-if)#ipadd这个作为所有二级VLAN的网关地址
Switch(config-if)#private-vlanmapping2100,200
如果没有这一步的话,那么二级VLAN还得去找一个IP地址做为一个网关。
生成树的安全
Switch(config)#Spanning-treeportfastbpduguard
Switch(config)#Spanning-treeportfastbpdufdefault
Switch#showspansummarytotals
根桥
Switch(config)#Intfa0/2
Switch(config-if)#Spanning-treeguardroot
Switch#
它这个接口下连的交换不能参与根桥的选举
生成树的单向环路
Conft
Intfa0/1
Spanning-treeguarloop环路不连续
在光纤接口上配置udldenable
Vulnerabilities漏洞
Noservicepassword-re这条命令最好不要使用,如果输入了这条命令在开机的时候按
Ctrl+Break就没有用了。
基本上只能够返厂了
DHCP欺骗
Switch(config)#Servicedhcp
Switch(config)#Ipdhcpsnooping
Switch(config)#Ipdhcpsnoopinginformationoption(可选)
如果你的DHCP服务器没有在你当前的同一个网段,那么就需要使用option82
Switch(config)#intfa0/1
Switch(config-if)#Ipdhcpsnoopingtrust将上行端口配置为信任端口
Switch(config-if)#Ipdhcpsnoopinglimitrate200dhcp流量做限速
Switch(config)#Ipdhcpsnoopingvlan2对VLAN2进行真听
IPSourceGuardIP源收复
Switch(config)#ipdhcpsnooping
Switch(config)#Iintfa0/1
Switch(config-if)#Ipverifysourceport-security
ARP静太映射
Switch(config)#Intfa0/1
Switch(config-if)#Iparpinspectiontrust将这个端口设置为信任端口
Switch(config)#Iparpinspectionvalidateip
升级会员 