CCNP基础知识-交换技术
CCNP
前言
字数14000+,预估阅读时间较长。
交换基础
一、回顾在CCNA中学到的交换技术
1.交换机的启动过程
a)开启设备后全部灯开启,然后熄灭,此过程是检查交换机或路由器的硬件情况
b)将flash中的IOS加载到RAM(内存)中
c) 加载系统配置到RAM中
其中:
ROM:只读存储器,不可写入数据。
RAM:随机访问存储器,可读可写,断电后数据消失。
NVRAM:非易失性(或非发挥性)随机访问存储器,断电后数据保留。
FLASH:闪存,是非易失存储器,可以对称为块的存储器单元块进行擦写和再编程,属于EEPROM(电擦除可编程只读存储器)类型。它既有ROM的特点,又有很高的存取速度,而且易于擦除和重写
vlan的配置文件存放在闪存flash中,名称为vlan.dat
IOS系统也存于闪存中
2.交换机是基于MAC地址表转发的
交换机接收到一个数据,会先学习数据帧中的源MAC地址,并查看目标MAC地址是否在自己的MAC地址表上,如果有,则单播转发,如果没有,则洪泛。
洪泛:交换机收到一个需要被洪泛的数据时,会通过除了接收该数据的接口外的其他所有接口进行转发,这个过程叫做洪泛
需要洪泛的数据:广播、组播、未知单播
MAC地址表有三个元素:所属vlan,MAC地址,接口
Switch#show mac-address-table //使用show命令查看mac地址表
MAC地址表的存活时间为300秒
3.交换机、网桥、集线器、路由器的区别:
表格形式:
| 名称 | 层数 | 功能 | 端口共享性 |
|---|---|---|---|
| 交换机 | 数据链路层 | 基于MAC表转发数据,用vlan划分广播域 | 独立 |
| 网桥 | 数据链路层 | 1.连接两个相似的网络 2.管理数据流通 3.提高网络性能、可靠性、安全性 | 共享 |
| 集线器 | 数据链路层 | 对收到的数据进行广播 | 独立 |
| 路由器 | 网络层 | 连接不同的网络 | 共享 |
判断设备是第几层的方法:分析设备能解析第几层的数据
4.传统二层交换机的几种数据转发方式:
存储转发:收到二层数据帧时,先存储数据,等接收到所有数据后,校验数据完整性,如果完整就转发数据;注重完整性和正确性,效率较低。
贯穿转发:当收到二层数据帧,查找目标MAC地址进行转发,由于不查看源MAC地址,所以又可能会导致转发的数据不完整或错误,且不能基于源MAC地址进行学习;注重效率。
无分片转发:当收到二层数据帧,读取数据帧的前64个字节进行转发。
5.网络三层架构
底层:接入层,用于扩大用户数量
中层:汇聚层,集各种策略于一身
顶层:核心层,只做高速转发
二、交换机的基本功能
- 基于源MAC地址学习:交换机收到任何数据都会基于数据的MAC地址学习对应的接口信息,存于MAC地址表中。
- 基于目标MAC地址转发:学习了源MAC地址后,交换机会在MAC地址表中查找目标MAC地址,如果有就单播转发,没有就洪泛。
- 防止环路:生成树STP(Spanning-tree protocol),STP协议是二层的链路管理协议,它在提供链路冗余的同时防止网络产生环路
//全局配置模式下:
Switch(config)#spanning-tree vlan 1 root primary
其中spanning-tree是关键字,vlan 1是vlan序号,root primary的意思是主根,主根一般会配置在核心层或汇聚层的交换机上,一般会同时配置一个从根:
Switch(config)#spanning-tree vlan 1 root secondary
当主根出现故障时,从根交换机就成了主根,原来的主根交换机就变成接入层交换机。
使用spanning-tree uplinkfast命令可以加快收敛速度,这是PVST加快收敛速度的三大特性之一,它的作用是将本地端口快速切换为转发状态,一般情况用于接入层交换机配置。
使用spanning-tree portfask命令也可以加快收敛速度,同样也是PVST加快收敛速度的三大特性之一,它的作用:当把一个设备接入到一个没有使用过的端口时,这个端口就立即变为转发状态。
4.数据过滤:MAC地址过滤,避免重复流量,原理:当交换机收到一个源MAC和目标MAC在同一接口的数据帧时,就丢弃该数据。
ARP
ARP的种类:正向ARP,反向ARP,无故ARP,代理ARP
1.正向ARP:主机A第一次与主机B通信时,由于未知B的MAC地址,会先发送ARP广播,交换机收到后学习A的MAC地址并转发数据。
2.反向ARP:主机B收到来自交换机转发的数据时,发现目标MAC就是自己,会进行单播回应,交换机收到回应,记录B的MAC地址,再把数据单播给A
3.无故ARP:当终端需要DHCP自动获取某个地址时,会先发出一个无故ARP广播,如果该地址没有被占用,则广播无回应,也就意味着这个地址可以使用,否则,这个地址就不能使用。
4.代理ARP:当终端要去访问处于另一个网络中的终端时,会发送ARP广播,该广播来到路由器,路由器会回一个“假的”响应,告诉发送端:回应的接口的MAC地址就是目标MAC地址,那么发送端就会向该接口发送数据,数据就会由路由器进行转发。
一般三层接口都会有代理ARP,例如:三层交换机、路由器
VLAN
vlan – 虚拟局域网技术
vlan标识:10进制标识,范围:1-4094
标准vlan:1-1005
扩展vlan:1006-4094
默认存在vlan 1,vlan 1002,vlan 1003,vlan 1004,vlan 1005
vlan 1:缺省vlan,默认所有接口都属于该vlan
VLAN的分类
- 静态VLAN:基于接口划分的vlan
- 动态VLAN:基于MAC地址划分的vlan,所有的用户和对应的vlan信息都会存储在VMPS(vlan管理策略服务器)中。
- 本地VLAN:端到端vlan
- 数据VLAN:语音vlan
- 私有VLAN:Remote SPAN VLAN(监控vlan)
数据的封装
用一句话来描述数据封装:数据沿着OSI协议栈向下传输时,每一层都添加一个报头,并将封装后的内容作为数据传递给下一层,直到达物理层,数据被转换为比特,通过介质进行传输
基于OSI七层参考模型的数据封装报文头部
data – 应用层
目标端口号+源端口号+data – 传输层
目标IP地址+源IP地址+目标端口号+源端口号+data – 网络层
目标MAC地址+源MAC地址+目标IP地址+源IP地址+目标端口号+源端口号+data – 数据链路层
01010101011001010比特流 – 物理层
交换机数据封装技术ISL和802.1q的区别
| 名称 | ISL | 802.1q |
|---|---|---|
| 添加的标记总长度 | 26字节ISL头部+4字节FCS尾部 | 4字节tag标记 |
| 添加位置 | ISL头部加在上层的头部前,新的FCS尾部加在上层FCS尾部后 | 源MAC地址与type字段之间 |
| 隶属于 | Cisco私有 | 工业标准 |
| 支持的vlan范围 | 1-1005 | 1-4094 |
| QOS | 不支持 | 支持 |
| 标记设定 | 对所有标准vlan标记 | 默认部队native vlan标记 |
| 支持的协议 | 多种网络层协议 | 只支持IP协议 |
native vlan:本征vlan,一般默认是vlan 1,当不划分接口时,所有接口默认属于native vlan
二层交换机:
- 管理模式 – 配置时使用的模式四种,on,主动,被动,access
- 运行模式 – 工作模式两种,trunk,access
on:强制开启trunk模式,可以主动发送dtp帧,可以积极响应dtp帧
desirable:主动模式,可以发送dtp帧,可以积极响应dtp帧
auto:被动模式,不能主动发送dtp帧,可以积极响应dtp帧
access:用户模式,不能主动发送dtp帧,不能积极响应dtp帧
Switch#show interfaces trunk //查看已有trunk信息
Switch(config)#switchport trunk allowed 1-4094 //这条干道允许vlan1-4094通过
VTP(vlan trunk protocol),该协议必须在trunk干道中
Switch#show vtp status //查看vtp状态
vtp domain+名称 创建vtp域名
vtp的版本:<1-3>
其实只有1和2,默认使用version 2,版本3目前没有开发出来
每当trunk干道中的一个设备对vtp进行更新,配置版本号就加一,其他设备就会向配置版本号最高的设备同步
VTP的四种模式:
- server模式,默认交换机启用VTP之后的模式,功能:创建,删除,修改,传,同步,文件自动保存在flash中
- client模式,只能传递和学习
- transparent:透明模式:删除,修改,可以传递别人的,不学习
- off:关闭vtp
多层交换
三种转发方式:快速转发,进程转发,cisco快速转发
进程转发
第一步:与操作,将目标IP地址与所有的路由条目的子网掩码进行与运算,得到的值如果和该路由的IP地址相同,说明该路径可以进行数据转发,不一致则不能转发。
第二步:最长匹配,同时有多条路径可以进行数据转发时,优先选择掩码最长的一条,因为子网掩码越长,说明该条路由越精确。
第三步:递归查找,当查找的路径不是接口而是IP地址时,重复第一步和第二步。
控制层面和数据层面
控制层面
控制层面还可以细分为管理层面和控制层面
管理层面:是提供给网络管理人使用 TELNET,WEB,SSH,SNMP,RMON等方式来管理设备,并支持、理解和执行管理人员对网络设备各种网络协议的设置命令,管理层面是控制层面正常运行的前提,管理层面必须预先设置号控制层面中的各种协议的相关参数,并支持在必要时刻对控制层面的运行进行干预。
控制层面
控制层面用于控制和管理所有网络协议的运行,控制层面通过网络协议提供给路由器和交换机对整个网络环境中网络设备、链路状况和交互协议的准确了解,并在网络发生状况时及时做出调整以维护网络的正常运行,控制层面提供了数据层面在数据处理转发前所需的所有网络信息和转发查询表项,控制层面并不占用过多的硬件资源,但在正常情况下依然是网络设备CPU资源的主要占用层面,因此除了优化网络设备对于控制层面的调度流程和效率,一般还可以通过提供多CPU和提高CPU处理能力来提高控制层面的性能,控制层面主要靠CPU资源处理信息。
数据层面
在该层,网络设备的基本任务是处理和转发不同端口上各种类型的数据,对于数据过程中各种具体的处理转发过程,如L2,L3,ACL,QOS,组播,安全防护等各功能的具体执行过程,数据层面占用了大多数的硬件资源,也直接对其性能表现起决定作用,数据层面主要靠硬件资源处理信息。
| 名称 | 管理层面 | 控制层面 | 数据层面 |
|---|---|---|---|
| 主要功能 | 预先设置号控制层面所需的各种信息和参数 | 对所有协议的运行,通过网络协议对网络的最准确了解,对突发状况的维护 | 处理和转发不同端口的各种类型的数据 |
| 消耗资源类型 | / | CPU资源 | 硬件资源 |
| 优化方式 | 对协议参数等的设置 | 提高CPU处理能力 | 提高硬件的性能 |
快速转发
基于缓存的转发方式,每数据流每路由一次。
图解:
CEF – 思科快速转发机制
CEF,全称:cisco express forwarding
CEF通过一个4级转发表(每级有256条通道)来指明转发条目的位置,转发表里有下一跳等信息,涵盖整个IPv4地址范围,并ji有指针指向另一个邻接表,转发条目都存储在一个单独的邻接表上,这两个表包括了所有的转发信息,这些转发信息由路由表和ARP表构造而成。
CEF简化了查询步骤,提高了单位时间的工作效率,但在整体上,路由信息和转发信息是分离的,即数据包的转发只根据转发信息而不参照路由信息,可以充分利用专用硬件的功能来达到线速转发,不受路由变化和其他因素的干扰,保证了转发的高速和高效。
CEF的快速体现在两个方面:
- 简化了查询步骤,提高了转发速度
- 分离了路由和转发功能
CEF的三张表
- FIB表,基于目标IP前缀的交换决策,类似于路由器的路由表,FIB表为路由表中转发信息的镜像,在系统中,报文查找FIB表而非路由表,因为路由表不指导转发。而FIB表是网络层中控制数据转发的,它包含了数据转发所需的最小一组信息。
- 邻接表,用来维护一个邻接节点以及它们相关的二层MAC重写或者下一跳信息数据库
- Netflow 表,主要作用:统计网络数据
CEF的转发信息不存于cache,因此也不会过期作废或定时刷新,只有根据路由表的变化而进行改变,通常很稳定,且转发信息是通过路由信息处理得到的,如果找不到某个数据包的转发信息,也没有必要去查找路由表,因为肯定没有,那么这个数据包就会被丢弃或从其他转发线程转发,所以转发信息相当于路由信息针对硬件的一个变形。
相当于从软件角度上分离了路由和转发,路由功能只负责三层以上的信息处理,然后形成路由表,再根据这个路由表生成转发信息,有对应的转发信息的数据就转发,没有就丢弃。
只能在路由器上实现的CEF特性:
- 关闭基于CEF的转发能力
- 每个前缀和每个前缀长度的CEF统计
- 从负载共享路径统计数据
- 基于每个分组的负载均衡
CEF不能在同一个线路卡上与VIP分布式快速交换同时运行。
CAM表
CAM表是二层交换机在转发数据时需要查看的一张表,表中有MAC地址,对应端口号,端口所属vlan,它会将收到相关信息存入MAC地址表,当数据帧进入交换机时,会查找MAC表中的信息,如果没有,就会通过CAM表保存该数据帧的信息,如果有,CAM表就什么都不做。
SVI交换虚拟接口
全称:switch virtual interface,给vlan配置IP地址,使它成为一个三层的SVI接口:
Switch(config)#vlan 100
Switch(config)#interface range f0/1-3
Switch(config-range-if)#switchport mode access
//将接口f0/1-3划入vlan100中
Switch(config-range-if)#switchport access vlan 100
Switch(config-range-if)#exit
Switch(config)#interface vlan 100
//给vlan 100配置地址,使它成为三层的SVI接口
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown //打开接口
Switch(config-if)#exit
//将f0/4配置为三层路由接口
Switch(config)#interface f0/4
Switch(config-if)#no switchport
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
//启动路由功能
Switch(config)#ip routing
SVI是与vlan相对应的技术,只需要对vlan配置IP地址,这个vlan就成了三层的SVI接口
其目的:
- 为某vlan用户提供网关
- 为某vlan用户与其他vlan提供路由转发
- 方便远程控制
生成树协议
STP – spanning-tree protocol
由于泛洪机制和冗余链路产生的:MAC表的不稳定,广播风暴,数据帧重复
例如:
当图中PC0第一次去ping PC1时,Switch0收到ping包开始泛洪,Switch1的f0/1和f0/2的接口收到泛洪的数据帧时,会把f0/1的数据帧泛洪给f0/2和f0/3,把f0/2的数据帧泛洪给f0/1和f0/3,从而产生环路。
STP工作于第二层:数据链路层
原理: 任意一交换机到达根网桥有两条或两条以上的链路,生成树协议会在这些链路中选择一条,把其余的都切断,保证两个交换机之间只有一条单一的活动链路,从而避免广播风暴产生的环路。
种类
公有生成树
- STP:802.1D – 标准生成树
- RSTP:802.1W – 所有的vlan属于一棵树
- MST:802.1S – 多生成树,一个vlan一棵树
私有生成树
- PVST:per-vlan spanning tree,一个vlan一棵树
- PVRST+:快速生成树,加快了每vlan的收敛速度,同样一个vlan一棵树,要求硬件性能更好
802.1D – 标准生成树
功能:
- 发现环路
- 保留一条最好的转发路径,阻塞其他路径
- 拓扑结构发生变化时,打开阻塞的路径,确保连通性
交换机之间通过BPDU –网桥协议数据单元 (bridge protocol data unit )来建立生成树
配置BPDU:config-BPDU(描述交换机的基本信息)选举根和维护生成树
拓扑变更:TCN-BPDU(发送拓扑变更信息,重新选举根)
| 字节数 | 名称 | 描述 |
|---|---|---|
| 2 | Protocol ID | 协议号,STP为0 |
| 1 | Version | 版本号 |
| 1 | Message Type | BPDU类型,包括configuration配置BPDU,拓扑变更BPDU |
| 1 | Flags | TCA,TCN |
| 8 | Root ID | 根标识符 |
| 4 | Cost of Path | 发送该BPDU的交换机与根网桥的距离 |
| 8 | Bridge ID | 一台交换机的唯一标识 |
| 2 | Port ID | 发送该BPDU的交换机的端口ID |
| 2 | Message Age | 消息老化时间 |
| 2 | Max Age | 消息最大时间 |
| 2 | Hello time | hello时间 |
| 2 | Forward Delay | 状态切换延迟,15秒 |
BID - bridge ID
网桥标识符,由bridge id+MAC地址构成,默认值为32768,范围是0-65535,实际范围是0-61440,优先级越小越优
设置BID时改变的数值必须4096的倍数
PID - port ID
端口标识符,由PID的优先级和num构成,默认128,范围0-255,实际范围0-240,优先级越小越优
设置时改变的数值必须是16的倍数
生成树通过BID和PID确定某一交换机上的某一端口
COP - cost of path
路径开销,cost:经过不同的链路产生不同的cost值
| 链路类型 | cost值 |
|---|---|
| 10G | 2 |
| 1G | 4 |
| 100M | 19 |
| 10M | 100 |
RID - root ID
根标识符,当某个交换机成为整个生成树的根,那么这个RID就是这个交换机的BID
生成树运作过程
- 发送BPDU配置,选举根
- 选举成功后只有根发送BPDU更新
- 其他非根网桥只负责转发,RID不变,BID变为自己的BID
运行的几种状态
1.Blocking:阻塞,只接收数据,不转发也不响应,等待hello包超时(20秒)
2.Listening:监听,进行生成树的根的选举,能收发BPDU,不转发数据,等待延迟15秒
3.Learning:学习,学习MAC地址,能收发BPDU,不转发数据,等待延迟15秒
4.Forwarding:转发,转发数据
所以生成树的选举需要50秒
生成树的选举过程
1.选举根网桥:比较BID
2.选举根端口:先比较cop值,再比较发送方的BID
3.选择指定端口:比较双方的BID值
4.非指定端口:剩余的端口就是非指定端口
生成树的控制
设置主根:
Switch(config)#spanning-tree vlan 1 root primary
设置从根:
Switch(config)#spanning-tree vlan 2 secondary
修改PID:
Switch(config)#spanning-tree port-priority 32 //最后的数字须是16的倍数
标准生成树的优点:树的数量少,简单,
缺点:收敛速度极慢(50s),不能负载均衡
生成树的弹性(扩展)
| 名称 | 中文名称 | 针对性 | 触发条件 | 状态 | 备注 | 节约时间 |
|---|---|---|---|---|---|---|
| portfast | 端口加速 | 交换机的access接口 | / | listening | 等待30s进入forwarding | 30s |
| uplinkfast | 上行链路加速 | 接入层交换机 | 上行链路发生故障 | 阻塞端口变为listening | 等待30s进入forwarding | 30s |
| backbonefast | 骨干加速 | 所有交换机 | 骨干链路发生故障 | 阻塞端口变为listening | 等待30s进入forwarding | 20s |
| BPDU guard | BPDU防护 | 接入层交换机的portfast接口 | portfast接口发送BPDU | portfast接口down(error disable) | 恢复方式:先shutdown再no shutdown | / |
| BPFU filter | BPFU过滤 | 接入层交换机的portfast接口 | portfast接口发送BPDU | 该BPDU被忽略 | 优先级:接口级filter>接口级guard>全局guard>全局filter | / |
| Root guard | 根防护 | 连接新交换机的接口 | 收到更优质的RID BPDU报文 | 丢弃该报文,接口broken | 接口转发行为:阻塞,若30s后还收到该报文,根被抢占 | / |
| loop guard | 环路防护 | 阻塞端口 | 收到loop检测的BPFU报文 | 接口broken | 等待30s进入forwarding | / |
| UDLD | 单向链路检测 | 光纤链路 | UDLD检测到报文超时 | 接口down(error disable) | UDLD会周期性的发送检测报文 | / |
8种扩展的配置
1.portfast
//portfast的全局启用
SW1(config)#spanning-tree portfast default
//在某些接口上关闭portfast
SW1(config)#interface range f0/3-4
SW1(config-if-range)#spanning-tree portfast disable
//在trunk接口启用portfast,一旦启用,该接口收到BPDU时,portfast失效
SW1(config)#interface f0/10
SW1(config-if)#spanning-tree portfast trunk
2.uplinkfast
//全局配置
SW1(config)#spanning-tree uplinkfast rate-limit 100 //单位数据包每秒
3.backbonefast
//启用backbonefast特性
SW1(config)#spanning-tree backbonefast
4.BPDU guard
//接口配置
SW1(config)#interface f0/1
SW1(config-if)#spanning-tree bpduguard enable
//全局配置
SW1(config)#spanning-tree edge bpduguard
5.BPDU filter
//接口启用
SW1(config)#interface f0/1
SW1(config-if)#spanning-tree bpdufilter enable
//全局启用
SW1(config)#spanning-tree portfast edge bpdufilter default
6.Root guard
SW1(config)#interface f0/1
SW1(config-if)#spanning-tree guard root
7.loop guard
SW1(config)#interface f0/1
SW1(config-if)#spanning-tree loop guard
8.UDLD
SW1(config)#interface f0/1
SW1(config-if)#udld port
802.1W – RSTP
全称:rapid spaning tree protocol,快速生成树协议
由802.1D发展而成,能更快的收敛网络,比802.1D标准生成树多了两种端口:备份端口和预备端口
基于802.1D的改进
RSTP只剩下三种端口状态,对应三种操作状态
1.discarding:丢弃,由802.1D中的learning、listenning,disable组成,
2.blocking:阻塞
3.forwarding:转发
在802.1W中,保留了根端口和指定端口
阻塞端口被改进为备份端口(backup port,BP) 和 替代端口(alternateport,AP),但依然根据BPDU决定端口的角色,和802.1D相同:到达根网桥最近的端口为根端口(RP),同样根据比较BPDU来决定谁是指定端口。
802.1W的flags字段图解
在RSTP中不再依赖生成树的计时器收敛,而是使用flags字段中的信息进行分布式收敛。依赖相互发送的proposal(请求)和agreement(同意),使用分布式BPFU交互,可以在2-3s之间完成收敛。
portrole是第三和第四位,公有四种结果:00,01,10,11
00:Unknown – 未知端口
01:Alternate/Backup – 备份端口
10:Root – 根端口
11:Designated – 指定端口
802.1W的PID,BID,RID概念都与802.1D完全相同。
Alternated端口:(AP)在同一交换机上使用阻塞端口代替根端口,阻塞端口被称为替代端口(自动集成uplinkfast特性)
Backup端口:(BP)在同一交换机上使用阻塞端口备份指定端口,阻塞端口被称为备份端口
802.1W的链路类型 link-type
P2P:点对点链路类型,全双工链路上,可以启用RSTP
Shared:共享性链路类型,半双工链路上,不支持RSTP,仅工作于 STP
802.1W的重收敛
当拓扑结构发生变化时,直连交换机删除从该拓扑学习到的所有MAC地址,同时发送TCN信息,其他设备收到TCN后,返回TCA
802.1W的特性
- 自动集成uplinkfast
- 支持portfast,但需要手工配置
- 自动集成backbonefast,节约50s
- 所有交换机都发送config-BPDU
- 配置BPDU超时时间位6秒
- RSTP重收敛是分布式的
802.1S – MST – 多生成树
MST是基于802.1W改进的版本
配置要求:
- 具有相同的域名
- regin值相同
- 实例映射相同
部署:
SW1(config)#spanning-tree mode mst
SW1(config)#spanning-tree extend system-id
SW1(config)#spanning-tree mst configuration
查看命令:
SW1(config)#show spanning-tree mst configuration
Etherchannel – 以太信道
从逻辑上将多条物理链路捆绑在一起,形成trunk,不但增加了带宽,且提升了冗余容错的能力,通常应用于骨干链路,例如:
交换机与交换机:(2层etherchannel)
交换机与服务器:(2层etherchannel)
交换机与路由器:(3etherchannel)
Etherchannel配置前提:两端的设备必须有相同的配置,当etherchannel中的一条link故障时,不影响其他条link的运行。
- 在配置layer 2端口(二层端口)时,只要成员端口在配置模式下使用
channel group+n命令指定该端口要加入的channel group,此时交换机会自动创建port-channel接口。 - 配置layer 3端口时,还需要在配置模式下配置:
interface port-channel+n来手工配置接口。
PAGP – 端口聚合协议
这个协议是cisco私有的,通过慢速发送hello包(30s),协商成为etherchannel,最大支持在8条链路上的协商,链路数量必须是 2 x 2^x 2x。
etherchannel的模式:
- Desirable:主动模式
- Auto:被动模式,auto模式包含了silent(安静)模式,可以进行etherchannel协商
关闭安静模式:non-silent
部署:
SW1(config)#interface f0/1-5
SW1(config-if-range)#channel-group 12 mode desirable/auto/active/on/passive
LACP – 链路聚合控制协议
LACP是公有协议,发送LACPDU进行以太信道的协商,最大支持在16条链路上进行以太信道协商,默认使用8条链路,当使用16条来协商时,优先级高的8条作为主链路,其余8条为备份链路,优先级默认32768,越小越优
etherchannel的on模式(手工模式)不能与LACP和PAGP建立信道
Etherchannel配置前提
- 通道内所有接口必须支持etherchannel
- 通道内所有接口必须具有相同速率和双工模式(LACP必须全双工)
- 通道内的接口不能时SPAN的目标接口
- 若接口为access,则必须全为access,并且属于同一vlan
- 若接口为trunk,则必须具备相同的trunk vlan允许列表
- 若启用三层etherchannel,则IP地址配置在channel-group
- 通道内所有接口连接的是同一设备
修改负载均衡方式:
SW1(config)#port-channel load-balance ?
查看修改结果:
SW1#show etherchannel load-balance
SPAN RSPAN
SPAN --switched port analyzer,本地监控
RSPAN – remot switched port analyzer,远程监控
span技术是为了监控交换链路上的数据流,大体分为两类:span(本地监控),rspan(远程监控)
名词解释
Source port:span会话的源端口
Desination port:span会话的目标端口
ReflectorPort – 反射端口,只存在于RSPAN中,与RSPAN的受控端口在同一设备,用来将被监控的流量转发到RSPAN中另一台交换机上的远程监控方法,反射端口只能是一个物理端口,且不属于任何vlan。
反射端口应当选择一个不会使用的端口,且需要改为access模式。
反射端口的带宽最好是大于等于受控端口的带宽,否则可能会丢包。
VLAN-BasedSPAN – 基于vlan的span
这种span只用于监控vlan的所有活动端口接收的流量,如果监控端口属于此vlan,则该端口不属于监控范围。VSPAN只监控进入交换机的流量,不对vlan接口上的路由数据进行监控。
配置:
SW1(config)#monitor session 1 source interface f0/1 //受控端口
SW1(config)#monitor session 1 desination inter f0/2 //监控端口
冗余 – HA
链路冗余
设备冗余:冷备份,热备份
电源冗余:负载分担
引擎冗余:RPR(2-4分钟),RPR+(1-2分钟),sso over nsf(2-3秒)
目前sso over nsf最常用
网关冗余:HSRP,VRRP
HA,高可用性的目的:
- 提高网络的高可用性
- 增加设备内部冗余
- 网络存在容错性
HSRP:热备份网关协议:hot standby router protocol,一个group指定一个VIP(virtual IP)地址,自动生成一个Virtual MAC地址,例如:
HSRP特点:
- 使用hello包进行active(主网关)和standby(备份网关)的选举,hello时间3秒,hold时间10秒,更新地址224.0.0.2,持续发送(所有的备份网关都发送)
- 抢占式关闭
- 接口启用HSRP则ICMP重定向失效
icmp重定向:当路由器收到一个来自一个接口且同样要去往该接口内的某地址的数据时,会向发送源发送一个icmp包,告诉发送源直接去找网段内的目标
- 选举规则:先比较优先级,越大越优;再比较物理接口IP地址,越大越优;默认优先级为100,范围0-255
- 下行链路发生故障,则切换时间等于HSRP hold时间,10秒
- 上行链路发生故障,则切换时间与路由协议收敛有关
优化机制: 跟踪上行直连路接口
//配置HSRP
r1(config)#interface f0/0
r1(config-if)#standby 10 track serial 1/1
//跟踪上行非直连链路,使用track调用IP sla
r1(config)#ip sla 1
r1(config)#ip sla schedule 1 life forever start-time now
r1(config)#track 101 ip sla 1 reachability
//再HSRP调用Track
r1(config)#interface f0/0
r1(config-if)#standby 10 track 101 decrement 20
HSRP的负载分担:创建多个group
VRRP:虚拟网关冗余协议,工业标准
VRRP是一个group指定一个VIP地址,产生一个VIP MAC地址:
10:
VRRP特点:
- hello时间1秒,hold时间3.6秒
- 在选举过程中发送hello包,若选定完成之后仅仅master发送hello包,源MAC地址为VIP MAC,目标IP地址为224.0.0.18
- 选举一个master,多个backup
- 抢占式开启
- 不能跟踪上行直连接口,只能跟踪track
- 在VRRP中,虚拟IP地址可以为某个备份网关的真实IP地址,且该接口的优先级为255
VRRP下行链路发生故障:切换时间等于VRRP hold时间,3.6s
VRRP上行链路发生故障:切换时间与路由协议收敛有关
r1(config)#interface f0/0
r1(config-if)#vrrp <1-255>
r1(config-if)#vrrp 10 ip 100.1.1.99
GLBP – 网关负载均衡协议
GLBP是cisco私有协议,是基于HSRP协议的增加和变形。
AVG:虚拟活动网关,抢占默认关闭;
AVF:虚拟活动转发,抢占默认开启;
100:
配置:
r1(config)#interface f0/0
r1(config-if)glbp 100 ip 100.1.1.99
交换安全
MAC地址攻击
我们知道,交换机有自动学习MAC地址的能力。
MAC地址攻击就是利用这个特性,攻击者以很高的频率不断更换自身的MAC地址并发送数据帧,交换机会一直学习这些地址,直到地址池满了,交换机就不会再进行学习地址。
解决方案
- 静态MAC地址写入
- 端口安全
- 基于MAC地址过滤
端口安全:
在交换机的接口上启用端口安全,限制:
- 学习的MAC地址数量
- 学习的MAC地址是什么
若触发了端口安全:shutdown(error disable)、restrict、protect
restrict和protect不会down掉接口,但会过滤
//打开端口安全
SW1(config)#switchport port-security
//查看
SW1(config)#show port-security address
风暴控制 过滤未知单播和组播
SW1(config)#interface f0/1
SW1(config-if)#switchport unicast
VLAN攻击
由于交换机的接口模式问题
解决方法:
SW1(config)#interface f0/1
SW1(config-if)#switchport mode access
私有VLAN – PVLAN(primary vlan)
使用私有vlan可以防止某一个终端被控制后作为跳板去攻击其他终端
将所有的终端放在同一广播域内,设置其中一个终端为主vlan,
SW1(config)#switchport private-vlan mapping 100 501-502
SW1(config)#switchport mode private-vlan promiscuous
其他终端可以和主vlan通信,但不能相互通信
DHCP欺骗攻击
DHCP工作原理:
1.主机发送DHCP discover报文,泛洪给dhcp服务器
2.服务器查看报文,从dhcp地址池中选一个地址,包括IP,掩码,网关,dns服务器,租期,包含自身mac地址,打包成一个offer报文广播出去
3.主机如果多个offer报文,哪个先发到主机,主机就使用哪个,并广播回应ack确认。
4.服务器收到携带自身mac地址的广播,广播回应ack
DHCP攻击的成功率不能达到百分百,但是非常多。
解决方式:
新型交换机的lan口和wan口,如果是lan口收到dhcp,则下发地址,如果是wan口收到,则不下发地址。
DHCP嗅探技术
在多层交换机中启用DHCP嗅探,使交换机也可以进行DHCP解析
信任接口:接收offer ack 收送discover request
非信任接口:接收discover request 收送 offer ack
ARP欺骗攻击
攻击者发送大量的ARP报文,分为无故arp,和arp回应
以自己的MAC地址进行回应网络中所有的访问,导致其他用户无法相互访问。
解决方式:DAI – dynamic arp information 动态ARP截取
必须依赖DHCP snooping 中所产生DHCP Snooping binding表.
SW1(config)#ip arp inspection vlan ?