交换机技术

交换机技术培训CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操……广播传统的以太网是广播型网络，网络中的所有主机通过HUB或交换机相连，处在同一个广播域中VLAN的产生原因－广播风暴通过路由器隔离广播域路由器……广播通过VLAN划分广播域BroadcastDomain1VLAN10BroadcastDomain2VLAN20BroadcastDomain3VLAN30市场部工程部财务部以太网端口的链路类型•Accesslink：只能允许某一个VLAN的untagged数据流通过。•Trunklink：允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。•Hybridlink：允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。•Hybrid端口可以允许多个VLAN的报文发送时不携带标签，而Trunk端口只允许缺省VLAN的报文发送时不携带标签。•三种类型的端口可以共存在一台设备上AccessLink和TrunkLinkAccesslinkTrunklinkTrunkLink和VLANVLAN10VLAN2VLAN10VLAN3VLAN2VLAN10VLAN5VLAN5VLAN2VLAN5广播报文发送TrunkLink数据帧在网络通信中的变化VLAN2VLAN3VLAN3VLAN2带有VLAN3标签的以太网帧带有VLAN2标签的以太网帧不带VLAN标签的以太网帧VLAN配置命令（1）创建VLAN.vlan100(1-4094)删除VLAN.undovlan100(1-4094)在VLAN中增加端口.portEthernet2/0/1在VLAN中删除端口.undoportEthernet2/0/1将端口加入VLANportaccessvlan100(1-4094)将端口脱离VLANundoportaccessvlan100(1-4094)显示VLAN信息displayvlanVLANID(1-4094)VLAN配置命令（2）定义端口属性为Trunk.portlink-typetrunk删除端口Trunk属性.undoportlink-type定义端口可以传输的VLAN.porttrunkpermitvlanVLANID在VLAN中删除端口.undoporttrunkpermitvlanVLANID配置VLAN虚接口为已存在的VLAN创建对应的VLAN接口，并进入VLAN接口视图interfaceVlan-interfacevlan-id删除一个VLAN接口undointerfaceVlan-interface*缺省情况下，在交换机上不存在VLAN接口*可以通过ipaddress命令配置IP地址，使接口可以为在该VLAN范围内接入的设备提供基于IP层的数据转发功能*在创建VLAN接口之前，必须先创建对应的VLAN，否则无法创建VLAN接口配置IP地址ipaddress命令用来配置VLAN接口/LoopBack接口的IP地址和掩码undoipaddress命令用来删除VLAN接口/LoopBack接口的IP地址和掩码ipaddressip-address{mask|mask-length}[sub]undoipaddress[ip-address{mask|mask-length}[sub]]*在一般情况下，一个VLAN接口/LoopBack接口/网络管理接口配置一个IP地址即可，但为了使交换机的一个VLAN接口/LoopBack接口/网络管理接口可以与多个子网相连，一个VLAN接口/LoopBack接口/网络管理接口最多可以配置多个IP地址，其中一个为主IP地址，其余为从IP地址注意事项•VLAN1-缺省就有，不需要创建，也无法删除-不建议用作业务VLAN-可以用作管理VLAN•Trunk链路-只允许所需的VLAN通过，不要配置porttrunkpermitvlanall-最好配置上undoporttrunkpermitvlan1CONTENTS2STP原理及基本配置1VLAN原理及基本配置3ACL原理及基本配置5交换机自查及整改（等级保护）4设备管理基本配置6实操传统冗余网络面临的问题•以往单一的网络拓扑容易出现单点故障，为了解决这个问题，人们想到了冗余网络的方式；•但是人们使用冗余网络后会引发几个严重的问题，那就是广播风暴、多帧复制和MAC地址表不稳定。广播风暴•什么是广播？•见图一，在一个单一网络中，D发了一个广播帧，然后广播帧泛洪到了除它自己外的全部交换机端口。•什么是广播风暴？•见图二，在一个在冗余网络中，主机X发了一个广播帧，由于环路的问题，导致广播帧被大量复制传递，严重占用带宽，引发网络性能下降甚至瘫痪。12多帧复制•主机X发送了一个单播帧给路由器Y；•路由器Y收到了两份相同的单播帧。MAC地址不稳定•主机X发送了一个单播帧给路由器Y；•任何一台交换机都没有学到路由器Y的MAC地址；•交换机A和B的port1接口都学到的主机X的MAC地址；•由于多帧复制，交换机A和B的port2接口错误的学到了主机X的MAC地址。解决环路的办法——STP•通过将交换机的一个物理接口block掉，以保护环状冗余网络；生成树协议分类•CST（802.1D）：最初的生成树协议，遵循802.1D协议，只需要计算一个生成树实例。•PVST/PVST+：思科私有生成树协议，每vlan一个生成树。其中PVST与802.1D不兼容。PVST+为PVST的加强版，可以兼容802.1D，并成为了思科交换机产品上默认的生成树协议。•RSTP（802.1w）：加强版的STP协议，能够快速完成收敛和BPDU报文的交换。•PVRST+：思科私有的RSTP协议，通过PVST+演化而来。•MST（802.1s）：多个vlan能够在同一个生成树实例中。STPSWASWBSWCSTP（SpanningTreeProtocol，生成树协议）是用于在局域网中消除数据链路层物理环路的协议。通过在桥之间交换BPDU（BridgeProtocolDataUnit，桥协议数据单元），来保证设备完成生成树的计算过程。BPDUBPDUBPDU配置BPDU的生成和传递配置BPDU包含以下重要信息，完成生成树计算根桥ID（RootID）根路径开销（RootPathCost）指定桥ID（DesignatedBridgeID）指定端口ID（DesignatedPortID）各台设备的各个端口在初始时生成以自己为根桥（RootBridge）的配置消息，向外发送自己的配置消息网络收敛后，根桥向外发送配置BPDU，其他的设备对该配置BPDU进行转发生成树端口状态根桥(RootBridge)—桥ID最小的网桥。其中桥ID是由网桥的优先级和网桥的MAC组成。根端口(RootPort)—这个端口到达根桥的路径是该端口所在网桥到达根桥的最佳路径。全网中只有根桥是没有根端口的。指定端口(DesignatedPort)—每一个网段选择到根桥最近的网桥作为指定网桥，该网桥到这一网段的端口为指定端口。非指定端口(NonDesignatedPort)—为防止环路而被关闭的端口。端口状态端口角色端口状态端口行为未启用STP功能的端口Disabled不收发BPDU报文，接收或转发数据非指定端口或根端口Blocking接收但不发送BPDU，不接收或转发数据--Listening接收并发送BPDU，不接收或转发数据--Learning接收并发送BPDU，不接收或转发数据指定端口或根端口Forwarding接收并发送BPDU，接收并转发数据STP配置命令启动全局STP特性stpenable关闭全局STP特性undostpenable*全局开启后，每个接口下的STP功能也被打开接口视图下关闭STP特性stpdisable接口下开启STP特性stpenable生成树的不足端口从阻塞状态进入转发状态必须经历两倍的ForwardingDelay时间如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性SWADPDPRPDPRPServer每次拓扑变化，我都至少有30秒的时间无法访问服务器！STP的交换机保护功能1.Root保护功能由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的配置消息，这样当前根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。stp-root-protection命令用户保护当前交换机的根桥stprootprimary命令用来指定当前交换机作为指定生成树实例的根桥。undostproot命令用来取消当前交换机作为指定生成树实例的根桥资格。stpinstance0rootprimarySTP优化-边缘端口边缘端口是指不直接与任何交换机连接，也不通过端口所连接的网络间接与任何交换机相连的端口。用户如果将某个端口指定为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。在交换机没有开启BPDU保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的BPDU报文，则该端口会重新变为非边缘端口。对于直接与终端相连的端口，请将该端口设置为边缘端口，同时启动BPDU保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。边缘端口配置stpedged-portenable命令用来将当前的以太网端口配置为边缘端口stpedged-portdisable命令用来将当前的以太网端口配置为非边缘端口undostpedged-port命令用来将当前的以太网端口恢复为缺省状态，即非边缘端口。*缺省情况下，交换机所有以太网端口均被配置为非边缘端口STP的交换机保护功能边缘端口接收到配置消息后，系统会自动将这些端口设置为非边缘端口，重新计算生成树，这样就引起网络拓扑的震荡。正常情况下，边缘端口应该不会收到生成树协议的配置消息。如果有人伪造配置消息恶意攻击交换机，就会引起网络震荡。BPDU保护功能可以防止这种网络攻击。交换机上启动了BPDU保护功能以后，如果边缘端口收到了配置消息，系统就将这些端口关闭，同时通知网管这些端口被MSTP关闭。被关闭的边缘端口只能由网络管理人员恢复。stpbpdu-protection查看STP信息displaystpbrief显示STP生成树的简要状态信息。Sysnamedisplaystpinstance0interfaceEthernet1/0/1toEthernet1/0/4briefMSTIDPortRoleSTPStateProtection0Ethernet1/0/1ALTEDISCARDINGLOOP0Ethernet1/0/2DESIFORWARDINGNONE0Ethernet1/0/3DESIFORWARDINGNONE0Ethernet1/0/4DESIFORWARDINGNONERSTP•RSTP（RapidSpanningTreeProtocol，快速生成树协议）是STP协议的优化版•RSTP具备STP的所有功能•RSTP可以实现快速收敛•在某些情况下，端口进入转发状态的延时大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。RSTP的改进STP行为RSTP行为端口被选为根端口默认情况下，2倍的ForwardingDelay的时间延迟。存在阻塞的备份根端口情况下，仅有数毫秒延迟。端口被选为指定端口默认情况下，2倍的ForwardingDelay的时间延迟。在指定端口是非边缘端口的情况下，延迟取决因素较多。在指定端口是边缘端口的情况下，指定端口可以直接进入转发状态，没有延迟。传统STP的问题•Trunk链路上实际上运行着多个VLAN•所有VLAN共用一棵生成树•无法实现不同VLAN在多条Trunk链路上的负载均衡BB1B2B3F所有