CCNP_Switch整版笔记

1、CCNP -switch 背板带宽：交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。代表了交换机总的数据交换能力，单位是Gbps，也叫交换带宽。一台交换机的背板带宽越高，所能处理的数据能力就越强，但同时设计的成本也就会越高。计算性能：1、线速的背板带宽交换机上所有的总端口能够提供的总带宽。公式=端口数量*相应的端口速率*2如果总带宽<=标称的背板带宽，那么在背板带宽上是线速的2、第二层包的转发线速公式=千兆端口的数量*1.488M+百兆端口的数量*0.1488M+十兆端口数量*0.01488如果计算出的值<=标称的二层包转发速率，那么交换机在二层是线速的。3、第三层包的转

2、发线速公式=千兆端口的数量*1.488M+百兆端口的数量*0.1488M+十兆端口数量*0.01488如果计算出的值<=标称的三层包转发速率，那么交换机在三层是线速的。1.488的来历：衡量线速标准的单位，单位时间内发送64byte数据包的个数作为标准1000，000，000/8/(64+8+12)byte=1.4888:二层数据帧的头部12：帧的间隙思科交换机的产品线CE500catalyst 2950 2960 2918（面向中国市场的产品，web配置界面为中文）2960G（千兆）3550 3550G 3560 3560G 3560-E（有两个万兆口） 3750（开始支持堆叠） 37

3、50G 3750-E4948 4500 4503E 4506E 4509E 4513E6500 6503E 6504E 6506E 6509E 6513E 园区网：网络分层：核心层、汇聚层、接入层核心层：数据的高速转发汇聚层：数据的高速转发+路由策略接入层：提供用户和终端的接入园区网模型中的3类服务1、本地服务：本地数据留不进入网络主干或通过路由器2、远程服务：通过主干网络，对外提供服务的流量3、企业级服务：放在一个离骨干网络很近的独立子网上园区网的两个基本要素1、交换区块2、核心区块 （core）园区网核心层的设计1紧缩核心汇聚层和核心层的功能由同一台设备执行每台接入层交换机到汇聚层（核心层

4、）都有一条冗余的链路第三层的冗余是由运行HSRP的两台汇聚交换机提供2、单核心：只有一台核心设备单核心单引擎单核心双引擎双核心单引擎双核心双引擎VLAN：虚拟局域网VLAN的种类1、本地VLAN：nativevlan2、端到端的VLAN：可以跨越多个交换或核心VLAN的分类静态VLAN和动态VLAN静态：先定义一个VLAN，然后手工的把端口划到VLAN里去动态：基于MAC或子网或用户的方式设置VLAN，当用户接入到交换机后，交换机查询VMPS(VLAN管理策略服务器)<ACS>，根据策略动态的把接口划分到相应的VLAN中MAC地址表：目标MAC地址，出口，VLAN-IDMAC表的学

5、习：当数据帧的发送经过交换机时，交换机会记录下数据帧的源MAC及对应的出口，同时会向该数据帧中VID相同的接口泛洪。MAC的转发：当数据帧到达交换机后，交换机会查找自己MAC地址表，若有匹配，则从出口转发，若无匹配，则向相同VID的接口泛洪。VLAN的基本配置：静态第一步创建VLAN：1、在全局模式下：vlan ID 2、在vlan database下：vlan ID两种配置的区别：全局模式下，每创建一个VLAN，配置版本号加1，而vlan database只是进入一次，配置版本号加1第二步：把端口划入VLAN中：switchport access vlan ID动态：一、创建VMPS （在s

6、erver端）二、指定server：vmps server X.X.X.X 设置接口vlan为动态：switchport access vlan dynamic配置trunk链路 switchport trunk encapsulation dot1q/isl switchport mode trunk switchport trunk allowed vlan <id>/add <id>/all/except <id>/remove<id>/none -交换机trunk链路能够通过的vlan是配置允许通过的vlan与本地交换机上所拥有的vlan

7、的交集 在dot1q打标签的方式中，可以支持native vlan switchport trunk native vlan <id> 如果数据帧所属的vlan id与native vlan id相同，则数据帧不打标签直接传递-节约性能，兼容不支持划分trunk链路的设备。sh interface trunk - 查看交换机激活trunk的接口sh interface switchport - 查看交换机每个接口的配置DTP协议：动态trunk链路协商协议 switchport mode dynamic auto ：DA-接口不会主动发送DTP消息，但是当收到对方发送的dtp消息，

8、可以返回DTP消息。可接口接收到DTP消息，该接口可以成为trunk。 switchport mode dynamic desirable：DD-接口可以主动发送dtp消息，但是必须接收到对方发送过来的DTP消息，才可以形成trunk链路 switchport mode trunk - 该接口激活就强制为trunk链路，并且可以发送DTP消息 switchport mode access -该接口激活就强制为access口，不发送dtp消息 switchport nonegotiate -当接口配置为trunk链路时，抑制trunk接口发送dtp消息，但是该命令不可以与switchport m

9、ode dynamic命令同时使用。 switchport trunk encapsulation negotiate -使用trunk链路自协商封装类型为802.1q或者isl，但是该命令不能与switchport mode trunk 同时使用 3550 - dynamic desirable 3560 - dynamic autoTrunkAccessDDDATrunk noneTrunkTrunkingTrunkingTrunkingTrunkingAccessAccessAccessAccessDDTrunkingAccessAccessAccessDATrunkingAccessT

10、runkingTrunkingTrunk noneTrunkingTrunkingtrunk 模式 on /强制配置接口模式为trunk off /强制配置接口模式为access DD /动态主动协商 DA /动态被动协商增强的VLAN 端口隔离 switchport protected 配置了protected端口之间不可以直接通信，(即两个端口都配置了protected，则这两个端口上连接的主机无法通信) 配置了protected端口可以和非protected端口通信 配置了protected端口之间通信需要经过网关设备实现arp代理 1、主机发送arp请求，请求目标IP地址为另外一个pr

11、otected端口下主机的IP地址，但是广播arp消息无法传递到另一个主机上，而是路由器或三层交换的网关接口接收到arp请求 2、网关接口开启arp代理 3、网关将自己的mac代理返回到请求方 4、主机发送信息，首先将数据帧发送到路由器上，然后路由器在转发到其他protected端口下的主机 这种情况，路由器(网关)接口的带宽和处理性能将成为网络中主机之间通信的瓶颈。网关开启ARP代理 ip proxy-arp -激活arp代理功能(默认) ip local-proxy-arp -激活本地网段的arp代理功能 当arp请求到达路由器或三层设备，只要路由器有去往这个目标地址的路由表 ，就返回ar

12、p代理消息。私有vlan (Pvlan) 主vlan 辅助vlan -隔离vlan -团体vlan每个PVLAN包括2种VLAN:主VLAN和辅助VLAN主VLAN:主PVLAN是PVLAN中的高级VLAN.主VLAN由很多个辅助VLAN组成，且辅助VLAN属于主VLAN的相同子网. 辅助VLAN:辅助VLAN是主VLAN的子代，并且映射到一个主VLAN。每台设备连接到辅助PVLAN隔离vlan 配置属于隔离vlan的端口只能和混杂模式的端口通信，即使属于相同的辅助vlna，在隔离vlan中的各个端口之间也是无法通信的。团体vlan 配置属于相同团体vlan之间的端口可以通信，也可以和混杂模式

13、的端口通信。但是属于一个主vlan 中的不同团体vlan的端口之间无法通信。PVLAN的配置: *配置PVLAN必须是VTP的透明模式步骤1:在开始配置PVLAN之前，首先将交换机VTP模式为透明模式.Switch(config-vlan)#vtp mode transparent步骤2:在交换机AS1，创建主Pvlan 100，团体Pvlan 101 和隔离Pvlan 102。此外，建立辅助Pvlan和主pvlan 的关联.Switch(config-vlan)#vlan 100Switch(config-vlan)#private-vlan primary /将VLAN100配置为主pVL

14、ANSwitch(config-vlan)#private-vlan association 101-102 /建立辅助pVLAN与主pVLAN的关联Switch(config-vlan)#vlan 101Switch(config-vlan)#private-vlan community /将VLAN101配置为团体pVLANSwitch(config-vlan)#vlan 102Switch(config-vlan)#private-vlan isolated /将VLAN102配置为隔离pVLAN步骤3:将VLAN100配置为主PVLAN，并且将其映射到辅助PVLAN101 和102.S

15、witch(config)#interface vlan 100Switch(config-if)#no shutSwitch(config-if)#private-vlan mapping 101,102 /将辅助pVLAN映射到第3层VLAN接口以实现路由功能步骤4:在交换机AS1上，将主机A的接口配置为Pvlan 101的成员，将主机B的接口配置为Pvlan 102的成员.Switch(config)#interface fastEthernet 2/3Switch(config-if)#description Host_ASwitch(config-if)#swithportSwitc

16、h(config-if)#swithport mode private-vlan host /将端口配置为主机端口Switch(config-if)#swithport private-vlan host-association 100 101 /建立第2层接口与pVLAN的关联Switch(config-if)#no shutdownSwitch(config-if)#interface fastethernet 2/4Switch(config-if)#description Host_BSwitch(config-if)#swithportSwitch(config-if)#swithp

17、ort mode private-vlan host /将端口配置为主机端口Switch(config-if)#swithport private-vlan host-association 100 102 /建立第2层接口与pVLAN的关联Switch(config-if)#no shutdown步骤5:验证私用VLAN配置,并且确认主机A不能成功ping通主机BPrivate-vlan:Vlan 100 Name primary Private-vlan primaryVlan 200 Name subvlan-1 private-vlan communityVlan 300 Name s

18、ubvlan-2 private-vlan isolatedInt vlan 100 private-vlan association 200,300Int f0/1 sw mo private-vlan host sw private-vlan host-association 100 200Int f0/2 sw mo private-vlan host sw private-vlan host-association 100 300  以太网链路聚合 -增大带宽 -简化操作 -增加一个逻辑端口，所有配置聚合的物理端口全部以一个逻辑端口显示 -多个聚合链路可以实现负载均衡和链路备

19、份 -既可以支持二层链路聚合，也可以支持三层链路聚合cisco设备可以支持的聚合模式 on /强制聚合，不需要其他协议协商 动态协议协商 pagp - Cisco私有 1、desirable /主动协商2、auto /被动协商 3、silen 不用周期收到pagp的帧，channel也能存活 4、no silent 需要周期收到pagp的帧，才认为channel存活 lacp - 1、active /主动协商 2、passive /被动协商配置: 1、创建聚合组 interface port-channel 1 2、进入物理接口配置聚合，将物理接口添加到聚合组中 interface f0/1

20、channel-group 1 mode on配置on模式，可能会造成短暂环路端口需要配置trunk模式 配置链路聚合注意事项： 1、查看交换机是否支持链路聚合 2、所有的接口都要配置相同的速率和双工模式 3、配置为聚合组中的端口，不可以作为流量分析的目标端口 4、如果是三层聚合，则IP地址必须定义在聚合端口上 5、所有属于同一个聚合组的端口必须配置相同的vlan或者相同的trunk配置 6、所有接口必须支持配置相同cost 7、配置聚合以后在port-channel下的配置对该聚合组中的所有物理接口都有效特性失效 8、配置聚合以后在物理接口配置，只会对该物理接口生效 9、最大支持8条聚合当物

21、理接口都配置为trunk或其他相同配置，则聚合端口会直接继承配置；物理接口的no switchport或switchport参数都相同时，聚合口会自动继承物理口的特性聚合链路的负载均衡 port-channel load-balance dst-mac/src-mac/dst-ip/src-ipSTP:生成树协议1、提出的原因 -冗余的网络（链路） 为了保证LAN的链路或者业务的可靠性，通常部署两台或者多台交换机，实现链路或业务的备份-冗余链路导致的一些问题1、广播风暴：-交换对广播帧的处理机制-没有TTL字段2、重复帧：-交换机对未知帧的处理机制3、MAC表的震荡-交换机MAC地址学习机制本

22、质问题：交换机之间出现环路通过STP解决环路STP的功能：-防止环路：通过阻塞一条备用链路，实现目标网络单路径-链路的备份：当已经UP的链路失效时，STP会自动启用block的端口，实现链路的备份STP的工作机制： STP通过在环路的拓扑中，选择一个交换机为根，并以根交换机为中心，扩枝散叶，构建一棵没有环路的树型拓扑，构建好之后进行维护，有故障则激活阻断的端口实现备份。STP的基本概念1、bridge-id 桥ID功能：唯一标识运行STP的交换机，相当于OSPF route-id2、bridge-priority：桥优先级默认值32768（065535） 3、bridge-mac：桥MAC地址

23、每台交换机唯一*思科交换机有一个桥MAC，另外每个接口一个MAC4、cost：花费，接口到达根所花的代价root cost：switch到达根的costlink cost：接口所在链路的cost（与root直连的链路为0）5、port id唯一标识每个参与STP运算的端口1、root-bridge 根交换机功能：负责整个拓扑的数据交换2、designated-bridge 指定交换机功能：负责本地物理网段的数据交换3、root-port：根端口（RP）功能：接收来自根交换机的数据，并把本地数据通过该端口去往根交换机4、designated port：指定端口（DP）功能：负责本地物理网段上数据

24、报文的转发5、BPDU消息：网桥协议配置消息功能：STP通过交换机之间交互BPDU消息，实现构建和维护无环拓扑。STP的选举：桥ID的选举：桥ID=桥priority+MAC （以小为优） 桥的priority默认32768 （065535）端口ID的选举：端口ID=priority+NO. （以小为优） priority 默认128 （1255）根桥的选举：root=priority+MAC （以小为优）RP的选举：1、cost：到达根路径开销最小的端口2、比较发送方的桥ID，以小为优3、比较发送方的端口ID，以小为优DP的选举：1、cost：到达根路径开销最小的端口2、比较端口所在交换机的

25、桥ID3、比较端口IDBPDU：35个字节，每2S发送一次，由根桥send，非根桥forward 转发的多播地址为0180.c200.0000BPDU：2字节： protocol id 用0来填充1字节： version 0 (802.1D)1字节： message type 0x00 正常的BPDU 0x80 发送TCN1字节： flags（标记） 00 普通的BPDU 01 TC 80 TCA LSB:最低有效位 MSB：最高有效位 LSB=0 TC MSB=0 TCASTP：8字节： root id 第一次发送root id为bridge id 4字节： cost root cost （

26、DP）8字节： bridge ID 2字节priority+6字节的MAC2字节： port id 1字节的priority+1字节的port NO Port NO越大，MAC越大*CISCO特性times：2字节： message age 相当于TTL，从根每经过一台switch，age 加1 2字节： meximuin time block状态 默认20S 640S2字节： hello time BUDU发送周期，默认2S 1102字节： forward delay listening （监听）：侦听BPDU STP学习 learning（学习）： 侦听BPDU MAC学习 默认15S 4

27、30S补充：TCN：拓扑改变通告当交换机监测到拓扑改变时产生CST802.1Q 通用生成树所有VLAN共用一个STP实例，可简化交换机的配置，降低计算STP时的CPU负载。所有CST BPDU被视为本征VLAN数据流，不打标记在中继链路上传输。中继链路封装为dot1q 缺点：所有冗余被阻断，无法负载均衡；PVST:per vlan stp(每个vlan一个STP)PVST：每增加一个VLAN就会增加一个MACMAC地址缩减，PVST+解决PVST：优先级相同，MAC不同PVST+：优先级不相同，MAC相同 （vlan使用的是桥的MAC）PVST+：桥ID=priority+MAC priori

28、ty：4位优先级+12位系统扩展ID priority=优先级+VLAN号 4位 12位(4095个VLAN)1000 0000 0000 0000 32768+00001 /40960010 /4096*21111 /4096*8对VLAN 10 进行PVST+操作 priority=32768+10=32778对VLAN 100 进行PVST+操作 priority=32768+100=32868兼容性：兼容PVST、PVST+、以及支持通过802.1Q运行CST的交换机STP的端口状态disable ：未运行STP或者未激活接口blocking：运行STP，但是处于阻塞状态。20S未收到

29、BPDU进入下一状态listening：block超时或者链路建立最初进入的瞬间状态，15S，选举端口角色learning：刷新MAC地址表，MAC地址的学习。15S后进入下一状态。forwording：正常的转发状态，收发bpdu，收发数据，MAC地址的学习。STP选举的时间为：30S50S之间STP（802.1D）：cisco增强的特性portfast：端口加速 接终端开启 ，blocking->flrwarding 减少了30S 不发送BPDU，只接收BPDU，当收到BUDP时，portfast特性失效uplinkfast：上行链路加速 检测上行链路故障，如果网络发生故障，交换机可

30、以立即开启另一个阻断端口作为根端口blocking->flrwarding 减少了30Sbackbonefast：骨干链路加速 交换机主动判断是否有去往根网桥的替代路径。使用RLQ的请求和应答机制将根路径的稳定性告知交换机。 blocking->listening 减少20SBPDU guard（BPDU防护）-portfast扩展当接口开启portfast时，不希望接口收到BPDU，这时可以对端口开启bpdu guard，当接口收到bpdu时，端口的状态会变成err-disable，需要先shutdown在no shutconfigure：接口下：spanning-tree po

31、rtfast Switchport host /等同于access + portfast + channel group disablespanning-tree bpduguard enable全局下：spanning-tree portfast defaultspanning-tree portfast bpduguard defaultRSTP：（802.1W）快速生成树 基于802.1D开发的 12S什么叫激活的以太口？通过什么方式可以确定以太口是被激活的？1、转发/过滤流量2、是否可以学习MAC地址3、是否可以避免环路STPRSTP激活源MAC学习DisableDiscardingN

32、NBlockingNNListeningY半NLearningLearningY半YforwordingforwordingYY半Port role：端口角色STP： RSTPDP DPRP RPblocking AP-替代端口 BP-备份端口AP：替代RP，持续收到从邻居交换机发来的BPDUBP：备份DP，持续收到从自身交换机发来的BPDUBPDU 的flagsconfigure：spanning-tree mode rapid-pvstMST：（802.1S） 多生成树CST：传统的生成树 缺点：无法提供负均MST：多生成树 优点：可以将多个属性相同的VLAN当作一个生成树，实现负均IST

33、：内部生成树 把多个属性相同的ST虚拟成一个STMST的配置name：名字revision：配置版本号instance：关联 （vlan-ID）Switch(config)#spanning-tree mode mstSwitch(config)#spanning-tree mst configuration Switch(config-mst)#name ciscoSwitch(config-mst)#revision 1Switch(config-mst)#instance 1 vlan 1-10, 15 Switch(config-mst)#sh pending默认：revision 0

34、， instance 0 ， vlan关联 1-4094根桥配置：Conf tSpanning-tree vlan 5,100-200 priority 4096Spanning-tree vlan 5 root primary /secondarySpanning-tree vlan 100 priority 0 /实际值为0+100=100调整根路径成本：Iint f0/1Spanning-tree vlan 2 cost 2 /cost值默认取决端口带宽（165535）4M-250 ; 10M-100 ; 16M-62 ; 45M-39 ; 100M-19 ; 155M-14 ; 622

35、M-6 ; 1G-4 ; 10G-2 调整端口ID:Int f0/3Spanning-tree vlan 4,5 port-priirity 64 /默认128 取值范围0255修改STP定时器：只需要在根桥上修改，根桥通过配置BPDU中的字段将3个定时器传遍整个网络。Conf tSpanning-tree vlan 5 hello-time 1 /默认2秒，取值范围1-10秒Spanning-tree vlan 5 forward-time 10 /默认15秒，取值范围4-30秒Spanning-tree vlan 5 max-age 15 /默认20秒，取值范围6-40秒HSRP 热备用路

36、由协议 -cisco私有协议 -使用UDP端口1985发组播到224.0.0.2路由器的角色：-活动的路由器 active使用虚拟的IP地址和MAC地址对数据转发；周期性发hello报文，UDP1985组播到224.0.0.2 默认3秒，保持10秒或3倍hello -备份的路由器 standby忽略主机发送来的IP-MAC地址解析，监听active设备的状态，如10秒没收到hello则成为active -虚拟路由器管理虚拟IP、MAC,动态监测active和standby HSRP的虚拟MAC000 0c07 acXXXX=HSRP的group号 1字节、8位、最

37、大为255 HSRP的状态Init 初始化状态Learn 未设置虚拟IP，寻找虚拟IPListen 已设置或找到虚拟IP地址，开始监听其它路由器的hello消息Speak 发hello参加竞选主备Standby 处于备份状态，监视主路由，随时准备替换Active 处于活动状态，负责解析网关IP-MAC，周期发hello保活standby、active为稳定状态Track：检测自身其它接口是否正常工作，防止用户无法访问其它网段；递减值默认为10，配置时必须为active优先级减去递减的值小于standby的优先级，否则standby无法抢占原active的位置。  配置：In

38、t vlan 100Ip add 192.168.1.252 255.255.255.0Standby 1 ip 192.168.1.254 /虚拟网关地址Standby 1 priority 120 /默认100，以大为优Standby 1 preemt /设置抢占Standby 1 authentication ccnp /明文验证Standby 1 authentication md5 key-string 7 ccnp /密文验证Standby 1 timers msec 100 msec 300 /设置hello为100和保持300毫秒，默认为3s 10s/3倍helloStandb

39、y 1 track int f0/1 15 /自身设备其它接口检测并降级15，默认惩罚降级10Show standby vlan 100 brief 密文接口验证Conf tKey chain ccnpKey 1Key-string 7 ccieInt f0/1Standby group authentication md5 key-chain ccnp VRRP 虚拟路由器冗余协议-使用IP协议112发组播224.0.0.18-每隔1秒发通告，可在主路由上获得通告间隔-可用真实接口IP为虚拟IP-VRRP的MAC为0000 5e00 01XX XX为组号 路由角

40、色Master 相当于HSRP的active，每隔1秒周期发hello报文，组播地址为224.0.0.18 虚拟地址可与物理地址重复，如地址相同则物理接口优先级为255，强制为master。Backup 相当于HSRP的standby 配置Int vlan 100Ip add 192.168.1.252 255.255.255.0Vrrp 1 ip add 192.168.1.254Vrrp 1 priority 90No vrrp 1 preemt /默认为抢占Vrrp 1 authenticaion ccnpShow vrrp brief  GLBP 网关负载

41、均衡协议-cisco私有协议-可以绑定多个MAC地址到虚拟IP，以达到网关冗余和负载均衡的效果 AVG (活动虚拟网关)选举：最高优先级最高IP当成为AVG后，AVG分配虚拟的MAC给其他GLBP组成员，每组最多可使用4个虚拟MAC地址。 AVF（活动虚拟转发器）虚拟MAC：0007 b4xx xxyy Xx.xx表示16位值为6个0后面跟10位的GLBP组号，8位值yy为虚拟转发器的编号。 GLBP负载均衡-循环：收到新的虚拟路由器地址ARP请求后，在应答中提供下一个可用的虚拟MAC地址。默认使用此法。-加权：接口的权重决定了流量所占的比例，权重越高，ARP应答中包含虚拟MAC地址的频率就越高。-依赖于主机：每个客户端收到的ARP的虚拟MAC相同Sw(config-if)#glbp group load-balancing round-robin | weight