高级交换与路由技术【1.1】
1 . 3 扩展知识
1.保护端口( Protected Port)概述
在某些应用环境下,要求一台交换机上的有些端口之间不能互相通信。在这种环境下,通过设置保护口(Protected Port)实现这些端口之间拒绝单播帧、多播帧、广播帧的链路层通信,这些端口之间只有通过三层设备进行通信。保护端口之间无法通信,保护端口与非保护端口之间可以通信,如图 1.3 所示。
只能实现同一台交换机的相同 VLAN 内的端口链路层通信隔离, 不能隔离位于不同交换机或不同VLAN 的保护端口之间的通信。 在同一台交换机的相同 VLAN 内的保护端口之间可以通过路由端口通信。前面介绍的 PVLAN 隔离 VLAN 内的端口,不但 VLAN 内的端口之间不能通信,不同 VLAN 之间的端口也不能通信,只能与混杂端口通信。
2.配置保护端口
为了配置交换机保护端口,需要先进入端口模式,然后在端口模式下配置保护端口。配置保护端口的命令格式如下:
提示: 使用 no switchport protected 取消保护端口设置,如 ruijie(config-if)no switchport protected。
例如: 将交换机端口 Fa0/1-12 设置为保护端口。
ruijie(config)#interface range fa 0/1-12
ruijie(config-range-if)#switchport protected
ruijie(config-range-if)#1 . 4 演示实例
1.背景描述
在如图 1.4 所示的网络中,在交换机上创建 VLAN10,并设置为 Primary VLAN,设置其 SVI 端口IP地址为 192.168.10.1/24;创建VLAN20,并设置为 Isolated VLAN;创建 VLAN30,并设置为 Community VLAN;创建VLAN40,并设置 VLAN40 的 SVI 端口 IP 地址为 192.168.40.1/24。实现团体 VLAN30、隔离 VLAN20 中的计算机能够与混杂端口 Fa0/1 端的 Server 通信;也能够与另一个网络VLAN40 中的 PC5通信。隔离 VLAN20 内的 PC1 与 PC2 之间也不能相互通信,也不能与团体 VLAN30 内的计算机通信。团体 VLAN30 内部的 PC3 与 PC4 之间能够相互通信,不能与隔离 VLAN20 内的 PC1 或 PC2 通信。
第 1 步:创建主 VLAN 及辅助 VLAN。
ruijie(config)#VLAN 10
ruijie(config-VLAN)#private-VLAN primary
ruijie(config-VLAN)#exit
ruijie(config)#VLAN 20
ruijie(config-VLAN)#private-VLAN isolated
ruijie(config-VLAN)#exit
ruijie(config)#VLAN 30
ruijie(config-VLAN)#private-VLAN community
ruijie(config-VLAN)#exit
ruijie(config)#VLAN 40
ruijie(config-VLAN)#end
ruijie#show VLAN private-VLAN
VLAN Type Status Routed Ports Associated VLANs
----- ------- -------- -------- --------------- ------------------
10 primary inactive Disabled
20 isolated inactive Disabled No Association
30 community inactive Disabled No Association第 2 步:将辅助 VLAN 与主 VLAN 关联。
ruijie(config)#VLAN 10
ruijie(config-VLAN)#private-VLAN association 20,30
ruijie(config-VLAN)#end
ruijie#show VLAN private-VLAN
VLAN Type Status Routed Ports Associated VLANs
----- ---------- -------- -------- -------------- ------------------
10 primary active Disabled 20,30
20 isolated active Disabled 10
30 community active Disabled 10第 3 步:将辅助 VLAN 映射到 SVI 端口。
ruijie(config)#interface VLAN 10
ruijie(config-if)#ip address 192.168.10.1 255.255.255.0
ruijie(config-if)#no shutdown
ruijie(config-if)#private-VLAN mapping 20,30
ruijie(config-if)#end
ruijie#show VLAN private-VLAN
VLAN Type Status Routed Ports Associated VLANs
----- ---------- -------- -------- ----------------- ------------------
10 primary active Enabled 20,30
20 isolated active Enabled 10
30 community active Enabled 10第 4 步:配置隔离及团体端口。
ruijie(config)#interface range fa 0/6-710
ruijie(config-range-if)#switchport mode private-VLAN host
ruijie(config-range-if)#switchport private-VLAN host-association 10 20
ruijie(config-range-if)#exit
ruijie(config)#interface range fa 0/11-12
ruijie(config-range-if)#switchport mode private-VLAN host
ruijie(config-range-if)#switchport private-VLAN host-association 10 30
ruijie(config-range-if)#exit
ruijie#show VLAN private-VLAN
VLAN Type Status Routed Ports Associated VLANs
----- ---------- -------- -------- ---------------- ------------------
10 primary active Enabled 20,30
20 isolated active Enabled Fa0/6, Fa0/7 10
30 community active Enabled Fa0/11, Fa0/12 10第 5 步:配置混杂端口。
ruijie(config)#interface fa 0/1
ruijie(config-if)#switchport mode private-VLAN promiscuous
ruijie(config-if)#switchport private-VLAN mapping 10 add 20,30
ruijie(config-if)#end
ruijie#show VLAN private-VLAN
VLAN Type Status Routed Ports Associated VLANs
----- ---------- -------- -------- ---------------- ------------------
10 primary active Enabled Fa0/1 20,30
20 isolated active Enabled Fa0/6, Fa0/7 10
30 community active Enabled Fa0/11, Fa0/12 10第 6 步:创建 VLAN40 的 SVI 端口。
ruijie(config)#interface fa 0/16
ruijie(config-if)#switchport access VLAN 40
ruijie(config-if)#exit
ruijie(config)#interface VLAN 40
ruijie(config-if)#ip address 192.168.40.1 255.255.255.0
ruijie(config-if)#no shutdown
ruijie(config-if)#end
ruijie#show ip route
Codes: C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default
Gateway of last resort is no set
C 192.168.10.0/24 is directly connected, VLAN 10
C 192.168.10.1/32 is local host.
C 192.168.40.0/24 is directly connected, VLAN 40
C 192.168.40.1/32 is local host.第 7 步:测试。
Server 的 IP 地址为 192.168.10.10/24; PC1 的 IP 地址为 192.168.10.11/24; PC2 的 IP 地址为192.168.10.12/24; PC3 的 IP 地址为 192.168.10.13/24; PC4 的 IP 地址为 192.168.10.14/24,它们的网关地址为 192.168.10.1。 PC5 的 IP 地址为 192.168.40.10/24,网关 IP 地址为 192.168.40.1。
PC1(PC2)能够与 Server、 PC5 通信,但 PC1 与 PC2 之间不能通信; PC3(PC4)能够与 Server、PC5 通信, PC3 与 PC4 之间也能通信。
1 . 5 训练任务
1.背景描述
在如图 1.5 所示的网络中, VLAN10 为 Primary VLAN, Secondary VLAN20 类型为 Community, Secondary VLAN30 类型为 Isolated。 端口 Fa0/1 和 Fa0/2 为 VLAN20 的端口, 端口 Fa0/11 和端口 Fa0/12为 VLAN30 的端口。端口 Fa0/24 为 Private VLAN 的混杂端口,与 VLAN20 和 VLAN30 关联。
2.操作提示
在此项目中,主 VLAN 只需设置 FastEthernet 0/24 为混杂端口,无须建立 VLAN10 的 SVI 端口及配置相应的 IP 地址。路由器 R1 的 FastEthernet 0/0 端口 IP 地址作为 VLAN20、 VLAN30 中的主机的默认网关 IP 地址。其他 PVLAN 参数正常配置即可。
switch(config)#interface fa 0/24
switch(config-if)#switchport mode private-VLAN promiscuous
switch(config-if)#switchport private-VLAN mapping 10 add 20,30练习题
1.选择题
(1)下面关于 PVLAN 描述正确的是( )。
A.主 VLAN 是 PVLAN 的高级 VLAN,每个 PVLAN 中只有一个主 VLAN。辅助 VLAN 是PVLAN 中的子 VLAN,并且映射到一个主 VLAN
B. PVLAN 中的端口有三种类型:混杂端口、隔离端口和团体端口,混杂端口为主 VLAN中的端口,隔离端口为隔离 VLAN 中的端口,团体端口为团体 VLAN 中的端口
C.辅助 VLAN 有两种类型:隔离 VLAN 和团体 VLAN,同一个团体 VLAN 中的端口可以进行二层通信,但是不能与其他团体 VLAN 中的端口进行二层通信
D.混杂端口可以与任意端口通信,包括同一个 PVLAN 中的隔离端口和团体端口,隔离端口只能与团体端口进行通信
(2)一个 Private VLAN 处于 Active 状态必须满足的条件为( )。
A.具有主 VLAN
B.具有辅助 VLAN
C.辅助 VLAN 和主 VLAN 可以进行关联D.主 VLAN 必须设置 IP 地址
E.主 VLAN 内有混杂端口
2.简答题
(1)请描述 PVLAN 的功能及应用场合。
(2)请描述 PVLAN 的配置命令及步骤。
(3)请说明 PVLAN 中各子 VLAN 中 IP 地址是如何分配的。
(4)请举例说明 PVLAN 是如何实现与其他网段的路由功能的。
项目 2 多生成树协议 MSTP
STP 及 RSTP 很好地解决了网络链路环路问题, 使网络链路实现冗余备份, 但是并没有考虑 VLAN及负载均衡问题。要解决这个问题,需要采用多生成树协议(MSTP)。
通过本章学习能够对交换机 MSTP 定义有所了解,掌握交换机 MSTP 特性及其配置技能。
1.了解 MSTP 概念;
2.掌握 MSTP 特性及配置技能; 3.掌握小型网络一般调试技能及故障排除方法。
2 . 1 问题提出
公司网络通过采用 RSTP 技术后,交换机端口状态切换时间明显缩短了。公司网络经过认真维护一直稳定运行。旧的问题解决了,新的问题又出现了。经过一段时间发现公司的网络流量都集中在两台核心交换机中的一台根交换机上,所有链路都以它为中心向外拓展,另一台非根交换机工作量较少,负载明显不平衡。必须采取措施,解决此问题。
2 . 2 相关知识
1.多生成树协议( MSTP)概述
MSTP(Multiple Spanning Tree Protocol,多生成树协议)是在传统的 STP、 RSTP 的基础上发展而来的新的生成树协议。 MSTP 遵循的标准是 IEEE 802.1S。由于传统的生成树协议与 VLAN 没有任何联系,因此在特定网络拓扑下就会产生以下问题。
如图 2.1 所示,交换机 SW1、 SW3 在 VLAN10 内,交换机 SW2、 SW4 在 VLAN20 内,然后连成环路。
假设 SW2 的优先级为 4096、 SW4 的优先级为 8192、 SW1 及 SW3 的优先级为默认值 32768,交换机 SW2 成为根交换机,交换机 SW1 和 SW3 间的链路为 Discarding,如图 2.2 所示。由于交换机SW1 与 SW2 不在同一个 VLAN 内,故无法通信;同理交换机 SW3 与 SW4 也不在同一个 VLAN 内,故也无法通信。虽然 SW1 与 SW3 在同一个 VLAN 内,但由于它们之间的链路处于 Discarding 状态,因此也不能通信。
为了解决这个问题, MSTP 就产生了,它可以把一台交换机的一个或多个 VLAN 划分为一个实例(Instance), 有着相同 Instance 配置的交换机就组成一个区域(MST Region), 运行独立的生成树(这个内部的生成树称为 IST, Internal Spanning Tree);这个 MST Region 就相当于一台大的交换机,与其他 MST Region 再进行生成树算法运算,得出一个主干生成树,称为 CST(Common Spanning Tree)。
2. MSTP 的区域与实例
为了在一个或多个 VLAN 中产生一个“小树”,需要对网络中的交换机 VLAN 对实例(MST Instance)进行映射,使一个具体实例关联一个或多个 VLAN。一个 MST 实例将产生一个生成树。具有相同 MST 实例映射规则或配置的交换机组成一个 MST 区域。相同 MST 配置是指如下内容。
(1) MST 配置名称(Name):用 32 字节长的字符串来标志 MST Region 的名称。
(2) MST Revision Number(修正号):用 16bit 长的修正值来标志 MST Region 的修正号。
(3) VLAN 到 MST 实例的映射:在每台交换机里,最多可以创建 64 个 MST 实例(Instance),编号从 1~64, Instance 0 是强制存在的。在交换机上可以通过配置将 VLAN 和不同的 Instance 进行映射,没有被映射到 MST 实例的 VLAN 默认属于 Instance 0。实际上,在配置映射关系之前,交换机上所有的 VLAN 都属于 Instance 0。
在前面提到的网络中, SW1 和 SW3 在一个区域中, SW2 和 SW4 在另一个区域中, 如图 2.3 所示。
交换机 SW1 和交换机 SW3 配置相同的 MST Name: Test1,配置相同的 Revision Number: 1,以及配置了相同的实例映射规则, 因此在 MSTP 运算中交换机 SW1 和交换机 SW3 被认为在同一个区域。同样,交换机 SW2 和交换机 SW4 由于配置有相同的 MST Name 和 Revision Number 及相同的实例映射规则,也被视为同一区域。
3. MSTP 的多种生成树
在 MSTP 网络中,会形成很多生成树,包括 MSTI、 IST、 CIST、 CST。每个生成树对应的范围不同,具体如下。
(1)实例生成树(MSTI): 每个实例 Instance 中的生成树叫做 MSTI (Multiple Spanning-Tree Instance)生成树,范围是该实例对应 VLAN 范围内产生的树形网络结构。
(2)区域生成树(IST): IST(Internal Spanning Tree)是 MST 区域内的一个生成树,范围是该区域内相同配置的实例组共同产生的树形网络结构。 IST 产生过程如下。
每个 Region 里按各个 Instance 所设置的 Bridge Priority、 Port Priority 等参数选出各个 Instance 独立的 Root Bridge, 以及每台设备上各个端口的 Port Role, 然后就 Port Role 指定该端口在该 Instance 内是 Forwarding 还是 Discarding 状态。 IST 使整个 MST 区域从外部上看就像一个虚拟的网桥。
(3)区域间生成树(CST): CST(Common Spanning Tree)是连接交换网络内部的所有 MST 区域间的一个生成树。每个 MST 区域对于 CST 来说相当于一个虚拟的网桥。如果将 MST 区域视为一个网桥,那么 CST 就是这些“网桥”通过 STP 或 RSTP 计算出来的一个生成树。
(4) CIST: IST 和 CST 共同构成了整个网络的 CIST(Common and Internal Spanning Tree),它相当于每个 MST 区域中的 IST、 CST 及 802.1d 网桥的集合。 STP 和 RSTP 会为 CIST 选举出 CIST 的根。
按这种算法, 以上网络就可以在 MSTP 算法下形成如图 2.4 所示的拓扑: 交换机 SW1 和 SW3 都在 MSTP Region 1 内, MSTP Region 1 没有环路产生,所以没有链路 Discarding,同理, MSTP Region 2 的情况也是一样的。然后 Region 1 和 Region 2 就分别相当于两台大的交换机,这两台“交换机”间有环路,因此根据相关配置选择一条链路 Discarding。这样,既避免了环路的产生,也能让相同 VLAN间的通信不受影响。
MSTP 协议主要用于解决交换网络中链路负载均衡问题。通过将 VLAN 与 Instance 关联,同一台交换机对于不同 Instance 呈现出不同优先级,对于不同实例(Instance)的根(Root)交换机也不同,因此,就会形成不同的树形结构,不同流量也就会通过不同的路径,达到负载均衡作用。
如图 2.5 所示,在交换网络中 SW3 交换机划分为两个 VLAN,分别为 VLAN10 及 VLAN20。为了实现网络中数据流量负载均衡,使得 VLAN10 中的流量通过交换机 SW1 访问 Internet, VLAN20 中的流量通过交换机 SW2 访问 Internet。 为了达到这一目标, 启动 MSTP 多生成树协议, 并且将 VLAN10与 Instance1 关联, VLAN20 与 Instance2 关联。配置交换机 SW1 对于实例 Instance1 的优先级为 4096,对于 Instance2 为默认值 32768;配置交换机 SW2 对于实例 Instance2 的优先级为 4096,对于 Instance1为默认值 32768,实现 SW1 为实例 Instance1 的根交换机, SW2 为实例 Instance2 的根交换机。
对于实例 Instance1,网络拓扑结构如图 2.6 所示,流量通过交换机 SW1 访问 Internet。对于实例Instance2,网络拓扑结构如图 2.7 所示,流量通过交换机 SW2 访问 Internet。
4. MSTP 配置命令
对于 MSTP 多生成树协议配置,需要完成启动生成树协议、配置生成树类型为 MSTP、配置交换机优先级、配置端口优先级及显示 MSTP 信息等配置任务。
