HCIE第三天总结

MAC地址表：决定了数据帧如何转发。
集线器解决信号相互冲突的方法：CSMA/CD（多监听多访问冲突检测），同时导致的问题：通讯效率极低

从集线器到交换机的跨越：
1、采用了通用计算机内存+cpu+软件+io的这一套基本思路。
2、实现了所谓软交换，通过内存方式避免数据的冲突。进化到现在的第三代，用的是矩阵芯片（配套的是矩阵算法）来做的。

交换机上有2套表，①MAC地址表在内存中存储。
②CAM表主要用来做二元运算，主要判断匹配不匹配，速度极快，是在转发数据时所要查找的表。
CAM表工作过程：
交换机的每一个二层端口都有MAC地址自动学习的功能，当交换机收到PC发来的一个帧，就会查看帧中的源MAC地址，并查找CAM表，如果有就什么也不做，开始转发数据。如果没有就存入CAM表，以便当其他人向这个MAC地址上发送数据时，可以决定向哪个端口转发数据。

CAM的两种来源：
1、自学习（动态表项）
2、人工绑定（静态表项）
3、黑洞表项，和写拒绝相比，同样都是干掉流量，发、但核心逻辑就是黑洞要比拒绝快。
MAC地址表的组成：
（1） 动态表项
由接口通过报文中的源 MAC 地址学习获得，表项可老化，默认老化时间
300 秒。
存储在缓存中，掉电/在系统复位、接口板热插拔或接口板复位后，动态表
项会丢失。
配置动态 MAC 表项的老化时间：（缺省情况下老化时间为 300s） mac-address aging time 400
删除所有动态 MAC：undo mac-address dynamic
（2） 静态表项
由用户手工配置，并下发到各接口板，表项不可老化。 第 1 页
存储在 flash 卡中，在系统复位、接口板热插拔或接口板复位后，保存的表
项不会丢失。
配置： mac-address static xxxx-xxxx-xxxx GigabitEthernet x/x/x vlan 1
删除所有静态 MAC：undo mac-address static
（3） 黑洞表项
由用户手工配置，并下发到各接口板，表项不可老化。
配置黑洞 MAC 地址后，源 MAC 地址或目的 MAC 地址该 MAC 的报文将
会被丢弃。
配置： mac-address blackhole xxxx-xxxx-xxxx

洪泛：未知单播帧的洪泛，如果一个目的地址没有在交换机的地址表中匹配上。
单播洪泛、组播洪泛、广播洪泛。
端口安全的必要性：
伪造大量源MAC地址，打瘫MAC地址表
伪造别人的MAC地址
（1） 端口安全解决的问题
端口安全主要解决 mac 地址洪泛攻击，与 mac 欺骗攻击。
mac 地址洪泛攻击
mac 表的容量是有限的，交换机学习是没有识别机制，攻击者发送大量伪 造的 mac 地址，mac 地址表被伪造的 mac 地址填满，而合法的 mac 因为没有
mac 表没有空间造成洪泛。
（2） mac 欺骗攻击
伪造 mac 地址，让交换机做出错误的接口记录。
因为学习时 mac 表中的 mac 地址变换了，就会将原有的记录删除，学习新
的记录。
（3） 端口安全原理
让交换机记录正确的 mac 地址并绑定在正确的接口上，且不能修改，一旦
修改就会对接口做出惩罚（告警、丢弃流量、关闭接口）。 （3） 端口安全定义
端口安全（Port Security）通过将接口学习到的动态 MAC 地址转换为安全
MAC 地址（包括安全动态 MAC、安全静态 MAC 和 Sticky MAC）阻止非法用
户通过本接口和交换机通信，从而增强设备的安全性。
（4） 安全 mac 地址分类
1） 安全动态 MAC 地址
使能端口安全而未使能 Sticky MAC 功能时转换的 MAC 地址。 设备重启
后表项会丢失，需要重新学习。
缺省情况下不会被老化，只有在配置安全 MAC 的老化时间后才可以被老
化。
安全静态 MAC 地址
使能端口安全时手工配置的静态 MAC 地址。
不会被老化，手动保存配置后重启设备不会丢失。
3） Sticky MAC 地址
使能端口安全后又同时使能 Sticky MAC 功能后转换得到的 MAC 地址。
不会被老化，手动保存配置后重启设备不会丢失。
4） 配置
interface GigabitEthernet0/0/1
port-security enable //使能端口安全功能
port-security mac-address sticky //使能接口 Sticky MAC 功能。
port-security protect-action { protect | restrict | shutdown } //配置端口安
全保护动作。
Restrict ：丟弃源 MAC 地址不存在的报文并上报告警。推荐使用!!!
Protect ：只丢弃源 MAC 地址不存在的报文，不上报告警。
Shutdown ：接口状态被置为 error-down ，并上报告警。
port-security max-mac-num max-number //配置接口 Sticky MAC 学习限
制数量
缺省情况下，接口学习的 MAC 地址限制数量为 1
port-security aging-tiame 1000 //配置接口学习到的安全动态 mac 地址的
老化时间。
5.MAC 地址漂移
（1） 定义
MAC 地址漂移是指设备上一个 VLAN 内有两个端口学习到同一个 MAC 地
址后学习到的 MAC 地址表项覆盖原 MAC 地址表项的现象。
（2） 场景
设备出现 MAC 地址漂移时，设备 CPU 占用率会有不同程度的升高。
正常情况下网络中不会在短时间内出现大量 MAC 地址漂移的情况。出现
这种现象一般都意味着网络中存在环路，可以通过查看告警信息和漂移记录
快速定位和排除环路。
（3） MAC 地址漂移避免机制
 提高接口 MAC 地址学习优先级（优先级高的可以覆盖低的）  不允许相同优先级的接口发生（断电失效）  MAC 地址表项覆盖
（4） MAC 地址漂移检测
利用 mac 地址出接口跳变现象，检测 mac 地址是否发生漂移现象的功能。
配置：
接口下：mac-learning priority 3 //配置接口学习 mac 地址的优先级，缺省
优先级为 0，值越大，优先级越高。
全局：undo mac-learning priority 3 allow-flapping //不允许相同优先级的
接口发生 mac 地址漂移
全局：mac-address flapping detection //配置全局 mac 地址漂移检测功能
VLAN 下：loop-detect eth-loop block-time 100 rety-time 3 //配置 mac 地
址漂移检测功能
1.ARP、反向 ARP、代理 ARP
（1） ARP
已知对端设备 IP 地址通过 ARP 获取对端的 mac 地址
（2） 反向 APR
已知对端设备 mac 地址通过 ARP 获取对端的 IP 地址
（3） 代理 ARP
代理 ARP 的使用一般是使用在没有配置默认网关和路由策略的网络上的
网关收到源计算机的 ARP 请求会使用自己的 MAC 地址与目标计算机的
IP 地址对源计算机进行应答。
2.免费 ARP
（1） 定义
设备主动使用自己的 IP 地址作为目的 IP 地址发送 ARP 请求。 （2） 作用
1） IP 地址冲突检测
当设备接口的协议状态变为 Up 时，设备主动对外发送免费 ARP 报文。正
常情况下不会收到 ARP 应答，如果收到，则表明本网络中存在与自身 IP 地址
重复的地址。如果检测到 IP 地址冲突，设备会周期性的广播发送免费 ARP 应
答报文，直到冲突解除。
2） 用于通告一个新的 MAC 地址（减少广播包）
发送方更换了网卡，MAC 地址变化了， 为了能够在动态 ARP 表项老化前
通告网络中其他设备，发送方可以发送一个免费 ARP。 3） 在 VRRP 备份组中通告主备切换（更新其他设备的 ARP 表）
发生主备变换后，MASTER 设备会广播发送一个免费 ARP 报文来通告发
生了主备变换。
3.删除命令
删除一条静态 ARP 表项（系统视图） ： undo arp static
删除多条 ARP 表项（用户视图） ： reset arp
三、 生成树
1.STP
（1） 作用
STP 通过阻塞端口来消除环路，并实现链路备份的目的。
（2） BPDU
1） BPDU 网桥协议数据单元（Bridge Protocal Data Unit）
每个交换机都会产生 BPDU，一个 BPDU 的存活时间是 20s。 2） BPDU 报文（收敛时间 50s）
（3） 工作原理
1） 工作过程
选举一个根桥（Root）
每个非根交换机选举一个根端口（R）
每个网段选举一个指定端口（D）
阻塞非根、非指定端口。（A）
配置
[SW] stp mode stp //选择 STP 模式
[SW] display stp /stp brief //查看 STP
根桥选举（优先级→MAC 地址）
每一台交换机启动 STP 后都认为自己是根桥，都会发出自己的 BPDU，通 过选举比较后将 BID 更新为根桥的 BID，根桥选举具有抢占性。
注： （RID）Root BridgeID：Root Bridge 的 BridgeID（桥 ID）
选举规则
先比较根桥的优先级，值小的优先
优先级相同，比较 MAC 地址，值小的优先
通过修改优先级，可手动选举根桥
[SW] stp priority 4096 //修改优先级（0 最优，以 4096 为倍数递增）
3） 根端口选举（COST→对端 BID→对端 PID→本端 PID）
规则：
非根交换机在选举根端口时分别比较该端口的根路径开销（COST）、发
送方的 BID，发送方的 PID（当发送方一个端口与本端的 N 个端口之间用 hub连接时），本端 PID（设备上的一个接口通过 hub 连接到另一个接口）进行选举。
Cost：本 Bridge 到 Root Bridge 的距离，实际上，其是由逐步更新逐渐生
成的，RID 每经过一个接口就会更新一次，cost 也会随着更新（叠加）。
修改 cost 可人工干预根端口选举
[SW] stp pathcost-standard ?//选择开销标准
[SW-g0/0/0] stp cost 2000 //接口下修改开销
[SW-g0/0/0]stp port priority 16 //修改接口优先级（以 16 为倍数递增）
4） 指定端口选举
非根交换机在选举指定端口是分别依据根路径开销、BID、PID。
未被选举为根端口或指定端口的预备端口，将会被阻塞。
端口状态转换
1） Disable未启动
2） Blocking阻塞所有（花费 20s 等待所有 BPDU 后进入下个状态）
3） Listening监听所有指定端口，选举指定接口，这个阶段所有端口角色均已确定，15s 后进入下个状态。
4） Learning原有 MAC 表老化掉，开放了接口的数据转发功能，学习新的 MAC 地址，MAC 表重新形成。
5） Forwarding转发数据不论在哪个状态（端口失效）端口角色回到 Blocking如果端口被禁用，回到 Disable
2.RSTP
（1） STP 不足
收敛慢（30s~50s）  拓扑机制复杂（拓扑变更消息先发送给根桥，再由根桥下发）  端口角色不足
端口状态（disabled/blocking/listening 三种状态对应的行为相同）
（2） RSTP 端口角色、状态重新划分
1） 定义两个新端口角色（Alternate Port、Backup Port）  预备端口（Alternate Port）即根端口的备份。
备份端口（Backup Port）即指定端口的备份。
2） 将端口状态缩减至 3 个
Discarding
不转发用户流量也不学习 MAC 地址
Learning
不转发用户流量但是学习 MAC 地址
Forwarding
既转发用户流量又学习 MAC 地址
（3） 快速收敛机制（P/A 机制）
P/A 机制——Proposal&Agreement，其目的是使一个指定端口尽快进入
Forwarding 状态。
特点：由于有来回确认机制和同步变量机制，就无需依靠计时器来保障无
环。
RSTP 在选举的过程中加入了“发起请求-回复同意”（P/A 机制）这种
确认机制，由于每个步骤有确认就不需要依赖计时器来保证网络拓扑
无环才去转发，只需要考虑 BPDU 发送报文并计算无环拓扑的时间
（一般都是秒级）。
P/A 机制要求两台交换设备之间链路必须是点对点的全双工模式。一旦 P/A
协商不成功，指定端口的选择就需要等待两个 Forward Delay，协商过程与
STP 一样。
生成树协议的缺点：
1、链路利用率不高
2、速度不快
3、选路不佳
STP 及 RSTP 的缺陷
缺陷：局域网内所有 VLAN 共享一棵生成树，链路被阻塞后将不承载任何流量。
因此造成了部分 VLAN 路径不同，VLAN 报文无法转发
无法实现流量的负载分担
次优二层路径
多生成树协议MSTP：
1、资源的优化
2、尽可能收集信息变小，能够减小单个设备资源的占用
可以划分在一个区域的条件：
1、所有交换机都支持mstp
2、参数name level instance（实例号+vlan一样）一样
区域间使用instance 0来管理防环
区域间根和非根设备的产生：
由于每个区域内都有instance 0，每个区域内也有instance 0的根。那么每个区域内instance 0根之间收发BPDU，进行选举区域间的总根，然后选举出来后进行正常的收敛。

MSTP 的特点
每个 MSTI 独立计算自己的生成树，互不干扰。
每个 MSTI 的生成树计算方法与 STP 基本相同。
每个 MS TI 的生成树可以有不同的根，不同的拓扑。
每个 MSTI 在自己的生成树内发送 BPDU。  每个 MSTI 的拓扑通过命令配置决定。
每个端口在不同 MSTI 上的生成树参数可以不同。
每个端口在不同 MSTI 上的角色、状态可以不同。