第一章 园区网概述
园区网特点
1. 在一个固定地理区域内的一个公司或一个公司的一部分。
2. 拥有该园区网的公司通常也拥有该园区内所用的物理线路。
传统园区网的主要问题
1. 可用性
2. 性能
在传统园区网中,通常用多端口网桥将一个局域网分段成隔离的碰撞域。这样可解决两个问题:
1. 碰撞域(Collision Domain)
2. 距离限制
网络中通信的三种形式:单播(Unitcast)、组播(Multicast)、广播(Broadcast)。
1. 多点广播实例:Cisco IP/TV分发多媒体数据、定位IP服务上的Novell 5.
2. 提出请求的广播:IP的地址解析协议(ARP)、NetBIOS的名字请求、网间包交换协议(IPX)寻找最近服务器(Get Nearest Server,GNS)请求。
3. 发布通告的广播:IPX服务通告协议(SAP)数据包、路由信息协议(RIP)、内部网关路由选择协议(IGRP)。
遏制广播的两种方法:
1. 使用路由器生成多个子网;
2. 利用交换机实施VLAN.
当前园区网由两部分组成:
1. 局域网交换机
2. 路由器
传统的80/20规则和新的20/80规则
1. 80/20规则:在设计恰当地网络环境中,一个给定网段上80%的流量是本地的,不超过20%的网络流量需要通过主干。
2. 20/80规则:只有20%的流量是到本地工作组局域网的,而80%的流量需要流出本地网络。
导致流量模式的改变有两个因素:
1. 基于Web应用的计算普遍,很多PC既是信息的接受者,也是信息的发布者;
2. 企业部署集中式的服务器群(既降低成本、提高安全、便于管理)。
新的园区网模型中的3类服务
1. 本地服务:本地数据流不进入网络主干或通过路由器
2. 远程服务:远程服务数据流穿过广播域边界,但可能也可不通过网络主干
3. 企业级服务:放在距离网络主干很近的一个独立的子网上
与OSI分层相应的PDU和设备类型
模型层 PDU类型 设备类型
数据链路层(第2层) 数据帧 交换机/网桥
网络层(第3层) 数据包 路由器
传输层(第4层) TCP数据分段 TCP端口
多层交换机
多层交换基于单独的流,MLS-SE为MLS流维护一个缓存条目并为每个流存储统计信息。流中的所有数据包都与缓存中的信息进行比较。
缺省情况下,256秒之后,如果没有任何流利用到一个MLS缓存项(Cache Entry),那么这个缓存项将从缓存中删除。
路由器的优势
决定转发路径
验证3层包头的完整性、有效期(on header only)
修改TTL
处理并响应任何选项信息
MIB中更新转发统计数据
安全控制
第3层交换的优势(路由器没有)
低成本
低延时
交换机和网桥
第二层交换机由于采用ASIC(专用集成电路,Application-Specified Integrated Circuits)硬件处理技术,所以交换机可比以太网桥低得多的成本提供高达Gbit速率的可扩展性和低时延。
第三层交换机主要有两种产品
多层交换
Cisco快速转发(CEF)
Cisco分层模型中各层使用的主要设备
层次 层次名 设备
第一层 访问层 Catalyst 1900,2820,2900,4000,5000
第二层 分布层 Catalyst 5000(支持多层交换,带路由模块),2926G(需要外部路由支持)6000(密集Fast或Gigabit以太网口,如120个Gigabit端口)
第三层 核心层 Catalyst 6500,8500(multicast routing,支持PIM协议)
接入层交换机应用
接入端口数 交换机
Less than 50 19xx, 2820, 29xx(如CAD/CAM和IC设计环境), 35xx
Less than 100 4xxx(可提供多达36Gbit以太网端口,96个用户接入)
More than 100 5xxx(Multigigabit 10/100/1000Mbps)
园区两个基本元素:
1. 交换区块(Switching Block)
2. 核心区块(Core Block)
影响交换区大小的主要因素:
1. 数据类型和行为;
2. 工作组的大小和数量(一般不超过2000个用户)
说明交换区过大:
1. 分布层路由上出现流量瓶颈;
2. 广播和Multicast降低了Switch和Router的处理速度。
分割交换区的原则
1. 应基于网络上通过的流量(Traffic Flow),而不是Blocking中的节点数;
2. 为了进行分割,需要定期进行流量采集。
有两种基本的核心层设计:
1. 紧缩核心(Collapsed)
◎ 分布层和核心层功能由同一个设备执行;
◎ 每台接入层交换机到分布层交换机都有一条冗余链路;
◎ 第三层冗余是由运行HSRP的两台分布层交换机提供的。
2. 双核心(Dual):在核心层至少有两个设备提供冗余。但他们之间没有连接,以防止生成树循环。
路由选择协议所支持Blocking的最大数量
协议 支持路由对等的最大数量 核心层子网数 Blocking数
OSPF 50 2 25
EIGRP 50 2 25
RIP 30 2 15
实施第三层核心的好处:
很多设计采用第二层――第三层――第二层的模型,取得了成功,但有些情况下需要使用第三层核心,主要好处:
1. 快速收敛:路由协议收敛时间5s~10s,而生成树收敛时间在50s;
2. 自动负载均衡:路由协议可在多条等成本路径间均衡负载;
3. 消除对等问题:可以支持更多的Switching Blocking,达100个。
坏处:费用和性能。
传统路由器功能:
_ Determine paths based on logical addressing
_ Run layer 3 checksums (on header only)
_ Use Time to Live (TTL)
_ Process and responds to any option information
_ Can update Simple Network Management Protocol (SNMP) managers with Management Information Base (MIB) information
_ Provide Security
第三层交换机优点:
_ Hardware-based packet forwarding
_ High-performance packet switching
_ High-speed scalability
_ Low latency
_ Lower per-port cost
_ Flow accounting
_ Security
_ Quality of service (QoS)
Quality of Service的含义
Messages are given more resources if they need it. 例如电视会议应用比电子邮件可能会得到更多的带宽。
所以第四层的路由器或交换机可以根据第四层信息来控制流量。一种方法是采用标准的或扩展的访问控制列表。另一种方法是通过NetFlow交换来提供流的第四层统计。
第二章 连接交换区块
快速以太网的距离限制
技术 线缆分类 线缆长度
100BaseTX EIA/TIA类型5(UTP) 非屏蔽双绞线2对 100m
100BaseT4 EIA/TIA类型3,4,5(UTP) 非屏蔽双绞线4对 100m
100BaseFX 多模光纤MMF缆线 62.5um光纤核心,125um外层包装(62.5/125) 400m
Gbit以太网距离限制
技术 线缆分类 线缆长度
1000BaseCX 铜质屏蔽双绞线 25m
1000BaseT 铜质EIA/TIA类型5(UTP) 非屏蔽双绞线4对 100m
1000BaseFX 多模光纤 62.5um光纤核心和50um光纤芯,使用波长为780nm 260m
1000BaseLX 单模光纤 9um光纤芯,使用波长为1300nm 3km(Cisco最长支持10km)
Catalyst两种OS
OS类型 交换机
Cisco IOS Catalyst 1900/2800,2900XL
Set命令集 Catalyst 2926,2926G,1948G,4000,5000,6000
自动协商优先级识别
优先级次序 物理层技术
A 100BaseTX全双工
B 100BaseT4
C 100BaseTX半双工
D 10BaseT全双工
E 10BaseT半双工
Token Ring分段方法
Method Forwarding Decision Frame Modification Ring Numbering
Transparent bridging MAC address N/A
Source-route bridging RIF RIF Ring numbers must be unique among bridge ports.
Source-route transparent bridging MAC address or RIF RIF Ring numbers must be unique among bridge ports.
Source-route switching Route descripto Ring numbers can be same across switch ports (single ring can be segmented on several ports)。
IOS命令集标识一个端口(1900/2800,2900XL)
Switch(config-if)#description description-string
如果在标识字串中有空格,必须用引号括起来。
Switch(config-if)#description “description string”
而基于set命令的交换机设置端口标识没有这个问题,命令不同,用Set port name命令。
UTP电缆遵守100m规则:
1. 从交换机到配线架(Patch Panel)为5m;
2. 从Patch Panel到办公室模块(Punch-down Block)为90m;
3. 从Punch-down Block到Desktop为5m.
CDP协议
是Cisco的专有协议,用来发现邻居设备,Cisco设备每60s发送基于第二层的Multicast,目的MAC地址是0100.0ccc.cccc.
第三章 通过VLAN定义共同工作组
设置VLAN Membership两种常用方法:
1. 静态VLAN――基于端口的成员身份,通过将端口指派给一个VLAN建立。
2. 动态VLAN――通过管理软件,如Ciscoworks 2000或CWSI建立,基于设备MAC地址。
Cisco IOS下配置静态VLAN
Switch#vlan database Switch(vlan)#vlan vlan-num name vlan-name Switch(vlan)#exit Switch#configure terminal Switch(config)#interface interface module/number Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan-num Switch(config-if)#end Set-based下配置静态VLAN Switch(enable)set vlan vlan-num [name name ] Switch(enable)set vlan vlan-num mod-num/port-list
交换环境中的两种link:
1. Access link(接入):一单个VLAN的成员(A member of only one vlan)。
2. Trunk link(干道):Capable of carring multiple vlans.
混合链路,即该链路既是Trunk link又是Access link,它可传输两种帧:标记帧(带VLAN信息)和非标记帧
在交换Block中扩展VLAN时,有两种定义VLAN边界的基本方法:
1. 端到端VLAN:不管用户的位置,都可放在同一个VLAN中。目的是维护80/20规则,即把80%数据流限制在本地;
2. 本地VLAN:根据用户的位置配置,不管用户是否是同一个项目组、部门等,数据流变成了20/80模式。
VTP协议优点:
1. 即VLAN干道协议,Cisco创建。在网络中维持VLAN配置的一致性。
2. 通过混合介质主干将以太网VLAN映射到高速主干VLAN.
3. 对VLAN的准确跟踪和监管。
4. 动态报告网络中增加的VLAN.
5. 当添加新的VLAN时,实现“即插即用”。
VTP管理域
1. 同一个管理域中的所有交换机可以共享他们的VLAN信息,一个交换机只能参加到一个VTP管理域中。
2. 不同域中的交换机不能共享VTP信息。
VTP Version Number
1. 对维护VTP很关键,因为交换机根据VTP通告中的版本号来决定使用哪个VLAN数据库。
2. VTP服务器修改VTP数据库时,将配置Version Number增1.
3. 如果VTP服务器删除了所有VLAN,并使用了更高的配置版本号,那么该管理域中的其他设备也将删除他们的VLAN.
4. 配置版本号相同的两个VLAN数据库互不更新对方,因为它认为这两个数据库内容相同。
配置VTP和VLAN之前必须要考虑的事情:
1. 确定在网络环境中运行的VTP版本号
2. 决定交换机是否应成为一个已有管理域的成员,或者应该为其创建一个新的域
3. 为交换机选择一个VTP模式
VLAN Trunk link
1. Trunk link可以被配置来传输所有VLAN的数据帧,也可以被限制为只传输有限的VLAN;
2. Trunk link可以传输多个VLAN,但可以有一个Native VLAN,当Trunk link失效时就使用;
3. Trunk link所携带的不同VLAN帧,必须被唯一标识,如ISL和IEEE 802.1Q.
Cisco支持多种Trunk方式(即对VLAN帧标识):
1. ISL――Cisco专有封装协议,也是默认的。前面加26字节,后面加4字节FCS.
2. IEEE 802.1Q――IEEE标准方法,在帧头写入VLAN信息,后面只增加4字节FCS.
3. 802.10――FDDI上传输VLAN信息的Cisco专有协议,把VLAN信息写入SAID安全关联标识符部分
4. LANE――基于ATM上传输VLAN信息的一种IEEE标准方法。
帧标记和封装方法
表示方法 封装 标记(插入帧内) 介质 帧长度
ISL 是 否 以太网 1518/1548
802.1Q 否 是 以太网 1518/1522
802.10 否 否 FDDI
LANE 否 否 ATM
Baby Giant Frame(小巨人帧)
原始以太网帧大小不超过1518字节,如果一个最大长度的帧是通过802.1Q来标记得,那么这个帧变成1522字节,这种帧被成为小巨人帧。
Catalyst监控引擎版本 干道协议 支持自动协商的Trunk协议
4.2及以后 DTP动态干道协议 ISL和IEEE 802.1Q
4.1 DISL动态干道交换机间链路 ISL,手工配置802.1Q
4.1以前 同上 ISL,不支持手动配置802.1Q
DTP协议为Cisco专有,它只能用于交换机之间的Trunk link,不能用于交换机和路由器之间的Trunk link.一般情况Trunk link状态的端口每隔30s发送DTP帧,以便高速其它交换机。
快速以太网和Gbit以太网Trunk模式
On:永久设为Trunk模式。
Off:永久设为非Trunk模式。
Desirable:让端口主动试图将链路转变为Trunk.如果相邻端口被设为On,Desirable,或Auto,该端口可以变为Trunk端口。
Auto:让端口主动试图将链路转变为Trunk.如果相邻端口被设为On,Desirable,该端口可以变为Trunk端口。
Nonegotiate:端口永久设为Trunk模式,但不生成DTP帧,必须手工地把相邻端口配置为Trunk端口来建立一条Trunk link.
Trunk中的VLAN
VLAN1:缺省
VLAN2:第一个VLAN
VLAN1002:FDDI-Default
VLAN1003:Token-Ring-Default
VLAN1004:FDDInet-Default
VLAN1005:TRnet-default
VTP三种操作模式
1. 服务器:缺省模式,可建立、修改和删除VLAN,向同一域中的交换机通告它的VLAN配置,并接受从Trunk链路上收到的通告与其它交换机进行VLAN配置的同步。
2. 客户机:行为同服务器模式,但不能建立、改变或删除VLAN;倾听vlan信息,使得z自己的vlan配置信息保持与vtp服务器同步;也可以把vlan信息转发给其它交换机。
3. 透明:不参与VTP.在vtp v2中,配置为透明模式的交换机将在Trunk端口上转发VTP信息以保证其他交换机接收到更新信息,但这些交换机将不修改自己的数据库,也不发送指示 VLAN状态发生变化的更新信息。Vtp v1中,透明模式的交换机也不转发vtp信息到其它交换机。需要注意
的是透明模式下的交换机可以在本地创建vlan,但这些vlan的变化信息不会扩散到其它交换机。
三种形式的vtp通告:
Summary advertisements-vtp服务器发送,每隔300s.
Subset advertisements-vtp服务器发送。如vlan增删、vlan的激活和挂起。
Advertisement requests from clients-vtp客户发送,vtp服务器回复Summary advertisements和Subset advertisements.两种原因促使vtp客户要发送请求:一种是从Subset advertisements了解到vtp状态发生变化;另一种是从Summary advertisements获悉有更高的vtp version number,
Vtp v2有别于v1的一些特性:
1. Version-dependent transparent mode(与版本相关的透明模式):v1要先检查域名和版本,如果相同在转发;v2则不检查版本。
2. Consistency checks(一致性检查)
3. Token Ring support(令牌环支持):只有v2支持。
4. Unrecognized Type-Length-Value (TLV) support(不认识类型长度值的支持)
Verify VTP status
Cisco IOS:show vtp status
Cisco set-based:show vtp domain 转贴于:Cisco认证考试_考试大
第四章 管理冗余链路
网桥ID共8个字节,有两部分组成:
1. 2个字节的优先级域:优先级低的为根桥,缺省优先级为32768,即0x8000.缺省地,所有Cisco交换机地优先级是相同的。
2. 6个字节MAC地址域:即交换机或网桥的MAC地址。所以缺省情况下,具有最低MAC地址的交换机将成为根桥。
选择根桥(Root Bridge)
1. 自动选择:STP自动选择具有最低网桥ID的交换机为根桥。
2. 手工确定:原则是靠近网络的中心。所以一般根桥设在一台分布层的交换机而不是接入层交换机。建议手工设置来确定根桥。
确定到根桥的最佳路径
STP协议利用BPDU中三个Field――路径开销、网桥ID、端口优先级/端口ID来确定到根桥的最佳路径顺序:
1. 路径开销:所有端口开销的综合为路径开销,路径开销低的端口为转发端口。
2. 网桥ID:同一个交换机上有两条链路达到根桥(如平行链路),那么最佳路径就由下面的端口优先级或端口ID决定了。
3. 端口优先级/端口ID:端口优先级范围0~63,缺省值32,具有低优先级的端口将转发数据。如果端口优先级相同,端口ID则是决定因素,低端口ID将转发数据。
BPDU:Bridge Protocol Data Unit
选择指定的Root Port
一个交换机侦听所有Active Port的BPDU,如果收到不止一个BPDU,那么说明存在这台交换机到根桥之间的冗余链路,需要确定哪一个是Root Port.
交换机中某个端口到达根桥的路径开销最小,那么这个端口为Root Port.如果路径开销相等,那么由端口优先级/端口ID决定。Root Port就处于Forwarding状态,其它冗余端口处于Blocking状态。
EtherChannel
快速以太通道技术(Fast EtherChannel)和吉比特以太通道(Gigabit EtherChannel)使平行链路可以被生成树看成是一条物理链路。
以太通道技术为链路失效情况提供了冗余性,如果在通道中有一条链路失效,那么几毫秒内数据流被送到其它链路上,这种收敛变化对用户来说是透明的。
EtherChannel上可以实现负载平衡,以两条链路为例,如果源MAC和目的MAC最后一位异或后为0则从link0走,否则从link 1走。(也可以异或源和目的IP)
PAgP端口聚合协议(Port Aggregation Protocol)
给EtherChannel增添了新的功能,有利于以太通道的自动建立。但也有些限制:
1. PAgP不会在动态VLAN端口上建立聚合。因为动态VLAN可以强迫端口改为另一个VLAN.
2. PAgP要求通道中所有的端口同属于一个VLAN,或者配置为Trunk端口。
3. 如果改变了通道中一个端口的速率或者单双工方式,那么通道中所有端口都设为这一速率或单双工方式。
PortFast
缺省情况下,假定交换机的所有端口都将与交换机或者网桥连接,所以所有端口都运行STP算法,即如果网络发生了变化,在端口发送数据之前要等待50s.
而事实上许多端口会直接连接工作站或者服务器。所以我们采用PortFast可以让这些端口节省Listening和Learning状态的时间,立即进入Forwarding状态。
需要注意的是:PortFast仅仅让端口在网络环境变化的情况下直接进入Forwarding状态。而端口仍然运行STP协议,所以如果检测到环路,端口仍将由Forwarding状态变成Blocking状态。
UplinkFast(上行速)
背景资料:STP确保了在拓扑变化的情况下没有环路产生,但收敛速度慢。一些实时以及对带宽敏感的网络应用是不能接受的。
STP收敛速度慢的原因是收敛算法需要化时间确定一条可替代的链路,缺省时间是50s,即20s(Blocking→Listening)+15s(Listening→Learning)+15s(Learning→Forwarding)。
解决的方法是一旦发现了线路Blocking,马上切换到Forwarding,不要经过Listening和Learning阶段。这就是UplinkFast,切换时间可以在2s~4s.
UplinkFast被设计应用在接入层交换机。一般应用两条上行链路连接到分布层,一条是冗余链路。
UplinkFast激活一个快速重新配置的条件:
1. 在交换机上必须启动了UplinkFast功能;
2. 至少有一个处于Blocking的端口(即有冗余链路);
3. 链路失效必须发生在Root Port上。
交换机启动了UplinkFast后,由于提高了交换机上所有端口的路径开销,所以不适合作为根桥。
BackboneFast
Cisco专有。用在核心层和主干网络在中。设置命令没有基于IOS的,只有基于Set命令的。
Inferior BPDU(下级BPDU)
当指定网桥失去了与根桥的连接时,会就发出Inferior BPDU,表明自己是新的根桥。这样对方的交换机就会在自己的Root Port和原本处于Blocking状态的端口都收到BPDU了。
调和STP和VLAN的几种主要方法:
1. PVST按VLAN生成树――Cisco专用的实施方法,需要ISL封装以进行工作。
2. CST公共生成树――IEEE 802.1Q对于VLAN和生成树的解决方案。
3. PVST+增强PVST――Cisco专用实施方法,使CST信息可以正确地传进PVST.
PVST和CST的区别
PVST CST
特点 每个VLAN建立一个独立生成树实例 所有VLAN运行单个生成树实例,BPDU信息运行在VLAN1上
优点 1. 减小了生成树拓扑结构的总体大小 2. 改进扩展性并减少了收敛时间 3. 提供更快的恢复能力和更高可靠性 1. BPDU数少,所以占用带宽少 2. 交换机上处理开销少
缺点 1. 交换机为VLAN支持生成树的维护开销 2. Trunk link上为各个VLAN支持BPDU的带宽开销 1. 只有一个根桥,对某些设备可能存在此优化路径 2. 生成树拓扑结构大,可能导致更长的收敛时间和更频繁的重新配置
第五章 VLAN间路由选择
多层交换实现
1. 外部路由器+装配了NFFC和NFFC II卡的Catalyst 5000交换机结合起来使用。
I. 路由器接口要么有多个接口连接不同的子网,要么在快速以太网端口上用ISL.
II. 路由器上软件条件:运行MLSP协议和Cisco IOS 11.3.4以上版本。
2. 采用第三层交换机:第二层交换和第三层路由功能集成在一个机箱中。
I. 5000系列交换机: 配有RSM模块(如果在5000上没有装配NFFC,那么只能视为第三层的路由器,而不是第三层的交换)
或RSFC模块(是Supervisor Engine IIG和IIIG的子卡)
II. 6000/6500系列: 装配MSM模块
装配MSFC
配置内部路由处理器VLAN接口
1. 指定VLAN接口(除0或1之外),RSM可以支持多达256个VLAN选择路由,ISL自动封装。
说明:
VLAN0用于RSM和5000交换机之间的通信,映射到Channel 0,用户接触不到。
VLAN1是5000交换机的缺省VLAN,映射到Channel 1.
其它VLAN被映射到以上两个通道中的一个,也可以被映射到某个特定通道以均衡每条通道的负载。
2. 为该接口分配一个IP地址,第一次设定时,要用no shutdown打开这个接口。
例如:
interface vlan 11(路由器上配置的接口号与5000上配置的VLAN号相对应)
ip address 172.16.41.141 255.255.255.0
配置外部路由处理器VLAN接口
1. 指定子接口,或者物理接口对应一个子网
2. 定义VLAN封装
3. 为子接口分配一个IP地址
例如:
interface fastethernet 0/1.2(子接口号不一定要对应VLAN号,但实践中为了便于管理,常常把子接口号定义成VLAN号一样)
encapsulation isl 20
ip address 172.16.20.3 255.255.255.0
设定缺省网关
基于Cisco IOS:ip default-gateway ip-address
基于Set:set ip route destination gateway metric
检验缺省网关
基于Cisco IOS:show ip
基于Set:show ip route
分布层交换机管理接口的设定步骤
1. 指定管理接口sc0的IP地址;
2. 指定管理接口所属的vlan,缺省为vlan1;
3. 指定管理接口的缺省网关。
sc0是Switch management interface
例如:
set interface sc0 202.121.48.2 255.255.255.192
set interface sc0 vlan1
set ip route default 202.121.48.63
set interface sc0 up
可以归并为二条命令
set interface sc0 1 202.121.48.2 255.255.255.192 202.121.48.63
set interface sc0 up
显示sc0和sl0的当前配置
show interface
sl1是将console port配置成通过slip可以管理交换,也需要设置ip地址以及目的ip地址。是一种带外管理(共两种:console port, slip-aux)。
第六章 通过多层交换增强IP路由选择性能
Cisco多层交换包括的组件:
1. MLS-SE多层交换引擎:Catalyst 2926G,配了NFFC或者NFFC II的Catalyst 5000.NFFC是一块可以升级Supervisor Engine的子卡,让Supervisor Engine支持基于ASIC的3层交换。
2. MLS-RP多层交换路由处理器:如RSM(Router Switch Module),或者一台外部路由器,如7500、7200、4500、4700、8500等支持多层交换的路由器。
3. MLSP多层交换协议:运行于MLS-SE和MLS-RP之间,以启用多层交换功能。实际上是MLS-RP发送组播Hello消息(缺省发送时间间隔15s)给MLS-SE,通知内容:
I. 各个VLAN上使用的MAC地址;
II. 路由信息/访问列表发生了改变;
几个英文缩写解释:
MLS-SE:Multilayer Switching-Switching Engine
MLS-RP:Multilayer Switching-Route Processor
MLSP:Multilayer Switching Protocol
NFFC:NetFlow Feature Card
启用MLS功能
1. 启用命令为:mls rp [ip|ipx].Cisco IOS 12.0开始,MLS可对IPX数据包选择路由。
2. 在内部或者外部MLS-RP上都要执行启用命令使得路由器启用MLS功能。
3. 不仅在全局配置模式下,而且在接口配置模式下都要执行启用命令。
使MLS失效的命令
1. no ip routing
2. ip security
3. ip tcp compression-connections
4. clear ip-route
支持MLS的交换机
1. 当5000系列交换机装配了RSFC(Route Switch Feature Card),或者RSM(Route Switch Module)――Supervisor Engine必须有NFFC和NFFC II,能支持MLS(Multi-Layer Switch)。
2. 当6000系列交换机装配了MSFC(Multilayer Switch Feature Card)和MSM(Multilayer Switch Module),能支持MLS(Multi-Layer Switch)。
MSFC――Multilayer Switch Feature Card
Catalyst6000的多层交换功能卡(MSFC)可实现以线速进行IP(RIP、RIP2、OSPF、EIGRP、PIM、HSRP), IPX 和IP-multicast 路由,同时支持AppleTalk, DecNet, Vines和Cache Engine.
MLS的Cache项
1. 保存在MLS-SE组件的Cache中。
2. 候选MLS Cache项缺省寿命为5s,即如果在MLS-SE的Cache中找不到相匹配的项目,就发给MLS-RP.
3. 每一个MLS Cache项目的缺省寿命为256s,这个寿命值可以修改,修改的寿命时间总是8的倍数,取值范围8~2032.
4. 如果RP路由表发生变化、禁用MLS或者Access list变化,都会导致MLS Cache清除。
流掩码(Flow Mask)模式
用来决定将数据包中多少信息放入MLS缓存中,而不是用来将数据包与MLS缓存中现有条目进行比较的。MLS-SE支持三种流掩码模式:
1. 目的IP(没有访问列表,缺省):最不具体的流掩码(The least specific flow mask mode)。
2. 源-目的IP(标准访问列表)
3. IP流(扩展访问列表):最具体的流掩码(The most specific flow mask mode )。
在mls-se上设置流掩码:set mls flow [destination|destination-source|full]
The MLS-SE supports only one flow mask for all MLS-RP's connected to the MLS-SE. If the MLS-SE receives messages indicating different flow masks from different MLS-RP's the MLS-SE will set it's flow mask to the most specific flow mask.
MLS-RP's running IOS 11.3 or later do not automatically support input access lists. To incorporate input access-lists the global configuration command 'mls rp ip input-acl' must be configured.
第七章 为容错路由选择配置HSRP
冗余性网络的路由问题:
1. 缺省网关:缺省网关失效,工作站无法向别的子网发送数据包。
2. 代理ARP:路由器失效,要么另申请一个ARP请求找新的路由器,要么重新启动。总之,会造成一段时间内源与目的不能通信。
3. 使用RIP:拓扑变化后适应很慢。
4. ICMP路由发现协议(简称IRDP):缺省Cisco不启用,启用命令ip irdp.
解决的办法就是HSRP.
注:Win 9X中使用Proxy ARP,应该把缺省网关设置为自己本身的IP地址。
备份组可以有以下成员:
1. Active路由器(一台):发送Hello消息,转发发送到Virtual路由器的数据包。
2. Standby路由器(一台):发送Hello消息,监视HSRP运行状态。
3. Virtual路由器(一台):配有自己的IP地址和MAC地址,不实际转发数据包。
4. Other路由器(可以多台):只检测Hello消息,不作应答。Active和Standby路由器均失效,则他们来竞争Active和Standby路由器。缺省地,MAC地址最小的路由器成为Active路由器。
HSRP消息格式
HSRP消息被封装在UDP数据包中的数据部分,使用UDP端口号1985.
HSRP消息使用的目的地址是组播地址是224.0.0.2(即所有路由器),生存时间TTL为1.
(一)三种消息类型
1. Hello消息:每3秒发送一次,证明Active或Standby路由器正常运行。
2. Coup(政变)消息:表明路由器想成为Active路由器。
3. Resign(辞职)消息:表明路由器不想当Active路由器。
(二)两个时间域
Hellotime:路由器发送Hello消息之间的时间间隔,缺省值3秒,取值范围1~255.
Holdtime:当前Hello消息被认为有效的时间,一般最少是Hellotime的3倍,缺省10秒,取值范围1~255.
命令:standby group-number timers hellotime holdtime
HSRP组:
1. 多个HSRP组可能同时存在于一个局域网上,在任何局域网上最多只可能有255个备份组。
2. 每个VLAN子网配置一个单独的HSRP组。
3. 缺省HSRP组的号码是0.
4. HSRP组中路由器的缺省优先级为100.
5. 如果一个末端工作站对虚拟路由器的IP地址发送一个ARP请求,那么Active将用Virtual路由器的MAC地址进行回答。
查看虚拟路由器的IP地址和MAC地址地两种方法:
1. show ip arp
2. show standby
Ethernet3 - Group 1
Local state is Standby, priority 100
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.898
Hot standby IP address is 202.121.49.251 configured
Active router is 202.121.49.250 expires in 00:00:08
Standby router is local
Standby virtual mac address is 0000.0c07.ac01
shtu-4500#
虚拟路由器的MAC地址组成:
1. 厂商ID――构成MAC地址的前3个字节,如Cisco为0000.0c.
2. HSRP编码――即HSRP虚拟MAC地址,总是07.ac.
3. 组ID――HSRP组编号,从0~255正好为一个字节。前面定义的HSRP组编号为01.
启用HSRP
interface Ethernet3
standby 1 ip 202.121.49.251
Trunk link上配置HSRP
通过ISL上配置HSRP,可以消除单点失效导致数据流中断的情况,为子网和VLAN间提供负载均衡和冗余能力。应该完成的任务:
1. 定义封装格式;
2. 定义IP地址(是指给子接口设定IP地址);
3. 启用HSRP功能。
HSRP的6种状态:
1. Initial:起始状态,表明HSRP还没有运行。
2. Learn:等待来自Active路由器的消息。
3. Listen:除Active和Standby路由器之外的其他路由器都保持倾听状态。
4. Speak:周期性发送Hello消息,参与Active和Standby路由器的竞选。
5. Standby:HSRP中有且只有一个备份路由器。
6. Active:HSRP中有且只有一个Active路由器。
Active和Standby路由器的产生:
1. 当优先级不同的两台路由器进行比较时,有较高优先级的路由器是Active或Standby.
2. 如果两台路由器的优先级相同,那么有更高IP地址的路由器占先。
3. 如果Active路由器失效,Standby路由器将接替作为Active路由器。
4. 如果Standby路由器变成了Active路由器,那么从其它路由器中选择一个作为备份路由器。
5. 如果Active路由器失效后,想重新夺回由备份路由器接替Active路由器的位置,必须设置preempt占先权。
HSRP Tracking
当一个被跟踪接口变成不可用时,路由器的HSRP优先级将降低。所以HSRP Tracking减少了主接口不可用的路由器仍保持Active路由器的可能性。
理论上Route Processor能支持32650个子接口。
园区网特点
1. 在一个固定地理区域内的一个公司或一个公司的一部分。
2. 拥有该园区网的公司通常也拥有该园区内所用的物理线路。
传统园区网的主要问题
1. 可用性
2. 性能
在传统园区网中,通常用多端口网桥将一个局域网分段成隔离的碰撞域。这样可解决两个问题:
1. 碰撞域(Collision Domain)
2. 距离限制
网络中通信的三种形式:单播(Unitcast)、组播(Multicast)、广播(Broadcast)。
1. 多点广播实例:Cisco IP/TV分发多媒体数据、定位IP服务上的Novell 5.
2. 提出请求的广播:IP的地址解析协议(ARP)、NetBIOS的名字请求、网间包交换协议(IPX)寻找最近服务器(Get Nearest Server,GNS)请求。
3. 发布通告的广播:IPX服务通告协议(SAP)数据包、路由信息协议(RIP)、内部网关路由选择协议(IGRP)。
遏制广播的两种方法:
1. 使用路由器生成多个子网;
2. 利用交换机实施VLAN.
当前园区网由两部分组成:
1. 局域网交换机
2. 路由器
传统的80/20规则和新的20/80规则
1. 80/20规则:在设计恰当地网络环境中,一个给定网段上80%的流量是本地的,不超过20%的网络流量需要通过主干。
2. 20/80规则:只有20%的流量是到本地工作组局域网的,而80%的流量需要流出本地网络。
导致流量模式的改变有两个因素:
1. 基于Web应用的计算普遍,很多PC既是信息的接受者,也是信息的发布者;
2. 企业部署集中式的服务器群(既降低成本、提高安全、便于管理)。
新的园区网模型中的3类服务
1. 本地服务:本地数据流不进入网络主干或通过路由器
2. 远程服务:远程服务数据流穿过广播域边界,但可能也可不通过网络主干
3. 企业级服务:放在距离网络主干很近的一个独立的子网上
与OSI分层相应的PDU和设备类型
模型层 PDU类型 设备类型
数据链路层(第2层) 数据帧 交换机/网桥
网络层(第3层) 数据包 路由器
传输层(第4层) TCP数据分段 TCP端口
多层交换机
多层交换基于单独的流,MLS-SE为MLS流维护一个缓存条目并为每个流存储统计信息。流中的所有数据包都与缓存中的信息进行比较。
缺省情况下,256秒之后,如果没有任何流利用到一个MLS缓存项(Cache Entry),那么这个缓存项将从缓存中删除。
路由器的优势
决定转发路径
验证3层包头的完整性、有效期(on header only)
修改TTL
处理并响应任何选项信息
MIB中更新转发统计数据
安全控制
第3层交换的优势(路由器没有)
低成本
低延时
交换机和网桥
第二层交换机由于采用ASIC(专用集成电路,Application-Specified Integrated Circuits)硬件处理技术,所以交换机可比以太网桥低得多的成本提供高达Gbit速率的可扩展性和低时延。
第三层交换机主要有两种产品
多层交换
Cisco快速转发(CEF)
Cisco分层模型中各层使用的主要设备
层次 层次名 设备
第一层 访问层 Catalyst 1900,2820,2900,4000,5000
第二层 分布层 Catalyst 5000(支持多层交换,带路由模块),2926G(需要外部路由支持)6000(密集Fast或Gigabit以太网口,如120个Gigabit端口)
第三层 核心层 Catalyst 6500,8500(multicast routing,支持PIM协议)
接入层交换机应用
接入端口数 交换机
Less than 50 19xx, 2820, 29xx(如CAD/CAM和IC设计环境), 35xx
Less than 100 4xxx(可提供多达36Gbit以太网端口,96个用户接入)
More than 100 5xxx(Multigigabit 10/100/1000Mbps)
园区两个基本元素:
1. 交换区块(Switching Block)
2. 核心区块(Core Block)
影响交换区大小的主要因素:
1. 数据类型和行为;
2. 工作组的大小和数量(一般不超过2000个用户)
说明交换区过大:
1. 分布层路由上出现流量瓶颈;
2. 广播和Multicast降低了Switch和Router的处理速度。
分割交换区的原则
1. 应基于网络上通过的流量(Traffic Flow),而不是Blocking中的节点数;
2. 为了进行分割,需要定期进行流量采集。
有两种基本的核心层设计:
1. 紧缩核心(Collapsed)
◎ 分布层和核心层功能由同一个设备执行;
◎ 每台接入层交换机到分布层交换机都有一条冗余链路;
◎ 第三层冗余是由运行HSRP的两台分布层交换机提供的。
2. 双核心(Dual):在核心层至少有两个设备提供冗余。但他们之间没有连接,以防止生成树循环。
路由选择协议所支持Blocking的最大数量
协议 支持路由对等的最大数量 核心层子网数 Blocking数
OSPF 50 2 25
EIGRP 50 2 25
RIP 30 2 15
实施第三层核心的好处:
很多设计采用第二层――第三层――第二层的模型,取得了成功,但有些情况下需要使用第三层核心,主要好处:
1. 快速收敛:路由协议收敛时间5s~10s,而生成树收敛时间在50s;
2. 自动负载均衡:路由协议可在多条等成本路径间均衡负载;
3. 消除对等问题:可以支持更多的Switching Blocking,达100个。
坏处:费用和性能。
传统路由器功能:
_ Determine paths based on logical addressing
_ Run layer 3 checksums (on header only)
_ Use Time to Live (TTL)
_ Process and responds to any option information
_ Can update Simple Network Management Protocol (SNMP) managers with Management Information Base (MIB) information
_ Provide Security
第三层交换机优点:
_ Hardware-based packet forwarding
_ High-performance packet switching
_ High-speed scalability
_ Low latency
_ Lower per-port cost
_ Flow accounting
_ Security
_ Quality of service (QoS)
Quality of Service的含义
Messages are given more resources if they need it. 例如电视会议应用比电子邮件可能会得到更多的带宽。
所以第四层的路由器或交换机可以根据第四层信息来控制流量。一种方法是采用标准的或扩展的访问控制列表。另一种方法是通过NetFlow交换来提供流的第四层统计。
第二章 连接交换区块
快速以太网的距离限制
技术 线缆分类 线缆长度
100BaseTX EIA/TIA类型5(UTP) 非屏蔽双绞线2对 100m
100BaseT4 EIA/TIA类型3,4,5(UTP) 非屏蔽双绞线4对 100m
100BaseFX 多模光纤MMF缆线 62.5um光纤核心,125um外层包装(62.5/125) 400m
Gbit以太网距离限制
技术 线缆分类 线缆长度
1000BaseCX 铜质屏蔽双绞线 25m
1000BaseT 铜质EIA/TIA类型5(UTP) 非屏蔽双绞线4对 100m
1000BaseFX 多模光纤 62.5um光纤核心和50um光纤芯,使用波长为780nm 260m
1000BaseLX 单模光纤 9um光纤芯,使用波长为1300nm 3km(Cisco最长支持10km)
Catalyst两种OS
OS类型 交换机
Cisco IOS Catalyst 1900/2800,2900XL
Set命令集 Catalyst 2926,2926G,1948G,4000,5000,6000
自动协商优先级识别
优先级次序 物理层技术
A 100BaseTX全双工
B 100BaseT4
C 100BaseTX半双工
D 10BaseT全双工
E 10BaseT半双工
Token Ring分段方法
Method Forwarding Decision Frame Modification Ring Numbering
Transparent bridging MAC address N/A
Source-route bridging RIF RIF Ring numbers must be unique among bridge ports.
Source-route transparent bridging MAC address or RIF RIF Ring numbers must be unique among bridge ports.
Source-route switching Route descripto Ring numbers can be same across switch ports (single ring can be segmented on several ports)。
IOS命令集标识一个端口(1900/2800,2900XL)
Switch(config-if)#description description-string
如果在标识字串中有空格,必须用引号括起来。
Switch(config-if)#description “description string”
而基于set命令的交换机设置端口标识没有这个问题,命令不同,用Set port name命令。
UTP电缆遵守100m规则:
1. 从交换机到配线架(Patch Panel)为5m;
2. 从Patch Panel到办公室模块(Punch-down Block)为90m;
3. 从Punch-down Block到Desktop为5m.
CDP协议
是Cisco的专有协议,用来发现邻居设备,Cisco设备每60s发送基于第二层的Multicast,目的MAC地址是0100.0ccc.cccc.
第三章 通过VLAN定义共同工作组
设置VLAN Membership两种常用方法:
1. 静态VLAN――基于端口的成员身份,通过将端口指派给一个VLAN建立。
2. 动态VLAN――通过管理软件,如Ciscoworks 2000或CWSI建立,基于设备MAC地址。
Cisco IOS下配置静态VLAN
Switch#vlan database Switch(vlan)#vlan vlan-num name vlan-name Switch(vlan)#exit Switch#configure terminal Switch(config)#interface interface module/number Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan-num Switch(config-if)#end Set-based下配置静态VLAN Switch(enable)set vlan vlan-num [name name ] Switch(enable)set vlan vlan-num mod-num/port-list
交换环境中的两种link:
1. Access link(接入):一单个VLAN的成员(A member of only one vlan)。
2. Trunk link(干道):Capable of carring multiple vlans.
混合链路,即该链路既是Trunk link又是Access link,它可传输两种帧:标记帧(带VLAN信息)和非标记帧
在交换Block中扩展VLAN时,有两种定义VLAN边界的基本方法:
1. 端到端VLAN:不管用户的位置,都可放在同一个VLAN中。目的是维护80/20规则,即把80%数据流限制在本地;
2. 本地VLAN:根据用户的位置配置,不管用户是否是同一个项目组、部门等,数据流变成了20/80模式。
VTP协议优点:
1. 即VLAN干道协议,Cisco创建。在网络中维持VLAN配置的一致性。
2. 通过混合介质主干将以太网VLAN映射到高速主干VLAN.
3. 对VLAN的准确跟踪和监管。
4. 动态报告网络中增加的VLAN.
5. 当添加新的VLAN时,实现“即插即用”。
VTP管理域
1. 同一个管理域中的所有交换机可以共享他们的VLAN信息,一个交换机只能参加到一个VTP管理域中。
2. 不同域中的交换机不能共享VTP信息。
VTP Version Number
1. 对维护VTP很关键,因为交换机根据VTP通告中的版本号来决定使用哪个VLAN数据库。
2. VTP服务器修改VTP数据库时,将配置Version Number增1.
3. 如果VTP服务器删除了所有VLAN,并使用了更高的配置版本号,那么该管理域中的其他设备也将删除他们的VLAN.
4. 配置版本号相同的两个VLAN数据库互不更新对方,因为它认为这两个数据库内容相同。
配置VTP和VLAN之前必须要考虑的事情:
1. 确定在网络环境中运行的VTP版本号
2. 决定交换机是否应成为一个已有管理域的成员,或者应该为其创建一个新的域
3. 为交换机选择一个VTP模式
VLAN Trunk link
1. Trunk link可以被配置来传输所有VLAN的数据帧,也可以被限制为只传输有限的VLAN;
2. Trunk link可以传输多个VLAN,但可以有一个Native VLAN,当Trunk link失效时就使用;
3. Trunk link所携带的不同VLAN帧,必须被唯一标识,如ISL和IEEE 802.1Q.
Cisco支持多种Trunk方式(即对VLAN帧标识):
1. ISL――Cisco专有封装协议,也是默认的。前面加26字节,后面加4字节FCS.
2. IEEE 802.1Q――IEEE标准方法,在帧头写入VLAN信息,后面只增加4字节FCS.
3. 802.10――FDDI上传输VLAN信息的Cisco专有协议,把VLAN信息写入SAID安全关联标识符部分
4. LANE――基于ATM上传输VLAN信息的一种IEEE标准方法。
帧标记和封装方法
表示方法 封装 标记(插入帧内) 介质 帧长度
ISL 是 否 以太网 1518/1548
802.1Q 否 是 以太网 1518/1522
802.10 否 否 FDDI
LANE 否 否 ATM
Baby Giant Frame(小巨人帧)
原始以太网帧大小不超过1518字节,如果一个最大长度的帧是通过802.1Q来标记得,那么这个帧变成1522字节,这种帧被成为小巨人帧。
Catalyst监控引擎版本 干道协议 支持自动协商的Trunk协议
4.2及以后 DTP动态干道协议 ISL和IEEE 802.1Q
4.1 DISL动态干道交换机间链路 ISL,手工配置802.1Q
4.1以前 同上 ISL,不支持手动配置802.1Q
DTP协议为Cisco专有,它只能用于交换机之间的Trunk link,不能用于交换机和路由器之间的Trunk link.一般情况Trunk link状态的端口每隔30s发送DTP帧,以便高速其它交换机。
快速以太网和Gbit以太网Trunk模式
On:永久设为Trunk模式。
Off:永久设为非Trunk模式。
Desirable:让端口主动试图将链路转变为Trunk.如果相邻端口被设为On,Desirable,或Auto,该端口可以变为Trunk端口。
Auto:让端口主动试图将链路转变为Trunk.如果相邻端口被设为On,Desirable,该端口可以变为Trunk端口。
Nonegotiate:端口永久设为Trunk模式,但不生成DTP帧,必须手工地把相邻端口配置为Trunk端口来建立一条Trunk link.
Trunk中的VLAN
VLAN1:缺省
VLAN2:第一个VLAN
VLAN1002:FDDI-Default
VLAN1003:Token-Ring-Default
VLAN1004:FDDInet-Default
VLAN1005:TRnet-default
VTP三种操作模式
1. 服务器:缺省模式,可建立、修改和删除VLAN,向同一域中的交换机通告它的VLAN配置,并接受从Trunk链路上收到的通告与其它交换机进行VLAN配置的同步。
2. 客户机:行为同服务器模式,但不能建立、改变或删除VLAN;倾听vlan信息,使得z自己的vlan配置信息保持与vtp服务器同步;也可以把vlan信息转发给其它交换机。
3. 透明:不参与VTP.在vtp v2中,配置为透明模式的交换机将在Trunk端口上转发VTP信息以保证其他交换机接收到更新信息,但这些交换机将不修改自己的数据库,也不发送指示 VLAN状态发生变化的更新信息。Vtp v1中,透明模式的交换机也不转发vtp信息到其它交换机。需要注意
的是透明模式下的交换机可以在本地创建vlan,但这些vlan的变化信息不会扩散到其它交换机。
三种形式的vtp通告:
Summary advertisements-vtp服务器发送,每隔300s.
Subset advertisements-vtp服务器发送。如vlan增删、vlan的激活和挂起。
Advertisement requests from clients-vtp客户发送,vtp服务器回复Summary advertisements和Subset advertisements.两种原因促使vtp客户要发送请求:一种是从Subset advertisements了解到vtp状态发生变化;另一种是从Summary advertisements获悉有更高的vtp version number,
Vtp v2有别于v1的一些特性:
1. Version-dependent transparent mode(与版本相关的透明模式):v1要先检查域名和版本,如果相同在转发;v2则不检查版本。
2. Consistency checks(一致性检查)
3. Token Ring support(令牌环支持):只有v2支持。
4. Unrecognized Type-Length-Value (TLV) support(不认识类型长度值的支持)
Verify VTP status
Cisco IOS:show vtp status
Cisco set-based:show vtp domain 转贴于:Cisco认证考试_考试大
第四章 管理冗余链路
网桥ID共8个字节,有两部分组成:
1. 2个字节的优先级域:优先级低的为根桥,缺省优先级为32768,即0x8000.缺省地,所有Cisco交换机地优先级是相同的。
2. 6个字节MAC地址域:即交换机或网桥的MAC地址。所以缺省情况下,具有最低MAC地址的交换机将成为根桥。
选择根桥(Root Bridge)
1. 自动选择:STP自动选择具有最低网桥ID的交换机为根桥。
2. 手工确定:原则是靠近网络的中心。所以一般根桥设在一台分布层的交换机而不是接入层交换机。建议手工设置来确定根桥。
确定到根桥的最佳路径
STP协议利用BPDU中三个Field――路径开销、网桥ID、端口优先级/端口ID来确定到根桥的最佳路径顺序:
1. 路径开销:所有端口开销的综合为路径开销,路径开销低的端口为转发端口。
2. 网桥ID:同一个交换机上有两条链路达到根桥(如平行链路),那么最佳路径就由下面的端口优先级或端口ID决定了。
3. 端口优先级/端口ID:端口优先级范围0~63,缺省值32,具有低优先级的端口将转发数据。如果端口优先级相同,端口ID则是决定因素,低端口ID将转发数据。
BPDU:Bridge Protocol Data Unit
选择指定的Root Port
一个交换机侦听所有Active Port的BPDU,如果收到不止一个BPDU,那么说明存在这台交换机到根桥之间的冗余链路,需要确定哪一个是Root Port.
交换机中某个端口到达根桥的路径开销最小,那么这个端口为Root Port.如果路径开销相等,那么由端口优先级/端口ID决定。Root Port就处于Forwarding状态,其它冗余端口处于Blocking状态。
EtherChannel
快速以太通道技术(Fast EtherChannel)和吉比特以太通道(Gigabit EtherChannel)使平行链路可以被生成树看成是一条物理链路。
以太通道技术为链路失效情况提供了冗余性,如果在通道中有一条链路失效,那么几毫秒内数据流被送到其它链路上,这种收敛变化对用户来说是透明的。
EtherChannel上可以实现负载平衡,以两条链路为例,如果源MAC和目的MAC最后一位异或后为0则从link0走,否则从link 1走。(也可以异或源和目的IP)
PAgP端口聚合协议(Port Aggregation Protocol)
给EtherChannel增添了新的功能,有利于以太通道的自动建立。但也有些限制:
1. PAgP不会在动态VLAN端口上建立聚合。因为动态VLAN可以强迫端口改为另一个VLAN.
2. PAgP要求通道中所有的端口同属于一个VLAN,或者配置为Trunk端口。
3. 如果改变了通道中一个端口的速率或者单双工方式,那么通道中所有端口都设为这一速率或单双工方式。
PortFast
缺省情况下,假定交换机的所有端口都将与交换机或者网桥连接,所以所有端口都运行STP算法,即如果网络发生了变化,在端口发送数据之前要等待50s.
而事实上许多端口会直接连接工作站或者服务器。所以我们采用PortFast可以让这些端口节省Listening和Learning状态的时间,立即进入Forwarding状态。
需要注意的是:PortFast仅仅让端口在网络环境变化的情况下直接进入Forwarding状态。而端口仍然运行STP协议,所以如果检测到环路,端口仍将由Forwarding状态变成Blocking状态。
UplinkFast(上行速)
背景资料:STP确保了在拓扑变化的情况下没有环路产生,但收敛速度慢。一些实时以及对带宽敏感的网络应用是不能接受的。
STP收敛速度慢的原因是收敛算法需要化时间确定一条可替代的链路,缺省时间是50s,即20s(Blocking→Listening)+15s(Listening→Learning)+15s(Learning→Forwarding)。
解决的方法是一旦发现了线路Blocking,马上切换到Forwarding,不要经过Listening和Learning阶段。这就是UplinkFast,切换时间可以在2s~4s.
UplinkFast被设计应用在接入层交换机。一般应用两条上行链路连接到分布层,一条是冗余链路。
UplinkFast激活一个快速重新配置的条件:
1. 在交换机上必须启动了UplinkFast功能;
2. 至少有一个处于Blocking的端口(即有冗余链路);
3. 链路失效必须发生在Root Port上。
交换机启动了UplinkFast后,由于提高了交换机上所有端口的路径开销,所以不适合作为根桥。
BackboneFast
Cisco专有。用在核心层和主干网络在中。设置命令没有基于IOS的,只有基于Set命令的。
Inferior BPDU(下级BPDU)
当指定网桥失去了与根桥的连接时,会就发出Inferior BPDU,表明自己是新的根桥。这样对方的交换机就会在自己的Root Port和原本处于Blocking状态的端口都收到BPDU了。
调和STP和VLAN的几种主要方法:
1. PVST按VLAN生成树――Cisco专用的实施方法,需要ISL封装以进行工作。
2. CST公共生成树――IEEE 802.1Q对于VLAN和生成树的解决方案。
3. PVST+增强PVST――Cisco专用实施方法,使CST信息可以正确地传进PVST.
PVST和CST的区别
PVST CST
特点 每个VLAN建立一个独立生成树实例 所有VLAN运行单个生成树实例,BPDU信息运行在VLAN1上
优点 1. 减小了生成树拓扑结构的总体大小 2. 改进扩展性并减少了收敛时间 3. 提供更快的恢复能力和更高可靠性 1. BPDU数少,所以占用带宽少 2. 交换机上处理开销少
缺点 1. 交换机为VLAN支持生成树的维护开销 2. Trunk link上为各个VLAN支持BPDU的带宽开销 1. 只有一个根桥,对某些设备可能存在此优化路径 2. 生成树拓扑结构大,可能导致更长的收敛时间和更频繁的重新配置
第五章 VLAN间路由选择
多层交换实现
1. 外部路由器+装配了NFFC和NFFC II卡的Catalyst 5000交换机结合起来使用。
I. 路由器接口要么有多个接口连接不同的子网,要么在快速以太网端口上用ISL.
II. 路由器上软件条件:运行MLSP协议和Cisco IOS 11.3.4以上版本。
2. 采用第三层交换机:第二层交换和第三层路由功能集成在一个机箱中。
I. 5000系列交换机: 配有RSM模块(如果在5000上没有装配NFFC,那么只能视为第三层的路由器,而不是第三层的交换)
或RSFC模块(是Supervisor Engine IIG和IIIG的子卡)
II. 6000/6500系列: 装配MSM模块
装配MSFC
配置内部路由处理器VLAN接口
1. 指定VLAN接口(除0或1之外),RSM可以支持多达256个VLAN选择路由,ISL自动封装。
说明:
VLAN0用于RSM和5000交换机之间的通信,映射到Channel 0,用户接触不到。
VLAN1是5000交换机的缺省VLAN,映射到Channel 1.
其它VLAN被映射到以上两个通道中的一个,也可以被映射到某个特定通道以均衡每条通道的负载。
2. 为该接口分配一个IP地址,第一次设定时,要用no shutdown打开这个接口。
例如:
interface vlan 11(路由器上配置的接口号与5000上配置的VLAN号相对应)
ip address 172.16.41.141 255.255.255.0
配置外部路由处理器VLAN接口
1. 指定子接口,或者物理接口对应一个子网
2. 定义VLAN封装
3. 为子接口分配一个IP地址
例如:
interface fastethernet 0/1.2(子接口号不一定要对应VLAN号,但实践中为了便于管理,常常把子接口号定义成VLAN号一样)
encapsulation isl 20
ip address 172.16.20.3 255.255.255.0
设定缺省网关
基于Cisco IOS:ip default-gateway ip-address
基于Set:set ip route destination gateway metric
检验缺省网关
基于Cisco IOS:show ip
基于Set:show ip route
分布层交换机管理接口的设定步骤
1. 指定管理接口sc0的IP地址;
2. 指定管理接口所属的vlan,缺省为vlan1;
3. 指定管理接口的缺省网关。
sc0是Switch management interface
例如:
set interface sc0 202.121.48.2 255.255.255.192
set interface sc0 vlan1
set ip route default 202.121.48.63
set interface sc0 up
可以归并为二条命令
set interface sc0 1 202.121.48.2 255.255.255.192 202.121.48.63
set interface sc0 up
显示sc0和sl0的当前配置
show interface
sl1是将console port配置成通过slip可以管理交换,也需要设置ip地址以及目的ip地址。是一种带外管理(共两种:console port, slip-aux)。
第六章 通过多层交换增强IP路由选择性能
Cisco多层交换包括的组件:
1. MLS-SE多层交换引擎:Catalyst 2926G,配了NFFC或者NFFC II的Catalyst 5000.NFFC是一块可以升级Supervisor Engine的子卡,让Supervisor Engine支持基于ASIC的3层交换。
2. MLS-RP多层交换路由处理器:如RSM(Router Switch Module),或者一台外部路由器,如7500、7200、4500、4700、8500等支持多层交换的路由器。
3. MLSP多层交换协议:运行于MLS-SE和MLS-RP之间,以启用多层交换功能。实际上是MLS-RP发送组播Hello消息(缺省发送时间间隔15s)给MLS-SE,通知内容:
I. 各个VLAN上使用的MAC地址;
II. 路由信息/访问列表发生了改变;
几个英文缩写解释:
MLS-SE:Multilayer Switching-Switching Engine
MLS-RP:Multilayer Switching-Route Processor
MLSP:Multilayer Switching Protocol
NFFC:NetFlow Feature Card
启用MLS功能
1. 启用命令为:mls rp [ip|ipx].Cisco IOS 12.0开始,MLS可对IPX数据包选择路由。
2. 在内部或者外部MLS-RP上都要执行启用命令使得路由器启用MLS功能。
3. 不仅在全局配置模式下,而且在接口配置模式下都要执行启用命令。
使MLS失效的命令
1. no ip routing
2. ip security
3. ip tcp compression-connections
4. clear ip-route
支持MLS的交换机
1. 当5000系列交换机装配了RSFC(Route Switch Feature Card),或者RSM(Route Switch Module)――Supervisor Engine必须有NFFC和NFFC II,能支持MLS(Multi-Layer Switch)。
2. 当6000系列交换机装配了MSFC(Multilayer Switch Feature Card)和MSM(Multilayer Switch Module),能支持MLS(Multi-Layer Switch)。
MSFC――Multilayer Switch Feature Card
Catalyst6000的多层交换功能卡(MSFC)可实现以线速进行IP(RIP、RIP2、OSPF、EIGRP、PIM、HSRP), IPX 和IP-multicast 路由,同时支持AppleTalk, DecNet, Vines和Cache Engine.
MLS的Cache项
1. 保存在MLS-SE组件的Cache中。
2. 候选MLS Cache项缺省寿命为5s,即如果在MLS-SE的Cache中找不到相匹配的项目,就发给MLS-RP.
3. 每一个MLS Cache项目的缺省寿命为256s,这个寿命值可以修改,修改的寿命时间总是8的倍数,取值范围8~2032.
4. 如果RP路由表发生变化、禁用MLS或者Access list变化,都会导致MLS Cache清除。
流掩码(Flow Mask)模式
用来决定将数据包中多少信息放入MLS缓存中,而不是用来将数据包与MLS缓存中现有条目进行比较的。MLS-SE支持三种流掩码模式:
1. 目的IP(没有访问列表,缺省):最不具体的流掩码(The least specific flow mask mode)。
2. 源-目的IP(标准访问列表)
3. IP流(扩展访问列表):最具体的流掩码(The most specific flow mask mode )。
在mls-se上设置流掩码:set mls flow [destination|destination-source|full]
The MLS-SE supports only one flow mask for all MLS-RP's connected to the MLS-SE. If the MLS-SE receives messages indicating different flow masks from different MLS-RP's the MLS-SE will set it's flow mask to the most specific flow mask.
MLS-RP's running IOS 11.3 or later do not automatically support input access lists. To incorporate input access-lists the global configuration command 'mls rp ip input-acl' must be configured.
第七章 为容错路由选择配置HSRP
冗余性网络的路由问题:
1. 缺省网关:缺省网关失效,工作站无法向别的子网发送数据包。
2. 代理ARP:路由器失效,要么另申请一个ARP请求找新的路由器,要么重新启动。总之,会造成一段时间内源与目的不能通信。
3. 使用RIP:拓扑变化后适应很慢。
4. ICMP路由发现协议(简称IRDP):缺省Cisco不启用,启用命令ip irdp.
解决的办法就是HSRP.
注:Win 9X中使用Proxy ARP,应该把缺省网关设置为自己本身的IP地址。
备份组可以有以下成员:
1. Active路由器(一台):发送Hello消息,转发发送到Virtual路由器的数据包。
2. Standby路由器(一台):发送Hello消息,监视HSRP运行状态。
3. Virtual路由器(一台):配有自己的IP地址和MAC地址,不实际转发数据包。
4. Other路由器(可以多台):只检测Hello消息,不作应答。Active和Standby路由器均失效,则他们来竞争Active和Standby路由器。缺省地,MAC地址最小的路由器成为Active路由器。
HSRP消息格式
HSRP消息被封装在UDP数据包中的数据部分,使用UDP端口号1985.
HSRP消息使用的目的地址是组播地址是224.0.0.2(即所有路由器),生存时间TTL为1.
(一)三种消息类型
1. Hello消息:每3秒发送一次,证明Active或Standby路由器正常运行。
2. Coup(政变)消息:表明路由器想成为Active路由器。
3. Resign(辞职)消息:表明路由器不想当Active路由器。
(二)两个时间域
Hellotime:路由器发送Hello消息之间的时间间隔,缺省值3秒,取值范围1~255.
Holdtime:当前Hello消息被认为有效的时间,一般最少是Hellotime的3倍,缺省10秒,取值范围1~255.
命令:standby group-number timers hellotime holdtime
HSRP组:
1. 多个HSRP组可能同时存在于一个局域网上,在任何局域网上最多只可能有255个备份组。
2. 每个VLAN子网配置一个单独的HSRP组。
3. 缺省HSRP组的号码是0.
4. HSRP组中路由器的缺省优先级为100.
5. 如果一个末端工作站对虚拟路由器的IP地址发送一个ARP请求,那么Active将用Virtual路由器的MAC地址进行回答。
查看虚拟路由器的IP地址和MAC地址地两种方法:
1. show ip arp
2. show standby
Ethernet3 - Group 1
Local state is Standby, priority 100
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.898
Hot standby IP address is 202.121.49.251 configured
Active router is 202.121.49.250 expires in 00:00:08
Standby router is local
Standby virtual mac address is 0000.0c07.ac01
shtu-4500#
虚拟路由器的MAC地址组成:
1. 厂商ID――构成MAC地址的前3个字节,如Cisco为0000.0c.
2. HSRP编码――即HSRP虚拟MAC地址,总是07.ac.
3. 组ID――HSRP组编号,从0~255正好为一个字节。前面定义的HSRP组编号为01.
启用HSRP
interface Ethernet3
standby 1 ip 202.121.49.251
Trunk link上配置HSRP
通过ISL上配置HSRP,可以消除单点失效导致数据流中断的情况,为子网和VLAN间提供负载均衡和冗余能力。应该完成的任务:
1. 定义封装格式;
2. 定义IP地址(是指给子接口设定IP地址);
3. 启用HSRP功能。
HSRP的6种状态:
1. Initial:起始状态,表明HSRP还没有运行。
2. Learn:等待来自Active路由器的消息。
3. Listen:除Active和Standby路由器之外的其他路由器都保持倾听状态。
4. Speak:周期性发送Hello消息,参与Active和Standby路由器的竞选。
5. Standby:HSRP中有且只有一个备份路由器。
6. Active:HSRP中有且只有一个Active路由器。
Active和Standby路由器的产生:
1. 当优先级不同的两台路由器进行比较时,有较高优先级的路由器是Active或Standby.
2. 如果两台路由器的优先级相同,那么有更高IP地址的路由器占先。
3. 如果Active路由器失效,Standby路由器将接替作为Active路由器。
4. 如果Standby路由器变成了Active路由器,那么从其它路由器中选择一个作为备份路由器。
5. 如果Active路由器失效后,想重新夺回由备份路由器接替Active路由器的位置,必须设置preempt占先权。
HSRP Tracking
当一个被跟踪接口变成不可用时,路由器的HSRP优先级将降低。所以HSRP Tracking减少了主接口不可用的路由器仍保持Active路由器的可能性。
理论上Route Processor能支持32650个子接口。