生成树安全普及

1. MST

      MST——802.1S——分组式的生成树

      定义：将多个vlan划分到一个组内，采用树型算法802.1W。不同组发出的BPDU，使用网桥优先级区分——网桥优先级+组编号。

      用途：将不同组的根网桥放置到不同的汇聚层设备处，对流量进行分载，提高了链路利用率  。

      MST的配置：A 配置MST的前提——所有交换机都支持MST协议，才可部署；

                           B 配置MST的要点——1.所有运行MST协议的设备，分组内容（每个组包括的vlan信息）必须相同

                                                              2.所有交换机默认存在组0，且默认所有vlan属于组0

                          C 配置MST的命令 : 在全局配置模式spanning-tree mode mst(修改生成树协议为MST)

Spanning-tree mst configuration  ；  Instance+组编号+vlan（范围段）（将多个vlan划分到一个组内）

Spanning-tree mst+组编号 root primary ——定义根网桥

Spanning-tree mst+组编号 root secondary——定义备份备份根网桥

2. 生成树安全

   

 

   2.1 BPDU保护

     

 

  2.2 BPDU过滤

  

BPDU保护与BPDU过滤

联系与区别 类型	BPDU保护	BPDU过滤
不同点	仅拒绝接收BPDU      优先级低	收发均拒绝 优先级高（在一个接口上同时配置保护和过滤，保护配置就会失效）
相同点	1.适用场景相同：接入层连接pc的接口； 2.作用相同：防止pc变为交换机，抢占根交换机，使网络拓扑发生变化。

 

   

  2.3 根网桥保护

   

3.环路保护

 

 UDLD与LOOP GUARD 区别与联系

  UDLD被触发后，接口被err-disable——手工开启/设置自动重启

1. UDLD处理硬件的单向问题，LOOP GUARD 用于处理软件问题（网络拥塞、CPU过 载）

      正常情况下，两种技术均配置。

4.根网桥与网关的配置

   根网桥与网关，都是一个广播域的中心点，部署时最好放在同一处——汇聚层设备

三层交换机配置网关

三层交换机集合了交换机和路由器的功能，出现新功能，该功能最适合汇集流量。但三层交换机不支持nat。

  4.1 管理vlan——默认为vlan1 （native vlan）

    二层交换机作为接入层，处于不同物理位置，建议配置远程登录配置——方便管理

    二层交换机默认存在一个svi，该接口可以配置ip地址（mac地址出厂就烧录了）若希望网络管理员访问该svi接口，则交换机需要定义该广播域的网关地址 全局配置模式——ip default-gateway +ip 地址

    SVI接口双up前提：该交换机存在该vlan；该交换机连接该vlan用户，或者存在该活动的trunk干道。

  4.2. 三层交换机配置成网关设备

      1 物理接口  默认使用二层接口——在接口模式下no switchport开启路由功能——ip routing（路由器默认开启）

      2  Svi接口    三层交换机存在多个svi，多个mac地址。