CCNP交换学习笔记

CCNP交换学习笔记

VLAN(VirtualLAN)

•VLAN可以隔离2层的广播域。

,AVLAN=(一个)广播域=(一个)逻辑子网

路由器是隔离广播域的

•单个端口只能承载单个VLAN的流量。

•使用VLAN好处：

1.有效的带宽利用

2.提高了安全性

3.隔离故障域

•本地VLAN:

在单个配线架之内的单台接入交换机上配置最少数目的VLAN,

而不是在单台交换机上配置多个部门的VLAN。

•静态VLAN(基于端口的VLAN)：

手工配置交换机端口，将其设为特定的VLAN。

只要接到这个端口的设备就属于此VLAN。

Swl#showcdpneighborsdetai1

SW原理：

1.基于源MAC地址学习，基于目标MAC地址转发。

2.对于没有目标MAC地址表项的帧，向本VLAN的其他所有接口()转发

3.收到广/组播帧，向本VLAN的其他所有接口()转发

4.同一个MAC地址被多个接口学习到，选择后学习到的接口

5.同一接口可以学习到多个MAC地址

默认老化时间是300S,修改老化时间一可以针对单个VLAN来改动

Sw#showmac-address-tableaging-time老化时间

Swl(config)#mac-addresst-ableaging-time150vlan1有的版本没有

Shmac-address-table查看MAC地址表

MAC地址表的三元组：VLAN、MAC地址、PORT号

注意MAC地址表与ARP表的不同

从本VLAN中转发trunk帧；

•动态VLAN：

根据已经输入到VMPS(VLANManagementPolicyServer)中的嫄MAC地址来分

1

配VLAN。

Swl(config)#vmpsserver192.168.1.1

配管理地址一一SVI

Interfacevlan1

Ipaddress100.1.1.1255.255.255.0

在二层交换机中，可以对多个VLAN配IP地址，但在同一时间，只能有一个VLAN

SVI接口处于noshut状态。

•VLAN的范围：

根据平台和软件版本不同，Cisco交换机盘多支持奥|个VLAN。

0,4095：保留,仅限系统使用。用户不能查看。

1002-1005：用于FDDI和令牌环的默认VLAN,不能删除。

1006—1024：保留,仅限系统使用。用户不能查看。

1025-4094：仅用于以太网的VLAN.扩展的VLAN

<创建VLAN>

-'、Swl(config)#vlan2

Swl(config-vlan)#nameWOLF

SwlWshowvlan

Swl#showvlanbrief

二、Sw3#vlandatabase(此命令在老版本中使用，新版本可直接写vlan)此命

令在特权模式下用

Sw3(vlan)#vlan3nameCCIE

Sw3(vlan)#|xit

o

注意：

o

〈同一交换机VLAN内通信》

1)在Swl上将RI&R2连到Sw的端口都划入VLAN2

Swl(config)#intfO/6

Swl(config-if)#switchportmodeaccess(指定为接入端口)

Swl(config-if)#switchportaccessvlan2(将接口划入VLAN2)

(假如没有创建vlan直接打此命令会自动创建此vlan)

Swl(config-if)Sswitchporthost将端口配置为主机设备所使用，配置后

2

默认对端口启用portfast和禁用ehterchannel特性

SwlSshowinterfacesfO/6switchport查看接口的的模式,封装等信息,常

用命令。

3550默认是dynamicdesirable、3560默认是dynamicautoo

•将多个怀连续端口同时加入同一个VLAN：

Swl(config)SinterfacerangefastEthernet0/1,fastEthernet0/5

•将多个连续端口同时加入同一个VLAN：

Swl(config)SinterfacerangefastEthernet0/1-15

Swl(config)ttinterfacerangefastethernet0/1-15,fastethernet0/17-

22

SwlSshowmac-address-table

SwlSshowmac-address-1ab1eaging-time

默认每个VLAN中的MAC地址表老化时间是300S。

Swl(config)#mac-address-tableaging-time600(vlan2)

Swl(config)#macaddress-tableaging-time600

<VLANTrunk>

•Trunk：在单条物理链路上承载多个VLAN的流量。

一般用在交换机与交换机之间。

•Trunk运用的2种协议：

802.1Q：基本标准的IEEE协议，属业界标准。

ISL(Inter-SwitchLink)：Cisco专有的Trunk封装方式。

接口的五种模式：

Access,trunk,desirable,auto,(nonegotiate)

DTP(DynamicTrunkingProtocol)cisco专有

•在交换链路上发送此种报文，来协商双方是否能形成Trunk。

SendReceive(DTP：DynamicTrunkProtol)

access--(此接口接设备)

desirableJV(收发DTP,愿意成为Trunk,)默认就是这

种类型

autoXV(仅收DTP,愿意成为Trunk)

3

trunk(on)JV（本端无条件Trunk.不管对端是否起

trunk)

nonegotiateXX（禁止DTP信息）通常和trunk联用，即起

trunk,又不用发DTP帧

Swl(config-if)ttswitchportmodeaccess

Swl(config-if)#switchportmodedynamic

Swl(config-if)ttswitchportmodedynamicauto

Swl(config-if)#switchportmodetrunk

Swl(config-if)ttswitchportnonegotiate

(nonegotiate只能和access/trunk联用)

Swl(config-if)ttswitchporttrunkencapsulationdotlq封装格式

SwlSshowinterfacetrunk杳看trunk端口信息，验证是否已经起了trunk

ShowinterfacefO/24switchport查看端口的配置

•ISL(Inter-SwitchLink)：

26(报头)+4(CRC)=30BytesVianID210=1024字节

(CRC：CyclicRedundancyCheck)

Sw2940/2950接口不支持ISL封装,仅支持802.IQ

在SW3550中，接口强行起Trunk模式，必须先指定一种封装模式

MTU：1548bytes

如果设备接收到没有被封装的帧，那么ISL将丢弃这些帧，而且所有帧都要封

•802.1Q：

DestSrcLen/EtypeDataFCS

DestSrcTag

在SM和Type字段之间插入4个字节的Tag字段，并将原有的FCS重写。

（FCS：FrameCheckSequence）

MTU：1522bytes

•对比ISL,802.IQ有如下好处:

1.具有更低的弄销,因此花巍率略高，（4/30bytes）

2.业界标准，有更广泛的支持。

3.支持Qos的802.Ip字段。（就是Tag中的3bit的PRI位）

如果不支持802.1Q的设备接收到此帧，该设备将忽略帖中的Tag,当作标准的

以太网帧转发。

,NativeVLANs

4

NativeVLANs默认情况下就是不打tag,本技术是dotlq中才有的。

802.1Q把Untag的帧定义为NativeVU1N。（默认是VLAN1）一个小的优化方法，

指定的VLAN数据在传输过程中不用打上TAG来标识，系统默认就知道。每台交换

机必须指定-一样的，只能有一"1'VLAN成为NativeVian。

Swl（config-if）#switchporttrunknativevlan2

Swl#showintfO/6switchport

,802.IQ-in-Q：(802.IQTunneling)

802.IQ支持隧道特性，允许服痴证商在VLAN内部传输VLAN,保留单独客户

的VLAN分配，而无需要求它们的VLAN分配是唯一的。

Swl(confit~if)#switchportaccessvlan30进入接口

Swl(confit-if)#switchportmodedotlq-tunnelQ-in-Q

Sw3(config-if)#switchportmodetrunk

Sw3(config-if)ftswitchporttrunkencapsulation[dotlq|isl]

Swl(config-if)#switchporttrunkallowedvlan1-100,111

（在此Trunk口上只允许VLANITOO,111的流量通过）

VTP(VLANTrunkProtocol)CISCO私有的协议

•VTP是一种2层消息协议，通过管理VTP域内的VLAN增/删/改，保持VLAN配置的

一致性。

交换机只能在802.1Q/ISL中传送VTP信息。

影响VTP的因素：1.trunk必须在trunk上传输

2.domain域名（须取相同名称）

3.password密码

VTP模式：

ServerClientTransparent(透明模式)

增/删/改VXV（仅在本地有效）

转发VTP（vlan）信息VVV

同步vlan信息VVX

保存NVRAMVXV

•VLAN会同配置版本高的某台交换机同步。低版本号的跟高版本号的学,

•VTP信息每鳌分解通告一次，或触发更新（VLAN配置改变时通告）。

5

Swl(config)#vtpdomainWOLF

Swl(config)#vtpmode[Server|ClientiTransparent]

Sw3#vlandatabase

Sw3(vlan)#vtpdomainWOLF

Sw3(vlan)#vtp[Server|ClientTransparent]

Swl#showvtpstatus(查看VTP信息)

•Sw默认都是Server,而且没有域名，一旦一台SW配置了域名，其他SW都会学

习过去。

,VTP--个重要元素：ConfigurationRevision(配置修订版本号)

每当修改VLAN信息一次，版本号就加1,版本低的SW跟版本高的SW学习VLAN信

息。

注意：VTP信息是包含在DTP包中，交换机与交换机之间用协商模式起Trunk的时

候，用的是DTP包，如果两端VTP信息不匹配，也起不了Trunk,切记这一点。

所以，起TRUNK有三点关联：

1、封装类型

2、接口模式

3、两端VTP信息是否匹配

<VTPPruning>

•VTP修剪能够确定Trunk何时正在扩散|不必要的流量。并将其VLAN修剪掉。

Swl(config)#vtppruning

在Server端配置，其他SW会学习到。

•VTP版本：(V1/V2/V3)

默认是VI。Cisco建议一个域中版本一致。

Swl(config)#vtpversion2

Sw3#vlandatabase

Sw3(vlan)#vtpv2-mode

•VTP认证：

Sw2(config)#vtppasswordaaa

Sw3#vlandatabase

6

Sw3(vlan)#vtppasswordaaa

如何检查密码相同/不同：

1.Sw2#showvtppassword

SWITCH常用配置命令

SwlWshowcdpneighborsdetail查看邻居设备

Showmac-address-table查看MAC地址

Showmac-address-tableaging-time看MAC地址老化时间

Swl(config)#mac-address-tableaging-time150vlan修改老化时间

创建VLAN

Swl(config)#vlan10

Sw1(config)#namesales

在2900等旧机型上要用数据库模式来创建：

Swl#vlandatabase

Swl#vlan10namesales

SwlSexit这里一定要用exit,否则无法退出

Showvlan查看VLAN

Showvlanbrief查看VLAN摘要信息

Showinterfacesummary本命令可看到交换机上的所有端口，以及哪些接口上

连有设备

Showinterfacestatus本命令口J看到活动接口的双工模式，trunk,以及接口

属于哪个VLAN

将端口划进VLAN

IntfO/12

Switchportmodeaccess指定为access(接入口)模式

Switchportaccessvain10划分入VLAN

IntferfacerangefO/5,fO/7,fO/12同时划分多个端口

Intferfacerangefastethernet0/5-8,fastethernet0/12-18

本台交换机起Trunk

IntfO/24

Switchportmodetrunk强制起Trunk

Access强制为接入口

Dynamicdesirable协商(默认)

Dynamicauto被动接受

Switchporttrunkencapsulationisl(dotlq]negotiate)封装模式,如果使用

negotiate参数表示协商

Swl(config-if)ttswitchportnonegotiate本接口不发送协商信息,通常和

trunk模式联用

Switchporttrunknativevlan10设置一1个不用打TAG的VLAN,大家都知道,

在每台交换机上都要一致，默认是VLAN1。

7

Switchporttrunkallowedvlan10允许trunk口通过哪些VLAN

Switchporttrunkallowedall允许所有VLAN通过

Showinterfacetrunk

ShowintfO/24switchport

配置VTP域

Swl(config)#vtpdomainchina

Swl(config)#vtpmodeserveridient/transparent

在旧机型上的配置方法：

Swl#vlandatabase

Swl#vtpdomainchina

Swl#vtpserver|client|transparent

Showvtpstatus查看VTP的各种配置信息

在VTP中还可设置密码

在三层交换机中完成VLAN间的通信

Swl(config)#iprouting起用路由

Swl(config)#routerrip开启路由进程，也可用静态路由

Swl(config-router)#network100.1.1.0将VLAN网段宣告

Swl(config)#interfacevlan100

Swl(config-if)#ipaddress100.1.1.1指定VLAN的IP地址，也是VLAN网段

的网关

Swl(config-if)#noshutdown

在交换机中建立VLAN后，会在FLASH中生成一个VLAN文件，可用下列命令查看、

删除。

Showflash

Deletevlan.dat

Deleteconfig.text删除配置文件

STP(SpanningTreeProtocol)(IEEE802.ID)生成树协议

•回顾SW的工作原理：

1.不能修改它所转发的帧

2.基于源MAC的学习，建立MAC-PORT的映射表，基于目的MAC转发

3.对有目标MAC映射表的帧,直接从对应端口转发

4.对没有目标MAC映射/目标广(组)播的帧，SW会从所有端口转发(除源端

口)

8

交换机从不同的接口学到不同的命令，它会选择最新学到的命令。

•当2个Segment之间，只有一个物理设备连接时，就有可能“单点失效”。

Segment:

1.STP:一段网络介质（网线/光纤）。

2.数据封装：携带4层报头的用户数据。

3.路由：一个逻辑子网。

・避免单点失效的方法就是构造冗余网络。

・冗余网络导致的问题：

1.多帧复制（浪费带宽）在组播中是个大问题

2.MAC地址表的翻动

3.广播风暴

阻止冗余网络就是建立block

•STP是为克服冗余网络中透明桥接的环路问题而创建的。

STP通过判断网络中存在环路的地方，并阻断冗余链路来实现无环网络。

,STP采用STA（SpanningTreeArithmetic）算法。

STA会在冗余链路中选择一个参考点（生成树的根），将选择到达要的单条路

径，同时阻断其他冗余路径。一旦已选路径失效，将启用其他路径。

9

<STP的4大结论〉（STP里选举参数都是越小越优）

STP的各种选举是通过交换BPDU报文来实现的，BPDU是直接封装在以太网帧

中的。

•Onerootbridgepernetwork（每个网络只有一个根桥）

•根桥的选举：［owestBID（最小的BID）

・STP为每台SW分配唯一的一个标识符,称为BID（BridgeID）。

BID的组成:2（BridgePriority优先级）+6（MAC）=8Bytes

默认Priority:32768（0x8000）2950以上的交换机会在这个值上再加上VLAN

号

每个交换机都有一个基准的MAC地址，用下面的命令可以看到

Sw2#showversion

BaseethernetMACAddres|:00:0D:28:61:35:00

交换机的每一个端口都有一个MAC地址，就是以Base（基准）MAC地址加

上端口号得到的。

ShowinterfacefO/1这一命令可以看到交换机端口的MAC地址

10

Sw2#showspanning-tree

Sw3#showspanning-treebrief（低版本用）2900以下的交换机用这一命令

■PVST(PerVlar)Stp)

CiscoSW默认为每个VLAN,一个STP,互不影响。

,一些低端交换机(2900)的Priority是不加上vlan号的。

•将性能最好的SW设成根桥

b

Sw1(config)#spanning-treevlan1-10rootprimary(24576=0x6000)(建立优先

级，成为根桥)

Sw2(config)#spanning-treevlan1-10rootsecondary(28672=0x7000)(备份根

桥，防止优先级根桥showdown了)

Sw1(config)#spanning-treevlan1-10priority4096

(设置必须是4096的倍数)

•Onerootportpernonrootbridge(每个非根桥都有一个根端口)

•根端口(RP):^.owestpathcosttorootbridge每个非根桥有且只有一^Is-

根端口

非根桥到达根桥所需开销最小的那个端口。（可转发流量）

11

选举RP/DP的方法：

1.LowestRID(最小的RID)是SW1(根桥)的BID

2.Lowestpathcosttorootbridge(到达根的最小路径开销)

3.lowestsenderBID(最小的发送BID)

4.LowestsenderportID当两台交换机之间有两条线路直连时会用到这一项来

选

BPDU(BridgeProtocolDataUnit):由根桥每二秒发一次。

BPDU是直接封装在二层的协议，其MAC地址最后封装数为：00。

(01:80:c2:00:00:00)

•PathCost:根桥发出的COST值是0，在下一交换机的入口处才加上COST值，出

口处COST值不变。

10Mbps:100/100Mbps:19/1Gbps:4/10Gbps:2

Sw1#showinterfacesstatus

Sw1#showspanning-tree

duplexfull->P2p

duplexhalf->Share

Sw1(config-if)#spanning-tree(vlan1)cost22每个VLAN都能生成一^自已的

生成树，通过改动每个VLAN的COST值可以达到让每个VLAN选择不同的根桥，

12

产生不同的生成树，充分利用了链路

Sw1（config-if）#spanning-treecost22修改所有Vian的Cost值

PortID是由优先级+端口号组成

修改端口优先级：默认情况下是128

Sw1（config-if）#spanning-treeport-priority16

•Onedesignatedportpersegment（每个Segment只有一个指定端口）

TCP/UDP封装

Segment路由中的网段

介质

选举RP/DP的方法：

1.LowestRID（最小的RID）是SW1（根桥）的BID

2.Lowestpathcosttorootbridge（到达根的最小路径开销）

3.lowestsenderBID（最小的发送BID）

4.LowestsenderportID

•根桥的所有端口都是指定端口（DP）。

■指定端口（DP）:Lowestpathcosttorootbridge（=）

LowestsenderBID

发送方BID小的那个端口（转发流量）

13

•Nondesignatedportsareblocked（非指定端口将被堵塞）

BPDU（BridgeProtocolDataUnit

•对于参与STP的所有SW,它们都通过数据消息的交换来获取网络中其他SW的

信息，这种消息就被称为BPDU。

•BPDU的功能:

1.选举根桥

2.确定冗余路径的位置

3.通过阻塞特定端口来避免环路

4.通告网络的拓扑变更

5.监控生成树的状态

・BPDU每2s由根桥发送一次。

最初的网络，每个SW都认为自己是根桥，都会发送BPDU，比较LowestBID,

选举出一个根桥，此时就只有根桥发送BPDU。非根桥只进行转发。

-TCN(TopologyChangeNotification)BPDU

这种BPDU是SW检测到拓扑变更时产生的。

14

-ProtocolID:0

Version:802.1D(0)

MessageType:(ConfigBPDU=0x00/TCNBPDU=0x80)

＜非根桥有多条冗余链路连接到根桥＞

•根端口(RP):Lowestpathcosttorootbridge(=)

LowestsenderBID(=)

LowestsenderportID

入口+851值=发出数值(如19口+8口=27口指交换机)

・端口ID(PID):

1(Pri)+1(PortNum)=2Bytes

128.24(默认priority=128)

Sw1(config-if)#spanning-tree(vlan1)port-priority16修改端口优先级

(必须是16的倍数)

要在发送方改。

〈STP端口选择依据，依次比较〉

LowestRID

•Lowestpathcosttorootbridge

15

•LowestsenderBID

•LowestsenderportID

<BPDUTimer>

BPDU多播地址:01:80:c2:00:00:00

•MessageAge:最大存活时间(20S)

HelloTime:根桥连续发送BPDU的间隔(2s)

ForwardTime:SW在监听和学习状态所停留的时间(15s)

spanning-treevlan1-10hello-time3改发送BPDU的时间间隔

spanning-treevlan1-10forward-time13修改forward时间

spanning-treevlan1-10max-age33修改最大存活时间

1.老化时间(blocking)(lossofBPDUdetected)maxage=20s

2.监听时间(listening)forwarddelay=15s

3.学习时间(learning)forwarddelay=15s

监听BPDU学习MAC帧转发

BlockingVXX

ListeningJXX(选举Root/RP/DP)

LearningJVX

ForwardingVJJ

16

<STPTopologyChange>

•当发生如下事件时，SW会发送TCN:

1.链路故障(FWD->BLK)

2.端口进入转发状态，并且SW已经拥有DP

3.非根桥从它的DP接收到TCN,并将其转发

TCNBPDU只包含三个字段：proid,version,message,也就是BPDU的前三个字

段

Flags:

TC(TopologyChange)TC置位的BPDU只会由Root产生

TCA(TopologyChangeAcknowledge)

根桥所做的工作：

1.收敛现在的网络；

2.Aging-time:将MAC地址表的老化时间直接变成Forwardtime

vSTP和802.1Q>

•在采用802.1Q的Trunk中，SW为Trunk中所允许的每个VLAN维护一个STP。

(PVST)

17

•对于不支持802.1Q的SW,所有VLAN维护一个STP。(SSTP)

•在交换网络中，STP是始终运行的，如果链路没有Trunking.STP只维护VLAN1

的信息。

PerVLANSpanningTree

优点：1.基于Vian的负载根端；

缺点：1.BPDU是基于Vian的基础上运行的；

VSTP的一些增强特性〉

•802.IDSTP设计初衷：网络中断后能够在1分钟之内(Max=50S)恢复。

伴随着LAN出现3层交换，很多的路由协议(0SPF/EIGRP)都能在儿秒之内收

敛。

•Cisco为加快收敛时间，提出了一些瞄(特性：

PortFast/UpLinkFast/BackboneFast

•PortFast：

能够将2层的循■端口(接host)跳过LIS/LRN立即进入FWD。30S->0S

基于接口，用于接非交换机接口，不要设置在接SW的端口。

SwlSshowspanning-tree

Type:Edge[Shr/P2p]

测试：把接到交换机的网线拔出，再插入，观察状态。

Swl(config)#spanning-treeportfastdefault(所有接口启用)全局下用

一般用在接入层的交换机上。

Swl(config-if)#spanning-treeportfast接口下单独启用

Swl(config-if)#spanning-treeportfastdisable(某个口禁用，通常是连接

另一台交换机的口)

•UplinkFast：

在接入层SW上配置，用于检测直连到分布层SW的链路故障，并加速STP的收敛

速度。

18

30S->0S

Sw2(config)#spanning-treeuplinkfast

(Uplinkfast是一个全局命令，将影响SW上的所有VLAN)

Debugspanning-treeevents

测试：将有效链路口shut,原来BLK口立即转发，

•Uplinkfast将网桥PRI憎加到49152,将端口Cost憎加3000

使SW不能成为Root。所以一般配置在接入层SW。

Sw2#showspanning-tree

...Uplinkfastenabled

Sw2#showspanning-treeuplinkfast可以看到哪些接口成为备份

Sw2(config)Sspanning-treeuplinkfastmax-update-rate200

(每秒所发包的数目，默认值150)

,BackboneFast：

当交换机丢失了root后会以自己发出次级BPDU收到这个BPDU后会向使用替代

路径发送RLQBPDU

向root进行查询

BackboneFast是对UplinkFast的一种补充。用于检测主干SW间的链路故障。(50S

->30S)

,建议BackboneFast应用在所行SW上。

Swl(config)#spanning-treebackbonefast

Swl#showspanning-treebackbonefast可以查看RLQ消息和次级BPDU

RSTP(RapidSTP)802.Iw当前主流技术

•当网络拓扑发生改变时，快速生成树协议能够明显地加快重新计算生成树的

速度。

Swl(config)#spanning-treemoderapid-pvst理论一大把，命令就一条

•RSTP定义了3种端口状梆

Discarding/Learning/Forwarding

(Discarding<—>STP：Disabled/Blocking/Listening)

19

•RSTP端口角色:

RP：同STP

DP：同STP

AlternatePort(替代端口)：

从其他SW收到BPDU的那个端口。比不过人家的BID,就成为AP(BLK)

如果本SW的RP故障，AP就成为RP。

BackupPort(备份端口)：

从本SW收到BPDU的那个端口。比不过人家的PID,就成为DP(BLK)

如果本SW的DP故障，BP就成为DP。

EdgePort（边缘端口）===CISCO的PORTFAST

RSTP的快速转换只能在点到点的链路上使用

•RSTPBPDU的格式:

在Flag字段总共8bit,802.ID中只用到2bit,

RSTP用到其他6bit来完成端口状态和角色的编码。

Version:2

MessageType:2

•在802.1D中，只有当SW从RP收到BPDU时，非根桥才能转发BPDU。

在802.lw中，每个SW会每隔2s就发送一次包含当前信息的BPDU。

•如果SW在3个连续的Hello时间(6S)内没收到BPDU,就快速老化，提高了收

敛速度。

默认集成backbonefast,uplinkfask功能

将portfast也集成了，改名为边缘端口，要手工加载，加载的方法一样。

Link-type链路类型：按双工模式来分

半双工是share类型

全双工是point-to-point类型

可以手工改

Proposal和agreement消息用来做快速收敛

在RSTP中，每台交换机都可以下发TC置位的configBPDU,这样也实现了快速

收敛

<RSTP的快速转发〉

20

•为实现端口的快速收敛，RSTP定义了2个新的变量：

1.Edge-Port(边缘端口)

2.Link-Type(链路类型)

•RSTP的DP是能够让Edge-Port和P2P直接进入FWD模式。

MST(MultipleSpanningTree)802.Is

IEEE的802.IQ不仅定义了Trunk,还定义了CST(CommonSpanningTree)

CST

缺点：所有的V1an都是按照同一个STP来工作的。

优点：开销小。

PVST

优点：可以为每个Vian配置一个STP。可以实现基于Vian.L2的负载分担。

缺点：SW维护很多的STP,开销大。Vian改变，波及大。

MST(对CST和PVST的折衷方案)

1.MST对vlan分组(Instance)

2.每个分组可以有独立的STP,实现L2负载分担。

Swl(config)#spanning-treemodemst(启用MST)

Swl(config)#spanning-treemstconfiguration

Swl(config-mst)ttinstance1vlan1-5

Swl(config-mst)#instance2vlan6-10

Swl(config)#spanning-treemst1priority4096修改本交换机在这一大堆

VLAN中的优先级

Swl(config-if)#spanning-treemst1cost19修改本接口在这一组中的开销

Swl#showspanning-treemst

Swl#showspanning-treemstconfiguration

有一个默认组0,没划分的VLAN就在这里面

MST不能和PVST共存，可以和RSTP共存

<EtherChannel>

•通过多个端口绑定，能充分利用现在端口来增加带宽。

Cisco最多允许绑定8个端口。

Swl(config)#intrangefO/8,fO/9

21

Swl(config-if-range)#channe1-group1modeon将这两个接口绑定为一组并

指定模式

Swl#showetherchannelsummary可以看到绑定了多少接口

Showinterfaceetherchannel

On：强行起etherchannel不属于以卜两种协议中任一种，独立的

PortAggregationProtocol(PAgP)

Cisco私用，默认是Aut。模式。

auto:被动只收不发

Desirable:主动会发也会收协商消息

LinkAggregationControlProtocol(LACP)链路聚合控制协议

802.3ad,业界标准

Passvie相当于PAgP的auto只发不收

Active相当于PAgA的desirable又发乂收协商消息

Swl(config-if)Schannel-protocol[pagpIlacp]

〈优化STP>

•BPDU防护：________

对于设置了PortFast接口，却收到了BPDU,如果设置了&PDU防护，就能将此

接口关闭，而不会进入生成树状态。且默认情况下是要手动才能恢复

Swl(config)#spanning-treeportfastbpduguard(全局开启)

Swl(config-if)#spanning-treebpduguardenable(接口开启)

Swl#showspanning-treesummary[totals]

Showerrdisablerecovery显示可导致接口errdisable的选项

Swl(config)Werrdisablerecoverycausebpduguard设置300S(默认)后自

动修复bpduguard所导致的errdisab1e

Swl(config)Serrdisablerecoveryinterval30修改默认的修复时间

•BPDU过滤:不发也不收

通过使用BPDU过滤，能够防止向host发送不必要的BPDU。

收到BPDU的话，不会禁掉端口，只是不理会

注意

如果在全局下配置,从端口收到的BPDU,不会禁掉端口，会转为正常的STP

状态

如果在接口下配置,从端口收到BPDU的话，会丢弃

如果在同一接口设置guard/filter,f优于g

22

Swl(config)#spanning-treeportfastbpdufilterdefault(全局开启)

Swl(config-if)Sspanning-treebpdufilterenable(接口开启)

•根保护：

能够将接口强制设为DP,进而防止周围SW成为Root。

设置了根保护的端口如果收到了一个不同于原BPDU的新的BPDU,它将把本端

口设为blocking禁止状态，过一段时间，如果没再收到BPDU,它会恢复端口，这

一点不同于根防护。

建议在去往根桥的上行端口配置：

Swl(config-if)ttspanning-treeguardroot

测试：将其他SW变成根桥，看原来根桥的现象:

Swl#showspanning-treeinconsistentports

Showspanning-treeinterfacefO/2detail

Swl#showspanning-tree

FaO/2DesgBKN*19128.2P2p*R00T_Inc

•单向链路失效：］用于硬件故障，多用于光纤线路上

是比较常见的现象，以太网(光纤)的收发出现问题。

启用UDLD能使得这种接口自动进入“err-disable”状态。

单向链路失效检测需要在链路上两边的交换机上同时配置

Swl(config)#udldenable也可在接口下配

Swl#showudld

只能在接口上

•环路保护：|用于软件故障

当STP中的BLK端口错误的过渡到FWD状态，有可能出现环路。

启用Loopguard的接口，当出现以上问题，将自动转为inconsistent状态

只需要在本端启用就可以.且可以对每个vlan上

建议做在所在RP和AP上。

Swl(config)#spanning-treeloopguarddefault(全局)

Swl(config-if)#spanning-treeguardloop(接口)

<MLS(MultiLayerSwitch)>

23

,CAM(ContentAddressableMemory)内容可寻址存储器

SW使用CAM表来存储2层的交换表。查找时是完全匹配，如果找不到，就从其

他所有端口转发。

对于需要精确|查找的表最有用。CAM表包括了vlan号，mac地址，port'

,TCAM(TernaryCAM)只存在于三层交换机中

TCAM以线速处理ACL查找。

完全匹配区域/最长匹配区域/第一个匹配区域

对于需要聂氏匹的查找的表最有用。

•软件交换：通过CPU实现传统帧的交换。

•硬件交换：通过专门的ASIC(Application-SpecificIntegratedCircuit)硬

件组件处理数据包。通常能够达到线速的吞吐量。

•MLS：指的是SW能够通过硬件来交换和路由选择数据包，并可能通过硬件支持

4—7层的交换。

•SW要执行硬件交换，路由处理器(第3层引擎)必须将有关路由选择、交换、

ACL和QOS等信息下载以硬件中。

Vian的ACL(可以基于mac与ip)

基于IP的：

Config#access-list1permit192.168.1.00.0.0.255

ConfigSvlanaccess-mapwolf(10)不打就默认为10

Config-access-map#matchipaddress1

默认是转发的showrun可以看到有actionforword

调用:vlanfilterwolfvlan-list100全局模式下调用,要指明用在哪个VLAN

中，也可对所有ALL

基于mac地址的（MAC地址列表）：

1、先写MAC地址列表

Macaccess-listextendedA

Permitaaaa.bbbb.ccccany

Denyhost0030.80d3.7240any

源mac地址目标mac地址

2、再写access-map

Vlanaccess-mapwolf20

MatchmacaddressA

action[forward|drop]默认会drop

3、调用：configSvlanfilterwolfvlan-list100

24

Access-map的名字vlan号

RI(config)ttvlanfilterwolfvlan-listall对所有VLAN

•过程交换:

最传统的转发方式，基于包的负载均衡

RI(config-if)#noiproute-cache在每个接口下关闭cache就启用了进程交

换

•基于NelFlow的MLS：路由器的默认方式

基于网流的负载均衡

让ASIC能够对被路由的数据包执行2层重写(S/DMAC、CRC)0

•CentralizedForwarding(集中式转发)

在一个专用ASIC上做出转发决策，是所有接口的枢纽。

Series：4000/6500

,DistributedForwarding(分布式转发)

在SW的接口和模块上独立地做出转发决策。

Series：3550/6500(带有分布卡)

•基于CEF的MLS：(CiscoExpressForwarding)

控制平面：路由处理器(第3层引擎)

数据平面：用来进行硬件转发的硬件组件

CEF是一种基于拓扑的转发模型，它预先将所有路由信息加入FIB(Forwarding

InformationBase),使SW能快速查找路由信息。

•FIB：类似于路由表，包含了路由转发信息。

,Adjacency：存储2层编址信息。

第3层引擎和硬件交换组件维护一个FIB/Adjacency。

解决了递归问题，并且可以使用ASIC来转发，所以速度快

•ARPThrottling(ARP抑制)必须开启CEF才能开启这一•功能

SW1(config)#iprouting要开启CEF,首先要开启路由功能

SW1(config)#ipcef

SW1(config-if)#noiprouter-cachecef在接口下关闭CEF

showipcef

showcefinterfacesO

showadjacency[detail]

25

是基于CEF交换机的一项重要特性。当SW没有目标地址的ARP条目时，SW会发

送一个ARP请求，而抑制其他ARP请求。

ARPThrottling（抑制）一如果交换机向主机发出…个ARP请求（广播包），一

直没得到回应，那么就不再发后续的ARP包，被抑制掉了。

默认情况下CEF是基于流的负载均衡，但可以修改为基于包的负载均衡：

ipload-sharingper-packet打开基于包的负载均衡

<VLAN间路由〉

•支持VLAN间路由的设备：

1.任意的3层SW

2.支持以太口起子接口的路由器（2600以上）

•路由接口：类似于路由器上的3层接口。

interfaceFastEthernetO/1将接口改为三层接口

noswitchport

ipaddress8.8.9.7255.255.255.0

SVI（SwitchVirtualInterface）：

也属于3层接口，为完成VLAN间路由而配置的接口。

interfaceVlan20

ipaddress6.6.26.7255.255.255.0

•如果让SW有路由功能,必须iprouting

V单臂路由(RouteronaStick)>

1)将R1/R2模拟成PC1/PC2,配IP,网关,noiprouting

2)在SW2上将PCl(r3)划入VLAN3,PC2(r5)划入VLAN5。

3)在SW1/2间做trunking：

Swl/2(config-if)#switchportmodetrunk

4)在SW1上起vlan3与vlan4

5)SW1的连接r6的端口上打switchmodetrunk

6)在R6上的F0/0起2个子接口：

注意：先把接口noshut再进入子接口

interfaceFastEthernetO/O

26

noshut

noipaddress

interfaceFastEthernetO/O.1

encapsulation[dotlQIisl]3这个|是VLANTD

ipaddress192.168.1.6255.255.255.0

interfaceFastEthernetO/O.2

encapsulation[dotlQ|isl]|

ipaddress192.168.2.6255.255.255.0

spanning-treeportfasttrunk在交换机与路由器相连的端口上用，这样才能

快速收敛，这一命令主要用在单臂路由上

cleararp-cache清ARP表，因为在路由器中，ARP表的老化时间是4个小时，

如果不手工清，会等很久。

做实验时会出现P不通的现象

起SVI的测试是•个常用的好办法

〈端口安全〉

•SW端口安全是2层特性，提供3种保护：

1.基于主机MAC来允许流量

•可定义2个参数：授权的MAC地址/允许学习多少个MAC地址（默认=1）

•违背端口安全，采取的行为：

1.shutdown：将永久性或特定周期内Err-Disable端口（默认行为）

2.restrict：将未授权主机的帧丢弃drop,并发送log

3.protect：当超过所允许学习的最大MAC数时，将未授权主机的帧丢弃

drop

Swl(config-if)Sswitchportmodeaccess

Swl(config-if)#switchportport-security这个命令必须先打上,才能打后

续命令

Swl(config-if)Sswitchportport-securitymac-addressaaaa.bbbb.cccc

switchportport-securityviolation[protect|restrict|shutdown]指定行

为

switchportport-securitymaximun5指定最大允许学多少个地址

SwlWshowport-security

Swlttshowport-securityaddress

SwlSshowport-securityinterfacefO/1

SwlitshowinterfacesfastEthernet0/1

27

FastEthernetO/1isdown,lineprotocolisdown（err-disabled）

通常做接口安全，要先把接口shutdown,这样它就不会自动学习

让err-disable接口自动恢复

errdisablerecoverycausepsecure-violation

showerrdisable

2.基「主机MAC来限制流量（3500上才可以做）

列表中定义的MAC将被限制流量

Swl（config）#mac-address-tablestatic0010.7b80.7b9bvlan1drop

3,阻塞未知单（组）播扩散（3500上才可以做）

对未知MAC地址，SW将从本VLAN的其他端口转发出去，通常结合端口安全来做

但对于某些端口（端口安全只需要一个MAC/已到最大MAC）没必要再转发这些

单（组）播。

RackO8Swl（config-if）Sswitchportblock[unicastmulticast]

Rack08Swl#showintf0/1switchport

...Unknownunicastblocked:enabled

.