MAC地址学习 数据帧转发 防环路
1.端口类型:用于识别VLAN帧,每种端口类型均可配置一个缺省VLAN
接收不带Tag报文:打上缺省VLAN Tag
接收带Tag报文:当VLAN ID与缺省VLAN ID相同时接收该报文,不同时则丢弃该报文
发送帧的过程:先剥离PVID Tag,然后再进行发送
接收不带Tag报文:打上缺省VLAN ID,当缺省VLAN ID再允许通过的VLAN ID列表中,接收该报文
接收带Tag报文:当VLAN ID在接口允许通过的VLAN ID列表里时,接收该报文。当VLAN ID不在接口允许通过的VLAN ID列表时,丢弃该报文
发送帧的处理过程:当VLAN ID与缺省VLAN ID相同,且是该允许通过的VLAN ID时,去掉Tag,发送该报文。当VLAN ID与缺省VLAN ID不同,但接口允许通过时,保持原有Tag,发送该报文
接收报文特性和Trunk口相同
发帧的处理过程:当VLAN ID是该接口允许通过的VLAN ID时,发送该报文,可以通过命令配置发送时是否携带Tag
通过Trunk-link做中继,把VLAN报文透传到互联的交换机
Trunk-link可作为干线。同一条Trunk-link可以传输多个VLAN的报文
默认情况下,不同VLAN之间不能直接通信,可以通过外部路由器部署子接口实现不同VLAN相互通信
用于高速转发企业内部网络不同区域间的流量,将内部流量转发到外部或将外部流量转发到内部。核心层设备必须具备很高的处理和转发性能
汇聚层具有实施策略,安全,工作组接入,虚拟局域网之间的路由,源地址和目的地址过滤等多种功能。一般支持采用三层交换技术和VLAN交换机,以达到网络隔离和分段的目的
提供用户终端设备的接入
在不进行硬件升级的情况下,通过将多个物理接口捆绑为一个逻辑接口,以达到增加链路带宽的目的。在实现增大带宽目的的同时,链路聚合采用备份链路的机制,提高链路设备的可靠性。一般部署在核心节点,提高网络的吞吐量。
Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、流控方式必须一致
手工负载分担模式
LACP模式
如果一条活动链路发生故障,该链路传输的数据被切换到一条优先级最高的备份链路上,这条备份链路转变为活动状态
LACP模式活动链路的选取
LACP模式的抢占延时机制
LACP抢占发生时,处于备用状态的链路将会等待一段时间后再切换到转发状态,这就是抢占延时。配置抢占延时是为了避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。
Eth-Trunk接口进行负载分担时,可以选择IP地址或者包作为负载分担的散列依据,同时还可以设置成员接口的负载分担权重。
某成员接口的权重值占所有成员接口负载分担权重之和的比例越大,该接口承担的负载分担越大
目前交换机仅支持逐流负载分担
principal port 可以和MUX VLAN所有的接口进行通信
Separate port(隔离从VLAN)
Separate port只能和Princopal port进行通信,和其他类型的接口实现完全隔离
每个Separate VLAN 必须绑定一个Principal VLAN
Group port(互通型VLAN)
Group port可以和Principal port进行通信,在同一组内也可以互相通信,但不能和其他组接口或separate vlan通信。每个Group VLAN 必须绑定一个principal vlan
企业希望授予企业内部相同VLAN之中不同用户不同的通信权限
同一项目组都被划分到一个VLAN中,其中属于企业内部的员工允许相互通信,企业外部的员工不允许相互通信,外部员工和内部员工之间允许通信。
配置端口隔离后,同一VLAN之间的端口隔离,只需要将用户加入到同一端口隔离组中,就可以实现同一隔离组内用户之间的二层数据的隔离。端口隔离功能为用户提供了更安全,更灵活的组网方案、
通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC、Sticky MAC)阻止非法用户通过本接口和交换机通信,从而增强设备安全性
使能端口安全而未使能Sticky MAC功能转换的MAC地址,设备重启后表项会丢失,需要重新学习。缺省情况下不会老化,只有在配置安全MAC的老化时间后才会老化。
使能端口安全时手工配置的静态MAC地址。不会被老化,重启后不丢失
使能端口安全也使能了Sticky MAC转换得到的MAC地址。不会老化,重启后不丢失
使能端口安全
之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址会变成安全动态MAC地址
使能sticky MAC功能时,接口上的安全动态MAC会转化为Sticky MAC地址,之后学习到的MAC地址也变成Sticky MAC地址
超过安全MAC地址限制后的动作
为了防止交换机之间互连产生环路,制定了生成树协议STP,STP通过逻辑阻塞端口来消除环路,并能够实现链路备份的目的。它的工作过程如下:
根据桥ID优先级进行选举,桥ID由16为的桥优先级和MAC地址构成。
桥ID数值越小越优先。桥ID相同则比较MAC地址,MAC地址越小越优先。
该端口的根路径开销(RPC)
对端BID
对段PID
本端PID
根路径开销(RPC)
本端BID
对端PID
BPDU包含桥ID、根路径开销、端口ID、计时器等参数。STP收敛完成后,只有根桥发送BPDU,其他非根桥转发BPDU
非根桥会在BPDU老化(20s)之后开始根桥的重新选举
直连物理链路发生故障后,会将预备端口转换为根端口,显得根端口会在30s后恢复到转发状态。
预备端口恢复到转发状态至少需要(MAX Age+2*Forward Delay时间)50s
MAC地址表项的默认老化时间为300s,这段时间内网络内的交换机无法得知拓扑发生变化
STP的拓扑变更机制:变更点向根桥发送TCN消息,收到消息的上游交换机恢复TCA消息进行确认,最后TCN消息到达根桥后,再由根桥发送TC消息通知拓扑变化,删除表项。
RSTP的引入--端口角色和端口状态
Backup 指定端口的备份端口,提供了另一条从根桥到非根桥的备份链路
Alternate 根端口的备份端口,提供了从指定桥到根桥的另一条备份路径
快速收敛机制-P/A机制
P/A机制基本原理:
拓扑变更机制的优化
网络发生拓扑变化时,变更点交换机直接向全网发送TC置位的BPDU报文,而不是先通知到根桥,然后由根桥向全网发送TC报文,这样在一定程度上节省了收敛时间
BPDU保护功能
应用场景:防止有人伪造RST BPDU恶意攻击交换设备,当边缘端口接收到该报文时,会自动设置为非边缘端口,并重新进行生成树计算,引起网络震荡。
实现原理:配置BPDU保护功能后,如果边缘端口收到BPDU报文,边缘端口将会被立即关闭。
根保护
应用场景:由于维护人员的错误配置或网络中的恶意攻击,网络中合法根桥有可能会收到优先级更高的RST BPDU,使得合法根桥失去根地位,从而引起网络拓扑结构的错误变动。
实现原理:一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间,如果端口一直没有再收到优先级较高的RST BPDU,端口会自动恢复到正常的Forwarding状态。 Root保护功能只能在指定端口上配置生效。
TC-BDPU泛洪保护
TC-BPDU攻击: 交换机在接收到TC-BPDU报文后,会执行MAC地址表项的删除操作。如果有人伪造TC-BPDU报文恶意攻击交换机时,交换机短时间内会收到很多TC-BPDU报文,频繁的删除操作会给设备造成很大的负担,给网络的稳定带来很大隐患。
TC-BPDU攻击保护: 启用防TC-BPDU报文攻击功能后,在单位时间内,RSTP进程处理TC类型BPDU报文的次数可配置(缺省的单位时间是2秒,缺省的处理次数是3次)。如果在单位时间内,RSTP进程在收到TC类型BPDU报文数量大于配置的阈值,那么RSTP进程只会处理阈值指定的次数;对于其他超出阈值的TC类型BPDU报文,定时器到期后,RSTP进程只对其统一处理一次。这样可以避免频繁的删除MAC地址表项,从而达到保护交换机的目的。
无论是RSTP还是MSTP都是在局域网内的所有VLAN共享一颗生成树,无法在VLAN间实现数据流量的负载均衡,链路被阻塞后不承载任何流量,可能导致部分VLAN的报文无法转发。
为了弥补STP和RSTP的缺陷,引入了新的生成树协议MSTP,MSTP兼容STP和RSTP,将一个网络划分成多个域,生成树之间彼此独立。每个生成树称为实例MSTI,每一个域称为MST域。
文末总结:做这样的笔记实在是太枯燥了,而且效果不佳,以后换种风格,嘻嘻嘻。