情景3：交换网优化设计.ppt

1、情境三：交换网优化设计,网络设备配置与管理,陈晓红,问题：,1、在局域网中引入冗余链路，会导致什么情况发生？ 2、STP是什么？它是如何防止环路的？ 3、什么是根桥？根桥是如何确定的？ 4、在生成树过程中，交换机端口有几种角色？ 5、简述STP 收敛的步骤,学习任务：,学习目标：,通过本情境的学习，希望您能够： 理解局域网的冗余备份原理及拓扑结构 理解交换环路带来的问题 理解生成树协议 理解快速生成树协议 掌握STP与RSTP的配置 理解端口聚合的概念 掌握端口安全的配置方法 自主完成一定难度的项目,任务3-1：冗余备份技术及拓扑 扑,学习任务：,网络中存在的单点故障,故障,网络中的单点故障可

2、导致网络的无法访问,交换网络中的冗余链路,故障,在网络中提供冗余链路解决单点故障问题,交换网络内的冗余拓扑,减少单点故障，增加网络可靠性 产生交换环路，会导致： 广播风暴 多帧复制 MAC地址表不稳定,SW1,SW2,SW3,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,文件服务器,广播风暴,广播信息在网络中不停地转发，直至导致交换机出现超负荷运转，最终耗尽所有带宽资源、阻塞全网通信,SW1,SW2,F0/2,F0/2,F0/1,F0/1,广播,广播,主机A,主机B,多帧复制,单播的数据帧被多次复制传送到目的站点,SW1,SW2,F0/2,F0/2,F0/1,F0/1,单播,单播

3、,主机A,主机B,MAC地址表不稳定,SwitchA,PC1,F0/3,F0/5,PC1在我 的F0/3口,PC1在我 的F0/5口,去往PC1的帧,去往PC1的帧,环路问题的解决,1、主要链路正常时，断开备份链路,2、主要链路出故障时,自动启用备份链路,任务3-2：生成树协议STP,学习任务：,生成树协议概述,IEEE 802.1d STP（生成树协议，Spanning-Tree Protocol）协议： 使冗余端口置于“阻塞状态” 网络中的计算机在通信时，只有一条链路生效 当这个链路出现故障时，将处于“阻塞状态”的端口重新打开，从而确保网络连接稳定可靠,SW1,SW2,SW3,F0/2,F

4、0/2,F0/1,F0/1,F0/1,F0/2,生成树协议的BPDU,交换机或者网桥之间周期性地发送STP的桥接协议数据单元（Bridge Protocol Data Unit ，BPDU），用于实现STP的功能 每2秒发送一次的二层报文 组播发送，组播地址为：01-80-C2-00-00-00,BPDU(网桥协议数据单元）,Forward Delay,Hello Time,Maximum Time,Message Age,Port ID,Bridge ID,Cost of Path,Root ID,Flags,Message Type,Version,Protocol ID,Root ID:

5、由2字节优先级和6字节MAC组成,Cost of Path：路径开销是从Switch到Root Bridge的方向叠加的,Maximum Time:当一段时间未收到任何BPDU，生存期达到Max Age时，网桥则认为该端口连接的链路发生故障。默认20秒,Hello Time:发送BPDU的周期,默认2秒,Port ID:端口信息由1字节端口优先级和1字节端口 ID组成,Forward Delay：BPDU全网传输延迟,默认15秒,生成树协议避免环路,switchA,switchC,switchB,A为根交换机,交换网络中所有交换机共同选举一台设备为根交换机（Root Bridge）,BPDU,

6、生成树协议避免环路（续）,switchA,switchC,switchB,A为根交换机,所有非根交换机选择一条到达根交换机的最短路径,此为最短路径,此为最短路径,生成树协议避免环路（续）,switchA,switchC,switchB,A为根交换机,所有非根交换机产生一个到达根交换机的端口根端口（Root Port）,根端口,生成树协议避免环路（续）,switchA,switchC,switchB,每个LAN都会选择一台设备为指定交换机，通过该设备的端口连接到根，该端口为指定端口（ Designated port ）,指定端口,A为根交换机,根端口,生成树协议避免环路（续）,switchA,s

7、witchC,switchB,A为根交换机,将交换网络中所有设备的根端口(RP)和指定端口（DP）设为转发状态（Forwarding），将其他端口设为阻塞状态（Blocking）,RP,DP,STP的工作过程,第一步：选举一个根网桥； 第二步：在每个非根网桥上选举一个根端口； 第三步：在每个网段上选举一个指定端口； 第四步：阻塞非根、非指定端口。,选举根网桥,根网桥的选择原则： 所有交换机首先认为自己是根 依据网桥ID选举根网桥，ID值最小者当选,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-

8、f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,网桥ID,用于选举根网桥：最低网桥ID的交换机将成为根网桥 网桥优先级取值范围：0到65535；默认值：32768（0 x8000） 首先判断网桥优先级，优先级最低的网桥将成为根网桥 如果网桥优先级相同，则比较网桥MAC地址，具有最低MAC地址的交换机或网桥将成为根网桥,选举根端口,在非根交换机上选举根端口 选举依据： 根路径成本最小 发送网桥ID最小 发送端口ID最小,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0

9、-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,根路径成本：19,根路径成本：38,STP的路径成本,路径成本的计算和链路的带宽相关联 根路径成本就是到根网桥的路径中所有链路的路径成本的累计和 修订前后的802.1d路径成本 ：,最短路径的选择,100,19,19,SwB,SwA,SwC,SwD,SwE,100,19,38,100,假设SwA为根交换机，通过比较开销，选择E-D-A为最短路径,发送网桥ID最小,如果路径开销相同，则比较发送BPDU

10、交换机的Bridge ID,Mac:00d0f80000f1,Sw C,Sw B,Sw D,Sw A,Root Bridge,Mac:00d0f80000f2,发送者交换机的port ID,如果发送者Bridge ID相同，即同一台交换，则比较发送者交换机的port ID Port ID:端口信息由1字节端口优先级和1字节端口ID组成 Port ID默认优先级为128,Mac:00d0f80000f1,Sw C,Sw B,Sw D,Sw A,Mac:00d0f80000d1,f0/1,f0/2,Root Bridge,比较接收者的Port ID,7,Mac:00d0f80000f1,6,1 2

11、,Sw C,Sw B,Sw D,Sw A,HUB,Mac:00d0f80000d1,8,如不同链路发送者的Bridge ID一致（即同一台交换机），那比较接收者的Port ID,Root Bridge,选举指定端口,每个网段中选取一个指定端口 用于向根交换机发送流量和从根交换机接收流量 选举依据： 根路径成本最小 所在交换机的网桥ID最小 端口ID最小,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,1

12、00M,100M,Root Bridge,所在交换机网桥ID最小,根路径成本：0,阻塞非根非指定端口,阻塞非根、非指定的端口，形成逻辑上无环路的拓扑结构,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,STP的端口状态,生成树经过一段时间（默认值是50秒左右）稳定之后，所有端口要么进入转发状态，要么进入阻塞状态。,STP的端口状态,阻塞状态（Blocking）

13、 不能接收或者传输数据，不能把MAC地址加入地址表，只能接收BPDU 监听状态（Listening） 不能接收或者传输数据，也不能把MAC地址加入地址表，但可以接收和发送BPDU 学习状态（Learning） 不能传输数据，但可以发送和接收BPDU，也可以学习MAC地址 转发状态（Forwarding） 能够发送和接收数据、学习MAC地址、发送和接收BPDU,生成树拓扑变更,发生变化的交换机会在根端口上每隔hello time时间就发送TCN BPDU（拓扑变化通知BPDU），直到生成树上游的指定网桥邻居确认了该TCN（拓扑变化通知）为止 当网络拓扑变化时，交换机必须重新计算STP，端口的状态

14、会发生改变，重新收敛 重新收敛的时间可能长达50s,生成树拓扑变更,拓扑改变通知消息,拓扑改变应答消息,拓扑改变消息,1,3,2,5,5,6,6,4,ROOT,在一个大中型网络中要等整个网络拓朴稳定为一个树型结构就大约需要50 秒，这样的时间是无法忍受的！,生成树重新生成,生成树重新生成,Switch Y 在最多20秒后会发现从 Switch X 来的 BPDU 信号消失，于是就重新计算 STP 。 网络恢复后， Switch Y 将会是根桥， 而且它的所有单口都会处于转发状态(Designated port)。,任务3-3：快速生成树协议RSTP,学习任务：,快速生成树协议-IEEE 802

15、.1w,RSTP（Rapid Spanning Tree Protocol） ： 对STP的补充，在物理拓扑或配置参数发生变化时，能够显著地减少网络拓扑的重新收敛时间（最快1秒以内）。 定义了2种新增加的端口角色，用于取代阻塞端口 替代（alternate）端口AP：为根端口到根网桥的连接提供了替代路径 备份（backup）端口BP：提供了到达同段网络的备份路径,Root Bridge,DP,DP,RP,AP,DP,BP,RSTP端口角色,Root port 具有到根交换机的最短路径的端口 Designated port 每个LAN的通过该口连接到根交换机 Alternate port 根端口

16、的替换口，一旦根端口失效，该口就立刻变为根端口 Backup port Designated port的备份口，当一个交换机有两个端口都连接在一个LAN上，那么高优先级的端口为Designated port，低优先级的端口为Backup port Undesignated port 当前不处于活动状态的口，即OperState为down的端口都被分配了这个角色,快速生成树协议,3种端口状态丢弃（discarding）、学习（learning）和转发（forwarding）,快速生成树协议,增加2个变量，用于主动地将端口立即转变为转发状态： 边缘端口：指连接终端的端口 连接类型：根据端口的双工模

17、式来确定，全双工操作的端口为点到点链路，可以实现快速收敛 BPDU的传播机制改变： 非根网桥即使没有收到根网桥发来的BPDU，也会每隔2s发送一次BPDU 如果连续3个hello time里没有收到邻居发来的BPDU，则认为连接故障 拓扑变更的机制改变,RSTP的优点,为根端口和指定端口设置了快速切换用的替换端口（Alternate Port）和备份端口（Backup Port）两种角色 在只连接了两个交换端口的点对点链路中，指定端口只需与下游网桥进行一次握手就可以无时延地进入转发状态 边缘端口可以直接进入转发状态，不需要任何延时,STP与RSTP的兼容性,RSTP协议与STP协议完全兼容 R

18、STP协议根据收到的BPDU版本号来自动判断与之相连的交换机支持STP协议还是RSTP协议,任务3-4： STP与RSTP的配置,学习任务：,Spanning Tree的缺省配置,Spanning Tree的配置,恢复缺省配置 Switch(config)# spanning-tree reset 打开、关闭STP Switch(config)# spanning-tree Switch(config)# no spanning-tree 注意：锐捷交换机默认关闭spanning tree 修改生成树协议的类型 Switch(config)#spanning-tree mode stp|rst

19、p,Spanning Tree的配置,配置交换机的优先级 Switch(config)#spanning-tree priority 注意：网桥优先级配置只能为4096的倍数 恢复到缺省值 Switch(config)# no spanning-tree priority 配置端口的优先级 Switch(config-if)#spanning-tree port-priority 注意：端口优先级配置只能为16的倍数 配置端口的路径成本 Switch(config-if)#spanning-tree cost cost,Spanning Tree的配置,配置端口路径成本的默认计算方法 Swit

20、ch(config)#spanning-tree path-cost method long|short 注意：默认值为长整型（long）,最短路径的选择,假设SwA为根交换机，通过比较开销，选择E-D-A为最短路径,Spanning Tree的配置,配置Hello Time、Forward-delay Time和Max-age Time Switch(config)#spanning-tree hello-time|forward-time|max-age seconds 配置链路类型 Switch(config-if)#spanning-tree link-type point-to-po

21、in|shared 查看生成树的配置 Switch#show spanning-tree Switch#show spanning-tree interface interface-id,生成树配置实例,SW1: 32768.00-d0-f8-b4-e5-4b,F0/3,F0/2,F0/2,F0/1,F0/1,F0/4,SW2: 32768.00-d0-f8-06-1c-91,SW4: 32768.00-d0-f8-21-a5-42,SW3: 32768.00-d0-f8-82-f4-a1,将成为Root Bridge,F0/4,F0/3,将成为Root Poot,要求成为根网桥,要求成为根端

22、口,生成树配置实例,SW1： S3760(config)#hostname SW1 SW1(config)#spanning-tree SW1(config)#spanning-tree mode rstp SW1(config)#spanning-tree priority 4096 SW2： S3760(config)#hostname SW2 SW2(config)#spanning-tree SW2(config)#spanning-tree mode rstp,生成树配置实例,SW3： S3750(config)#hostname SW3 SW3(config)#spanning-t

23、ree SW3(config)#spanning-tree mode rstp SW4： S3750(config)#hostname SW4 SW4(config)#spanning-tree SW4(config)#spanning-tree mode rstp SW4(config)#spanning-tree priority 24576,生成树配置实例,SW1: 4096.00-d0-f8-b4-e5-4b,F0/3,F0/2,F0/2,F0/1,F0/1,F0/4,SW2: 32768.00-d0-f8-06-1c-91,SW4: 24576.00-d0-f8-21-a5-42,S

24、W3: 32768.00-d0-f8-82-f4-a1,F0/4,F0/3,Root Bridge,生成树配置实例,查看生成树的配置,SW1#show spanning-tree StpVersion : RSTP SysStpStatus : ENABLED MaxAge : 20 HelloTime : 2 ForwardDelay : 15 BridgeMaxAge : 20 BridgeHelloTime : 2 BridgeForwardDelay : 15 MaxHops: 20 TxHoldCount : 3,PathCostMethod : Long BPDUGuard : D

25、isabled BPDUFilter : Disabled BridgeAddr : 00d0.f8b4.e54b Priority: 4096 TimeSinceTopologyChange : 0d:0h:2m:42s TopologyChanges : 7 DesignatedRoot : 1000.00d0.f8b4.e54b RootCost : 0 RootPort : 0,任务3-5：以太网链路聚合,学习任务：,交换网络问题,交换网络中的问题 对于局域网交换机之间以及从交换机到高需求服务的许多网络连接来说，100M甚至1000M的带宽无法满足用户应用需求。,瓶颈,100M链路,1

26、00M/1000M链路,端口聚合概述,聚合端口Aggregate Port （AP）：把多个物理接口捆绑在一起而形成的一个简单逻辑接口 标准为IEEE 802.3ad 可扩展链路带宽 实现成员端口上的流量平衡 自动链路冗余备份,1000M Aggregate Link,1000M,1000M,10/100M,10/100M,端口聚合的流量平衡,流量平衡：把流量平均地分配到AP的成员链路中去 可以根据源MAC地址、目的MAC地址或源IP地址/目的IP地址 应根据不同的网络环境设置合适的流量分配方式,配置端口聚合的注意事项,AP 成员端口的端口速率必须一致 AP 成员端口必须属于同一个VLAN A

27、P 成员端口使用的传输介质应相同 缺省情况下创建的Aggregate Port 是二层AP 二层端口只能加入二层AP，三层端口只能加入三层AP AP 不能设置端口安全功能 当把端口加入一个不存在的AP 时，AP 会被自动创建 一个端口加入AP，端口的属性将被AP 的属性所取代 一个端口从AP 中删除，则端口的属性将恢复为其加入AP 前的属性 当一个端口加入AP 后，不能在该端口上进行任何配置，直到该端口退出AP,配置端口聚合,创建AP Swtich(config)#interface aggregateport n （n为AP号） 将端口加入AP Switch(config)#interfac

28、e range port-range Switch(config-if-range)# port-group port-group-number 注意：如果这个AP 不存在，则同时创建这个AP 将端口从AP中删除 Switch(config-if)# no port-group,配置端口聚合,将AP设置为三层接口 Switch(config)#interface aggregateport aggregate-port-number Switch(config-if)#no switchport Switch(config-if)#ip address ip-address mask 配置流量

29、平衡 Switch (config)#aggregateport load-balance dst-mac|src-mac|src-dst-mac|dst-ip|src-ip|ip 注意：以RG-S3750-24型号的交换机为例，不同型号交换机支持的流量平衡算法可能会不同,配置端口聚合,查看端口聚合配置 Switch# show aggregateport port-numberload-balance |summary Switch# show interface aggregateport N,端口聚合配置实例,F0/2,F0/1,F0/2,F0/1,SW1,SW2,S3750(confi

30、g)#hostname SW1 SW1(config)#interface range fastEthernet 0/1-2 SW1(config-if-range)#port-group 1 SW1(config-if-range)#end SW1#configure terminal SW1(config)#aggregateport load-balance dst-mac SW1(config)#exit SW2(config)#aggregateport load-balance src-mac,端口聚合配置实例,在SW1上查看配置结果：,SW1#show aggregatePort

31、 1 summary AggregatePort MaxPorts SwitchPort Mode Ports - - - - - Ag1 8 Enabled ACCESS Fa0/1 ,Fa0/2 SW1#show aggregatePort load-balance Load-balance : Destination MAC,任务3-6：交换机端口安全,学习任务：,交换机端口安全,利用交换机的端口安全功能实现 防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑

32、定,交换机端口安全概述,交换机的端口安全机制是工作在交换机二层端口上的一个安全特性 只允许特定MAC地址的设备接入到网络中，从而防止用户将非法或未授权的设备接入网络。 限制端口接入的设备数量，防止用户将过多的设备接入到网络中。 配置端口安全存在以下限制： 一个安全端口必须是一个Access端口，及连接终端设备的端口，而非Trunk端口。 一个安全端口不能是一个聚合端口。 一个安全端口不能是SPAN的目的端口。,配置端口安全性,在交换机端口上实施安全措施： 在端口上指定一组允许的有效MAC地址。当数据包的源地址不是已定义地址组中的地址时，端口不会转发这些数据包。 只允许一个MAC地址访问端口。连

33、接该端口的工作站确保获得端口的全部带宽，并且只有地址为该特定安全 MAC 地址的工作站才能成功连接到该交换机端口。 指定端口在检测到未授权的MAC地址时自动关闭。当尝试访问该端口的工作站的 MAC 地址不同于任何已确定的安全MAC地址时，则会发生安全违规。,安全 MAC 地址类型,静态安全 MAC 地址：静态 MAC 地址是手动配置的 switchport port-security mac-addressmac-address ，此方法配置的 MAC 地址存储在地址表中，并添加到交换机的运行配置中。 动态安全 MAC 地址：动态 MAC 地址是动态获取的，并且仅存储在地址表中。此方式配置的

34、MAC 地址在交换机重新启动时将被移除。 粘滞安全 MAC 地址：可以将端口配置为动态获得 MAC 地址，然后将这些 MAC 地址保存到运行配置中。,安全违规模式,当出现以下任一情况时，则会发生安全违规： 地址表中添加了最大数量的安全MAC地址，而试图访问的工作站的 MAC 地址未出现在该地址表中。 在一个安全接口上获取或配置的地址出现在同一个 VLAN 中的另一个安全接口上。,保护（protect） ：当新的计算机接入时，如果该接口的MAC 条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响。 限制（restrict ）：当新的计算机接入时，如果该接口的MAC 条目超过最大

35、数量，则该接口将会被关闭，则这个新的计算机和原有的计算机都无法接入，需要管理员使用“no shutdown”命令重新打开。 关闭（shutdown ）：当违例产生时，接口立即变为错误禁用 (error-disabled) 状态，并关闭端口 LED。交换机将发送警告信息。此模式为默认模式。,端口安全的配置,Switch(conifg-if)# switchport port-security,Switch(conifg-if)#switchport port-security maximum number,Switch(conifg-if)# switchport port-security v

36、iolation protect | restrict | shutdown ,1、打开该接口的端口安全功能,2、设置接口上安全地址的最大个数,3、配置处理违例的方式,案例（一）,配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-sec

37、urity Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end,配置安全端口上的安全地址,Switch(conifg-if)# switchport port-security mac-address mac-address ip-address ip-address,Switch(conifg)#errdisable recovery,Switch(conifg)# errdisable recovery interval