交换机基础四73 PortFast:由于STP的原因,端口起来经过两个Forward delay,就是至少30s后才能转发数据。然而对于连接了主机和服务器的的端口,进行STP不是必要的,因为此接口不会造成环路,因而没必要等30s,此端口可以跳过STP的计算,因而思科想出了只要将端口配置为Port Fast就可以了。无论access或trunk接口都可以配置这个功能。不过不能将连接交换机的接口变成port fast,当开启这个功能,若收到BPDU,就会认为对端为交换机,会关闭此功能。
由于配置为port fast功能,若对于连接主机是没有问题,若是连到了交换机上,接收到BPDU,会出现错误的配置,为了避免,出现了BPDU Guard功能,此功能在端口接收到BPDU后,立即showdown接口或进入err-disable状态。
78 BPDU Filtering:可以过滤掉在接口发出或收到的BPDU,相当于关闭了接口的STP,可能引起环路。配置也分为接口和全局模式下。效果也不同。全局,只能在开启了portfast的接口上过滤BPDU,并只能过滤掉发出的BPDU,并不过滤收到的BPDU。所以不能阻止BPDU的过来,出现问题。
79 UplinkFast:注意在非根网桥中,会存在某些端口被阻塞的情况,当非根网桥的一些转发接口进入故障,一般情况需要阻塞状态的端口开启需要50s时间,然而通过开启这个uplinkFast功能,可以立即启用阻塞的端口。另外,UplinkFast只能在交换机全局开启,不针对VLAN单独开启,也不支持MSTP模式。它恢复网络的时间大约在1-5s。
81 BackboneFast:由于uplinkFast的局限性,只能检测自己有状态down了,能开启block状态的端口,如果这个交换机这边没有block端口,只有和他连着的对端有,他此刻就需要通知对方开启block才能有用。此时,会以自己为根,向网络中发出inferior BPDU,这个BPDU表示交换机是根交换机,又是普通交换机。一般交换机收到这个优先级低的BPDU,会默认丢弃,不过开启了BackboneFast功能后,意味着自己有链路中断,而又没有端口来开启。若是交换机都开启了backboneFast功能,在对端交换机收到这个BPDU后,将blocking端口变成转发状态,并向根交换机做出回应。注意要所有交换机都开启这个功能,不能针对VLAN单独开启,也不支持MSTP。
作用:当一个已经选好根网桥的稳定交换环境中,当为此系统新添交换机时,要是这个交换机的优先级很高,甚至超过原来的根网桥,这样会使重新计算,为了实现这个不强占的功能,引入root guard,当开启了这个功能,如果在此端口连接的新交换机试图成为根交换机,那么此端口并不会成为根端口,相反,此端口进入inconsistent(blocked)状态。防止了强占。注意点:运行MSTP,开启了root guard的端口强制成为指定端口;开启root guard的端口在哪个vlan,root guard就对哪些vlan生效;不能在需要被uplinkfast的端口上开启root guard;root guard在可能连接新交换机的端口上开启。
对于一些特殊的现象,诸如线路只能收而不能发BPDU,或者类似的,可能会导致网络出现意想不到的环路。因而为解决这个问题,引入Loop Guard的概念,建议这个功能在非指定端口上开启,不过一个交换环境中没有block端口,就不需要开了,本来就无环。接口在哪个VLAN中,哪些VLAN就生效,像Trunk在所有。在EtherChannel上对整条生效。注意:Portfast的接口不能开启Loop Guard;Root Guard和Loop Guard不能同时开;Root Guard支持PVST+,rPVST+,MSTP。
当两台交换机之间连接多台线路是,由于STP会阻塞掉其他的端口。然而我需要增加这些线路来达到增加带宽的目的,我们就用到了EhtherChannel,他可以将交换机上多条线路捆绑成一个组,相当于逻辑链路。组中的所有物理链路同时转发数据,提高带宽,当组中有物理链路断开,流量会被转移到剩下的活动链路中。他只支持Fast Ehternet接口和Gigabit Ehternet接口捆绑,10M的也不行。最多8个接口捆绑。而且必须在两边交换机都做EhterChannel捆绑。
88 将接口工作在EhterChannel组中,可以通过手工强制指定接口,也可以通过协议自动协商。如果手工强占不需要协议,自动协议有两种:PAgP,LACP。无论手工还是协商,交换机双方都必须采取相同的方式和协议,否则出现异常。PAgP是思科私有,只有双方都为思科时才能用,而LACP是IEEE协议,只要支持EtherChannel的任何交换机都可以。
89 当接口为PAgP作为协议时,有两种模式可选。Auto:只接收PAgP协商消息,并做出同意工作在EtherChannel下,并不主动发出协商,属于被动状态。Desirable:主动发送PAGP协商消息,属于主动模式。因而两边都为Desirable,协商成功,都是Auto,不能成功。
90 当接口协议用LACP时,也有两种模式。Passive:只接收LACP协商消息,并做出同意,属于被动状态;Active:主动发送LACP协商消息,主动要求对方工作在EtherChannel下,属于主动模式。
91 在配置以太接口时,除了在接口上配置以上两种协议来自动协商外,还可以强制让接口工作在以太接口下而不需要协商,配置为ON的模式,此时两边都要为ON,否则不能转发数据。
92 配置PAGP时,可以配置non-silent关键字,如果不指定non-silent,默认为silent。Silent表示即使不能从对端设备接收到PAGP协商数据,也使物理接口工作在以太接口组中。non-silent表示只有在和对方协商成功之后,才使工作在以太组中。意味着一个需要协商,一个不需要协商。
93 EhterChannel的二层三层之分,它在捆绑后产生的逻辑接口也有二层三层之分。当接口捆绑后,会自动生成逻辑接口,称为port-channel,port-channel接口和EhterChannel组的号码相同,但范围是1-48。使用二层接口时,在物理接口配置参数后,port-channel接口会读取物理接口下的参数,但必须组成的所有接口都做相同的配置;在port-channel接口下的配置也会自动在物理接口下生效。当使用三层接口时,必须先将物理接口变成三层接口后,再捆绑,配置三层接口,应该到port-channel接口下做配置,不能直接配置物理接口。以上就是区别。假使用的2层etherchannel,那么组中第一个正常工作的接口的MAC地址是port-channel接口的MAC地址。
94 注意:配置ehterchannel组时,需要定义组号码,但不超过48个组。两边的组号码可以不同。PAGP组中不能超过8个接口,LACP中不能超过16个接口,但只有8个活动接口。两个协议可以配置在同台设备上,但不能配置在同一个组中。组中的接口不能是SPAN的目标接口和安全接口以及802.1x端口。将接口配置为2层时,全部必须在相同VLAN,如果是trunk,native vlan必须相同。配置好EtherChannel组后,在port-channel下配的参数会对所有物理接口生效,但对单个物理接口配置的只对单物理接口生效。多个接口捆绑单条EtherChannel后,在STP中,被当作单条链路计算,同时path cost值会和原来物理链路不同。
95 EtherChannel的负载均衡方式。1 Source-MAC:基于源MAC,也是默认的,不同源主机,流量可能从不同的接口发出去,但相同的源主机走相同接口。 2 source and destination mac:同时基于源和目标MAC,流量从A到B和从A到C走不同接口。 3 Source IP:基于源分流。 4 Destination IP:基于目的IP分流。 Source and Destination IP :基于源和目的IP分流。虽然可以改变流量,但是每条物理链路支持的流量比例都是固定分配好的。
就是同台交换机在相同VLAN的两个接口主机,当两个接口都配置了protect,那么这两台机器不能通信,若一台protect,一台是正常的,那么还是能正常通信的。int fa0/1 ;swithport protect
默认,交换机收到未知MAC流量会泛洪,不过交换机也可以选择在交换机接口上拒绝未知MAC的流量。
手工添加MAC地址和接口的对应关系,会保存在地址表和run config中,动态学校的只放在mac地址表中,重启后丢失。
101 注意:1 默认端口安全是关闭的,默认只允许一个安全MAC地址 2 只能在静态access接口和静态trunk接口上陪端口安全,不能在动态上配。3 端口安全接口不能是SPAN的目标接口,不能在EtherChannel中。
102 手工添加的MAC没有老化时间的限制,动态获得的MAC,在安全端口下有两种老化类型:absolute:绝对时间,无论MAC地址是否在通信,超时就从表中删除;inactivity:当MAC地址没有流量的情况下,超过一定时间后,才从表中删除。单位是分钟,范围是0-1440。
104 IP Source Guard:这是一种扩展性较高的安全防护特性的。可以根据数据包的IP地址或IP与MAC地址做决定。如果不允许了,会做丢弃处理。
由于该机制,所有需要一张IP和MAC的转发表,表称为IP source binding table,只能被IP source guard使用,而此表,只有在交换机上开启DHCP snooping功能后,才会生成。这张表可以自动学习,也可手工添加,如果自动学习,是靠DHCP snooping功能学习的,所以只有客户端通过DHCP请求的地址,并且DHCP服务器的回复是经过交换机时,才能被DHCP snooping学校到。主机请求DHCP服务器获得地址是,服务器向主机提供地址是,这个信息在穿越交换机时,IP信息会被记录,并且被自动生成的ACL允许转发,这个ACL无法在正常配置下看,只能通过表的方式看。这样以后,只有主机从DHCP服务器自动获得的IP可以通过交换机,其他IP流量被拒绝。因而可以防止其他主机的IP地址来攻击网络。表有什么变化,ACL会自动同步改变。要想联合用IP和MAC的功能,还必须开启port security功能。
106 相关配置:说明,假如一台交换机分别连到R1,R2,R3,交换机上做这个安全配置,R1做DHCP服务器,下面做主机。
应用在二层接口上,并没有任何特别之处,只支持in方向,一个接口只能用一条ACL,IP或MAC的ACL都可以应用到二层接口,但不能应用在EtherChannel。
应用到三层接口后就是RouterACL,只能是IPACL,方向可以是in或out,每个接口只能用一条ACL。
用在VLAN和VLAN之间的,相同的VLAN也是可以过滤的,只要流量可以进出VLAN。他是通过调用ALC支持功能的,当需要控制IPv4流量,就用IP ACL;当需要其他流量,就用到MAC ACL。VLAN的ACL没有方向,只能通过进出检测。匹配到的动作默认是转发,没有匹配的默认丢弃。port acl优先级最高
4 配置IP ACL是,可以使用数字,也可以用名字,名字的好处可以删除单条ACL,而数字只能删除整条ACL。
分别配置双方的流量,一定要考虑来回方向,因为VLAN ACL没有方向的。
默认交换机端口尽力转发数据,只有硬件性能不足时才丢弃包,有时协议错误,配置错误或人为攻击,导致网络流量增大时,将影响网络的性能,此时可以限制流量占有接口的带宽,使用Storm control来实现。他可以现在broadcast,multicast,unicast的流量带宽,接口上开启了storm control后,便开始监控流量从接口到交换机总线的速度,做统计并将此速度和预先配置好的阀值比较,阀值分为上限和下限。流量达到上限后,流量被block,直到低于下限后,恢复正常.
配置阀值时,上限必须配置,下限无所谓,若没配置,值和上限相同。当超过上限时,OSPF,EIGRP都被丢弃,但BPDU,CDP流量不丢弃。配置strom-control,可以对物理接口和EtherChannel上配置。可以设置达到上限后,采取相应的处理动作,分为shutdown和trap,shutdown达到上限,接口进入error-disable状态,trap流量达到上限后,产生SNMP Trap消息,默认的动作是丢弃流量而不产生SNMP Trap消息。
通过交换机将其他正常流量复制一份发送到接有监控主机的接口即可。此时的监控流量就比较牛了,不过要让交换机就将正常流量复制下来并发送到相关端口,需要靠SPAN来实现。SPAN允许将交换机的任意端口或任意VLAN上的流量复制之后发送到其他任何端口上。要将复制的流量发送到某端口,所有SPAN需要明确源和目的,SPAN只复制从源收到的流量,然后只发送到目的。SPAN可以将接口或VLAN的流量复制下来,所以SPAN的源可以是物理接口也可以是VLAN,复制的流量可以接收,可以发送出去。也有流量不能复制,如三层流量需要被交换机路由到源VLAN的流量,也就是需要交换机查路由表将流量发送到源VLAN的流量是不能复制的,但从源VLAN被路由到外面去的流量还是可以的。当SPAN的源和目的在同台交换机上,称为Local SPAN,即SPAN;当SPAN的源和目的在不同交换机上,称为Remoe SPAN,即RSPAN。目标端口不能接收其他流量了,SPAN复制的流量通过发送到某个VLAN,然后从Trunk上传到目标交换机,这个VLAN就是RSPAN VLAN,从源到目标上的每台交换机都配置RSPAN VLAN。
116 配置RSPAN时,只需要在源交换机和目标交换机上配置即可,如果中间还有交换机,中间的只需要配置RSPAN VLAN,而不需要其他参数。在源交换机上,将SPAN的源定义为物理接口或VLAN,必须将目的定义为RSPAN VLAN,不能其他目标交换机上将SPAN的源定义为RSPAN VLAN,并将目的定义为物理接口,目标交换机从RSPAN VLAN中收到的流量后,转发到目标接口。
7 如果一个目标端口在源VLAN中,则会被源排除在外 8 当源端口是TRUNK时,那就是所有VLAN的流量都被复制,但可以过滤某些VLAN9 就只有在list中的VLAN的流量才会被复制。10 当一个接口变成SPAN的目标端口后,所有配置丢失,关闭SPAN后,则配置恢复。 11 如果目标端口在EtherChannel组中,将从组中消失 12 目标不能是安全端口,也不能是源 13 目标不能是EtherChannel group或正常VLAN。 14 一个目标端口不能成为两个会线 目标端口不会转发SPAN流量之外的任何流量 16 配置源时,多个源可以一条命令配完,也可以分多条命令配置。
交换机没用任何模块在接口上,如果接口出现故障,很快能察觉,当接口上使用了模块后,如光纤模块,当模块出现故障,交换机不能保证察觉。当交换机自己不能发送,接受数据,而对方能发送和接收数据时,可能引起STP环路,这样的故障叫做单向链路故障,而交换机上的特性UDLD则是用来专门检测此类单向链路故障的。UDLD使用一层协议做单向链路检测,开启了UDLD的接口会向外发送UDLD hello,可以理解为交换机之间的心跳,收到hello的交换机必须向邻居回复,如果超过一定时间没回复,会认为单向链路故障出现。
normal只能检测光纤上的单向链路故障,检测出故障后,接口没有变化;而使用aggressive不仅能检测光纤上的单向链路故障,还能检测双绞线上的单向链路故障,检测到单向链路故障后,接口会被disable。而且注意的是:要链路两端都配置为UDLD是,才能进行检测的。
三层中开启多个vlan,要让交换支持路由功能,只需要ip routing就可以了。然而当这几个不同VLAN的设备能够以非IP协议通信,交换机必须将这些需要通信的VLAN或三层接口配置到同一个组中即可,这个组就是vlan bridging,也叫fallback bridging。
124 fallback bridging为交换机上vlan与vlan,以及vlan与三层接口之间提供数据转发,需要通信的配置在同一个组中。若使用非IP协议进行通信,交换机上无论是VLAN,还是三层接口,都是不需要配置IP地址。
它是一种认证技术,是对交换机上的2层接口所连接的主机做认证,当主机连接到开启了IEEE802.1x的接口上,就可能被认证,否则就可能被拒绝访问网络。开启了认证后,在没有通过认证之前,只有IEEE802.1x认证消息,CDP,以及STP的数据包能够通过。
要通过认证,只要输入合法的用户名和密码即可。交换机收到判断帐号的合法行,就与数据库做个校对,若干数据库存在,则认证通过。
交给交换机验证的数据库可以是本交换机的,也可以是远程服务器上的,这需要通过AAA定义,如果AAA指定认证方式为本地,则读取本地的帐号信息,AAA指定的为远程,则读取远程服务器的帐号信息,AAA为IEEE提供的远程服务器认证只能是RADIUS服务器,该RADIUS服务器只要运行ACS3.0以上即可。
1 如果认证通过,交换机将接口放在配置好的VLAN中,并放行主机的流量。
3 如果认证不通过,但是定义了失败vlan,交换机则将接口放入定义好歹额失败vlan中。
129 主机认证失败后,交换机可以让主机多次尝试认证,称为重认证,即开启re-authentication。默认是关闭的。默认是60s,默认可以尝试两次。
对于开启了认证的接口,分为两种状态,unauthorized和authorized,认证和未认证的
接口状态可手工强制配置,分3种状态:force-authorized:强制将接口变认证后的状态;force-unauthorized:强制将接口变成没有认证的状态;Auto:正常认证状态,此时主机通过认证变为authorized状态,认证失败变为unauth状态。
130 开启了此认证的接口除了有状态之外,还有主机模式,称为Host Mode,两种模式:single-host和multiple-host。single-host,表示只有一台主机能连上来。multiple-host:表示多台主机连上来,并且一台主机通过认证,所有主机都可以访问网络。
131 IEEE802.1x认证只能配置在静态access模式接口上;正常工作在IEEE802.1x的接口称为PAE;认证超时或主机不支持认证时,才会将接口划入guest-vlan.
交换机的工作原理交换机存储的MAC地址表将MAC地址和交换机的接口编号对应在一起,每当交换机收到客户端发送的数据帧时,就会根据MAC地址表的信息判断该如何转发。初始状态MAC地址的学习广播未知数据帧(泛洪)接收方回应信息交换机实现单播通信ARP协议ARP***与欺骗ARP协议(地址解析协议)局域网中,交换机通过MAC的地址进行通信,要获得目的主机的MAC地址就需要使用ARP协议将目的IP地址解析成目
要想认识第四层交换机,先得对传统的第二层交换机和现在广泛应用的第三层交换机的 基本工作原理和性能,有一些简单了解,只有通过比效,你才能真正鉴别第四层交换机。众所周知,第二层交换机,是根据第二层数据链路层的MAC地址和通过站表选择路由来完成端到端的数据交换的。二层交换机具体的工作流程如下:(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道
交换机。常常听人说交换机、路由器。什么是交换机?为什么叫交换机?交换什么?交换机是不是就,是...
SMB交换机是指中小企业交换机,smallandmidium-sizedbusiness。这种交换机是相对于一些大型、高端的交换机而言的。SMB交换机支持常用的二层协议,但是性能、接口数量都弱一些。接入交换机、汇聚交换机、是另外一种分类方法。在数据中心或企业的网络规划里,网络都是分层的,分为接入层、汇聚层、和核心层。放在这三层里的交换机对应就是接入交换机、
交换机有个本身的mac,在stp中会用到。例如在6506中,此mac和所有物理接口的mac是一样的。所有vlan接口的mac地址都是一样的,都是本身的mac+1,和其他设备通信使用的是vlan接口的mac(并不是display物理接口的mac),loopback接口没有mac。在路由器上子接口和主接口的mac一样。接口的mac地址一样会冲突么?你来回答吧。一般而言,现在的2层交换机一般都会有至
交换机的主要功能是根据其中称为“MAC转发/过滤表”的数据库。一.交换机开启后,其中的“MAC转发/过滤表”(简称:MAC表)是空的。二.当与交换机相连的设备开始发送数据,而交换机与之相连的接口收到数据帧后,交换机会将数据帧中的源MAC地址保存在“MAC转发/过滤表”中。并记录设备对应的接口。三.然后,交换机将数据帧在除了源端口外的所有端口泛洪到网络。四.网络中另一个设备应答了这个数据帧,并发回一
根据上图分析如下: 当数据包从本地计算机发送。先通过网线传输,当传输到交换机中时,交换机会查看目标MAC和源MAC。因为交换机与计算机
写在前面:本博只为记录在某内学习的笔记,发出来也是为了记录,再有人看的话互相交流,可能都是些比较基础的知识,毕竟新人小白一个。接口和线缆识别认识、配置IOSIOS , 网络设备的操作系统;Internet operating system ,因特网操作系统;思科官网, 下载IOS;交换机组成:软件 - 系统文件 - IOS 配置文件 - running-c
(一)二层交换技术二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下:(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下:(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;(3) 如表中有
2008-08-12 10:04:20二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下:(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。具体的工作流程如下:(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的;(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;(3
