本章关于企业网络的最底层——交换层,难度较低,主要为以后三层的路由做铺垫。所有笔记的分类顺序为:序章→交换层→路由层→运营商,体现了从企业网到互联网的学习顺序。
注:思科设备命令行通常不分大小写!以后不再赘述。
一。交换机工作原理
1. 数据格式:帧/分组/段头/负载/帧尾
2. 数据传输方式
单播 unicast
广播 broadcast
3.集线器工作原理
特点:信号放大、泛洪
4.交换机原理
Mac地址表:每个接口一个本地mac,接口接收的数据源mac与接口关联。
交换机收到一个未知目的mac的数据帧会泛洪(路由器会丢弃)
一个接口一个冲突域
所有接口构成广播域
5.冲突域与广播域
用集线器组成的二层网络是一个广播域和一个冲突域
用交换机组成的二层网络是一个广播域和多个冲突域
交换机分割冲突域;路由器分割广播域
二。VLAN
1.
虚拟本地接入网:分割广播域(不同vlan间不允许广播流流通)、安全性
2. vlan详解
标识:vlan-id:1~4096或字符标识(便于管理员识别)
一般一个部门一个vlan(一个网段)
3. Vlan类型
Native vlan本帧vlan,vlan 1
默认vlan
Normal vlan 常规vlan
2~1001
保留vlan 1002~1005
扩展vlan 1006~4096
4. vlan的配置(二层交换机)
Step 1 规划
Step 2 进入vlan数据库
Vlan database
Step 3 创建vlan
Vlan<…>name<…>
Step 4 接口划入vlan
Interface<…>
Switch mode access
Switchport access
vlan<…>
注:一次进入多个接口的配置模式:如int ran
fa0/1-3,fa0/7-9
5. show vlan
三。Trunk-link
1. 在交换机间承载和传递所有vlan流量
让不同交换机上相同vlan流量通信
2. 插入vlan-id tag机制
10bit?
IEEE802.1Q dot1q(公开)
在帧头中插入vlan-id
3. ISL内部交换标签机制(不常用)
添加ISL头和ISL尾 12bit 小巨人帧
4. trunk link carry list
手动设置trunk
link可承载的指定vlan流量
5. 因为vlan 1流量没有标签,可以将其他vlan改为vlan
1
6. trunk link的配置
Step 1:分析。(多层交换机之间未必是trunk
link)
Step 2:选择用dot1q还是ISL
Step 3:接口下配置
Switchport trunk
encapsulation
(二层交换机只要switchport mode
trunk)
7. show int
8. 交换机接口模式
Access 二层交换机端口默认
Trunk 交换机之间
Router 一般只有多层交换机有
Dynamic 只有多层交换机用,且是默认
四。VTP
1. 虚拟trunk协议:用来同步vlan的配置
2. vtp模式(默认开启,基于trunk
link才能正常工作)
Server 默认模式
创建修改删除vlan配置 发送接收vtp消息
能同步他人也能被他人同步
Client
不能创建修改删除vlan配置 接收vtp消息
能同步他人也能被他人同步
Transparent
创删修vlan配置 透传所能接收的vtp消息
不能同步也不能被同步
Off
关闭模式
3. vtp的域名、密码、修订号
这三个信息被vtp消息所携带,域名与密码一定要相同才能同步
修订号默认0,vlan创建删除都使其加1
4. vtp的配置
Step 1:分析
Step 2:完成trunk link的配置
Step 3:vtp配置
Vlan database
Vtp
Vtp domain<…>
Vtp password<…>
Step 4:vlan 配置
Step 5:接口划入vlan
5. 实验(冗余链路防止单故障点)
实验需求:利用trunk link vlan vtp保证vlan
每个vlan的主机相互通讯
实验步骤
Step 1:设备基本配置
Step 2:配置trunk link
Step 3:配vtp
Step 4:配vlan
Step 5:接口划入vlan
五。生成树协议(重要)
1. 造成环路的问题
交换机建立mac地址列表的过程
单播与广播
错误的mac表
数据帧的重复接收与发送
交换机端口都有学习与转发的能力,可能产生广播风暴
2. stp
Spanning tree生成树协议
在交换网络中避免环路并提供冗余作用
3. Stp版本
IEEE
802.1d(stp)、802.1w(rstp)、802.1s(mstp)
4. stp术语
参考点
非参考点
以根桥为参考点计算到根桥的最佳路径
5. 端口状态(交换机接口所经历的过程)
Init初始 准备参与stp计算
端口不具学习转发能力,2秒进入下一状态
Blk堵塞
也不具备学习转发能力,20秒进入下一状态
Lis帧听 开始stp竞选
不具学习转发能力,选出的DP与RP经15秒后进入下一状态
Lrn学习 DP与RP学习mac地址
但不能转发数据
Fwd转发 既可学习也可转发 正常工作
6. 交换机角色、端口角色
根桥(交换机以前叫做网桥)
非根桥
指定桥
根端口 位于非根桥 用于抵达根桥的接口
指定端口 位于指定桥上(根桥也是指定桥)
7. BPDU
网桥协议数据单元
Stp消息 消息就是不同于正常工作数据的比特流?
35byte(还是挺大的一个消息)
间隔两秒周期发送
用来竞选交换机角色与端口角色
8. stp竞选过程
根桥竞选比较参数
BID网桥ID
根桥竞选后可被取代,非根桥创建老化计时器20s?
根端口的竞选参数
Cost开销(与带宽成反比)
10m 100
100m 19
1G 4
10G 2
根桥开销为0
发送者的BID网桥标识(越小越优)
优先级 默认32768(2的15次方)
MAC地址(不是端口地址)(也不在mac表中)
发送者的PID(小则优)
优先级 默认128
接口编号
本地接口编号 大优
指定桥竞选参数
Cost
BID
9.
PVST每vlan生成树(默认开启,调用stp)
Stp无环拓扑称为实例instance
Extend system
ID:为了保证每个vlan有独立的BID
根桥的修改靠改变优先级、本地cost
根桥的优先级是4096的整数倍
端口优先级是16的整数倍
10. stp增强特性
Portfast快速端口
配置之后,该端口直接进入转发转发状态,一般放在与终端的接口上
Bpdu guard保护
Portfast接口上收到bpdu立刻关闭
Bpdu filter过滤
接口重新参与计算
Guard root根防护
接口收到更优的bpdu被关闭
11. 实验
实验需求:
利用vtp实现vlan同步
Vtp server实现冗余备份
创建vlan 1~10。
mlsw1是奇数vlan根;mlsw2是偶数vlan根
接入层流量按拓扑图走
(模拟器中router3600插槽NM
16ESW)
实验步骤
Step 1:取消路由功能
No ip routing
Step 2:trunk link
Step 3:vtp设置
Step 4:vlan配置并校验
Step 5:接口划入vlan
Step 6:分析查看当前拓扑
Show spanning tree
bridge
Show spanning tree root
Show spanning tree brief
Step 7:修改奇偶vlan的根桥
Spanning tree vlan 1 3 5 7 9
priority 4096
Step
8:多层交换机间修改根端口,使得奇偶流量分行
目前奇偶流量都走上面(接口编号小)就是把偶数vlan流量改到下面
接口下:spanning tree vlan 2 4 6 8 10 cost
100
Step
9:校验二层交换机的奇偶vlan是否有自己的根
六。RSTP与MSTP
1. RSTP快速生成树
IEEE 802.3w
端口状态
Discard丢弃状态 等于STP中的前三种状态
15s后进入下一状态
Learn学习状态 15s后进入下一状态
Forward转发状态(正常工作状态)
(用packet
tracer模拟器可观察到30s左右完成收敛)
端口角色
DP
RT
ALT替代端口 根端口的备份
BCK备份端口 指定端口的备份
(大部分堵塞端口都是替代端口)
Edge port就是快速端口,直接进入转发状态
接口模式告诉交换机对方是什么
TCN/TCA(建立在TCP连接上)
拓扑改变通告/拓扑改变确认
2. MSTP介绍
IEEE 802.1s
利用stp rstp实现巨型交换网解决方案
允许多个vlan使用同一个vlan实例
允许对交换网层次化的结构设计:骨干层与非骨干层
CIST Common and Internal Spanning
Tree公共和内部生成树
IST利用rstp创建无环拓扑
CST利用stp创建无环拓扑
3. MSTP术语
域名 url domain
修订号
实例instance 最多64个
4. MSTP配置流程
Step 1:规划
Step 2:spanning tree mode
mst//生成树切换成cst
Spanning tree mst
configuration//进入RST模式?
Name<…>
Revision<…>
Instance<…>vlan1 3
5(或1-3)//划入同一个实例
(show mst configuration)
mstp根据实例修改根桥与根端口
spanning tree
mst<…>priority<…>
spanning tree
mst<…>cost<…>
spanning tree
mst<…>port-priority<…>
七。EC与端口安全
1. port security
Mac地址与接口绑定,限制接口关联的mac地址
设置规则,一旦触发规则,接口关闭
Shutdown关闭 默认
Protection保护
Limit限制
2. EC以太网通道
将物理链路捆绑成逻辑链路(做多8个)
被捆绑的链路必须参数一致
逃避stp计算!扩充传输速率
通常配置在核心交换层中
分为二层EC与三层EC
二层EC捆绑链路的模式一致(access或trunk)
3. 二层EC的实施
手动配置:管理员指定哪些接口被绑定
动态协商:
Pagp端口聚合协议
Lacp链路聚合控制协议
4.EC解析实验
实验需求:交换机间实现access和trunk的EC
实验步骤:
Step 1:交换机基础配置
Step 2:access的EC配置
Int ran<…>
Shutdown
Channel-group <组号> mode
on
(show etherchannel
summary)
(default interface
<…>接口恢复出厂配置)
(show run
interface<…>)
Step 3:配trunk的EC
Int<…>
Channel protocol
Channel
group<…>mode
5. 端口安全试验
Mlsw1配置端口安全,mlsw2作为测试机去触发端口安全规则,观察现象
关键试验步骤:
Show int e0/0 | include hard
//筛选关键字
Switchp mode access
Switchp port-security //可加上maximum
1
Switchp port-security mac-address
sticky?
(show port-security)
八。初涉路由
1.
定义:基于路由表寻路,找出最佳路径抵达目标网络
路由表也叫RIB(路由信息库)
(show ip route)
路由代码:描述路由条目如何进入RIB的
格式:code目标网络 AD/metric 下一跳 出口
计时器
路由表构建过程
直连网络(包括环回口)
手动(如静态路由)
动态(路由协议)
路由选路:逐条最长匹配
2. 单臂路由实验
利用路由器使二层不同vlan通讯
实验需求:利用单臂路由让PC0与PC1通讯
实验步骤:
Step 1:完成PC上ip设置
Step 2:交换机基础配置
Step 3:路由器上的配置
Router(config)#interf f0/0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#interf f0/0.1
Router(config-subif)#enca dot1q
10
Router(config-subif)#ip add 192.168.1.254 255.255.255.0
Router(config-subif)#exit
Router(config)#interf f0/0.2
Router(config-subif)#enca dot1q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Step 4:PC相互ping通
3. 多层交换机的路由功能
SVI交换机虚拟接口:vlan被添加ip当做接口使用
关键命令:
Ip routing
Int vlan <…>
Ip add <…>
九。网关协议(重要)
1. 网关冗余的挑战
网关ip地址
多余的arp
巨大延迟
不透明
2. 首跳冗余性协议FHRP(first hop
redundancy protocols)包括:
热备份路由器协议HSRP(hot standby router protocol)。
虚拟路由冗余协议VRRP(virtual router redundancy protocol)。
网关负载均衡协议GLBP(gateway load balancing protocol)。
|
HSRP |
VRRP(模仿HSRP) |
GLBP |
|
思科私有RFC2281 |
IEEE标准RFC3768 |
思科私有 |
|
UDP1985 |
IP协议112(端口号) |
UDP3222 |
|
224.0.0.2 |
224.0.0.18(通告地址) |
224.0.0.102 |
|
每组通常2台网关 |
最多16个网关 |
最多4个网关 |
|
最多16组? |
最多255组(每个路由器) |
最多1024组 |
|
0000.0c07.acXX |
0000.5e00.01XX(虚拟mac) |
0007.b4XX.XXYY |
|
1个活跃和备份(其余候选) |
1个主用,若干备用 |
1个AVG若干AVF |
|
一个ip一个mac |
一个ip一个mac |
一个ip多个mac |
|
虚拟ip与接口ip不同 |
虚拟ip可与接口ip相同 |
虚拟ip与真接口ip不同 |
|
可追踪接口或对象 |
只可追踪对象 |
只可追踪对象 |
|
默认hello 3s,hold 10s |
默认hello 1s,有skew时间 |
默认hello 3s,hold 10s |
|
明文认证 |
明/密文认证 |
明文认证 |
3. HSRP的问题
组中2台设备
Active一旦选定通常不变
监控不足
Ip地址的消费
4. HSRP配置流程
Step
1:确认组号,虚拟ip,优先级及抢占跟踪等问题
Step
2:接口下(路由器)或SVI下(多层交换机)配置
Standby<组号>ip<虚拟ip地址>
Standby<组号>priority<0~255>
Standby<组号preempt
(show standby brief)
5. HSRP解析实验
补充知识:环回接口是一个逻辑接口,可分配ip模拟一个目标网络
实验需求:R2是active;R1是standby;互为备份
实验步骤:
Step 1:完成PC的ip设置
Step 2:路由器基础配置
Int loopback0
Ip add <…>
Step 3:完成HSRP配置
其中在R2上:
Int e0/0
Standby 12 ip 10.1.1.3
255.255.255.0
Standby 12 priority 101
Standby 12 preempt
PC上追踪路径:
Trace 10.1.1.3
Step 4:R1R2上都配置对象跟踪
Track 1 int loop0 line-p
接口下:standby 12 track 1 decrement
10
6. VRRP
vrrp group-number track
{interface-name | track-id} [decrement]
no vrrp group-number track
{interface-name | track-id}
描述 group-number
指定group-number号,取值范围是1-255。
interface-name
指定监控的接口。
track-id
指定监控的track对象ID。
Decrement
指定优先级降低幅度。缺省10。
这里还要在全局模式下配置track组
track track-ip intface
intface-id line-protocol
注意:
在启动了vrrp后,才可以配置该命令。
7. GLBP术语
热备份组 组中最多4台设备
一个虚拟网关ip
最多四个虚拟网关mac 由AVG分配
AVG激活虚拟网关
AVF激活虚拟转发者 组中4台都是AVF
Weight权重
8. GLBP实验
实验需求:R1~R4创建环回口,模拟目标网络
R3扮演AVG
R1~R4做权重跟踪
(show glbp brief)
接口下配置对象跟踪:
Glbp 1 weighting 100 lower
90
Glbp 1 weighting 100 upper
110
Glbp 1 weighting track 1 decrement
10