第一天
接口类型access trunk hybrid
int Eth-trunk 1(链路名称)
Locading-balance
链路聚合Eth-Trunk(华为) ,通道技术可以将多个接口逻辑的整合为一个接口,实现带宽叠加的作用;
(1)做链路聚合时3种情况:接口分布在一个板卡上,接口分布在不同板卡上,接口分布在不同的设备上(两个设备做了堆叠、两个设备做了虚拟化、M-LAG)
(2)链路聚合负载分担方式:数据流是指一组具有某个或某些相同属性的数据包。这些属性有 dst-ip、dst-mac、src-dst-ip、src-dst-mac、src-ip、src-mac。根据设定的属性来判断相同的流/不同的流来走同一条/不同一条物理线路。(默认是基于源目的ipsrc-dst-ip)
(3)基于流分担:一个流只会分布在一条物理线路上,需要注意的是:尽量将数据流通过负载分担在所有活动链路上传输,避免数据流仅在一条链路上传输,造成流量拥堵,影响业务正常运行。
SW1 为instance1 的主根 instance 2的备份根
SW2 为instance2 的主根 instance 1的备份根
--根端口(Root Port):**这是STP中就有的一种端口角色。当交换机转发包到根网桥时,"根端口"可以提供最小的路径开销(Path Cost)。
--指定端口(Designated Port):**这也是STP中就有的一种端口角色。该类端口连接到指定的交换机,在从该交换机上转发来自LAN中的包到"根网桥"时,该端口可以提供最小的路径开销。通过指定交换机与LAN连接的端口称之为"指定端口"。与STP一样,每个网段内必须有一个指定端口。“根网桥"上的端口都是"指定端口”,但非根网桥中也可以有指定端口,这与STP中的"指定端口"是一样的。
--替代端口(Alternate Port):(阻塞态)**这是RSTP特有的一种端口角色。该类端口为当前"根端口"到"根网桥"提供一条替代路径。
--备份端口(Backup Port):(阻塞态)**这是RSTP特有的一种端口角色。该类端口为"指定端口"到达生成树叶提供一条备份路径。"备份端口"仅当两个端口在一个由一个点对点链路组成的环路上连接时,或者当交换机有两个或多个到达共享LAN网段的连接时可以存在。
--禁用端口(Disabled Port):**这也是STP中就有的一种端口角色。该类端口在生成树操作中没有担当任何角色,不参与RSTP运算
根端口和替换端口的替换时间为1~2s
当做链路的切割时,把主网关切换到新设备时就用到上行来南路追踪
在拓扑图中
STP边缘端口 STP edged-port enable
DHCP地址池的分割(SW1上进行)
excluded- ip-address 10.1.2.129 10.1.2.254
开启命令 (接口):port-security enable
1 表示一个地址
命令:port- security mac-address sticky # mac地址粘滞进接口的第一个mac将被绑定。
非绑定mac地址进入的惩罚
第二天
一、对分布路由进行ip地址规划,同时划分路由的区域(AS)
二、配置OSPF协议
(1)在两台核心交换机与两台边界路由器之间启用OSPF协议,划分在同一个区域内部,宣告各个接口及直连地址
(2)两台核心交换机上利用VRRP配置vlan2与vlan3的网关,宣告网关地址
(3)华为设备需要将与路由器相连的接口划入vlan中(vlan101、vlan202),再给两个vlan配置新的ip地址
(4)OSPF选路方案(负载均衡下的选路)
1、域内大于域间大于域外
2、修改COST值
3、明细优于汇总
三、配置VRRP
由于需要对vlan2、vlan3做备份,则配置双网关
在SW1和SW2配置VRRP,配置虚拟ip地址,实现双网关备份
四、边界IBGP
R1和R2之间建立IBGP邻居关系,当R1/R2任意一台设备瘫痪时,有部分路由不能通告到骨干网络
五、骨干网络设计
对网络启用OSPF协议,进行内部路由信息传递。
在骨干网络上启用BGP协议,考虑成本问题,在R6上启用路由反射器(RR),为网络中的BGP提供中转。
启用MPLS协议,通过标签设置进行快速转发。
六、IBGP
在R6上建立对等体组,将R6作为路由反射器,再将R3、R4、R8、R9放入对等体组,在实现扩展属性。
R3、R4、R8、R9启用BGP协议,同时与R6建立IBGP邻居,创建VRF。
开启BGP协议后,建立VPNV4邻居。
增大R6的开销值(COST),使R6不转发流量。
建立MPLS VPN,创建VRF表。
七、汇总洗掉明细的路径值,不继承明细的AS-Path。
(1)汇总 as-set。
(2)下发默认缺省 default-。
八、建立路由反射器的作用:减少其他路由器在控制层面的压力(不能减少数据层的压力)
九、突破环路限制 allow-as-loop(在IP下类似于强买)或substitute-as(在下类似于强卖)
第三天
一、MAC地址表的组成
由接口通过报文中的源MAC地址学习获得,表项可者化,默认老化时间300秒。
在系统复位、接口板热插拔或接口板复位后,动态表项会丢失。
由用户手工配置,并下发到各接口板,表项不可老化。
在系统复位、接口板热插拔或接口板复位后,保存的表项不会丢失。
由用户手工配置,并下发到各接口板,表项不可老化.
配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。
配置黑洞表项的原因时比直接拒绝流量速度快
1.查看 MAC 地址表命令
[huawei]display mac-address
2.MAC 地址表配置
#配置静态MAC 表项
[Huawei]mac-address static 0011-2233-4455 GigabitEthernet 0/0/2 vlan 1
#配置黑洞 MAC 表项
[Huawei]mac-address blackhole 00aa-bbcc-ddee
#配置动态 MAC 表项的老化时间
[Huawei]mac-address aging-time 400
二、MAC地址漂移
MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。
MAC 地址漂移的避免机制:
提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发 生移。
不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学习到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。
但如果网络设备下电,仍会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无 法学习到正确的MAC地址。
#配置接口MAC地址学习优先级
[Huawei GigabitEthernet0/0/2]mac-learning priority 3 //配置接口学习MAC地址的优先级,缺省情况下,接口学习MAC地址的优先级为0,数值越大优先级越高
#配置不允许相同优先级接口MAC地址漂移
[Huawei]undo mac-learning priority 3 allow-flapping //配置不允许相同优先级的接口发生MAC地址漂移
#配置全局MAC地址漂移检测
[Huawei]mac-address flapping detection //配置全局MAC地址漂移检测功能
#配置基于VLAN的MAC地址漂移检测
[Huawei]ylan 2
[Huawei-vlan2]loop-detect eth-loop block time 100 retry-times 3 //配置MAC地址漂移检测功能
三、端口安全
1、端口安全(通俗的理解是把该接口的 MAC 做一个绑定形成一张绑定表,如果不是表中的 MAC 将会做出惩罚详情请见ie1)
端口安全( Port Security )通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC.安全静态MAC和Sticky MAC) , 阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
2、安全MAC地址分类
安全动态MAC地址:使能端口安全而未使能Sticky MAC功能时转换的MAC地址,
安全静态MAC地址:使能端口安全时手工配置的静态MAC地址,
sticky MAC地址:使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址。
配置
#配置安全MAC功能
[Huawei GigabitEthernetO/0/2]port security enable //开启口端口安全功能
[Huawei GigabitEthernet0/0/2]port security protect action shutdown //配置端口安全保护动作遇到非绑定 MAC 地址直接将端口关闭
[Huawei-GigabitEthernet0/0/2]port security max mac -num5 //配置端口安全动态MAC学习限制数量
[Huawei GigabitEthernet0/0/2]port security aging time 1000 //配置接口学习到的安全动态MAC地址的老化时间
#配置Sticky MAC功能
[Huawei GigabitEthernet0/0/2]port security enable
[Huawei GigabitEthernet0/0/2]port security mac address sticky //接口Sticky MAC功能(粘滞功能),绑定进入交换机的前x个 MAC 地址,数量根据上面限制的数量。
四、免费ARP
免费ARP:设备主动使用自的IP地址作为目的 IP 地址发送 ARP 请求
宣告免费 ARP 的原因:
(1)防止ip地址冲突
(2)减少 arp 洪泛
(3)减少数据包的丢失
免费ARP的作用:
(1)、IP地址冲突检测:当设备接口的协议状态变为Up时,设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答,如果收到,则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突,设备会周期性的广播发送免费ARP应答报文,直到冲突解除。
(2)、用于通告-个新的MAC地址:发送方更换了网卡, MAC地址变化了,为了能够在动态ARP表项老化前通告网络中其他设备,发送方可以发送一个免费ARP。
(3)、在VRRP备份组中用来通告主备发生变换:发生主备变换后, MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。
RSTP端口角色:
backup(备份端口):backup 端口为指定端口的备份,提供了另外一条从根桥到非根桥的备份链路
Alternate(替换端口):Alternate端口作为根端口的备份端口,提供了从指定桥到根桥的另一条备份路径
RSTP中定义了三种端口状态:Discarding、Learning、Forwarding。
五、P/A机制
在RSTP中,一个端口被指定成为指定端口后,此端口会先进入discarding,然后通过P/A(Proposal/Agreement)机制主动与对端端口协商,通过协商后,就可以立即进入Forwarding状态
注:由于有来回确认机制和同步变量机制,就无需依靠计时器来保障无环。
RSTP选举原理和STP本质上相同:选举根交换机-选举非根交换机上的根端口-选举指定端口-选举预备端口和备份端口。但是RSTP在选举的过程中加入了“发起请求-回复同意”( P/A机制)这种确认机制,由于每个步骤有确认就不需要依赖计时器来保证网络拓扑无环才去转发,只需要考虑BPDU发送报文并计算无环拓扑的时间( 一般都是秒级) 。
RSTP收敛过程(RST BPDU:下次BPDU)
RSTP BPDU:RSTP对此进行了改进,即在拓扑稳定后,无论非根桥设备是否接收到根桥传来的配置BPDU报文,非根桥设备都会仍然按照Hello Timer规定的时间间隔发送配置BPDU,该行为完全由每台设备自主进行。
每一台交换机启动RSTP后,都认为自己是“根桥”,并且发送RST BPDU。所有端口都为指定端口,处于Discarding状态。
交换机互相发送Proposal置位的RST BPDU。每个认为自己是“根桥”的交换机生成一个RST BPDU报文来协商指定网段的端口状态,此RST BPDU报文的Flags字段里面的Proposal位需要置位。当一个端口收到RST BPDU报文时,此端口会比较收到的RST BPDU报文和本地的RST BPDU报文。如果本地的RST BPDU报文优于接收的RST BPDU报文,则端口会丢弃接收的RST BPDU报文,并发送Proposal置位的本地RST BPDU报文来回复对端设备。
交换机使用同步机制来实现端口角色协商管理。当收到Proposal置位并且优先级高的BPDU报文时,接收交换机必须设置所有下游指定端口为Discarding状态。如果下游端口是Alternate端口或者边缘端口,则端口状态保持不变。
当确认下游指定端口迁移到Discarding状态后,设备发送RST BPDU报文回复上游交换机发送的Proposal消息。在此过程中,端口已经确认为根端口,因此RST BPDU报文Flags字段里面设置了Agreement标记位和根端口角色。
在P/A进程的最后阶段,上游交换机收到Agreement置位的RST BPDU报文后,指定端口立即从Discarding状态迁移为Forwarding状态。然后,下游网段开始使用同样的P/A进程协商端口角色。
六、MSTP对SGTP和RSTP的改进
(1)MSTP把一个交换网络划分成多个域,每个域内形成多棵生成树,生成树之间彼此独立。
(2)每棵生成树叫做一个多生成树实例MSTI(Multiple Spanning Tree Instance),每个域叫做一个MST域(MST Region:Multiple Spanning Tree Region)。
这三者之间依次是包含关系,即MSTP网络包含MST域和MSTI,MST域又包含MSTI,因为在一个MSTP网络中可以有多个MST域,一个MST域中又可以有多个MSTI。
(1)MST域
MST域(Multiple Spanning Tree Regions,多生成树域)是由交换网络中的多台交换机以及它们之间的网段构成(在Cisco中是叫“MST区域”)。这些交换机都启动了MSTP、具有相同的域名、相同的VLAN到生成树映射(是一个描述了VLAN和MSTI之间映射关系的映射表)配置和相同的MSTP修订级别配置,并且物理上有链路连通。
一个局域网中可以存在多个MST域,各MST域之间在物理上直接或间接相连。用户可以通过MSTP配置命令把多台交换机划分在同一个MST域内。
(2)MSTI
MSTI(Multiple Spanning Tree Instance,多生成树实例)是指MST域 内的生成树。一个MST域内可以通过MSTP生成多棵生成树,各棵生成树之间彼此独立。一个MSTI可以与一个或者多个VLAN对应,但一个VLAN只能与一个MSTI对应。
在一般的企业网络中,通常是将支持MSTP的设备全部划分到一个MST域中,而将不支持MSTP的设备划分到另一个MST域中。对于MSTI来说,通常是将将具有相同转发路径的VLAN映射到一个MSTI中,以形成一棵独立的生成树
(3)Vlan映射表
VLAN映射表是MST域的一个属性,用来描述VLAN和MSTI的映射关系。
VLAN 1映射到MSTI1
VLAN2和VLAN3映射到MSTI2
其余VLAN映射到MSTI0
(4)IST
IST(Internal Spanning Tree,内部生成树)是MST域内的一棵生成树,是一个特殊的MSTI,其MSTI ID为0,即IST通常称为MSTI0。它包括对应MST域中所有互联的交换机。
IST是CIST在MST域中的一个片段。在如图21-6所示的MSTP网络中(包括了多个MST域)每个MST域内部用细线连接的各交换机就构成了对应MST域中的IST。
(5)CST
CST(Common Spanning Tree,公共生成树)是连接交换网络内所有MST域的单生成树。如果把每个MST域看作是一台“交换机”,则CST就是这些“交换机”通过STP协议、RSTP协议计算生成的一棵生成树(SST)。图21-6中用于连接各个MST域的粗线条连接就构成了CST。
(6)CIST
CIST(Common and Internal Spanning Tree,公共和内部生成树)是通过STP或RSTP协议计算生成的,连接交换网络内所有交换机的单生成树,由IST和CST共同构成。这里要注意了,上面介绍的CST是连接交换网络中所有MST域的单生成树,而此处的CIST则是连接交换网络内的所有交换机的单生成树。交换网络中的所有MST域的IST和CST一起构成一棵完整的生成树,也就是这里的CIST。在如图21-6所示的MSTP网络中,A0、B0、C0、D0四个MST区域中的IST,加上MST域间的CST就是整个交换网络的CIST了。
(7)SST
构成SST(Single Spanning Tree,单生成树)有两种情况:
1、运行STP或RSTP生成树协议的交换机只能属于一个生成树。
2、MST域中只有一个交换机,这个交换机构成单生成树。
(8)总根
总根是CIST的根交换机(CIST Root),通常是交换网络中最上层的交换机。如图20-6的示例中,总根(CIST Root)在A0域中。
(9)域根
域根(Regional Root)分为IST域根和MSTI域根。各个MST域中的各个IST生成树中距离总根最近的交换机是IST域根。总根所在MST域的IST域根就是总根。在如图21-5中,也已标出了非总根所在的B0、C0和D0三个MST域的IST域根。
MSTI域根是每个多生成树实例的树根,域中不同的MSTI有各自的域根。而且,MST域内各棵生成树的拓扑不同,域根也可能不同。
(10)配置命令