版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 http://kuangkuang.blog.51cto.com/838/264172
|
将根据下图整理一下交换机的大部分配置。
一、基本设置 switch A (config)# hostmane SA //配置名字为SA SA(config)# interface vlan 1 SA(config-if)# ip address 192.168.1.1 255.255.255.0 //配置管理ip SA(config-if)# no shutdown SA(config)#enable secrect //设置密码 SA(config)#line vty 0 15 //设置telnet密码 SA(config)# password elitek SA(config)#login SA(config)#line console 0 //设置控制口的密码 SA(config-line)#password elitek SA(config-line)#login SA(config)#aaa new-model //启用AAA认证 SA(config)# username khp password honyi //设置用户名和密码 SA(config)#crypto key generate rsa modulus 2048 //启用ssh会话,产生ssh会话所需要的密钥。此处用rsa类型的密钥,不同的IOS用不同的密钥。 SA(config)#ip name-server 192.168.1.8 //设置DNS服务器 SA(config)# ip domain-name elitek //设置所属域名 SA(config)# ip domain-lookup //启用DNS解析 二、VLAN的划分 (一)vlan划分要明白几个主要知识点: 1、vlan的作用及vlan种类: VLAN的作用:划分广播域,不同VLAN之间不相互广播,不能直接通信。需路由器或三层交换机才能让各VLAN之间通信。 VLAN的种类: 分为静态VLAN和动态VLAN。 静态VLAN:手工指定交换机端口属于哪个VLAN。以静态VLAN为主。 动态VLAN:用终端的MAC地址来划分VLAN。终MAC地址与VALN的对应数据库存于一个VMPS服务器内。 还可依IP地址和用户名划VLAN,分别属于三层,四层。 2、链路聚集及链路聚集协议 (1)链路聚集:干道(trunk)能够在单条物理链路中承载多个vlan的流量。即一条交换机到交换机的干线中可以传输多个VLAN。 (2)链路聚集协议:在干道中用于传输多个VLAN的协议。分为:ISL、802.1Q、DTP ISL: 这个协议是CISCO专有的。用在纯CISCO环境下使用。支持1---1005编号的VLAN。 802.1Q:这个协议是业界标准。支持1--4094编号的VLAN。 DTP: 也是CISCO专有的点到点协议。并用DTP协议来协商链路聚集的状态。 3、链路聚集模式 (1)on (trunk): 本端口为开启模式。不管对端邻接接口是什么模式,都永远作为干道中继接口。 (2)off: 本端口不作为干道中继接口。不管对端邻接接口是什么模式,即使对端中开启(on)模式也不作为中继接口。 (3)desirable(企望):只要对端邻接接口可以成为中继接口,他就成为中继接口。是主动尝试将链路转换为干道中链路。对端接口模式为:trunk 、 desirable 、auto他都会变为中继接口。 (4)auto(自动): 与其相连的对端邻接接口让其成为什么就是什么。接口愿意将链路转为干道中继端口。和desirable的区别是,desirable是主动的,auto是被动的。对端接口模式是:trunk、 desirable就会变成中继接口. (5)nonegotiate(非协商):此模式也是把端口强行打开为口继接口。与trunk模式一样。区别是:禁止接口产生DTP信息。对端端口一定要为trunk,否则会出错。 4、 VTP VTP能够在整个交换网络中分发和同步VLAN的相关信息,维护VLAN配置的一致性。 每台交换机只支持单个VTP域。 (1) VTP的工作模式: server(服务器模式): 可创建、修改、删除VLAN; 中继端口向外发送或接收并转发从VTP域中其他交换机接收到的最新信息; 接收到的信息同步自已的VLAN配置中; 将vlan配置存到NVRAM中。 clinet(客户模式) : 不能创建、修改、删除VLAN; 中继端口接收并转发从VTP域中其他交换机接收到的最新信息; 接收到的信息同步到自已的vlan配置中; 不能将vlan配置存到NVRAM中。 transparent(透明模式):只能在本地交换机中创建、修改、删除VLAN; 中继端口接收并转发从VTP域中其他交换机接收到的最新信息; 接收到的信息不能同步到自已的vlan配置中;可将本地配置存于NVRAM中。 透明模式的交换机不参与VTP。所以不会通告自已的VLAN配置,也不把接收到的VTP通告与自已的VLAN数据库同步。透明交换机的版本号总为0 (vtp根据版本号来更新自已的数据库,当比自已的版本号大时,就会更新。但透明交换机版本号总为0 ,所以就不会更新) off(关闭模式): 只有基于catos操作系统的才支持此模式。与透明模式类似。只是关闭模式不接收从VTP域中其他交换机收到的最新信息,直接丢弃VTP通告。 (2)VTP版本 :有vtp1和vtp2。vtp1为默认版本。vtp2支持令牌环,VTP1不支持。 vtp1透明模式时,要检查域名和密码,如果匹配才会转发;但vtp2不检查,直接转发。 (3)VTP修剪 : 把不必传递的信息不转发。或不接收不属于自已的信息。 干道接口承载VTP管理域内的所有VLAN的流量。很多情况下,VTP域中的所有交换机并不会配置整个VTP域中的所有VLAN。所以全部VLAN都进行转发和接收会占很大的带宽。可以进行修剪,不需要接收或转发的VLAN信息。 (4)VTP认证:新加入的交换机会自动加入到非安全管理域,所以需设置域名和密码来保证VTP域的安全。确保相同域的所有交换机的域名和密要相同。 所以trunk有三点:一是封装类型,二是接口模式,三是两端的VTP信息是否匹配。 配置详情清单: switch A (config)# hostmane SA //配置名字为SA SA(config)# interface vlan 1 SA(config-if)# ip address 192.168.1.1 255.255.255.0 //配置管理ip SA(config-if)# no shutdown SA(config)#vlan database //进入vlan配置模式 SA(vlan)#vtp domain zj8s //设置域名 SA(vlan)#vtp password cisco //设置域密码 SA(vlan)#vtp server //设置交换机VTP工作模式,此处是server模式,可以创建VLAN。不同的交换机此处命令稍有不同。 SA(vlan)#vtp purning //启用vlan修剪 SA(config)#vlan database //进入VLAN配置模式 SA(vlan)#vlan 2 name zj29t //创建VLAN并设置VLAN名 SA(vlan)#vlan 3 name zj30t SA(vlan)#vlan 4 name zj31t // fast0/1和fast0/2属于ethernetchannel里的知识,暂不配置。 SA(config)#interface fast0/3 //进入fast3号端口 SA(config-if)#switchport mode trunk //设置端口的中继模式为trunk SA(config-if)#switchprot trunk encapslation dot1q //设置端口中继协议为802.1q SA(config-if)#switchport allowed vlan all //允许所有VLAN经过此中继传输 SA(config)#interface fast0/4 //进入fast3号端口 SA(config-if)#switchport mode trunk //设置端口的中继模式为trunk SA(config-if)#switchprot trunk encapslation dot1q //设置端口中继协议为802.1q SA(config-if)#switchport allowed vlan 2-3 //只允许VLAN2和vlan3经过此中继传输 SA(config-if)#switchport trunk purning vlan 4 //修剪vlan4的信息。因为这个端口只接有两个VLAN,所以可以修剪vlan4 ,以减少通告带宽。 switch C config)# hostmane SC //配置名字为SA Sc(config)# interface vlan 1 Sc(config-if)# ip address 192.168.1.3 255.255.255.0 //配置管理ip Sc(config-if)# no shutdown Sc(config)#vlan database //进入vlan配置模式 Sc(vlan)#vtp domain zj8s //设置域名 Sc(vlan)#vtp password cisco //设置域密码 Sc(vlan)#vtp mode client //设置交换机VTP工作模式,此处是client模式,不可以创建VLAN,只转发和同步信息。不同的交换机此处命令稍有不同。 Sc(config)#interface fast0/1 //进入fast1号端口 SC(config-if)#switchport mode trunk //设置端口的中继模式为trunk SC(config-if)#switchprot trunk encapslation dot1q //设置端口中继协议为802.1q SC(config-if)#switchport allowed vlan all //允许所有VLAN经过此中继传输 Sc(config-if)# no shutdown SC(config)#interface fast0/2 //进入fast2号端口 SC(config-if)#switchport mode trunk //设置端口的中继模式为trunk SC(config-if)#switchprot trunk encapslation dot1q //设置端口中继协议为802.1q SC(config-if)#switchport allowed vlan 1,2,3,4 //允许vlan 1,2,3,4四个VLAN Sc(config-if)# no shutdown SC(config)#interface fast0/3 // 进入端口3 SC(config-if)#switchport mode access //接口为access模式,即接入端口 SC(config-if)#switchport access vlan2 //端口加入vlan2 Sc(config-if)# no shutdown SC(config)#interface fast0/4 // 进入端口4 SC(config-if)#switchport mode access //接口为access模式,即接入端口 SC(config-if)#switchport access vlan3 //端口加入vlan3 Sc(config-if)# no shutdown SC(config)#interface fast0/5 //进入端口5 SC(config-if)#switchport mode access //接口为access,即接入端口 SC(config-if)#switchport access vlan4 //端口加入vlan3 Sc(config-if)# no shutdown (二)pvlan(私有vlan) 三、 生成树协议 (stp) (一)生成树协议基础 1、生成树协议的作用:生成树协议是为了避免冗余网络中造成环路。 2、生存树协议的几个基本概念: (1)网桥标识符:(网桥ID)生成树为每个网桥或交换机分配唯一的标识符。也叫网桥ID。 网桥ID=2字节优先级值+6字节的MAC地址 。mac地址值是唯一的,所以网桥ID也是唯一的。 网桥优级值越小,优先级越高。默认是32768,范围是0~65535。 (2)生存树路径开销:生成树路径开销是以路径中所有链路开销累加起来的总路径开销。是以链路的带完为基础的。 10Gbit/s默认路径开销为2 ;1Gbit/s为4 ; 100Mbit/s为19 ;10Mbit/s为100 (3)桥接协议数据单元(bpdu)的作用:选举根网桥;确定冗余路径的位置;通告网络拓扑变更; 监控网络生成树状态;阻塞特定端口避免环路。 分为:配置BPDU和TCN BPDU(拓扑通告变更BPDU)。 3、生成树协议的操作过程: (1)根据网桥ID选举一个根网桥。网桥ID值最小的成为根网桥。因为网桥ID是优先级+mac地址表示,所以优先级值最小的成为根网桥;优先级相同时,mac值最小的成为根网桥。 (2)选择所有非根网桥的根端口。与根网桥最近的端口或路径开销最小的端口成为一个网桥的根端口。每个网桥只选一个根端口。与根网桥直连的端口一定是根端口。 根端口的选举方法:到达根网桥路径开销最小的作为根端口-->路径开销相同时,端口优先级值低(即端口优先级高)的作为根端口-->端口优级相同时,MAC地址值小的作为根端口。 (3)选择所有网段的指定端口。从每个网段找出一个指定端口,到达根网桥路径开销小的端口为网段的指定端口,当开销相同时,网桥ID小的为指定端口。根网桥的所有端口都是指定端口。 (4)阻塞其他端口 (二)802.1D 协议 (stp) 对整个网络生成一个无环网络。 1、stp(802.1d)端口的状态: 阻塞(不转发帧,但监听BPDU包,不能学习接收帧的MAC地址) 监听 学习(不转发帧,但能学习接收帧的MAC地址) 转发(转发帧,也能学习接收帧的MAC地址) 禁用(不参与生成树,不转发数据帧) 端口从阻塞状态变成转发状态,要经过先变成监听,再变成学习,最后变成转发的过程。 2、计时 (1)hello时间,根网桥发送BPDU包的时间间隔,默认为2秒 (2)转发延迟:从阻塞状态变为转发状态所需的时间,默认25秒 (3)最大寿命:控制网桥端口保存配置bpdu的最大时间。默认20秒。可配为 6---40秒. 3、802.1D stp的配置: 需配置的几个点:优先级,端口开销,端口优先级。 还可以配置hello时间,转发延迟,和最大寿命。 SWITCH A: SA(config)#spanning-tree priority 4096 //把A交换机设为根交换机。设置优先级为4096,而默认是32678,所以优先级最高,成为根网桥。 或SA(config)#spanning-tree root primary //也把交换机A设置根交换机。 SWITCH B: SB(config)#spanning-tree priority 5000 //配置优先级值比A交换机大一点,比默认值小,配置成备用根交换机。 或SB(config)#spanning-tree root secondary //也可以配为备用根交换机。 SWITCH C: SC(config)#interface fast0/1 SC(config-if)#spanning-tree cost 10 //设置端口开销。默认fast开销为19,这里为10,将会被选举为根端口。(100M) SC(config-if)#spanning-tree port-priority 4096 //设置端口优先级(不是网桥优先级),当开销相同时,优先级高的为根端口。 //以上配置可以把SC中的fast0/1设为根端口。端口2和 SWITCH D: SD(config)#interface fast0/1 SD(config-if)#spanning-tree cost 10 //设置端口开销。默认fast开销为19,这里为10,将会被选举为根端口。(100M) SD(config-if)#spanning-tree port-priority 4096 //设置端口优先级(不是网桥优先级),当开销相同时,优先级高的为根端口。 SD(config)#interface fast0/2 SD(config-if)#spanning-tree cost 19 //即fast2端口的开销为19,也是默认的。 (三) pvst +增强的按VLAN的生成树 (802.1d的增强版,也属于802.1d,为了条理清晰才当作一大点) pvst+的特点: pvst + 为每个VLAN维护一个单独的生成树。而stp是为整个网络维护一个生成树。通过pvst+可以配置负载均衡。 配置: SWITCH A: SA(config)#spanning-tree vlan 2,4 //设置VLAN2和vlan4 SA(config)#spanning-tree vlan 2,4 priority 4096 //把A交换机设为vlan2和vlan4的根交换机。设置优先级为4096,而默认是32678,所以优先级最高,成为根网桥。 或SA(config)#spanning-tree vlan 2,4 root primary //也把交换机A设置为vlan2和vlan4r的根交换机。 SA(config)#spanning-tree vlan 3 //设置vlan3 SA(config)#spanning-tree vlan 3 priority 9152 //设置此交换机为vlan3的备用根交换机 或 SA(config)#spanning-tree vlan 3 root secondary //设置此交换机为vlan3的备用根交换机 SWITCH B: SB(config)#spanning-tree vlan 3 SB(config)#spanning-tree vlan 3 priority 4096 SB(config)#spanning-tree vlan 3 root primary SB(config)#spanning-tree vlan 2,4 priority 9152 SB(config)#spanning-tree vlan 2,4 root secondary SWITCH C: SD(config)#spanning-tree mode pvst //设置生成树的协议 SC(config)#interface fast0/1 SC(config-if)#spanning-tree vlan 2,4 cost 10 //设置端口开销。默认fast开销为19,这里为10,将会被选举为vlna2和vlan4的根端口。(100M) SC(config-if)#spanning-tree vlan 2,4 port-priority 4096 //设置端口优先级(不是网桥优先级),当开销相同时,优先级高的为根端口。 SC(config-if)#spanning-tree vlan 3 cost 19 SC(config)#interface fast0/2 SC(config-if)#spanning-tree vlan 3 cost 10 //设置端口开销。默认fast开销为19,这里为10,此端口将被选举为 vlan3的根端口。(100M) 或SC(config-if)#spanning-tree vlan 3 port-priority 4096 //设置端口优先级(不是网桥优先级),当开销相同时,优先级高的为根端口。 SC(config-if)#spanning-tree vlan 2,4 cost 19 //以上配置可以把SC中的fast0/1设为根端口。端口2和 SWITCH D: SD(config)#spanning-tree mode pvst //设置生成树的协议 SD(config)#interface fast0/1 SD(config-if)#spanning-tree vlan 2,4 cost 10 //设置端口开销。默认fast开销为19,这里为10,将会被选举为根端口。(100M) SD(config-if)#spanning-tree vlan 2,4 port-priority 4096 //设置端口优先级(不是网桥优先级),当开销相同时,优先级高的为根端口。 SD(config)#interface fast0/2 SD(config-if)#spanning-tree vlan 3 cost 10 //把fast2端口设为valn3 的根端口 SD(config-if)#spanning-tree vlan 2,4 cost 19 (三)802.1W 协议 (快速生成树协议RSTP) rstp是快速生成树协议,从阻塞到转发的转换速度要比STP要快。配置方法和pvst+几乎一样。且和stp相兼容。 SD(config)#spanning-tree mode rstp //设置生成树的协议 (四)802.1S (MST) 多生成树协议 1、目的:mst的目的是降低与网络的物理拓扑相匹配的生成树实例的总数。即把多个VLAN映射到一个MST实例中,从而减少生成树实例。 pvst+要为每个VLAN维护一个STP实例,可能需要很多不同STP拓扑的物理拓扑。 2、几个重要的概念: (1)cst:公共生成树。一个大的局域网中生成一个cst(公共生存树),以保证这个整体的局域网无环路。 (2)mst域:一个大网络中,可以把一些局部区域划分为mst域。一个大的整体网络中可以有一个或多个mst域。 一个mst域有三个属性:区域名,版本号,valn到生成树实例的映射关系。这三点相同的交换机才属于一个MST域。 当收到的bpdu中包含的三点属性值与自已的有任何一点不同,则接收BPDU的端口就是区域边界。 (3)ist内部生成树:一个MST区域内必须有且只有一个IST内部生存树实例。编号为0。IST的作用是与本区域外的其他区域和整体网络相沟通的。即与CST整体生成树是相互沟通的。 (4)mst实例(msti):即mst区域内的实例。一个mst区域内部可以有多个MST实例(msti)。编号从1开始,即msti1开始。ist内部生存树实例可以称为msti0,只是一个殊的MST实例。 个人整体的理解: 一个大的网络中,形成一个cst(公共生存树)。在这个大的网络中,这个cst可以使总体无环。 在这个大网络的局部,可以生成一个或多个mst区域。每个mst区域生成一个ist,且只能有一个ist。这个ist是与stp,rstp兼容的。这个ist是能被区域外的大网络中的其他网络所理解的。即ist是与大网络相交流的。 同时,一个mst区域可以生成一个或多个msti。每个msti依据信息独立计算自已的拓扑。每个msti与其他msti无关。每个msti再与区域内的vlan相关联。可以多个vlan关联到一个msti上。 3、两个注意点: (1)当mst区域中的某交换机为整个cst的根交换机时,则mst区域中的ist的根交换机为这个交换机。、 (2) 一个mst区域内的ist生成树实例的根交换机不一定是该区域中网桥ID最小的那台交换机。而是区域内到达整个CST根交换机开销最小的那始交换机。 如果cst的根交换机不是mst区域内的交换机时,则mst区域内的根交换机必须是区域中的边界交换机。且是到cst根交换机开销最小的边界交换机。 mst实例的根交换机就没有这些规定,与普通生成树的选举方法一样。 4、配置清单: SWITCH A: SA(config)#spanning-tree mode mst //选择mst生成树模式 SA(config)#spanning-tree mst configuration //进入mst配置子模式 SA(config-mst)#name tky //配置mst域名 SA(config-mst)#revision 1 //配置版本号为1 SA(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST实例 SA(config-mst)instance 3 vlan 3 //把VLAN映射到MST实例 SA(config)# spanning-tree mst 2 priority 4096 //配置MST实例的优先级。 把mst 2实例的根交换机配置本交换机 SWITCH B: SB(config)#spanning-tree mode mst //选择mst生成树模式 SB(config)#spanning-tree mst configuration //进入mst配置子模式 SB(config-mst)#name tky //配置mst域名 SB(config-mst)#revision 1 //配置版本号为1 SB(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST实例 SB(config-mst)instance 3 vlan 3 //把VLAN映射到MST实例 SB(config)# spanning-tree mst 3 priority 4096 //配置MST实例的优先级。 把mst 3实例的根交换机配置本交换机 SWITCH C: SC(config)#spanning-tree mode mst //选择mst生成树模式 SC(config)#spanning-tree mst configuration //进入mst配置子模式 SC(config-mst)#name tky //配置mst域名 SC(config-mst)#revision 1 //配置版本号为1 SC(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST实例 SC(config-mst)instance 3 vlan 3 //把VLAN映射到MST实例 SC(config)#interface fast0/1 //进入端口 SC(config-if)# spanning-tree mst 2 cost 10 //配置MST2实例的开销。此接口作为mst2中的根端口 SC(config-if)#spanning-tree mst 2 prot-priority 4096 //配置实例的端口优先级 SC(config)#interface fast0/2 //进入端口 SC(config-if)# spanning-tree mst 3 cost 10 //配置MST2实例的开销。此接口作为mst3中的根端口 SC(config-if)#spanning-tree mst 3 prot-priority 4096 //配置实例的端口优先级 SWITCH D: SD(config)#spanning-tree mode mst //选择mst生成树模式 SD(config)#spanning-tree mst configuration //进入mst配置子模式 SD(config-mst)#name tky //配置mst域名 SD(config-mst)#revision 1 //配置版本号为1 SD(config-mst)#instance 2 vlan 2,4 //把VLAN映射到MST实例 SD(config-mst)instance 3 vlan 3 //把VLAN映射到MST实例 SD(config)#interface fast0/1 //进入端口 SD(config-if)# spanning-tree mst 3 cost 10 //配置MST2实例的开销。此接口作为mst3中的根端口 SD(config-if)#spanning-tree mst 3 prot-priority 4096 //配置实例的端口优先级 SD(config)#interface fast0/2 //进入端口 SD(config-if)# spanning-tree mst 2 cost 10 //配置MST2实例的开销。此接口作为mst2中的根端口 SD(config-if)#spanning-tree mst 2 prot-priority 4096 //配置实例的端口优先级 四、增强的生存树协议 (一)portfast 1、作用:让阻塞端口直接过渡到转发状态。终端连到此端口后,直接立即连接到网络中,不必等待生成树进行收敛。 2、注意事项:此特性只用于接入层交换机的接入端口,即边缘端口。不能在中继端口上启用此端口,否则会有产生环路的风险。可全局配置,也可端口配置。 3、配置: SWITCH C: SC(config)#interface fast 0/3-8 //配置端口3-8 SC(config-if)# spanning-tree portfast //3-8号端口启用portfast特性。因为1和2端口是中继端口,所以不启用。 SC(config)#spanning-tree portfast default //整个交换机启用portfast特性。最好不要全局启用,以避免环路。 no spanning-tree portfast //此命令关闭portfast特性 SWITCH D: SD(config)#interface fast 0/3-8 //配置端口3-8 SD(config-if)# spanning-tree portfast //3-8号端口启用portfast特性。 SD(config)#spanning-tree portfast default //整个交换机启用portfast特性。最好不要全局启用,以避免环路。 (二)uplinkfast //上行链路加速 1、作用:主要用在接入层交换机。当接入层交换机有多条冗余链路连接到分布层时,多条冗余链路可以组成一个上行链路组。 只开通一条上行链路处于转发状态,其他的他部处于阻塞状态。当转发的链路发生故障后, 处于阻塞状态的其他冗余链路中的一条将快速过渡过到转发状态,无需经历监听和学习状态。 5秒内完成。 2、注意:启用uplinkfast将影响所有VLAN,不支持以VLAN为基础的uplinkfast 启用uplinkfast特性的交换机,须将交换机的优先级改回默认值,否则会失败。 因为启用此特性,会将把优先级自动改为49152,端口开销改为3000,以使交换机不能成为根交换机。如手工更改过优先级,将会失败。 3、配置 SWITCH C: SC(config)#spanning-tree uplinkfast //全局启用uplinkfast特性 SC(config)#spanning-tree uplinkfast max-update-rate 200 //表示每秒发送的多播数据包数目,此处设为200,默认是150个。 SWITCH D: SD(config)#spanning-tree uplinkfast //全局启用uplinkfast特性 (三)backbonefast // 骨干加速 1、作用:是对uplinkfast的一种补充。uplinkfst只是用于接入层。而backbonefast用于主干到主干之间的故障快速响应。 2、注意:想启用此特性,需要在所有交换机都启用backbonefast特性; 3、配置: SWITCH A\B\C\D上都加上一条全局命令: (CONFIG)#spanning-tree backbonefast no spanning-tree backbonefast //此全局命令取消backbonefast特性 (四)bpdu防护 1、作用:不接收任何bpdu包,即不参与STP,能防止交换机设备意外的连接到启用了portfast特性的端口,而造成环路。 2、注意:当收到bpdu包后将报错并关闭端口。需手工 no shutdown命令才会再开启。可全局或端口配置。 3、配置:因为只在接入层才启用portfast,所以只用配置 C\D交换机 SWITCH C: SC(config)#interface fast 0/3-8 //配置端口3-8 SC(config-if)# spanning-tree portfast //3-8号端口启用portfast特性。因为1和2端口是中继端口,所以不启用。 SC(config-if)# anning-tree bpduguard enable //3-8号端口启用bpdu 防护 //SC(config-if)#spanning-tree bpduguard disable //关闭bpdu防护 SC(config)#spanning-tree portfast bpduguard default // 全局启用bpdu防护 SWITCH D: SD(config)#interface fast 0/3-8 //配置端口3-8 SD(config-if)# spanning-tree portfast //3-8号端口启用portfast特性。 SD(config-if)#spanning-tree bpduguard enable //3-8号端口启用bpdu 防护 //SD(config-if)#spanning-tree bpduguard disable //关闭bpdu防护 SD(config)#spanning-tree portfast bpduguard default // 全局启用bpdu防护 (五)bpdu过滤 1、作用:能够防止交换机在启用portfast特性的接口上发送BPDU。 2、汪意事项:(1) 在端口上配置了BPDU过滤的,那么端口不发送任何BPDU,将收到的BPDU丢弃。 (2)在交换机全局性配置了BPDU过滤,交换机的端口在各自收到任何BPDU时,将参与STP中。变为STP中的链路端口。 BPDU过滤特性和PORTFAST特性将失效。 BPDU过虑在全局上配置和端口上配置是有区别的: 当端口上配置时,所有的BPDU包都不接受 当在全局上配置时,一个接口收到BPDU包时,将丢弃portfast特性和bpdu过滤特性,而参与到stp中,转为trunk(口继)端口。 bpdu过滤特性优先于bpdu防护。同时配置时,bpdu过滤特性生效。 3、配置 SWITCH C: SC(config)#interface fast 0/3-8 //配置端口3-8 SC(config-if)# spanning-tree portfast //3-8号端口启用portfast特性。因为1和2端口是中继端口,所以不启用。 SC(config-if)# anning-tree bpdufilter enable //3-8号端口启用bpdu 防护 //SC(config-if)#spanning-tree bpdufilter disable //关闭bpdu防护 SC(config)#spanning-tree portfast bpdufilter default // 全局启用bpdu防护 SWITCH D: SD(config)#interface fast 0/3-8 //配置端口3-8 SD(config-if)# spanning-tree portfast //3-8号端口启用portfast特性。 SD(config-if)#spanning-tree bpdufilter enable //3-8号端口启用bpdu 防护 //SD(config-if)#spanning-tree bpdufilter disable //关闭bpdu防护 SD(config)#spanning-tree portfast bpdufilter default // 全局启用bpdu防护 (六)根防护 1、作用:根防护特性能强制让端口成为指定端口。进而能防止周围交换机成为根交换机。指定端口连接的交换机肯定不能成为根交换机。 可以用在根交换机的指定端口,接入层的所有端口上。配置此特性的端口所连接的交换机不能成为根交换机。 switch A: SA(config)#interface range fast0/3-4 SA(config-if)#spanning-tree guard root //把A交换机的3和4端口配置根防护特性 switch B: SB(config)#interface range fast0/3-4 SB(config-if)#spanning-tree guard root //把B交换机的3和4端口配置根防护特性 switch C: SC(config)#interface range fast0/3-8 SC(config-if)#spanning-tree guard root //把C交换机的3和8端口配置根防护特性 switch D: SD(config)#interface range fast0/3-8 SD(config-if)#spanning-tree guard root //把C交换机的3和8端口配置根防护特性 五、交换机的稳定性和高级特性 (一)etherchannel 1、作用:多端口绑定成一个端口,以增加交换机之间的流量和稳定性。最多支持8个端口。支持二层和三层端口绑定。 2、支持的etherchannel协议: (1)pagp协议,端口汇聚协议,cisco专有协议。 pagp协义的模式: on(开启):强制端口形成etherchannel。要求本交换机的etherchannel通道的链路伙伴都是on模式,且对端交换机的端口也要为on模式时才能开启etherchannel。 on只与on模式形成etherchannel,与其他任何模式都不形成etherchannel。并且伙伴端口和对端端口都需要为on模式才能给成etherchannel通道. off(关闭):不允许端口形成etherchannel auto(自动):被动协商状态,也是默认的模式。即对端让他做什么他就做什么。从对端收到形成etherchannel的意愿,就可以组成etherchannel通道。对端为desirable模式才能组成etherchannel. desirable(企望):主动协商状态。即期望成为etherchannel端口。只要对方不拒绝即可形成etherchannel。对端是auto和desirable模式就形成etherchannel。 注意:pagp要求所有channel中的端口处理同一个VLAN或都配置成为trunk端口。 处于一个channel中的某一个端口配置进行修改时,该channel中的所有端口都需要作相同的修改。 pagp不能在不同速度或不同双工模式的端口之间工作。 (2)LACP协议,链路汇聚控制协议。业界的标准802.3ad。 lacp模式: on(开启): 强制端口形成etherchannel。用两端同时都为on模式时才能开通etherchannel。 off(关闭): 阻止形成etherchannel. passive(被动):默认模式。和pagp的auto模式相似。即对端让他做什么他就做什么。从对端收到LACP数据包后,即从对端收到形成etherchannel的意愿,就可以组成etherchannel通道。对端为active模式才能组成etherchannel. active(主动):即主动协商。即期望成为etherchannel端口。只要对方不拒绝即可形成etherchannel。对端是passive和active模式就形成etherchannel。 LACP的配置参数: 系统优先级:交换机用mac 地址和系统优先级作为 系统ID。并用 系统ID 与其他系统协商。LACP要求每个链路伙伴都有 系统ID。可手工指定系统ID,也可以交换机自动分配。 端口优先级:端口优先级和端口号生成端口ID。要求每个端口都有端口优先级,可手工指定和自动生成。 管理密钥:LACP要求通道内每个端口都有一个密钥值,可手工指定也可自动确定。管理密钥定义了端口与其他端口进行汇聚的能力。 3、etherchannel负载均衡 (1)stp将etherchannel当单个逻辑接口,因此把流量分布到etherchannel中的所有端口。 (2)并且可采用mac,ip,端口号(不是指交换机的端口,而是指TCP或UDP之类的第四层端口号)的方法实现负载均衡。 目的MAC或ip地址负载法:当有多条线路组成一个通道时,把目的地为某mac或ip地址的数据包经通道中一条线路传输。另一目的地为某mac或ip地址的数据包经通道中的另一条线路传输。 源MAC或ip地址负载法: 即某源mac或IP地址的经一条线路,另一mac地址或ip地址的经另一条线路。 第四层tcp或udp端口作为负载法:即以源和目标会话时的端口号作为均衡。如PC1,PC2到服务器2时的80端口用线路1,25端口用线路2 port-channel load-balance {src-mac|dst-mac|src-dst-mac|src-ip|dst-ip|src-dst-ip|dst-port|src-dst-port} port-channel load-balance{dst-mac|src-mac} 4、配置 switch A: SA(config)#interface gigabitethernet 0/1 SA(config-if)#switchport mode trunk SA(config-if)# switchport trunk encapslation dot1q SA(config-if)# channel-protocol lacp //协议为lacp,没有指定协议时,默认为pagp SA(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 // SA(config-if)# no channel-group //这个命令将一个接口从通道组中删除 SA(config-if)# duplex full SA(config-if)# speed 1000 SA(config-if)# no shutdown SA(config)#interface gigabitethernet 0/2 SA(config-if)#switchport mode trunk SA(config-if)# switchport trunk encapslation dot1q SA(config-if)# channel-protocol lacp // 协议为lacp,没有指定协议时,默认为pagp SA(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SA(config-if)# duplex full SA(config-if)# speed 1000 SA(config-if)# no shutdown switch B: SB(config)#interface gigabitethernet 0/1 SB(config-if)#switchport mode trunk //都为trunk口 SB(config-if)# switchport trunk encapslation dot1q SB(config-if)# channel-protocol lacp //协议为lacp,没有指定协议时,默认为pagp SB(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SB(config-if)# duplex full SB(config-if)# speed 1000 SB(config-if)# no shutdown SB(config)#interface gigabitethernet 0/2 SB(config-if)#switchport mode trunk SB(config-if)# switchport trunk encapslation dot1q SB(config-if)# channel-protocol lacp // 协议为lacp,没有指定协议时,默认为pagp SB(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SB(config-if)# duplex full SB(config-if)# speed 1000 SB(config-if)# no shutdown 4、三层接口的ethernetchannel配置: switch A: SA(config)#interface gigabitethernet 0/1 SA(config-if)#no switchport //端口改为三层接口 SA(config-if)# channel-protocol lacp SA(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SA(config-if)# duplex full SA(config-if)# speed 1000 SA(config-if)# no shutdown SA(config)#interface gigabitethernet 0/2 SA(config-if)#no switchport //端口改为三层接口 SA(config-if)# channel-protocol lacp SA(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SA(config-if)# duplex full SA(config-if)# speed 1000 SA(config-if)# no shutdown SA(config)#interface port-channel 1 SA(config-if)#ip address 192.168.9.1 255.255.255.0 SA(config-if)#no shutdown switch B: SB(config)#interface gigabitethernet 0/1 SB(config-if)#no switchport //端口改为三层接口 SB(config-if)# channel-protocol lacp //协议为lacp SB(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SB(config-if)# duplex full SB(config-if)# speed 1000 SB(config-if)# no shutdown SB(config)#interface gigabitethernet 0/2 SB(config-if)#no switchport //端口改为三层接口 SB(config-if)# channel-protocol lacp //协议为lacp SB(config-if)# channel-group 1 mode on //模式为on,且把此端口加入到通道组1 SB(config-if)# duplex full SB(config-if)# speed 1000 SB(config-if)# no shutdown SB(config)#interface port-channel 1 SB(config-if)#ip address 192.168.9.2 255.255.255.0 //设置IP地址 SB(config-if)#no shutdown 六、vlan间路由 (一)基本知识: 1、vlan与vlan之间无法直接通信,需要第三层路由,建议在分布层和接入层进行VLAN间路由 2、执行三层路由的方法:任意三层交换机; 支持链路聚集的外部路由器(单臂路由器);在每个VLAN中都有独立接口的任意外部路由器(即有多个接口的路由器) (二)三层交换机连接VLAN 1、三层交换机的接口的类型: (1) 二层接口: 不具备三层交换功能。普通二层交换机接口功能。一般三层交换机用 switchport命令可将三层交换机具有三层接口配置为二层接口。 (2)路由接口:类似于cisco ios路由器上的路由器端口,纯第三层接口,不与特定VLAN相关联。可以看着一个普通的路由器接口。一般三层交换机端口默认是二层接口,要转为三层接口,用 no switchport接口命令可转成三层接口。 (3)交换机虚拟接口(svi):主要功能就是用于完成VLAN间路由器选择。SVI是一种与VLAN-ID相关联的虚拟VLAN接口。目的是为了启用该VLAN的路由选择能力。 (4)网桥虚拟接口(BVI):是一种三层虚拟接口,与SVI类似。能跨越桥接或路由域来路由数据包。不常用。 (5)总结:物理上讲三层交换机只有二层接口和三层接口两种。从功能上讲三层接口又分了:纯路由接口、SVI、BVI三种接口。 2、路由接口详解: 路由端口类似于cisco ios路由器上的路由器的纯第三层接口,不与特定VLAN相关联。 普通路由器的路由端口主要用于点到点链路,用于连接WAN路由器和安全设备。 多层交换机的路由端口主要用于主干层中的交换机相连;主干和分布层交换机相连,前提是分布层也布署了三层交换机的路由端口。 3、SVI详解:也是重点要讲的。 svi是用于VLAN间路由的。必须为每个SVI接口配置IP地址和掩码,并要和VLAN属于一个子网。 SVI的步骤: (config)#ip routing //启用路由器上的IP路由选择能力 (config)# router 路由协议 //配置路由协议 (config)# interface vlan vlan-id //为每个VLAN配置一个SVI接口,并为接口配置。 配置: Switch A: SA(config)#intrface vlan 2 SA(config-if)#ip address 192.168.2.2 255.255.255.0 //设置VLAN2的IP地址。想静态配置的话,就在此处定义IP地址,然后手工把客户端地址设为此子网内的IP地址,然后把网关设为此地址即可。想动态分配客户端地址的话,就让DHCP服务器自动分配。如DHCP不在本VLAN中,就要如下配置中继代理。 SA(config-if)#no shutdown SA(config)#intrface vlan 3 SA(config-if)#ip address 192.168.3.2 255.255.255.0 //设置VLAN3的 SVI IP地址。 SA(config-if)#no ip directed-broadcast //动态配置IP地址 SA(config-if)#ip helper-address 192.168.2.10 //DHCP中继代理的配置。动态为客户端分配IP地址,后面的IP是DHCP服务器的地址。因为DHCP要广播地址,而三层接口不传送广播信息,所以此处是配置一个DHCP中继代理。 SA(config-if)#no shutdown SA(config)#intrface vlan 4 SA(config-if)#ip address 192.168.4.2 255.255.255.0 SA(config-if)#no ip directed-broadcast SA(config-if)#ip helper-address 192.168.2.10 SA(config-if)#no shutdown (四)单臂路由 |